Kaj je prometni podatek

Sporočila so sestavljena iz vsebine in glave sporočila (včasih imenovane tudi ovojnica). Ovojnica ali glava vsebuje podatke o pošiljatelju, naslovniku, ter še nekaj pridruženih lastnosti (recimo na kakšen način naj sporočilo potuje). Ko sporočilo potuje po poti, na vmesnih postajah na podlagi glave sporočila nastanejo prometni podatki, recimo: “Sporočilo vrste V, velikosti K je ob času T prišlo iz smeri A in bilo napoteno v smer B.” V primeru telefonskega klica prometni podatki vsebujejo podatke o klicoči telefonski številki, klicani številki, datum in čas klica, ter njegovo trajanje. Elektronska komunikacija na internetu je sestavljena iz kar sedmih različnih nivojev, na vseh teh pa se ustvarjajo prometni podatki. Na nižjih nivojih iz prometnih podatkov ugotovimo, kateri napravi je bil dodeljen nek IP naslov, višje izvemo izvorni in ciljni IP naslov komunikacije, vrsto internetnega protokola, izvorna in ciljna vrata (port), čisto na vrhu pa podatke, ki so vezani na samo aplikacijo, recimo elektronske naslove v primeru elektronske pošte, ali parametre spletne poizvedbe.

Skoraj vse naprave na omrežju beležijo prometne podatke (OK, določene naprave, kot so recimo električno-optični pretvorniki res ne beležijo nič, a saj veste, kaj sem hotel reči). Vsak spodobno napisan računalniški program, ki komunicira preko omrežja, beleži dogajanje v svoj dnevnik. Vsak usmerjevalnik prometa zabeleži, na kateri vmesnik je prejel komunikacijski paket in preko katerega ga je predal naprej (oz. če ga ni, zakaj tega ni storil).

Kje vse se hranijo prometni podatki

Povsod. Vsak upravitelj spletnega strežnika hrani dnevniške datoteke, v njej pa so prometni podatki na aplikacijskem nivoju. Notri je datum in čas, IP naslov obiskovalca, zahtevana spletna stran in status poizvedbe (uspešna, neuspešna, preusmerjena, in tako naprej). Podobno je tudi z drugimi strežniki, od pošte in DNS sistema do namenskih strežnikov.

Vsaka organizacija običajno namesti požarno pregrado, s katero zaščiti svoje lokalno omrežje. Na njej se zbirajo prometni podatki za vso komunikacijo, ki preko požarne pregrade potuje. Zabeležijo se izvorni in ciljni naslovi, lastnosti komunikacije in še kaj več. Tudi doma lahko vaš brezžični usmerjevalnik beleži prometne podatke.

Operaterji beležijo prometne podatke tudi na usmerjevalnikih svojega omrežja. Preko njih spremljajo prometne tokove in na njihovi osnovi upravljajo z omrežjem. Načrtujejo nadgradnje in odgovarjajo z zaščitnimi ukrepi v primeru napadov. Operaterjem zakon predpisuje obvezno hrambo, po drugi strani pa jo prepoveduje.

Namen in uporaba prometnih podatkov

Prometni podatki so nujni za zagotavljanje zanesljivega delovanja omrežja. Brez njih je odkrivanje napak nemogoče. To si je pomembno zapomniti in najraje bi to zapisal še vsaj petkrat zapovrstjo.

Brez njih je internetni ponudnik (ali ponudnik drugih storitev, recimo gostovanja) kot človek brez spomina. Ko se znajde v slepi ulici, ne ve, zakaj je tja prišel, kako je prispel, niti ne ve, od kod je.

Ena od dokaj tipičnih pritožb, ki jo operaterji redno prejemajo, je recimo: “Poslal sem pomembno (elektronsko) pošto poslovnim partnerjem, a je ti niso prejeli. Pravijo, da vso pošto od drugod prejemajo brez problema, torej ste vi krivi.” V takšnem primeru ponudnik pogleda v svoje “zbirke prometnih podatkov” (pravni termin) oziroma “log fajle”, dnevniške datoteke svojih strežnikov (strokovni termin). Tam vidi zapisano, kdaj je sporočilo prejel in kdaj ga je predal tujemu poštnemu strežniku.

Tu pa se začne zgodba o z zakonom določeni hrambi prometnih podatkov. V bistvu se začne še nekoliko prej. Začne se pri strahu, da se lahko sledi vsakemu posamezniku preko shranjenih prometnih podatkov. 104. člen Zakona o elektronskih komunikacijah zato določa:

(1) Podatki o prometu, ki se nanašajo na naročnike in uporabnike ter jih je operater obdelal in shranil, morajo biti izbrisani ali spremenjeni tako, da se ne dajo povezati z določeno ali določljivo osebo, takoj ko niso več potrebni za prenos sporočil, razen če sodijo v kategorijo podatkov iz 107.b člena tega zakona, ki se hranijo v skladu s četrtim in petim odstavkom 107.a člena tega zakona.

Po uspešnem prenosu sporočila naj bi operater povezane podatke o prometu anonimiziral ali izbrisal. Kaj to pomeni v zgornjem primeru pritožbe? Če bi operater izbrisal ali anonimiziral podatke, čez kakšen teden dni (ko se uporabnik pritoži), ne bo več vedel, ali je sporočilo uspel predati naprej ali ne. Primera nisem naključno izbral, saj so napake pri delovanju poštnih strežnikov zelo zelo redke, pritožbe glede dostave pošte pa ne.  Običajno “zamočijo” pošiljatelji ali prejemniki (ti se včasih še celo zlažejo, da kakšne pošte niso dobili, ker jim pač njena vsebina poslovno preveč ne prija; lahko verjamete kaj takšnega, a?).

Vsak ponudnik na podlagi zbranih in analiziranih prometnih podatkov spremlja stanje na omrežju in ugotavlja, kje so ozka grla. Te podatke uporablja za načrtovanje razširitev in nadgradenj, ki bodo zagotavljale udobno delo na omrežju.

Ko pa gre za namerne napade na strežnike ali omrežje, prometni podatki pokažejo, kaj pravzaprav se je dogajalo. Ponudniku omogočijo zaznavo napada, ustrezno zaščito pred njim in omogočijo izsleditev izvora napada. Reakcija na napad vedno pride šele za njim. Če prometne podatke prehitro vržemo stran, potem ne moremo narediti nič. Ponudnik takrat lahko le zatisne oči in počaka, da vse skupaj mine. O tem smo pisali tudi ob napadih skupine Anonymous februarja letos.

No, ampak v zgoraj citiranem odstavku obstaja izjema pri hrambi, določena v 107.a. in 107.b. členih. Ta sta nastala na podlagi Direktive 2006/24/ES za namen boja proti terorizmu. Določata zelo omejen obseg prometnih podatkov, ki so jih operaterji dolžni hraniti. Vsi ponudniki po vsem svetu so seveda že pred tem beležili prometne podatke za namene zagotavljanja normalnega delovanja omrežja in načrtovanja. Direktiva je le na neroden način določila neko podmnožico podatkov, ki jih operaterji nujno morajo hraniti in omogočajo izsleditev storilca. Zato se je tudi moral popraviti 104. člen. Če sem malo ciničen, se je slaba rešitev “popravila” s še eno slabo.

Potvarjanje številke klicočega

Matej v svojem prispevku opiše, kako lahko v tujini najdete operaterja internetne telefonije, ki vam dovoli potvoriti telefonsko številko in potem preko ovinka pošiljate lažne klice in SMS sporočila. V računalniški srenji bi seveda lahko rekli: “It’s not a bug, it’s a feature,” predvsem za tistega ponudnika telefonije, ki to trži kot prikladno fleksibilnost. V svojem članku za Sobotno prilogo Lenart J. Kučić nekoliko posplošeno opisane aktivnosti povzame, da je Matej pri “… več slovenskih operaterjih mobilne, fiksne in internetne telefonije (voip) … uspešno preizkusil spreminjanje klicne identifikacije.” Matej ni spremenil identifikacije pri nobenem od slovenskih operaterjev, ampak je izbral tujega operaterja, ki to deklarirano dovoljuje, in potem preko njega izvedel klic v slovenska omrežja. To je velika razlika. Matej je uporabil možnost pri tujem VoIP ponudniku, ki jo ta pač ponuja svojim strankam. Ne moremo govoriti o varnostni pomanjkljivosti, ker gre za poslovni model. Ali je ta pameten ali ne, je drugo vprašanje.

Kot Matej pravilno ugotavlja, se je podobno dogajalo tudi na internetu. Preko potvorjenih IP naslovov so se izvajali različni napadi, dokler sčasoma ponudniki sami niso ugotovili, da je treba uvesti določena pravila na mejah omrežja, od koga boš sprejel kaj. Morda se bo to zgodilo tudi pri internetni telefoniji.

Najbolj pa je pomembno naslednje: kako se lahko lotimo preiskovanja v primeru, ko gre za podtaknjene in lažne klice? Odgovor je: preko analize prometnih podatkov! Vi boste ob Matejevem “napadu” res na zaslonu svojega telefona videli izmišljeno številko, ki jo bo on poljubno nastavil, vendar pa bo vaš operater telefonije lahko preko prometnih podatkov lahko preveril, od kod je klic dejansko prišel v njegovo omrežje. To ponudniki redno počnejo pri elektronski pošti, kadar pride do pritožb ali goljufij. Ko pa bo vaš operater prometne podatke izbrisal (zaradi zakonske določbe), tega ne bo mogel več ugotoviti in vi sami kot žrtev napada boste bolj izpostavljeni tveganju.

Druga napaka leži v domnevi, da se v preiskovanju zlorab na omrežju vedno zanašamo le na en sam podatek in da nikoli ne podvomimo v verodostojnost kateregakoli od njih. To seveda ni res. Vsako preiskovanje na omrežju vedno temelji na tem, da se primerjajo podatki iz različnih koncev in na podlagi njih se izdelajo možni scenariji, eni bolj, drugi manj verjetni. Koristno je, da se prometni podatki ustvarjajo pri različnih skrbnikih, z njihovo primerjavo pa se lahko povečuje ali zmanjšuje to verjetnost.

Preveč enostavno je tudi reči: “ker lahko na enem primeru pokažemo, da je možno, da prometni podatek ne ustreza dejanskem stanju, ne potrebujemo njihove hrambe.” Dvomim, da se kdajkoli samo na podlagi enega takšnega podatka odloča o pomembnih rečeh na sodišču. Ne smemo pa tudi mimo dejstva, da tveganja opisujemo z verjetnostmi in se na podlagi teh vedemo.

Povsem verjetno pa je, da se pri telefoniji takšne preiskovalne varovalke še najmanj uporabljajo, zato je v tem kontekstu Matejevo opozorilo na mestu.

Zakonska regulacija kot način urejanja kršitev

Pred leti je Mobitel d.d. predal policiji seznam klicanih številk, a pri tem pozabil vprašati, kje je odredba sodišča. Delodajalci na ministrstvu so preko izpiskov klicev službenih telefonov iskali zaposlene, ki so se pogovarjali z novinarji in jih za to kaznovali (po naši lokalni folklori seveda z obveznim političnim priokusom). Potem pa imamo še poskus tržnega inšpektorja, da bi pridobil identiteto internetnega uporabnika na podlagi zakonskega določila, ki ga je zakonodajalec sicer namenil pregonu hujših kaznivih dejanj. Kaj je skupno tem primerom? Namesto da bi v posameznem primeru prišli do ustreznega pravnega epiloga, se je dostikrat ubrala najlažja pot: ali malo spremenimo zakon, ali pa si ga razložimo na tako izviren način, da bo cilj dosežen. S pravno akrobacijo uvedbe razlikovanja statično in dinamično dodeljenih IP naslovov se je sicer rešil tisti problem z inšpektorjem, a nastali so problemi pri policijskih postopkih, zaradi političnih iger pa morajo sedaj vsi operaterji delno skrivati telefonske številke na izpiskih, ki nam jih pošljejo. Lahko, da se je v nekem primeru dobila bitka za zaščito zasebnosti zaposlenega, a zraven tudi jaz kot uporabnik občutim zame neželene stranske učinke, ki se dostikrat ob iskanju rešitve zanemarijo. Refleksno dodajanje členov in celih zakonov nas pelje v vedno bolj zbirokratizirano in konfuzno družbo, to da napišemo še en zakon, pa je nemalokrat tudi zatiskanje oči pred problemi in bežanje pred njihovim korenitim reševanjem. Da je stvar sedaj urejena in problema ne bi smelo več biti. Spam pri nas urejamo s kar štirimi zakoni, pa je pregon domačih spamerjev vseeno dolg, poln zapletov in čeri.

Prav tako so po krivem v središču prometni podatki. To “čast” si zaslužijo tisti, ki prometne podatke zlorabljajo ali prodajajo. Ker ne zmoremo kot družba kaznovati teh zlorab, raje vsem predpišimo, da prometnih podatkov sploh ne sme biti? Če gremo predaleč lahko tudi zaščita zasebnosti posameznika škodi njemu samemu, ko se znajde v vlogi žrtve prevare in pričakuje, da se bo storilca poiskalo. Sploh pa: medtem, ko se mi v peskovniku mikastimo glede tega in si eden drugemu mečemo v oči zdaj statični, zdaj dinamični internetni pesek, se velike firme, kot so Google in Facebook, smejejo na široko in naše podatke zajemajo z zelo velikimi lopatami.

Uvod

Konec leta 2011 je več slovenskih medijev poročalo, da naj bi poslanka Državnega zbora Melita Župevc iz enega svojega mobilnega telefona prejela klic na svoj drugi mobilni telefon, javil pa naj bi se neznan moški glas.

Na novinarska vprašanja so mobilni operaterji pojasnili, da takih primerov še niso zasledili, predstavnik Telekoma Slovenije pa je izjavil, da “vdor v sistem telefonskih povezav oziroma klic s prikazom kličoče številke, ki ne pripada v mobilni telefon vstavljeni SIM kartici, v Mobitelovem omrežju ni mogoč”.

Podoben je bil tudi odziv poslanca in trenutno ministra za notranje zadeve Vinka Gorenaka, ki je na svojem blogu zapisal, da “tehnično res ni mogoče, da te nekdo kliče iz tvoje lastne prve telefonske številke na tvojo lastno drugo telefonsko številko, brez tvoje vednosti seveda”.

Kljub temu pa pozorno branje odgovora Telekoma Slovenije kaže, da bi bilo klicanje s spremenjeno klicno identifikacijo morda le mogoče, saj so zapisali, da “na svetovni ravni ni enotne rešitve, ki bi neizpodbitno zagotovila, da v Mobitelovo omrežje pride klic s pravo in nepopačeno identifikacijo”.

Pa si nekoliko podrobneje poglejmo tehnične možnosti za kaj takega.

Phone phreaking – manipulacija telefonskih sistemov

Phone phreaking, friking oz. “telefonsko hekanje” je skupek postopkov, s katerimi opisujemo varnostne analize in zlasti zlorabe telefonskih sistemov. Tim. friking je bil sicer zelo aktalen v ZDA konec 1970-tih let, kasneje pa so tim. frikerji (ang. phreaker) praktično izginili. Postopki frikinga so kasneje znova postali aktualni konec 1990-tih let s pojavom internetne (VoIP) telefonije. Sam izraz phone phreaking sicer zelo dobro definira in opiše Gorazd Žagar v svojem diplomskem delu Metode in tehnike napadov na informacijsko-komunikacijske sisteme (stran 16 in 17):

“Phone phreak (poslovenjeno friker) je oseba, ki se intenzivno, skoraj obsedeno ukvarja s proučevanjem telefonskih sistemov z namenom poznati vse njegove razsežnosti. Pogosto znanje teh oseb presega znanje poklicnih vzdrževalcev in ostalih zaposlenih na tem področju. Svoje znanje nekateri tudi zlorabijo z namenom doseganja brezplačnih telefonskih klicev in ostalih plačljivih storitev telefonskega omrežja. Jih je težko izslediti, kajti svoje znanje uporabljajo tudi za učinkovito zakrivanje svoje identitete (t.j. klicne številke). Frikerji so predhodniki hekerjev, ker v času njihovega nastanka (konec 60. let v Združenih državah), računalniški sistemi še niso bili tako množično omreženi in heking v današnjem pomenu besede še ni bil poznan. Telefonski sistemi so bili takrat (predvsem oz. samo v Združenih državah) razviti že do stopnje, ki je omogočala “vsakemu” uporabniku telefonskega omrežja njegovo manipulacijo iz navadnega telefonskega priključka. Eden izmed znanih frikerjev je bil Steve Wozniak, znan tudi kot Woz, soustanovitelj podjetja Apple. Za očeta vseh frikerjev pa velja Joe Engressia, znan tudi kot “piskač”. Dejavnost frikerjev imenujemo ang. phone phreaking ali phone hacking, poslovenjeno friking. Frikerji so bili prvi, ki so v svojo dejavnost vključili tudi socialno inženirstvo (ang. social engineering).”

(Žagar, 2006: 16 in 17)

Znani frikerji poleg Joeja Engressia so bili sicer tudi Denny Teresi ter John T. Draper (njegov vzdevek je bil Captain Crunch), ki je iznašel tim. modro škatlico (ang. blue box).

Verjetno je manj znano, da telefonski friking ni bil omejen samo na ZDA, pač pa smo imeli frikersko skupino tudi v Sloveniji. Med leti 1999 in 2004 je namreč v Sloveniji delovala hekersko-frikerska skupina Phone Losers of Slovenia. Skupina je imela spletno stran (najprej v slovenščini, nato pa pretežno v angleščini), kjer so objavljali informacije o svojih hekersko in frikerskih dosežkih, ki so jih pridobili skozi raziskovanje telefonskih in računalniških sistemov. Ob 5-letnici obstoja so na svoji spletni strani zapisali: “smo zagotovo zadnja generacija pravih telefonskih hekerjev stare šole, ki so bili in so še zaljubljeni v analogno telefonsko tehnologijo. Naš cilj, ki je bil dosežen le delno, je bil vzpostavitev telefonske phreakerske skupnosti v Sloveniji, kjer bi ljudje lahko delili informacije o naših telefonskih sistemih. Žal smo ugotovili pomankanje interesa mladine na tem področju. Vprašanje je, ali je bilo telefonsko hekanje sploh kdaj aktivno v naši državi? Danes je vsako telefonsko hekanje izvedeno s pomočjo hekanja računalnikov. Telefonsko hekanje včasih vključuje računalniško hekanje, a prava čarovnija je v klikih in pokih, zvoku, ki pritegne tvojo pozornost.”.

Skupina je bila odgovorna za kar nekaj vdorov in na svoji spletni strani so objavili precej občutljivih informacij. Pri vseh objavah je bilo zapisano takšno ali drugačno opozorilo, da so informacije objavljene zgolj v izobraževalne namene in pozivi naj jih obiskovalci ne zlorabljajo, kljub temu pa je – razumljivo in pričakovano – do zlorab prihajalo. Vseeno pa je bil osnovni namen članov skupine verjetno predvsem raziskovanje in učenje in ne namerno povzročanje škode.

Člani PLS so se med drugim ukvarjali z ranljivostmi v telefonskih tajnicah in objavili seznam telefonskih številk odvetnikov in podjetij, ki so uporabjala telefonske tajnice s privzetimi dostopnimi kodami, ki so omogočale poslušanje posnetih sporočil, v nekaterih primerih pa tudi prisluškovanje pogovorom v prostoru. Objavili so nekaj datotek z navodili za vzdrževanje ADSL priključkov (kar naj bi bila posledica vdora v domači računalnik nekega uslužbenca Telekoma Slovenije, ki je imel doma shranjene službene datoteke), nekaj novic je bilo posvečenih tudi vprašanju kako zaobiti zaščito v Telefonskem imeniku Slovenije. Objavili tudi program SMS bomber, ki je omogočal masovno pošiljanje SMS sporočil na telefonsko številko žrtve. Najbolj sistematično in izčrpno pa je bil opisan vdor v sistem glasovne pošte večjega slovenskega proizvodnega podjetja, kjer so opisali tudi kako poslušati sporočila v poštnih predalih in kako zasesti prosti zvočni predal. Med drugim so opisali tudi funkcijo “takojšen klic osebe”, ki je omogočala klicanje na stroške podjetja. Mimogrede, tovrstne zlorabe so aktualne še danes, gre za tim. podaljšano izbiranje preko GSM vmesnikov. Gradivo o skupini Phone Losers of Slovenija in pogovori s člani so bili zbrani v okviru ciljnega raziskovalnega projekta “Računalniška/kibernetična kriminaliteta v Sloveniji”, ki ga je v letu 2006 izvajal Inštitut za kriminologijo pri Pravni fakulteti v Ljubljani (vodja projekta je bila dr. Nina Peršak, sodelavci P. Gorkič, M. Kovačič in A. Završnik).

Spletna stran Phone Losers of Slovenia iz leta 2001. Danes stran ni več dostopna.

Poleg možnosti raziskovanja različnih zmožnosti telefonskih sistemov ter možnosti brezplačnega klicanja je eden izmed bolj pomembnih delov (zlasti sodobnega) frikinga tudi spreminjanje klicne identifikacije. Klicna identifikacija oz. v angleščini Caller ID (zanjo se uporabljajo tudi kratice CID, CLID, CND, CNID in CLIP) je posebna storitev telefonskega omrežja, ki omogoča prenos klicne identitete klicatelja na terminalno opremo klicanega. V praksi to pomeni, da s pomočjo klicne identifikacije lahko vidimo kdo nas kliče, klice pa lahko tudi blokiramo ali pa izsledimo. Vsaj v teoriji. Kot bomo namreč pokazali, je klicna identifikacija v resnici precej nezanesljiv podatek, spreminjanje klicne identifikacije, tim. Caller ID spoofing pa razmeroma enostaven postopek. Potrebno je le nekaj malega znanja in opreme. Podrobnosti v nadaljevanju, a za začetek si poglejmo kako enostavno je pošiljanje “ponarejenih” SMS sporočil.

Pošiljanje SMS sporočil s poljubno identifikacijo pošiljatelja

Pošiljanje SMS sporočil iz “poljubne številke” – v resnici gre za pošiljanje SMS sporočil s spremenjeno identifikacijo pošiljatelja – je pravzaprav otročje lahko, saj za to ni potrebno praktično nikakršno poznavanje tehnologije. Vse, kar mora potencialni napadalec narediti je le, da na internetu poišče ustreznega ponudnika pošiljanja SMS sporočil.

Na spletu je mogoče najti ponudnike, ki oglašujejo pošiljanje tim. ponarejenih SMS sporočil, vendar je cena pošiljanja teh sporočil lahko kar visoka – tudi nekaj EUR na poslano sporočilo. Z malo brskanja po spletu pa lahko najdemo večje ponudnike pošiljanja SMS sporočil, ki svojim strankam omogočajo avtomatizirano pošiljanje velikega števila SMS sporočil preko preprostega spletnega servisa. Te storitve praviloma uporabljajo podjetja, ki preko SMS sporočil svojim strankam pošiljajo različna obvestila, spletne strani, ki svojim uporabnikom preko SMS sporočil posredujejo gesla, itd. Skratka vsi, ki ponujajo različne SMS storitve. Gre za povsem komercialno storitev, ki omogoča avtomatizirano pošiljanje (in tudi sprejemanje) velikega števila SMS sporočil. Cene za poslano SMS sporočilo se seveda razlikujejo, prav tako kvaliteta storitve (predvsem zmogljivost oz. hitrost pošiljanja večje količine SMS sporočil), praviloma pa so cene največ nekaj centov za poslano SMS sporočilo v Slovenijo.

Tako smo na spletu hitro našli ponudnika, ki omogoča pošiljanje SMS sporočil v Slovenijo po ceni 1 cent na sporočilo, ponudnik pa ob brezplačni registraciji vsakemu svojemu uporabniku naloži 2 EUR dobroimetja. Za registracijo je potrebno vpisati veljaven elektronski naslov, kamor nato ponudnik pošlje podatke za aktivacijo računa. To v praksi pomeni, da si potencialni napadalec lahko najprej ustvari anonimen elektronski naslov (in pri tem pazi, da ne razkrije svojega pravega IP naslova), z njim pa se nato registrira pri navedenem ponudniku s čimer pridobi možnost pošiljanja 200 brezplačnih SMS sporočil na mobilne številke slovenskih operaterjev. Za pošiljanje dodatnih SMS sporočil je seveda potrebno na svoj račun nakazati dodatna finančna sredstva, vendar že možnost pošiljanja 200 SMS sporočil napadalcu lahko povsem zadostuje.

Pošiljanje SMS poročil je sicer mogoče na več načinov, najbolj enostaven način pa je pošiljanje preko spletnega API vmesnika. V URL vrstico poljubnega spletnega brskalnika je potrebno vpisati URL naslov, v katerem je “zakodirano” SMS sporočilo, ki ga želimo poslati. Primer (nekoliko zabrisanega) URL naslova je naslednji:

http://ponudnik.com/sms/json?username=xxxxxxxx&password=xxxxxxxxx&from=040111222&to=38631123456&text=To%20je%20SMS%20sporocilo.

Navedeni URL naslov vsebuje naslednje parametre (ločene z znakom &):

• username=xxxxxxxx – gre z uporabniško ime našega uporabniškega računa pri ponudniku za pošiljanje SMS sporočil
• password=xxxxxxxxx – geslo za dostop do našega uporabniškega računa
• from=040111222 – telefonska številka, ki se bo izpisala prejemniku kot pošiljatelj SMS sporočila
• to=38631123456 – telefonska številka prejemnika v mednarodni obliki
• text=To%20je%20SMS%20sporocilo. – vsebina SMS sporočila. Namesto presledkov vpišemo %20.

Z dodatnimi parametri lahko nastavimo tudi tip SMS sporočila in nekatere dodatne možnosti, kot številko pošiljatelja pa lahko vpišemo poljuben niz znakov – torej tudi besedilo. Tako je mogoče poslati SMS sporočilo pri katerem se kot telefonska “številka” pošiljatelja izpiše npr. “DedekMraz” ali “Phreaker“.

SMS sporočilo z lažno identiteto pošiljatelja.

Pošiljanje SMS sporočil s poljubno identifikacijo pošiljatelja je torej povsem enostavno, z malce truda pa ga je mogoče izvesti tudi povsem anonimno. Kako pa vse skupaj v resnici poteka po tehnični plati, pa bomo prikazali na primeru vzpostavljanja govornih klicev s poljubno klicno identifikacijo. Ponudnikov, ki bi omogočali poljubno spreminjanje klicne identifikacije za govorne klice namreč ni mogoče enostavno najti, saj gre – kot bomo pokazali v nadaljevanju – za storitev, ki omogoča resne goljufije.

Kljub temu je potrebno poudariti, da spreminjanje klicne identifikacije samo po sebi ni prepovedano in v praksi se ta tehnologija tudi razmeroma pogosto uporablja. Tipičen primer so različni klicni centri, kjer so telefoni posameznih operaterjev v klicnem centru nastavljeni tako, da se kot njihova klicna identifikacija prikazuje telefonska številka centrale ali npr. vodje centra.

Podoben primer so tudi različne storitve ponudnikov telefonije preko interneta, npr. Vox.io, Skype in podobnih podjetij, ki svojim uporabnikom omogočajo klicanje iz njihove obstoječe mobilne številke preko spleta. Vendar pa omenjena podjetja pred vklopom klicanja s spremenjeno klicno identifikacijo preverijo lastništvo mobilne številke, ki jo uporabnik vpiše kot svojo. To preverjanje poteka npr. tako, da na vpisano številko uporabniku najprej pošljejo SMS z aktivacijsko kodo, ki jo mora uporabnik nato preko spletnega vmesnika prepisati v svoj uporabniški račun. Na ta način ponudniki teh storitev zagotovijo, da telefonska številka, ki se bo prikazovala kot klicna identifikacija pri klicih preko interneta, res pripada njihovemu uporabniku (oziroma, če smo bolj natančni, da je imel v času registracije njihov uporabnik dostop do mobilnega aparata s to številko).

Priprava tehnologije za klicanje s poljubno klicno identifikacijo

Za spreminjanje klicne identifikacije v primeru govornih klicev tako potrebujemo dostop do interneta, ustrezno programsko opremo (programsko telefonsko centralo ter programski telefon) ter povezavo do telefonskega omrežja. Najbolje je, če pridobimo tim. medoperaterski dostop, lahko pa uporabimo kar obstoječi SIP račun pri kakšnem ponudniku internetne telefonije, ki ne filtrira vnosov klicne identifikacije. Edini realni strošek je torej le strošek dostopa do telefonskega omrežja, pa še to ni nujno, saj napadalec lahko vdre v centralo ponudnika telefonije ali pa ukrade SIP račun, npr. z orodjem SIPViciuos. Vsa programska oprema, ki jo bomo uporabili v nadaljevanju pa je na voljo brezplačno.

V nadaljevanju si bomo pogledali nekoliko bolj zapleteno povezavo v telefonsko omrežje, saj želimo spreminjanje klicne identifikacije izvajati čim bolj mobilno (torej iz prenosnega računalnika) in neodvisno od vrste povezave v internet, hkrati pa si želimo zagotoviti anonimnost oz. neizsledjivost.

Za programsko telefonsko centralo lahko izberemo Linux distribucijo Trixbox. Gre za posebej prilagojeno Linux distribucijo v osnovi katere je operacijski sistem Centos 5.5, na katerem teče programska oprema za internetno telefonijo Asterisk ter ustrezni podporni programi za enostavno konfiguracijo in upravljanje telefonske centrale. Vsi programi so odprtokodni in na voljo brezplačno.

Trixbox lahko namestimo v virtualni računalnik. V našem primeru smo za virtualizacijsko okolje izbrali brezplačni in odprtokodni VirtualBox. Gre za posebno programsko opremo, ki znotraj računalnika ustvari virtualni računalnik, na katerega nato lahko namestimo poljuben operacijski sistem.

V našem primeru smo v VirtualBoxu ustvarili računalnik s 512 Mb pomnilnika RAM, 3 GB velikim navideznim trdim diskom in dvema omrežnima vmesnikoma – eden je tipa NAT, drugi pa Host-only Adapter. Razlog zakaj smo uporabili dva omrežna vmesnika je v tem, da na ta način dosežemo, da se virtualni računalnik preko enega vmesnika povezuje v internet, preko drugega pa se lahko v virtualni računalnik povezujemo iz fizičnega računalnika na katerem ta virtualni računalnik teče.

Nastavitve virtualnih omrežnih vmesnikov v Virtualboxu.

Ko v virtualni računalnik namestimo Trixbox je potrebno poskrbeti za povezavo do telefonskega omrežja. Kakšno povezavo do interneta mora imeti naša centrala je odvisno od tipa povezave do našega operaterja telefonije. Če uporabljamo SIP povezavo, je najbolj enostavno imeti statičen in po možnosti neposreden dostop do interneta. Če želimo svojo programsko telefonsko centralo uporabljati čim bolj mobilno (torej se hočemo iz nje do telefonskega omrežja povezovati iz različnih omrežij), jo je v primeru SIP povezave potrebno preko VPN povezave povezati do VPN strežnika, ki ima stalen IP naslov (lahko pa uporabimo tudi STUN strežnik). Prednost VPN povezave je v tem, da jo lahko uporabimo za skrivanje svoje prave identitete, hkrati pa se tudi izognemo prestrezanju naših komunikacij v lokalnem omrežju ali pri našem ponudniku dostopa do interneta. Če uporabljamo IAX2 (Inter-Asterisk eXchange) povezavo, uporaba VPN sicer ni potrebna, razen, če želimo z uporabo VPN dodatno zakriti svojo pravo identiteto.

Če se odločimo za uporabo VPN povezave, lahko uporabimo odprtokodni OpenVPN. Manjša težava je le v tem, da za Trixbox ni na voljo namestitvenega paketa za OpenVPN odjemalca. To pomeni, da je OpenVPN potrebno prevesti in namestiti ročno. Z nekaj malega poznavanja operacijskega sistema Linux je to stvar nekaj (deset) minut. Hkrati je seveda na drugi strani potrebno postaviti (ali uporabiti že obstoječ) OpenVPN strežnik. Za postavitev OpenVPN strežnika svetujemo uporabo Linux distribucije Ubuntu ali Debian, postavitev in konfiguracija strežnika ter odjemalcev pa je mogoča v manj kot eni uri. V našem primeru smo sicer postavili OpenVPN strežnik na zakupljenem virtualnem računalniku, ki ima popolnoma šifrirane trde diske, prav tako ima šifrirane trde diske tudi prenosni računalnik na katerem teče virtualni Trixbox (zakaj je to lahko pomembno bomo videli kasneje v poglavju o sledenju lažnih klicev).

Pri uporabi VPN je smiselno, da VPN povezavo nastavimo tako, da se povezava vzpostavi samodejno ob zagonu Trixboxa. Če uporabljamo SIP povezavo do operaterja, je potrebno v Trixbox-u v nastavitveni datoteki sip_nat.conf nastaviti še naš zunanji (fiksni) IP naslov. Datoteko lahko uredimo preko spletnega vmesnika za upravljanje s Trixbox centralo. V primeru IAX2 povezave to ni potrebno.

Nastavitve Trixboxa pri uporabi prevajalnika omrežnih naslovov (ang. Network Address Translator, NAT) in SIP povezave do operaterja.

Sledi vzpostavljanje povezave do telefonskega omrežja. Vrsta povezave do do telefonskega omrežja je seveda odvisna od tega, kakšno vrsto povezave nam sploh omogoča naš operater internetne telefonije. Pri tem je pomembno, da poiščemo operaterja, ki ne filtrira tim CID vnosov oz. kakorkoli drugače omejuje naše povezave v telefonsko omrežje. Čeprav se to morda na prvi pogled zdi težko, je take operaterje mogoče najti tako v tujini (zlasti v kakšnih azijskih državah), kot tudi v Evropi. V Sloveniji je (bilo) mogoče najti tudi operaterje, ki ne filtrirajo klicne identifikacije niti za svoje končne uporabnike SIP telefonije. V našem primeru smo se do operaterja povezali preko IAX2 povezave.

Povezavo v naši Trixbox centrali vzpostavimo tako, da nastavimo tim. trunk. Med nastavitve je potrebno vpisati IP naslov našega ponudnika medoperaterskega dostopa (tim. host), naše uporabniško ime (username) in geslo (secret).

Nastavitve povezave do našega operaterja.

V naslednjem koraku nastavimo še tim. izhodno povezavo (ang. outbound route), ki določa, da gredo vsi klici iz naše centrale do našega operaterja. Naj dodamo, da v našem primeru nismo nastavljali vhodne povezave, saj dohodnih klicev ne potrebujemo.

Nastavitve izhodne povezave v Trixboxu.

Na koncu na naši virtualni telefonski centrali nastavimo še lokalne telefonske številke (tim. extensions). V našem primeru je lokalna telefonska številka 1000. Na to telefonsko številko se bomo kasneje “povezali” s pomočjo programskega telefona preko SIP protokola.

Sledi konfiguracija programskega telefona SIP. V našem primeru smo uporabili odprtokodni in brezplačni SFL Phone in vanj vpisali nastavitve iz naše virtualne Trixbox centrale.

Ko vse skupaj zaženemo torej povezava poteka takole. Fizični računalnik se v internet povezuje preko žične, brezžične ali mobilne povezave. Virtualna telefonska centrala Trixbox se preko te internetne povezve poveže na VPN strežnik, od tam pa preko našega operaterja preko IAX2 povezave v telefonsko omrežje. Programski telefon SFL Phone pa se preko SIP protokola iz fizičnega računalnika lokalno poveže na virtualno Trixbox centralo.

Shema naše povezave: (1) programski telefon SFL Phone, (2) vmesnik za nastavljanje telefonske centrale, (3) telefonska centrala v virtualnem stroju, (4) šifriran VPN strežnik preko katerega se povezujemo v telefonsko omrežje.

Status povezave telefonske centrale lahko preverimo preko spletnega vmesnika in če je povezava uspešna lahko skušamo opraviti prvi klic. V programskem telefonu SFL Phone vpišemo telefonsko številko v mednarodni obliki (če npr. želimo klicati na mobilno številko 040/123-456 v programski telefon vtipkamo 38640123456) in kliknemo gumb za klicanje. Če se klic vzpostavi, je postavitev telefonske centrale in povezave do operaterja uspešna. Odpremo šampanjec.

Status virtualne telefonske centrale.

Izvedba klicanja s spremenjeno klicno identifikacijo

Če sedaj želimo opraviti klic s spremenjeno klicno identifikacijo, v nastavitvah telefonske centrale med nastavitvami lokalne telefonske številke (ang. extension) kot izhodno klicno identifikacijo (Outbound CID) vpišemo poljubno telefonsko številko v mednarodnem formatu.

Nastavitve prikaza klicne identifikacije za lokalno telefonsko številko.

Če bi se torej klicanemu radi predstavili s klicno identifikacijo npr. 040/999-999, je kot izhodno klicno identifikacijo potrebno vpisati “38640999999” <38640999999>. Nastavitve shranimo in (pomembno!) uveljavimo spremembe na telefonski centrali. Ko bomo naslednjič poklicali na poljubno zunanjo telefonsko številko, se bo kot klicna identifikacija klicatelja izpisala telefonska številka 040999999.

Prikaz prejetih klicev na mobilnem telefonu. V ozadju vmesnik za spreminjanje nastavitev telefonske centrale in programski telefon SFL Phone.

Postopek se sicer da še nekoliko poenostaviti, saj je Trixbox centralo mogoče nastaviti tako, da sprejema dohodne klice, uporabnikom pa omogoča, da s pomočjo telefonskega aparata najprej nastavijo želeno klicno identifikacijo (vtipkajo številko, ki naj se prikaže pri izhodnem klicu), nato pa vnesejo izhodno številko kamor se klic s spremenjeno klicno identifikacijo preusmeri. Na ta način bi bilo mogoče klicanje s spremenjeno klicno identifikacijo izvajati zgolj s telefonskim aparatom, seveda pa bi nekje nekje v ozadju potrebovali ustrezno nastavljeno telefonsko centralo ter vso prej opisano infrastrukturo.

Možnosti napadov

Kot smo torej videli, je klicanje s spremenjeno klicno identifikacijo tehnično povsem mogoče. Kličemo lahko iz poljubne številke, tudi iz lastne ali pa celo povsem izmišljene, npr. 1116.

Dejstvo je, da računalniško generirane podatke ljudje praviloma dojemamo kot zaupanja vredne same po sebi (tim. inherentno zaupanje) in praviloma ne pomislimo na možnost, da so podatki spremenjeni oz. ponarejeni. Ker pa na tej predpostavki pravilnosti in točnosti takšnih podatkov slonijo naše domneve o identiteti klicatelja, ima spreminjanje klicne identifikacije lahko resne posledice.

Poleg različnih možnosti lažnega predstavljanja (v kombinaciji s kakšnimi imitatorji znanih osebnosti bi znalo biti prav zabavno) se je po letu 2002 v ZDA pojavil tudi tim. swatting. V tem primeru gre za to, da napadalci s ponarejeno klicno identifikacijo kličejo na številko za klic v sili oziroma policijo (v ZDA na številko 911) in grozijo, da zadržujejo talce. Policija pa se nato odzove s prihodom specialne enote tim. SWAT (Special Weapons and Tactics), kar seveda povzroči nevšečnosti nič hudega slutečim pravim lastnikom telefonske številke. Od tu tudi izvira izraz swatting.

Na spletni strani Dispatch Magazine On-Line je navedeno nekaj več podatkov o swattingu. Kot pravilno ugotavljajo avtorji prispevka, tehnični ukrepi proti spreminjanju klicne identifikacije niso mogoči, je pa včasih mogoče naknadno ugotavljati izvor klica.

Drugo možnost zlorabe na svojem blogu opisuje Brian Krebs. Napadalci najprej pridobijo dostop do bančnega računa žrtve, nato pa med tem, ko izvajajo bančne transakcije, žrtev zasujejo s klici iz naključno generiranih telefonskih številk. S tem preprečijo, da bi banka, ki zazna sumljive transakcije uspela priklicati svojo stranko ter preveriti veljavnost sumljivih transakcij. Ker so telefonske številke naključno generirane, jih žrtev tudi ne more blokirati. Kot poroča Brian Krebs, je tako storitev na črnem trgu mogoče naročiti za 5 USD na uro oz. za 40 USD na dan.

Znan je tudi primer iz Velike Britanije, kjer so pred kratkim neznani napadalci s pomočjo spremenjene klicne identifikacije izvajali masovno klicanje posameznikov (tudi do 1000 klicev na uro). Napadalci so uporabljali klicne identifikacije obstoječih podjetij ter klicne identifikacije neobstoječih številk (kar je številne klicane osebe prestrašilo), zvezo pa so vzpostavili le do točke, da je klicana številka pozvonila, nato pa prekinili. Domnevno naj bi bil razlog takega početja preverjanje katere telefonske številke sploh obstajajo (tim. pinging), te podatke pa bi napadalci nato lahko prodali marketinškim podjetjem za potrebe nelegalnega oglaševanja.

Kaj pa…?

V nadaljevanju si poglejmo še nekaj podrobnejših pojasnil o sami tehniki spreminjanja klicne identifikacije.

Kaj se zgodi, če pokličemo nazaj?

Kot smo torej videli, je klicanje s spremenjeno klicno identifikacijo povsem mogoče. Kaj pa se zgodi, če klicana oseba pokliče nazaj na to številko (torej na številko, ki jo telefonski aparat pridobi iz spremenjene klicne identifikacije)?

Preprosto – klic se bo zaključil pri pravem lastniku telefonske številke, torej pri osebi, ki je pravi lastnik te telefonske številke. Če številka ne obstaja, bo omrežje seveda javilo, da številka ne obstaja. Prav tako strošek klica s spremenjeno klicno identifikacjo v nobenem ne bremeni pravega lastnika telefonske številke, niti se klicana številka ne zabeleži med njegovimi odhodnimi klici. V primeru, da torej sumimo, da smo žrtev lažne klicne identifikacije, lahko preprosto prekinemo klicno zvezo in pokličemo nazaj – dobili bomo pravega lastnika telefonske številke.

Ali je tak klic mogoče izslediti?

Na kratko: teoretično da, a tudi to ne vedno, v praksi pa zelo težko. Napadalec se namreč z nekaj triki lahko dobro prikrije. Klic je namreč potrebno najprej izslediti do izvornega operaterja, ki je napadalcu omogočil medoperaterski dostop, nato pa še preko interneta do dejanskega napadalca. Sledenje izvornemu operaterju je mogoče izvesti tako, da se pri končnem operaterju (torej operaterju žrtve napada) skuša ugotoviti od kje (od katerega operaterja) je prišel originalen klic.

Posredovanje klicev med operaterji lahko poteka na dva načina. V prvem primeru, npr. neki manjši operater A pri večjem ponudniku telefonije B zakupi nek nabor telefonskih številk, posredovanje klicev pa nato poteka preko tega večjega operaterja. V primeru klica od operaterja A preko B do končnega operaterja C, bi končni operater C videl, da je klic prišel od operaterja B. Preiskovalci bi nato morali iti do operaterja B in pri njem pridobiti podatke od kje so prišli klici iz njegovega omrežja. Pri tem je potrebno vedeti, da ni nujno, da operater B hrani prometne podatke o klicih, ki jih posreduje, saj za te klice hramba prometnih podatkov ni obvezna.

Druga možnost je, da ponudnik telefonije sklene neposredno pogodbo z mednarodnimi ponudniki (tim. agregatorji). V tem primeru končni operater vidi le, da je klic prišel iz tujine, ne pa tudi od katerega konkretnega operaterja. Podatke za sledenje je torej potrebno iskati pri agregatorju. Poleg tega gredo pri kakšnih “sivih” ponudnikih telefonije povezave pogosto preko različnih posredniških operaterjev, zato je sledenje izvora takega klica zelo težavno, če že ne povsem nemogoče. Ponudniki na mednarodnem trgu namreč ponujajo povezave različnih kvalitet in povezave, ki so zelo poceni so navadno preusmerjene preko različnih držav in različnih ponudnikov.

Podatki o klicu pri končnem operaterju izgledajo približno takole (primer izpisa iz Asterisk telefonske centrale):

From: “031xxxxxx” <sip:031xxxxxx@91.xxx.xxx.xxx>;tag=epKK8N443v7Hg
To: <sip:386xxxxxxxx@77.xxx.xxx.xxx:5060>
Call-ID: e34e06b6-b7c7-122f-bf9c-00163e62e8ec
CSeq: 22852192 INVITE
Contact: <sip:mod_sofia@91.xxx.xxx.xxx:5070>
User-Agent: MegaTel
P-Asserted-Identity: “031xxxxxx” <sip:031xxxxxx@91.xxx.xxx.xxx>

V prikazanem primeru med podatki o klicu lahko zasledimo več polj. Kot smo pokazali, je polje From mogoče enostavno ponarediti. Eno izmed polj, ki nam omogoča ugotavljanje prave identitete klicatelja pa je polje P-Asserted-Identity. Gre za polje, ki vsebuje podatek o originalnem klicatelju in na podlagi tega podatka bi bilo mogoče relativno hitro identificirati izvornega operaterja. Vendar pa se je potrebno zavedati, da se ta podatek med posredovanjem klica praviloma ne pošilja končnemu operaterju – uporablja se namreč samo med tim. zaupanja vrednimi omrežnimi vrstniki (ang. trusted peer). Poleg tega ga posredniški operaterji lahko tudi odstranijo ali spremenijo.

Če smo torej uspeli izslediti klic do izvornega operaterja, pa s tem še nismo na cilju. V drugem koraku je namreč potrebno izslediti klicatelja, torej osebo, ki se je preko internetne povezave do izvornega operaterja povezala v telefonsko omrežje. To je mogoče storiti preko denarnih nakazil ali preko IP naslova preko katerega se je napadalec povezal na svojega ponudnika telefonije.

Napadalec se sledenju denarnega nakazila lahko izogne tako, da storitve svojemu ponudniku telefonije ne plača s pomočjo kreditne kartice, pač pa preko poštne nakaznice, PayPala ali celo s pomočjo virtualnega denarja BitCoin. Ali pa preprosto uporabi ukradeno kreditno kartico.

Ostane torej še sledenje na podlagi IP naslova. V našem primeru bi preiskovalci uspeli ugotoviti, da je bila IAX2 povezava vzpostavljena iz IP naslova našega VPN strežnika. Kot smo omenili na začetku, ima lahko VPN strežnik šifrirane diske. Forenzična analiza vsebine strežnika torej ni mogoča, v primeru, da napadalec za VPN povezavo uporablja posredniške strežnike ali anonimizacijsko omrežje Tor, pa tudi ni mogoče izslediti pravega IP naslova napadalca. Napadalec sicer lahko za skrivanje svoje identitete uporablja dodatne trike, kot npr. anonimni zakup lastnega bloka IP naslovov in spreminjanje serijske številke svojega omrežnega vmesnika, o čemer pa morda v kakšnem prihodnjih prispevkov. Prav tako je tudi zakup VPN strežnika mogoče plačati anonimno.

Zaključimo torej lahko, da se napadalec z nekaj znanja in spretnosti lahko dobro prikrije pred preiskovalci in posledično popolnoma anonimno izvaja telefonske klice s spremenjeno klicno identifikacijo. Ostane pa še vprašanje, kateri podatki o takšnih klicih se na podlagi obvezne hrambe prometnih podatkov hranijo v zbirki prometnih podatkov, ki jo za potrebe preiskovanja kaznivih dejanj vzdržujejo operaterji.

Kaj pa obvezna hramba prometnih podatkov?

Vsako komunikacijo lahko delimo na dva dela – vsebino komunikacije in prometne podatke. Pri telefonskem pogovoru je vsebina komunikacije sam zvočni zapis pogovora, prometni podatki (ali dejstva o okoliščinah komunikacije) pa so telefonska številka klicočega, telefonska številka klicanega, čas začetka in konca pogovora, v primeru mobilne telefonije morda še lokacija obeh udeležencev, itd.

Leta 2006 sprejeta Direktiva o obvezni hrambi prometnih podatkov 2006/24/ES od operaterjev zahteva obvezno hrambo prometnih podatkov telefonskih in internetnih komunikacij. V Sloveniji je direktivo implementiral Zakon o elektronskih komunikacijah (ZeKOM) s katero je bila uveljavljena obvezna hramba prometnih podatkov tudi pri nas.

Hramba prometnih podatkov je vsekakor sporna iz stališča človekovih pravic – zlasti zasebnosti – kritiki pa s(m)o opozarjali tudi na pravno spornost tega ukrepa ter na dejstvo, da je ta ukrep razmeroma neučinkovit.

Nemški inštitut Max Planck je namreč v študiji, ki so jo leta 2011 opravili po naročilu nemškega pravosodnega ministrstva ugotovil, da hramba prometnih podatkov ne pripomore k večji preiskanosti kaznivih dejanj, niti nima preventivnih učinkov. Vprašanje je torej ali je obvezna hramba prometnih podatkov smiselna tako iz vidika učinkovitosti boja proti kriminalu kot tudi iz stališča varstva človekovih pravic.

Ker torej mobilni operaterji hranijo prometne podatke svojih strank, sem 27. februarja 2012 Simobil zaprosil za izpis lastnih prometnih podatkov (seznam odhodnih, dohodnih in neuspešnih dohodnih in neuspešnih odhodnih klicev) za obdobje od 13. februarja 2012 do 28. februarja 2012 – torej v času, ko se je izvajalo testiranje klicanja s spremenjeno klicno identifikacijo.

Po ZeKOM-u morajo operaterji komunikacij hraniti naslednje prometne podatke:

• podatke, potrebne za odkritje in prepoznanje vira komunikacije (telefonsko številko kličočega ter ime in naslov naročnika ali registriranega uporabnika);
• podatke, potrebne za prepoznanje cilja komunikacije (klicano telefonsko številko in v primerih, ki vključujejo dodatne storitve, kot je preusmeritev ali predaja klica, številko ali številke, na katere je klic preusmerjen, ime in naslov naročnika ali registriranega uporabnika);
• podatke, potrebne za ugotovitev datuma, časa in trajanja komunikacije (datum ter čas začetka in trajanje ali čas konca komunikacije);
• podatke, potrebne za ugotovitev vrste komunikacije (vrsto uporabljene telefonske storitve);
• podatke, potrebne za razpoznavo komunikacijske opreme uporabnikov (kličočo in klicano telefonsko številko, mednarodno identiteto mobilnega naročnika kličoče in klicane stranke, mednarodno identiteto mobilnega terminala kličoče in klicane stranke, v primeru predplačniških anonimnih storitev pa datum in čas začetka uporabe storitve ter ID celice, kjer je bila storitev izvedena).

Hraniti je potrebno tudi podatke o neuspešnih klicih.

Podatki iz te zbirke so na podlagi 107.č člena ZEKom dostopni preiskovalnim organom na podlagi sodne odredbe. Vendar pa posameznik v skladu s 30. členom Zakona o varstvu osebnih podatkov (ZVOP-1) od upravljavca zbirke osebnih podatkov lahko zahteva izpis svojih lastnih osebnih podatkov. Konec koncev gre pri pravici do vpogleda v lastne osebne podatke tudi za ustavno pravico, saj 38. člen Ustave RS določa, da ima vsakdo pravico seznaniti se z zbranimi osebnimi podatki, ki se nanašajo nanj. Ker 6. člen ZVOP-1 določa, da je osebni podatek katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen, so torej prometni podatki o klicih tudi osebni podatki.

Seveda je pri posredovanju osebnih podatkov potrebno biti pozoren tudi na varstvo pravic tretjih oseb, kar pomeni, da je potrebno poskrbeti za ustrezno anonimizacijo klicočih številk. Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij v 33. členu določa, da lahko države članice od izvajalcev zahtevajo, da ponudijo svojim naročnikom takšno obliko razčlenjenega računa, v katerem je izbrisano določeno število števk klicane številke. Zato slovenski operaterji številke na razčlenjenem računu naročnikom posredujejo na voljo v obliki, ki ne vsebuje prikaza zadnjih treh števk klicanih številk. In po isti logiki lahko operaterji na enak način zabrišejo tudi podatke o klicočih številkah iz zbirke prometnih podatkov, ki jih na podlagi ZVOP-1 posredujejo posameznikom.

Na podlagi zahteve za izpis prometnih podatkov mi je Simobil 8. marca 2012 posredoval izpispodatkov o dohodnih in odhodnih klicih. Na izpisku se nahaja samo seznam klicev, kjer je bila zveza vzpostavljena, saj naj Simobil po ustnem zagotovilu zaposlenih na naročniškem odelku ne bi beležil podatkov o neuspešnih klicih. Pri tem se sicer postavlja vprašanje ali to morda ni v nasprotju s 3. odstavkom 107.a člena ZeKOM, ki določa tudi hranjenje “podatkov o neuspešnih klicih, kjer jih operater ustvari ali obdela ter hrani ali beleži pri zagotavljanju z njimi povezanih javnih komunikacijskih storitev, ne vključuje pa hrambe podatkov o povezavah, ki niso bile uspešno vzpostavljene” (torej o klicih, kjer telefon klicane osebe zvoni, vendar klicana oseba ne sprejme klica).

Kakorkoli že, pri testiranju klicanja s spremenjeno klicno identifikacijo sem 25. februarja 2012 zvečer večkrat zaposredno klical na svoj mobilni telefon s spremenjenimi klicnimi identifikacijamo: 040/111-111, 040/222-222, 040/333-333, 040/444-444, 040/555-555, 040/666-666, 040/777-777, 040/888-888 in 040/999-999. Pri klicih identifikacijo 222-222, 444-444, 666-666 ter 888-888 pa sem tudi vzpostavil zvezo za nekaj sekund.

Izpisek prometnih podatkov iz Simobila.

Iz Simobilovega izpiska se – kljub temu, da so zadnje tri števke klicoče številke zabrisane – jasno vidijo vzpostavljeni klici iz navedenih dohodnih številk v času od 23:41 do 23:46. To torej pomeni, da operater dejansko zabeleži klicno identifikacijo, ki jo nastavimo sami in ne prave klicne identifikacije.

Izpisek seznama dohodnih klicev 25. februarja 2012 zvečer.

Sklep

Če torej zaključimo, smo lahko videli, da klicanje s pomočjo spremenjene klicne identifikacije tehnično in v praksi vsekakor je mogoče, prav tako je mogoče na mobilne telefone pošiljati SMS sporočila s spremenjeno identifikacijo pošiljatelja. Postopek smo preizkusili pri več slovenskih operaterjih fiksne, mobilne in internetne (VoIP) telefonije in postopek vsekakor deluje.

Prikaz prejetih klicev na telefonu v omrežju slovenskega VoIP operaterja. Postopek preverjeno deluje pri več različnih slovenskih operaterjih mobilne, VoIP in fiksne telefonije.

Še več. Kot smo prikazali, je klicanje in pošiljanje SMS sporočil z uporabo spremenjene klicne identifikacije mogoče izvajati povsem anonimno oziroma neizsledljivo, sama izvedba opisanih postopkov pa ni preveč tehnično zahtevna, predvsem pa ne zahteva kakšnih večjih finančnih sredstev.

Kljub temu je potrebno poudariti, da v resnici ne gre za kakšno veliko odkritje. Tehnologija spreminjanja klicne identifikacije je v uporabi že desetletja, seveda za legitimne namene in v razmeroma kontroliranih okoliščinah (ko npr. klicno identiteto nastavi operater za svoje stranke oz. to storitev ponujajo ponudniki telefonije preko interneta).

Tehnologija klicne identifikacije je v tem smislu pravzaprav zelo analogna tehnologiji identifikacije pošiljatelja pri pošiljanju elektronske pošte. Tudi pri pošiljanju elektronske pošte preko SMTP protokola je mogoče poljubno nastavljati poštno identiteto pošiljatelja (tim. from address). Res pa je, da mnogo sodobnih poštnih strežnikov takih sprememb ne dopušča, saj je bila možnost poljubnega nastavljanja identitete pošiljatelja elektronske pošte v preteklosti pogostokrat zlorabljena za pošiljanje nezaželene elektronske pošte (tim. spam). Poleg tega se med spremljevalne podatke elektronskega sporočila zapišejo tudi IP naslovi vseh posredniških poštnih strežnikov, zato je sledenje izvoru elektronskega sporočila nekoliko enostavnejše kot sledenje klicev med centralami.

Kljub temu, da ne gre za kakšno posebno odkritje, pa so posledice možnosti, ki jih omogoča spreminjanje klicne identifikacije lahko zelo resne. Kot smo namreč prikazali, končni operater beleži spremenjeno klicno identifikacijo in to tudi v zbirki prometnih podatkov. Zato se zastavlja povsem legitimno vprašanje: kaj vse skupaj pomeni za kazenski postopek, obvezno hrambo prometnih podatkov in boj proti kriminalu?

Prispevek je bil objavljen tudi na spletišču Slo-Tech.com pod naslovom Spreminjanje klicne identifikacije 101.

Dodatek iz dne 20. marca 2012

Kot kaže je  v članku omenjeni prispevek g. Vinka Gorenaka ni več dostopen na njegovem blogu. Izginulo kopijo besedila na blogu smo sicer našli v Googlovem predpomnilniku (tim. Google cache), objavljamo pa tudi PDF z izginulim besedilom, ki smo ga pridobili iz Googlovega predpomnilnika.

Obvestilo, da spletna stran na vinkogorenak.net ne obstaja.

Kljub temu je bilo besedilo objavljeno na spletni strani mogoče še nekaj časa najti.

Spletna stran je bila še nekaj časa vidna v tim. Google cache-ju.

Povzetek

Pri vprašanju zasebnosti na delovnem mestu gre za trk dveh interesov – interesa delodajalca po gospodarni izrabi delovnega časa in sredstev ter pravice do zasebnosti zaposlenega. Različni pravni sistemi dajejo prednost enkrat enemu, drugič drugemu. V praksi sta se v zvezi s tem izoblikovala predvsem tim. “ameriški” pristop, ki daje prednost delodajalcu in tim. “evropski” pristop, ki daje prednost zaposlenemu. V prispevku sta skozi analizo zakonodaje in odločitev sodišč predstavljena oba pristopa, nekoliko podrobneje pa še ureditev področja zasebnosti na delovnem mestu v slovenski zakonodaji. Za Slovenijo je pomembno zlasti dejstvo, da se je evropska pravna praksa postavila na stališče, da lastninska pravica ne prevlada samodejno nad pravico do zasebnosti, kar pomeni, da je pravico do zasebnosti do določene mere potrebno spoštovati tudi na delovnem mestu. Vprašanje kakšne naj bodo torej omejitve zasebnosti pa je tako povezano tudi z vprašanjem sorazmernosti.

Uvod

Pri vprašanju zasebnosti na delovnem mestu v praksi pogosto naletimo na argumentacijo delodajalcev, češ, zaposleni uporablja opremo podjetja, v službi je plačan za opravljanje svojega dela, kako torej lahko na delovnem mestu pričakuje zasebnost? Če je delodajalec lastnik komunikacijske opreme (telefona, računalnika) in delovnega časa zaposlenega – ali torej nima pravice preveriti ali zaposleni dela, ali pa morda “zapravlja” čas podjetja oziroma morda celo krade poslovne skrivnosti?

Vprašanje je vsekakor na mestu, a odgovor na vprašanje ali zaposleni na delovnem mestu lahko pričakuje spoštovanje zasebnosti, je odvisen predvsem od razumevanja vloge zaposlenega. Pri tem sta se v svetu uveljavila dva pristopa. Prvi, “ameriški” pristop, zaposlenega na delovnem mestu vidi predvsem kot delojemalca, ki uporablja opremo, ki je last delodajalca, v delovnem času je plačan s strani delodajalca in zato službenih komunikacijskih sredstev in službenega časa ne sme “zlorabljati” v zasebne namene. Na drugi strani imamo tim. “evropski” pristop, ki zaposlenega na delovnem mestu ne vidi samo kot delavca, pač pa tudi kot človeško bitje, ki ima kot tak tudi določene (človekove) pravice. Ob vsem skupaj se v primeru nadzora na delovnem mestu postavlja še vprašanje pravic tim. tretjih oseb (z nadzorom komunikacij zaposlenega nadzorujemo tudi komunikacije njegovih zunanjih komunikacijskih partnerjev). Pri vsem skupaj je pomembno tudi vprašanje sorazmernosti (se pravi kolikšen obseg nadzora je sprejemljiv in še opravičljiv oziroma ali zaželenega cilja ni mogoče doseči z blažjimi sredstvi), saj je po eni strani jasno, da ima zaposleni tudi na delovnem mestu interes za čim večjo zasebnostjo, po drugi strani pa je nesporen tudi interes delodajalca po racionalni rabi službenih sredstev in delovnega časa.

Ameriški pristop

Ameriška zakonodaja je koncipirana kot sistem negativnih svoboščin zato je pravica do zasebnosti posameznikov nasproti državi bistveno bolj zavarovana kot nasproti delodajalcem. Zasebnost na delovnem mestu v ZDA v splošnem ni dojeta kot pravica, temveč bolj kot boniteta.

Ameriški delodajalci zato o zaposlenih zbirajo številne podatke, posebej problematično pa je, da pogosto ne zagotavljajo točnosti in zaupnosti podatkov, posameznikom pa pogosto tudi ne omogočijo, da bi napačne podatke lahko popravili. Obseg nadzora na delovnem mestu se v ZDA v zadnjem desetletju precej povečuje, postaja pa tudi čedalje bolj rutinski. Kot je leta 2001 ugotovil Schulman, je razlog za premik nadzorovanja od zgolj nekaj “problematičnih” posameznikov proti nadzoru celotne populacije zaposlenih ta, da je zdaj celotna delovna sila sumljiva, podjetja pa so čedalje bolj zaskrbljena zaradi t. i. ‘internih groženj’ (Schulman, 2001). Z nadzorom se podjetja v ZDA želijo zaščititi tako pred odtekanjem različnih poslovnih skrivnosti kot tudi pred odškodninskimi tožbami zaradi neprimernega ravnanja zaposlenih. Pomemben faktor pri povečevanju nadzora pa predstavlja tudi agresivno trženje nadzornih sistemov s strani proizvajalcev in prodajalcev tovrstne opreme.

Leta 1986 so v ZDA sprejeli Electronic Communication Privacy Act (ECPA; Electronic Communication Privacy Act of 1986, 18 U.S.C. (1986)), ki obravnava prisluškovanje elektronskim komunikacijam. ECPA v prvem poglavju, znanem tudi pod imenom Wiretap Act, prepoveduje prestrezanje elektronskih telekomunikacij, pri čemer je ‘prestrezanje’ definirano kot “zaznavanje izžarevanja [signala] (ang. aural) ali druga pridobitev vsebine žice oziroma elektronske ali ustne komunikacije, ki poteka s pomočjo uporabe kakršnekoli elektronske, mehanične ali druge naprave”. Bistveno pri tem je torej, da je prestrezanje definirano kot dejavnost, ki poteka hkrati s prenosom. Problem sodobne tehnologije – konkretno, nadzora elektronske pošte – pa je, da prestrezanje elektronske pošte ni nujno sočasno. Delodajalec namreč lahko dostopi do strežnika, v katerem je elektronsko sporočilo shranjeno, in s tem zaobide prepoved sočasnega prestrezanja. ECPA namreč v drugem poglavju, znanem pod imenom Stored Communications Act, ki prepoveduje dostop do shranjenih elektronskih sporočil brez soglasja nadzorovane osebe, iz prepovedi eksplicitno izključuje “osebe, ki zagotavljajo (ang. to provide) žično ali elektronsko komunikacijsko storitev”. Tako so iz prepovedi ECPA izvzeti delodajalci, ki imajo v lasti komunikacijsko opremo podjetja (Sinrod, 2004).

ECPA delodajalcem tudi sicer dovoljuje nadzor komunikacij (tudi telefonskih), a le, če zadevajo poslovanje podjetja. V primeru telefonskih pogovorov se tak nadzor v praksi izvaja tako, da lahko delodajalec zakonito nekaj časa posluša pogovor, da ugotovi, ali gre za poslovni ali zasebni pogovor (ACLU, 2003). Če je pri telefonskem pogovoru poslušanje še možno časovno omejiti, pa dostop do elektronske pošte ne more biti delen ali časovno omejen, pač pa delodajalec lahko naenkrat vpogleda v celotno sporočilo. Zato je nadzor elektronske pošte laže upravičiti. Vsekakor pa velja, da lahko kot pogoj za zaposlitev delodajalci zahtevajo soglasje za nadzor v (skoraj) kakršnemkoli obsegu in v tem primeru je nadzor komunikacij zaposlenega povsem zakonit. V nadaljevanju si poglejmo nekaj primerov, ki to ilustrirajo.

Leta 1990 je administratorka elektronskega poštnega sistema podjetja Epson, Alana Shoars ugotovila, da eden izmed direktorjev prebira elektronsko pošto zaposlenih. Temu je nasprotovala, zato so jo odpustili. Shoarsova je vložila tožbo, vendar se je podjetje branilo, da je sistem za elektronsko pošto v njihovi lasti in imajo zato pravico, da ga upravljajo in nadzorujejo, ali se uporablja samo v delovne namene ali ne. Kalifornijsko sodišče je nato 1992 v primeru Shoars proti Epson America Inc. (Shoars v. Epson America Inc., No. (SWC) II2749 (Cal App. Dep’t. Super. Ct. Dec 8, 1992)) presodilo, da ustava ščiti samo informacije, ki so osebne, ne pa tudi poslovnih komunikacij, Shoarsova pa je uporabljala opremo, ki je bila v lasti podjetja (Sykes, 1999: 140). Njena pritožba je bila zavrnjena.

Podobna je bila tudi odločitev v primeru Bonita P. Bourke, et. al. proti Nissan Motor Corporation (Bonita P. Bourke, et. al. v. Nissan Motor Corporation, No. 68-705 (Cal. Ct. App., 1993)), ko je leta 1993 kalifornijsko prizivno sodišče razsodilo, da vpogled v elektronsko sporočilo, ki ga je uslužbenka poslala po omrežju podjetja, ne pomeni neupravičenega vdora v njeno zasebnost, saj je uslužbenka predhodno podpisala izjavo, v kateri se je zavezala, da bo elektronsko pošto uporabljala zgolj v službene namene (Klemenčič, 2003: 137). Podobna je bila tudi razsodba v primeru McLaren proti Microsoft (McLaren v. Microsoft, No. 05-97-00824 (Tex. Ct. App. 28. maj, 1999)) iz leta 1999. V tem primeru je podjetje pregledalo z geslom šifrirano elektronsko pošto zaposlenega, shranjeno v osebnem imeniku ter na podlagi vsebine sporočil zaposlenega (ki je bil obtožen spolnega nadlegovanja) odpustilo. Zaposleni je sprožil sodni spor, a sodišče je v razsodbi dalo prav delodajalcu, in sicer z obrazložitvijo, da je interes delodajalca, da prepreči pošiljanje neprimerne elektronske pošte, nad interesom zaposlenega do zasebnosti (Klemenčič, 2003: 137).

Kaj je neprimerno, pa je pogosto stvar presoje delodajalca. Na to kaže primer zaposlenega v podjetju Pillsbury. Zaposleni Michael Smyth je namreč leta 1994 enemu izmed sodelavcev poslal elektronsko sporočilo, v katerem je zapisal, da so njegovi predpostavljeni “zahrbtne barabe”. Ker so le-ti spremljali komunikacijo svojih zaposlenih, so ga odpustili z obrazložitvijo, da so bili njegovi komentarji neustrezni in neprofesionalni. Smyth se je pritožil na sodišče in trdil, da so mu v podjetju zagotovili zasebnost komunikacij, podjetje pa je trdilo nasprotno. Zvezno sodišče je primer zavrglo (in s tem dalo prav delodajalcu) z obrazložitvijo, da tudi če bi podjetje zaposlenemu res obljubilo tajnost komunikacij, sporno dejanje ne posega v oškodovančevo zasebnost na nepošten način (Sykes, 1999: 141).

Problem nejasne in zastarele zakonodaje pa je postal precej očiten v primeru U. S. proti Councilman (United States of America v. Bradford C. Councilman, No. 03-1383 (1st Cir., June 29, 2004)). Šlo je za primer ponudnika brezplačne elektronske pošte, ki je prestrezal elektronsko pošto svojih uporabnikov (brez njihove vednosti). Podjetje, ki se je sicer ukvarjalo s prodajo rabljenih knjig, je namreč svojim strankam ponudilo brezplačne poštne predale, nato pa prestrezalo elektronsko pošto, ki so jo njihove stranke prejemale od konkurenčne prodajalne knjig, podjetja Amazon. Prestrezanje so izvajali misleč, da je na podlagi ECPA zakonito. S tem je podjetje hotelo ugotoviti katere knjige njihove stranke kupujejo pri konkurenci in po kakšnih cenah, posledično pa si pridobiti tržno prednost. Dejstvo je, da je ECPA precej nejasen in 29. junija 2004 ameriško prizivno sodišče prvega okrožja najprej razsodilo, da je takšno prestrezanje elektronske pošte zakonito. Odločitev je bila nato avgusta 2005 revidirana in okrožno sodišče v Massachusettsu je presodilo, da nadzor elektronske pošte v takih primerih ni dovoljen (EPIC, 2005).

Kot torej vidimo, je nadzor komunikacij zaposlenih v ZDA precej razširjen, zakonodaja pa nadzor na delovnem mestu v veliki meri dovoljuje. Vendar pa je tovrsten nadzor lahko dvorezen. Posledica pretiranega nadzora je pogosto lahko obravnava posameznikov bolj v smislu nekakšnega inventarja in manj kot avtonomnih človeških bitij. Uporaba elektronskih identifikacijskih kartic je zgolj zunanji znak take obravnave, posegi delodajalcev v telesno zasebnost (urinski, krvni in genski testi) pa odpirajo tudi vprašanja človekovega dostojanstva in avtonomije na delovnem mestu. Nekateri avtorji so mnenja, da vohunjenje za elektronsko pošto zaposlenih uničuje občutek skupnosti na delovnem mestu (Whitaker, 1999: 105), to pa verjetno vpliva tudi na lojalnost podjetju. Zato se upravičeno zastavlja vprašanje ali nadzorovanje zaposlenih sploh dosega svoj cilj – preprečevanje odtekanja informacij – in ali se delodajalci problema lojalnosti zaposlenih morda ne lotevajo na napačen način in z napačnimi sredstvi.

Evropski pristop

Povsem drugačen pristop do zasebnosti na delovnem mestu pa velja v Evropi. V zvezi z nadzorom na delovnem mestu sta verjetno najpomembnejši odločitvi Evropskega sodišča za človekove pravice Halford proti Združenemu kraljestvu (Halford v. Velika Britanija, odločba z dne 25. 6. 1997) iz leta 1997 ter Copland proti Združenemu kraljestvu (Copland v. Velika Britanija, odločba z dne 3. 4. 2007), iz leta 2007.

Ga. Halford, uslužbenka policije, je proti svojemu delodajalcu leta 1990 sprožila postopek zaradi diskriminacije na delovnem mestu. V svoji pisarni je imela dva telefona, od katerih je bil eden namenjen za zasebno uporabo, glede uporabe telefonov pa ji niso bile naložene nikakršne omejitve. Halfordova je kasneje ugotovila, da je njen delodajalec nadzoroval telefonske klice iz njenega službenega telefona (pa tudi domačega telefona) in sicer z namenom, da bi zbrali gradivo za svojo obrambo v postopku zaradi diskriminacije. Zadeva je prišla na Evropsko sodišče za človekove pravice, ki je presodilo, da je v tem primeru šlo za kršitev 8. člena Evropske konvencije o človekovih pravicah. V razsodbi je izrecno zapisalo, da zaposleni na delovnem mestu upravičeno pričakuje zasebnost.

Podobna je bila odločitev tudi v primeru Copland proti Združenemu kraljestvu iz leta 2007. V tem primeru je nadrejeni delavke Lynette Copland pregledoval izpiske telefonskih številk, ki jih je klicala med delovnim časom ter sezname spletnih strani, ki jih obiskovala. Nadzor naj bi se vršil z namenom ugotavljanja, ali delavka službena sredstva uporablja za zasebne namene. Da jo nadzorujejo, je ugotovila šele, ko so iz njenega podjetja kontaktirali njeno pastorko ter jo vprašali, zakaj pošilja elektronsko pošto na službeni e-poštni naslov Coplandove. Tudi ta primer je prišel na Evropsko sodišče za človekove pravice, ki je leta 2007 presodilo, da je tudi v tem primeru šlo za kršitev 8. člena Evropske konvencije o človekovih pravicah in da je torej delodajalec neupravičeno posegal v njeno zasebnost.

Evropsko sodišče za človekove pravice je v primeru presodilo, da varstvo zasebnosti velja tako za telefonske komunikacije, kot tudi za elektronsko pošto in uporabo interneta, in da je iz stališča varstva zasebnosti irelevantno ali gre za zasebno ali za službeno komunikacijsko sredstvo. Prav tako so presodili, da kršitev predstavlja že samo zbiranje in obdelava prometnih podatkov in s tem potrdili, da so prometni podatki integralni element komunikacij. Kršitev zasebnosti torej ni “le” vpogled v vsebino komunikacij, pač pa tudi vpogled v prometne podatke. Nadalje so v razsodbi zapisali, da je iz stališča varstva zasebnosti irelevantno ali so bili podatki “zgolj” zbrani, ali pa so bili tudi razkriti tretjim osebam oziroma uporabljeni proti pritožnici. S tem so se postavili na stališče, da je sporen že sam akt posega, ne pa šele morebitni kasnejši pregled oziroma obdelava prestreženih podatkov in komunikacij s strani tretje osebe. Pomemben element sodbe je bilo tudi dejstvo, da delavka ni bila vnaprej opozorjena, kdaj in v kakšnih primerih lahko delodajalec nadzira elektronsko pošto zaposlenih in je zato po mnenju sodišča lahko upravičeno pričakovala zasebnost na svojih službenih komunikacijskih sredstvih.

Evropski pristop k varovanju komunikacijske zasebnosti se kaže tudi v nekaterih drugih primerih. Evropsko sodišče za človekove pravice je leta 1998 v primeru Lambert proti Franciji (Lambert v. Francija, odločba z dne 24. 8. 1998) jasno poudarilo, da glede tajnosti komunikacij ni razlike med lastnim telefonskim priključkom ali telefonskim priključkom tretje osebe, istega leta pa v primeru Kopp proti Švici (Kopp v. Švica, odločba z dne 25. 3. 1998) tudi, da so zaščiteni tudi klici iz poslovnih prostorov ter v poslovne prostore.

Zanimiva je tudi razsodba (in predvsem njena utemeljitev) Kasacijskega sodišča Francije v primeru Societe Nikon France, SA v. Onof št. 99–42.942 iz leta 2001 (Societe Nikon France v. M. Onof, Cass. soc., 2. oktober 2001, Bull Civ. V, No. 291). V tem primeru je namreč delodajalec preiskal računalnik zaposlenega, zaradi suma, da le-ta krši konkurenčno prepoved. V okviru preiskave je delodajalec pregledal in prekopiral dve mapi na računalniku zaposlenega (označeni z imenom “osebno” in “fax”), pri čemer so ugotovili, da je zaposleni uporabljal računalnik za neslužbene namene in kršil konkurenčno prepoved, čeprav je bilo to z notranjimi pravili organizacije prepovedano. Na podlagi tega so ga odpustili.

Zaposleni se je pritožil, in Kasacijsko sodišče Francije je presodilo, da ima delavec tudi med delovnim časom in na delovnem mestu pravico do zasebnosti in tajnosti komunikacij. Pri tem so izrecno zapisali, da:

“delodajalec, ki bere sporočila, ki jih zaposleni pošilja ali sprejema preko službenega računalnika, krši temeljne pravice delavca, kot jih določa 8. člen Evropske konvencije o človekovih pravicah … To velja ne glede na to, ali je bil delavec vnaprej seznanjen, da službenega računalnika ne sme uporabljati v neslužbene namene… Podjetje ali druge ustanove ne smejo biti mesta, kjer bi delodajalci arbitrarno in brez omejitev izvajali svoje diskrecijske pravice; ne smejo postati okolja totalnega nadzora, kjer temeljne človekove pravice nimajo veljave … Menimo, da je splošna popolna prepoved uporabe e-pošte v neslužbene namene nerealna in krši pravno načelo sorazmernosti.” (Klemenčič, 2002: 402.)

Odločitev kaže na to, da – kot ugotavlja Klemenčič – “se domet pravice do komunikacijske zasebnosti ne ustavi zgolj pri zagotavljanju zaupnosti vsebine sporočanja in podatkov, povezanih z njo, ampak hkrati prepoveduje tudi nesorazmerne prepovedi komuniciranja z zunanjim svetom” (Klemenčič, 2002: 395). Dejstvo namreč je, da Priporočilo Sveta Evrope št. R(89) 2 določa, da imajo zaposleni na delovnem mestu pravico do vzpostavljanja osebnih in socialnih stikov. Podobno stališče je zavzelo tudi Evropsko sodišče za človekove pravice v primeru Niemietz proti Nemčiji (Niemietz v. ZR Nemčija, odločba z dne 16. 12. 1992) leta 1992, ko je zapisalo da mora “spoštovanje zasebnega življenja vsebovati tudi določeno stopnjo pravice do vzpostavljanja in razvijanja odnosov z drugimi človeškimi bitji”. Ter: “poleg tega se zdi, da ni načelnega razloga, zakaj bi ta pojem ‘zasebnega življenja’ izključeval profesionalne ali poslovne dejavnosti [posameznika]…”

Podobno stališče glede omejitev nadzora na delovnem mestu je Kasacijsko sodišče Francije zavzelo tudi v primeru Philippe K. v. Cathnet-Science (Philippe K. v. Cathnet-Science, Cour de Cassation, Chambre Sociale, Arret No. 1089 FS-P+B+R+1, Pourvoi No. J-03-40.017, 5/17/05). V primeru je delodajalec na mizi zaposlenega po naključju našel erotične fotografije, zaradi česar so posumili, da ima zaposleni na računalniku shranjene pornografske vsebine. Sledila je preiskava računalnika, na katerem so res našli pornografske vsebine in posledično zaposlenega odpustili. Nižja sodišča so odločitev delodajalca podprla, Kasacijsko sodišče Francije pa je presodilo, da sum prisotnosti pornografije na računalniku ne predstavlja opravičljivega razloga za preiskavo (Cate, 2007).

Vse to kaže na to, da evropska pravna ureditev na delovnem mestu zaposlenemu priznava bistveno širši krog komunikacijske zasebnosti kot ameriška pravna ureditev, hkrati pa tudi prepoveduje pretirano omejevanje komunikacij z drugimi. Glede nadzora komunikacij na delovnem mestu tako velja, da mora biti zaposleni vnaprej seznanjen s pravili delodajalca glede uporabe telefona, elektronske pošte in interneta, hkrati pa si delodajalec ne more privoščiti pretiranega omejevanja pravice do zasebnosti in pravice do komunikacije z zunanjim svetom.

Praviloma tudi velja, da se mora zaposleni z nadzorom strinjati oziroma mora biti nadzor objektivno opravičljiv in sorazmeren. Glede strinjanja velja poudariti, da je zaposleni nasproti delodajalcu seveda v podrejenem položaju, zato mora biti strinjanje prostovoljno in brez prisile. Article 29 Working Party je tako v svojem mnenju Opinion 8/2001 iz septembra 2001 zapisala, da “če zaposleni nima možnosti, da [obdelavo osebnih podatkov] zavrne, to ni soglasje. Soglasje mora biti vedno prostovoljno. Torej mora imeti zaposleni tudi možnost preklicati soglasje brez negativnih posledic” (Article 29 Working Party, 2001).

Po mnenju Article 29 Working Party je obdelava osebnih podatkov zaposlenega objektivno opravičljiva le npr. zaradi izpolnjevanja pogodbenih obveznosti oziroma spoštovanja zakonskih zahtev (npr. obdelava osebnih podatkov o plačah, posredovanje podatkov davčni upravi, itd.), zaradi zasledovanja zakonitih interesov delodajalca, razen, kadar taki interesi ne prevladajo nad temeljnimi pravicami zaposlenega (potrebno je torej najti ravnovesje med interesi delodajalca in zaposlenih) ali npr. zaradi zagotavljanja vitalnih interesov zaposlenega (npr. zagotavljanje varnosti pri delu). Omejevanje pravice do zasebnosti na delovnem mestu je torej mogoče le izjemoma (Article 29 Working Party, 2001).

Velja tudi poudariti, da vse navedeno ne velja le za vsebino komunikacij, pač pa tudi za obravnavo prometnih podatkov (podatkov o klicih oz. prejemnikih sporočil, in vseh drugih podatkov, ki ne predstavljajo vsebine komunikacije). Evropska pravna ureditev namreč prometne podatke obravnava precej drugače kot ameriška pravna ureditev. Vrhovno sodišče ZDA je tako leta 1979 v primeru Smith proti Maryland (Smith v. Maryland, 242 U.S. 735 (1979))presodilo, da prometni podatki o telefonskih pogovorih niso zaščiteni s Četrtim amandmajem ameriške ustave, s čimer so uvedli ločevanje prometnih podatkov od same vsebine komunikacije. Drugačno stališče pa je zavzelo Evropsko sodišče za človekove pravice, ki je v primeru Malone proti Veliki Britaniji leta 1984 presodilo, da so prometni podatki integralni element telefonskih komunikacij in kot taki tudi uživajo pravno varstvo.

Poleg tega pa je potrebno izpostaviti še dejstvo, da nadzor s strani delodajalca lahko predstavlja tudi kršitev interesa tim. tretjih oseb, torej oseb, ki komunicirajo z zaposlenim in morda niti ne vedo, da gre za službeno komunikacijsko sredstvo ter da delodajalec nadzoruje komunikacije zaposlenega, s katerim so v stiku (Klemenčič, 2001: 188–189). Ta problem je zelo očiten pri morebitnem nadzorovanju službenih mobilnih telefonov, kjer je možnosti za razlikovanje med službenim in zasebnim komunikacijskim sredstvom še manj.

Zasebnost na delovnem mestu v Sloveniji

Podoben odnos do zasebnosti na delovnem mestu kot ga ima Evropsko sodišče za človekove pravice, ima tudi slovenska pravna ureditev. Vendar pa ima slovenski pravni red neko specifiko, zaradi katere je komunikacijska zasebnost v Sloveniji še nekoliko bolj zaščitena kot na splošno v Evropi. Ustava RS namreč v 37. členu določa, da “samo zakon lahko predpiše, da se na podlagi odločbe sodišča za določen čas ne upošteva varstvo tajnosti pisem in drugih občil in nedotakljivost človekove zasebnosti, če je to nujno za uvedbo, ali potek kazenskega postopka ali za varnost države.”.

Slovenska ustava torej za posege v komunikacijsko zasebnost zahteva ustrezno zakonsko podlago in predvsem sodno odredbo. Oktobra 2008 je tako Ustavno sodišče v razsodbi Up-106/05 (odločba Ustavnega sodišča RS, št. Up-106/05, Uradni list RS, št. 100/2008) presodilo, da poseg v svobodo komuniciranja ni dovoljen brez predhodnega dovoljenja sodišča. V primeru je sicer šlo za preiskavo zakonito zaseženega mobilnega telefona in SIM kartice v kazenskem postopku brez (dodatne) odredbe sodišča. V razsodbi je Ustavno sodišče poudarilo tudi stališče, da je treba predmet varstva komunikacijske zasebnosti razlagati širše, in sicer tako, da le-ta vključuje tudi prometne podatke, ki so sestavni del komunikacije.

Visoke standarde za posege v zasebnost je Ustavno sodišče postavilo tudi v odločbi Up-472/02 iz oktobra 2004 (odločba Ustavnega sodišča RS, št. Up-472/02, Uradni list RS, št. 114/2004). Šlo je za odločanje v primeru snemanja pogovora s strani zasebnika in uporabi tega posnetka v poznejšem civilnem sodnem postopku. Sodišče je v odločitvi zapisalo:

“Poseg v pravico do zasebnosti bi bil pod določenimi pogoji dopusten, vendar bi morale biti v pravnem postopku za izvedbo dokaza, pridobljenega s kršitvijo pravice do zasebnosti, posebej utemeljene okoliščine. Izvedba takega dokaza bi morala imeti poseben namen za izvrševanje neke ustavno zavarovane pravice. V takem primeru mora sodišče upoštevati načelo sorazmernosti in skrbno prisoditi, kateri pravici je treba dati prednost.”

Po mnenju sodišča namreč:

“Posnetka oziroma tonskega zapisa telefonskega pogovora tudi ni mogoče enačiti z zapiski o pogovoru. Gre namreč za bistveno kakovostno razliko… Kot je bilo že poudarjeno, daje tonski zapis oblast nad tujo osebo oziroma njeno osebno dobrino, ker omogoča ponovitev (vnovično predvajanje). Če je torej to storjeno brez vednosti prizadete osebe, je s tem poseženo v izključno pravico osebe, da sama razpolaga s svojo besedo oziroma z glasom.”

Slovenska sodna praksa se tako praviloma postavlja na stran posameznika, kar kaže tudi odločitev Upravnega sodišča RS, s katero je le-to zaposlenemu priznalo pravico do varstva zasebnosti pri uporabi službenih mobilnih telefonov (Klemenčič, 2003: 137). V razsodbi U702/99 (sodba Upravnega sodišča št. U 702/99 z dne 21. 3. 2000) je Upravno sodišče presodilo, da se varstvo zasebnosti, zagotovljeno v 37. členu Ustave RS, nanaša tudi na službene telefone, pridobitev in uporaba izpiskov telefonskih klicev službenega telefona pa predstavlja kršitev. V obrazložitvi sodbe so zapisali:

“Sodišče je glede na ugovor tožene stranke, da je šlo za službene telefone, ugotovilo, da pojem tajnosti pisem in drugih občil zajema tako zasebne kot tudi službene komunikacije. Zaupnost razmerij, v katere vstopa posameznik, ne more biti uporabljena kot kriterij, ki bi določal obseg zaščite komunikacijske zasebnosti. … Pojem zasebno življenje torej vsebuje tako zasebne kot tudi službene telefonske linije, zaradi česar ni pomembna lastnina ali pripadnost določenega telekomunikacijskega sredstva. To varstvo je dano vsem osebam in ni mogoče slediti navedbi tožene stranke, da to ne velja za tožnike, ki so uporabljali mobilne telefone v lasti tožene stranke. Lastninski koncept zasebnosti, to je pristop z vidika dejstva, čigavo je komunikacijsko sredstvo, ki je bilo nadzirano, ni relevanten. Tudi Ustava RS ne ločuje zasebnosti v zasebni in službeni sferi.”

Glede obsega pravice do zasebnosti na delovnem mestu je sicer jasno, da je odvisen tako od delovnih nalog, ki jih zaposleni opravlja (npr. rokovanje s tajnimi podatki, itd.) in zahtev delovnega mesta (po npr. varovanju poslovnih skrivnosti), za nadzor pa je bistveno, da je transparenten in sorazmeren. Nadzor komunikacij zaposlenega zaradi ugotavljanja ali zaposleni morda ne “zapravlja” časa podjetja za zasebne namene ni ne sorazmeren, ne potreben. Za odpoved pogodbe o zaposlitvi namreč zadostuje že to, da delavec ni opravil dodeljenih nalog. Ali jih ni opravil zaradi pretirane uporabe interneta, elektronske pošte in telefona v neslužbene namena ali pa iz drugih razlogov, pa je ob vsem skupaj povsem irelevantno.

Ob tem določene posege v zasebnost – tudi na delovnem mestu – sankcionira in prepoveduje tako kazenska, kot tudi zakonodaja, ki se nanaša na varstvo osebnih podatkov.

Sklep

Pri vprašanju zasebnosti na delovnem mestu prihaja do trka lastninske pravice delodajalca in pravice do zasebnosti zaposlenega. Evropska pravna praksa se je postavila na stališče, da lastninska pravica ne prevlada samodejno nad pravico do zasebnosti, kar pomeni, da je pravico do zasebnosti potrebno (vsaj do določene mere) spoštovati tudi na delovnem mestu. Seveda pa je jasno, da tudi pravica do zasebnosti ni absolutna in tudi ta ne more prevladati nad lastninsko pravico delodajalca. Pomembni pa so tudi družbeni in psihološki vidiki. Pretiran nadzor namreč lahko omejuje kreativnost, motivacijo in lojalnost zaposlenega, zato na določeni točki lahko postane celo kontraproduktiven.

Ravno zaradi kolizije zgoraj omenjenih pravic pa je jasno, da bo vprašanje zasebnosti na delovnem mestu v prihodnosti sprožalo še številne polemike. Na to nakazuje tudi v začetku leta 2009 na Finskem sprejeta novela zakona o varstvu podatkov in elektronskih komunikacij (novela zakona je znana tudi pod imenom “Lex Nokia”; za sprejem zakona naj bi namreč lobiralo podjetje Nokia, ki pa je to zanikalo), ki delodajalcem v primeru suma kraje poslovnih skrivnosti daje pravico, do vpogleda v prometne podatke službene elektronske pošte zaposlenih (European Digital Rights, 2008). Zakon je že v fazi predloga požel precej kritik, številni pravni strokovnjaki pa so mnenja, da je protiustaven in morda tudi v neskladju z Evropsko konvencijo o človekovih pravicah. Posegi v zasebnost morajo namreč imeti ustrezno zakonsko podlago, hkrati pa morajo biti tudi nujni v demokratični družbi oziroma sorazmerni. In ravno vprašanja sorazmernosti, ter soglasja zaposlenega oziroma prisile delodajalca so tista, ki bodo v prihodnosti zakoličila obseg pravice do zasebnosti na delovnem mestu.

Viri in literatura

1. ACLU. 2003. »Privacy in America: Electronic Monitoring«. <http://www.aclu.org/Privacy/Privacy.cfm?ID=14170&c=132> (Datum dostopa: 19. 4. 2005; povezava ni več dostopna, nova povezava je: <http://www.aclu.org/technology-and-liberty/privacy-america-electronic-monitoring>).
2. Bogataj, Maja (ur.). 2003. Internet in pravo. Ljubljana: Pravna fakulteta.
3. Cate, H. Fred. 2007. »European Court of Human Rights Expands Privacy Protections: Copland v. United Kingdom«. ASIL Insights, Volume 11, Issue 21, 6. avgust 6 2007. <http://www.asil.org/insights070806.cfm>. (Datum dostopa: 28. 10. 2009).
4. EPIC. 2005. »United States v. Councilman«. <http://epic.org/privacy/councilman/>. (Datum dostopa: 1. 10. 2009).
5. European Digital Rights. 2008. Snooping law, “Lex Nokia”, proceeding slowly but surely in Finland. EDRi-gram, št. 6.24, 17. december 2008. <http://www.edri.org/edri-gram/number6.24/nokia-law-finland-snooping>. (Datum dostopa: 20. oktober 2009).
6. Klemenčič, Goran. 2001. »Varstvo elektronske zasebnosti«. V Potrč, Matjaž (ur.). 2001. Internet in pravo, str. 129–191. Ljubljana: Pasadena.
7. Klemenčič, Goran. 2002. »37. člen (varstvo tajnosti pisem in drugih občil)«. V Šturm, Lovro (ur.). 2002. Komentar ustave republike Slovenije, str. 391–408. Ljubljana: Fakulteta za podiplomske državne in evropske študije.
8. Klemenčič, Goran. 2003. »Internet in pravica do zasebnosti«. V Bogataj, Maja (ur.). 2003. Internet in pravo, str. 101–141. Ljubljana: Pravna fakulteta.
9. Potrč, Matjaž (ur.). 2001. Internet in pravo. Ljubljana: Pasadena.
10. Schulman, Andrew. 2001. »The Extent of Systematic Monitoring of Employee E-mail and Internet Use«. <http://www.sonic.net/~undoc/extent.htm>. (Datum dostopa: 17. 1. 2004).
11. Sinrod, J. Eric. 2004. »E-Legal: Employer Access to Employee E-Mails«. Law.com, 27. januar 2004. <http://www.law.com/jsp/article.jsp?id=900005537772>. (Datum dostopa: 11. 6. 2004; povezava je plačljiva).
12. Sykes, J. Charles. 1999. The End Of Privacy. New York: St. Martin’s Press.
13. Šturm, Lovro (ur.). 2002. Komentar ustave republike Slovenije. Ljubljana: Fakulteta za podiplomske državne in evropske študije.
14. Whitaker, Reg. 1999. The End of Privacy. New York: The New Press.

Pravni dokumenti ZDA

1. 4. amandma, Listina svoboščin (Bill of Rights), 1791.
2. Electronic Communication Privacy Act of 1986, 18 U.S.C. (1986).
3. Bonita P. Bourke, et. al. v. Nissan Motor Corporation, No. 68-705 (Cal.Ct.App.1993).
4. McLaren v. Microsoft, No. 05-97-00824 (Tex. Ct. App. 28. maj, 1999).
5. Smith v. Maryland, 242 U.S. 735 (1979).
6. Shoars v. Epson America Inc., No. (SWC) II2749 (Cal App. Dep’t. Super. Ct. Dec 8, 1992).
7. United States of America v. Bradford C. Councilman, No. 03-1383 (1st Cir., June 29, 2004).

Odločitve Evropskega sodišča za človekove pravice

1. Copland v. Velika Britanija, odločba z dne 3. 4. 2007.
2. Halford v. Velika Britanija, odločba z dne 25. 6. 1997.
3. Kopp v. Švica, odločba z dne 25. 3. 1998.
4. Lambert v. Francija, odločba z dne 24. 8. 1998.
5. Malone v. Velika Britanija, odločba z dne 02. 08. 1984.
6. Niemietz v. ZR Nemčija, odločba z dne 16. 12. 1992.

Odločitve Kasacijskega sodišča Francije

1. Philippe K. v. Cathnet-Science, Cour de Cassation, Chambre Sociale, Arret No. 1089 FS-P+B+R+1, Pourvoi No. J-03-40.017, 5/17/05.
2. Societe Nikon France v. M. Onof, Cass. soc., 2. oktober 2001, Bull Civ. V, No. 291.

Dokumenti Sveta Evrope

1. Svet Evrope. 1950. Evropska konvencija o varstvu človekovih pravic in temeljnih svoboščin, spremenjena s protokoli št. 3, 5 in 8 ter dopolnjena s protokolom št. 2, ter njeni protokoli št. 1, 4, 6, 7, 9, 10 in 11 (Convention on Human Rights and Fundamental Freedoms as amended by Protocols Nos. 3, 5 and 8 and amended by Protocol No. 2 and its Protocols Nos. 1, 4, 6, 7, 9, 10 and 11), sprejel jo je Svet Evrope leta 1950. Uradni list RS, št. 33/1994, “Mednarodne pogodbe”, št. 7/1994, 13. 6. 1994. Konvencijo je državni zbor Republike Slovenije ratificiral 13. 6. 1994. Veljati je začela dne 28. 6. 1994.
2. Svet ministrov Sveta Evrope. 1989. Priporočilo Sveta Evrope št. R(89) 2 o varstvu osebnih podatkov, uporabljanih za zaposlovanje (Recommendation No. R (89) 2 on the protection of personal data used for employment purposes), sprejeto 18 januarja 1989.

Dokumenti EU

1. Article 29 Working Party on Data Protection. 2001. Opinion 8/2001 on the processing of personal data in the employment context, iz dne 13. septembra 2001. <http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2001/wp48en.pdf>. (Datum dostopa: 28. 10. 2009; povezava ni več dostopna, vsebina je dostopna na <http://www.garanteprivacy.it/garante/document?ID=1365969>).

Slovenski pravni dokumenti

1. Ustava Republike Slovenije, Uradni list RS, št. 33/91-I, 42/97, 66/2000, 24/03, 69/04 in 68/06.
2. Sodba Upravnega sodišča št. U 702/99 z dne 21. 3. 2000.
3. Odločba Ustavnega sodišča RS, št. Up-472/02, Uradni list RS, št. 114/2004.
4. Odločba Ustavnega sodišča RS, št. Up-106/05, Uradni list RS, št. 100/2008.

Primer se je začel aprila 2007, ko je državljan Don Bubolz na podlagi zakonodaje o dostopu do informacij javnega značaja želel pridobiti izpis elektronskih sporočil pet učiteljev, ki so bila zasebne narave, a poslana iz službenega računalnika. Šola je najprej presodila, da gre za informacijo javnega značaja, saj so bila sporočila poslana s službenih (torej državnih) računalnikov, vendar so se učitelji na to odločitev pritožili.

Na prvi stopnji so pritožbo sicer izgubili, vendar je nato Vrhovno sodišče ameriške zvezne države Wisconsin presodilo, da mora biti delovanje javne oblasti sicer odprto, vendar pa vsebina zasebnih sporočil vladnih uslužbencev ni stvar javnosti.

Sodišče je kljub temu v določenih primerih dopustilo možnost razkritja zasebnih elektronskih sporočil vladnih uslužbencev poslanih iz računalnikov na delovnem mestu, na primer v primeru, da bi vsebovala dokaze o disciplinskih prekrških ali zlorabi javnih sredstev, tako kot  je bilo to v primeru City of Ontario v. Quon. o katerem je pred kratkim presojalo Vrhovno sodišče ZDA.

Ker je Quon večkrat prekoračil mesečne stroške za uporabo službenega pagerja, je njegov delodajalec pridobil prepis njegovih tekstovnih sporočil (iz službenega pagerja). Izkazalo se je, da so bila sporočila v veliki meri zasebne narave ter zelo seksualno eksplicitna. Maja 2003 je zato Quon skupaj s še tremi policisti na okrožno sodišče v Kaliforniji vložil tožbo zaradi kršitve pravice do zasebnosti, ki pa ni razsodilo njim v prid. Sledila je pritožba na prizivno sodišče, ki je 18. junija 2009 presodilo, da je v tem primeru šlo za kršitev pravice do zasebnosti v zvezni in kalifornijski ustavi.

Sledila je pritožba na Vrhovno sodišče ZDA, ki je ugotavljalo ali pripadnik posebne enote policije upravičeno pričakuje zasebnost na tekstovnih sporočilih, ki jih pošilja preko službenega pagerja ter ali enako velja tudi za posameznike, ki pripadnikom posebne enote policije na službene pagerje pošiljajo svoja sporočila.

17. junija letos je Vrhovno sodišče objavilo svojo odločitev (primer City of Ontario v. Quon, docket number 08-1332), in sicer da pregled takšnih sporočil ne predstavlja neupravičenega posega v zasebnost v skladu s Četrtim amandmajem ameriške ustave. Po mnenju sodišča je bila preiskava povezana z delom oziroma s sumom kršitve delovnih obveznosti, hkrati pa je bila upravičena in ni bila preveč invazivna, zaradi česar ne predstavlja kršitve Četrtega amandmaja ameriške ustave.

Odločitev je na nek način pričakovana, saj se je Vrhovno sodišče ZDA v odločitvi leta 1987 (primer O’Connor v. Ortega, 480 U.S. 709 (1987)) postavilo na stališče, da zaposleni na delovnem mestu sicer lahko pričakuje zasebnost, vendar je potrebno to pričakovanje uravnotežiti z interesom delodajalca glede nadzora nad delom zaposlenega. V primeru Ortega je Vrhovno sodišče ZDA presodilo, da je preiskava vladnega uslužbenca s strani delodajalca upravičena, če je opravljena v povezavi z njegovim delom in ni pretirano vsiljiva.

Naj še dodamo, da je področje komunikacijske zasebnosti na delovnem mestu v Evropi bistveno drugačno urejeno kot v ZDA.

I.2.3 Poglavitne rešitve

Po predlogu zakona se izmed storitev, ki jih je prepovedano opravljati za osebe, ki nimajo koncesije Vlade RS za prirejanje iger na srečo, črta »omogočanje dostopa do spletnih strani oziroma drugih telekomunikacijskih povezav, preko katerih se je mogoče udeležiti spletnih iger na srečo«, ker iz besedila ni povsem jasno, da se nanaša le na tiste ponudnike storitev informacijske družbe, ki opravljajo storitve (storitev je naročeno delo, ki se opravi za koga, navadno za plačilo), torej so v pogodbenem odnosu z osebami, ki prirejajo igre na srečo brez koncesije Vlade RS.

Po predlogu zakona sme le sodišče ponudniku storitev informacijske družbe odrediti omejitev dostopa do spletnih strani, preko katerih se prirejajo igre na srečo brez koncesije Vlade RS. S tem je zagotovljena pravna varnost ponudnikov storitev informacijske družbe in upoštevano načelo sorazmernosti. Predlog sodišču lahko posreduje tudi pristojni nadzorni organ. Takšna ureditev je povzeta po Zakonu o elektronskem poslovanju na trgu (Uradni list RS, št. 96/09 – uradno prečiščeno besedilo), ki sicer dejavnost iger na srečo izključuje iz uporabe zakona.

Tak razvoj je seveda pozitiven, sploh ker se bo zakon spremenil brez skrajnih mehanizmov, kot so ustavna presoja ali referendum. Ne gre pa pozabiti, da je še pred nedavnim Urad RS za nadzor nad prirejanjem iger na srečo (Unpis) vseeno izdal več odločb slovenskim ponudnikom za blokado spletnih mest. Slovenski ponudniki so odreagirali s skupno izjavo za javnost, pritožbami in pozivom k odpravi odločb. Direktor Unpisa, Boris Kovačič je ob tem za Finance izjavil:

Verjamem, da smo (ponudnike interneta, op. a.) jih z ukrepom presenetili. Očitno na to niso bili pripravljeni. Toda njihovo dejanje pomeni, da podpirajo kaznivo dejanje. Drugega ne morem reči, zato jim bomo izdali plačilne naloge oziroma druge ustrezne ukrepe.

• Boris Kovačič, direktor Unpisa v članku “Unpis: Če ne bodo ubogali, jih bomo pa kaznovali“, Finance, 6. 4. 2010

Konec dober, vse dobro?

Nemško ustavno sodišče je tako odločilo na podlagi pritožbe več kot 34.000 nemških državljanov (med drugim tudi pravosodne ministrice Sabine Leutheusser-Schnarrenberger), združenih v civilno iniciativo z imenom Delovna skupina o hrambi prometnih podatkov.

Hramba prometnih podatkov v Evropski uniji

Kot je znano, je vsaka komunikacija sestavljena iz dveh delov. Prvi del predstavlja vsebina komunikacije (telefonski pogovor, besedilo e-pošte,…), drugi del pa predstavljajo prometni podatki. Pri telefonskem pogovoru je tako vsebina komunikacije pogovor oziroma vsebina pogovora (poseg v vsebino komunikacije pa prisluškovanje), prometni podatki (ali dejstva o okoliščinah komunikacije) pa so telefonska številka klicočega, telefonska številka klicanega, čas začetka in konca pogovora, v primeru mobilne telefonije še lokacija obeh udeležencev, itd.

Jasno seveda je, da so vsebina komunikacije in prometni podatki povezani. Na vprašanje kakšna oz. kako “neločljiva” pa je ta povezava, pa ni enotnega odgovora. Leta 1984 je Evropsko sodišče za človekove pravice v primeru Malone proti Veliki Britaniji (Malone v. Velika Britanija, odločba z dne 02. 08. 1984) presodilo, da so prometni podatki integralni element komunikacij (zapisali so: “The records of metering contain information, in particular the numbers dialled, which is an integral element in the communications made by telephone.“), kar pomeni, da bi morali uživati enako stopnjo varstva kot sama vsebina komunikacije oz. naj bi za njihovo beleženje obstajal enak dokazni standard kot za prisluškovanje. A po drugi strani je Vrhovno sodišče ZDA leta 1979 v primeru Smith proti Maryland (Smith v. Maryland, 242 U.S. 735 (1979)) presodilo, da prometni podatki o telefonskih pogovorih niso zaščiteni s Četrtim amandmajem ameriške ustave (ki opredeljuje pravico do zasebnosti), s čimer so uvedli ločevanje prometnih podatkov od same vsebine komunikacije.

V to drugo smer se nagiba tudi evropska Direktivo o obvezni hrambi prometnih podatkov 2006/24/ES, ki zahteva obvezno hrambo prometnih podatkov telefonskih in internetnih komunikacij (vključno z naslovi elektronske pošte) ter podatkov o lokacijah mobilnih telefonov za obdobje od 6 do 24 mesecev, v nekaterih primerih pa tudi več. Problem direktive je sicer tudi v tem, da ne omejuje za katera kazniva dejanja je mogoče shranjene podatke uporabiti (to je stvar nacionalnih zakonodaj), na splošno pa se tudi postavlja načelno vprašanje beleženja prometnih podatkov oseb, ki niso ničesar osumljene ob dejstvu, da je mogoče te podatke kdaj kasneje uporabiti v postopku proti njim.

Že ob sprejetju direktive s(m)o bili kritiki mnenja, da je tak ukrep nesorazmeren in da je vprašanje ali je res nujno potreben v demokratični družbi. Ukrep vsekakor posega v pravico do zasebnosti, morda pa tudi v domnevo nedolžnosti. Problem neselektivnega shranjevanja prometnih podatkov je namreč ravno kriminalizacija celotne populacije – direktiva namreč ne zahteva zbiranja podatkov o posameznikih, ki so česa osumljeni, pač pa zahteva zbiranje podatkov o vseh. Zanimivo je tudi, da je raziskava, ki so jo opravili pri znanem nemškem inštitutu za raziskovanje javnega mnenja Forsa konec maja 2008 pokazala, da obvezna hramba prometnih podatkov ima vpliv na vedenje posameznikov, saj so ljudje zaradi obvezne hrambe prometnih podatkov spremenili svoje telekomunikacijske navade. Zastavlja se tudi vprašanje povezano z zbiranjem lokacijskih podatkov pri mobilni telefoniji. Glede na to, da ima danes praktično vsakdo vedno s seboj mobilni telefon, mobilni operaterji pa v okviru zbiranja prometnih podatkov beležijo tudi lokacije mobilnih uporabnikov (na ravni baznih postaj), se lahko zastavlja tudi vprašanje ali takšna oblika nadzora morda ne posega tudi v svobodo zbiranja (v Ustavi RS je zagotovljena v 42. členu) in ali tim. lokacijska zasebnost morda ne bi zahtevala enakega pravnega varstva kot vsebina komunikacije.

Direktiva pa je vsekakor odprla tudi vprašanje, kako daleč gredo še lahko posegi v zasebnost v imenu varnosti, in vprašamo se lahko ali nas nekoč v prihodnosti ne čaka tudi ukrep, ki bo zahteval obvezno shranjevanje prisluhov (vsebine) telefonskih pogovorov, katere bo operater telekomunikacij dolžan varno shraniti in državnim organom nato posredovati na podlagi sodne odredbe. Vprašanje se bo morda komu zdelo pretirano, dejstvo pa je, da je že s samo analizo zgolj prometnih podatkov s tehnikami podatkovnega rudarjenja (tim. data mining) že danes mogoče odkriti marsikaj o posameznikih. Maja 2008 je tako direktor britanskega podjetja ThorpeGlen za ISS Webinar pripravil predstavitev o zmogljivostih njihove programske opreme, ki na podlagi analize prometnih podatkov lahko razkrije ožje socialno omrežje uporabnika mobilnega telefona, razkrije vse (tudi posredne) povezave med dvema uporabnikoma mobilnega telefona, ter identificira osebe, ki se nadzoru skušajo izogniti z menjavo SIM kartic in mobilnih telefonov. Prikaz temelji na analizi enotedenskega zbiranja prometnih podatkov 50 milijonov uporabnikov mobilne telefonije v Indoneziji.

Analiza prometnih podatkov z metodami podatkovnega rudarjenja. Vir in avtorstvo: Vincent Barry, 2008 (Identification of Nomadic Targets)

Prvi poskusi v smeri beleženja prometnih podatkov v Evropi sicer segajo v leto 1996, ko je bila v evropskem uradnem listu objavljena Resolucija o zakonitem prestrezanju telekomunikacij (ang. Resolution on the Lawful Interception of Communications), ki je določila nabor prometnih podatkov, ki jih morajo beležiti telekomunikacijska podjetja v primeru sodne odredbe. Leta 2002 je nato Direktiva o zasebnosti in elektronskih komunikacijah (Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector) v 15. členu državam članicam že omogočila hranjenje prometnih podatkov za določen čas, kasneje pa je direktiva 2006/24/ES hrambo prometnih podatkov naredila obvezno.

Odpor proti obvezni hrambi prometnih podatkov po Evropi

Sprejem direktive je po Evropi sprožil kar nekaj protestov različnih nevladnih organizacij. Protesti pa se niso omejili samo na različne aktivnosti civilne družbe, pač pa je bilo v zvezi s tem sproženih tudi nekaj pravnih postopkov. Določila o obvezni hrambi prometnih podatkov so bila najprej razveljavljena v Bolgariji 11. decembra 2008, kjer jih je razveljavilo bolgarsko Vrhovno sodišče. Odločitev je bila sicer sprejeta zaradi tega, ker je bolgarska zakonodaja o obvezni hrambi prometnih podatkov pravila za dostop do zbranih podatkov precej “poenostavila” – zaradi večje učinkovitosti boja proti terorizmu in kriminalu so bili namreč podatki o klicih in uporabi interneta dostopni uslužbencem ministrstva za notranje zadeve, tajnih služb in ostalih represivnih organov kar brez “nepotrebnih” omejitev kot je npr. sodna odredba.

Podobno odločitev je oktobra 2009 sprejelo tudi romunsko Ustavno sodišče (na voljo je tudi prevod odločitve v angleščino). Leta 2006 je irska vlada pred Sodiščem Evropske skupnosti sicer sprožila postopek proti direktivi o obvezni hrambi prometnih podatkov, vendar februarja 2009 Sodišče Evropske skupnosti direktive ni razveljavilo. Je pa kasneje irska nevladna organizacija Digital Rights Ireland proti obvezni hrambi prometnih sprožila postopek pred irskim ustavnim sodiščem.

Najbolj množična akcija proti obvezni hrambi prometnih podatkov pa je potekala v Nemčiji, kjer je postopek pred ustavnim sodiščem sprožilo kar 34.000 pobudnikov. Prvo zmago so dosegli 27. februarja 2009, ko je nemško administrativno sodišče v Wiesbadnu ocenilo, da je ukrep obvezne hrambe prometnih podatkov nesorazmeren, predstavlja kršitev pravice do zasebnosti, ta ukrep pa v demokratični družbi tudi ni nujen (odločitev 6 K 1045/08.WI), odločanje o zadevi pa je preneslo na višje (zvezno ustavno) sodišče.

Odločitev nemškega zveznega ustavnega sodišča

Kot rečeno je nemško zvezno ustavno sodišče nato 2. marca letos nemški zakon o obvezni hrambi prometnih podatkov zaradi kršitve pravice do zasebnosti razglasilo za ničnega, hkrati pa tudi odredilo, da je potrebno vse shranjene prometne podatke nemudoma izbrisati.

Po mnenju nemškega zveznega ustavnega sodišča (BVerfG, 1 BvR 256/08 vom 2.3.2010, Absatz-Nr. (1 – 345))namreč nemški zakon o obvezni hrambi prometnih podatkov ne vsebuje ustreznih mehanizmov za preprečevanje neupravičenih posegov v zasebnost in je v neskladju tako z nemško ustavo, kot tudi z 8. in 10. členom Evropske konvencije o človekovih pravicah, ki zagotavljata pravico do zasebnosti in svobodo izražanja. Pomenljiva pa je tudi izjava predsednika nemškega ustavnega sodišča, Hansa-Jürgena Papierja, ki je dejal, da bi hramba prometnih podatkov lahko “povzročila nevarno razširjenost občutka, da so [posamezniki] pod stalnim nadzorom, kar lahko zmanjša nepristransko zaznavanje posameznikovih osnovnih pravic na številnih področjih“.

Kljub temu pa po mnenju sodišča obvezna hramba prometnih podatkov sama po sebi ni neustavna. Problematična je le trenutna zakonodajna implementacija evropske Direktive o obvezni hrambi prometnih podatkov 2006/24/ES. Tako bi po mnenju sodišča morala biti uporaba shranjenih prometnih podatkov omejena le na zločine, ki neposredno ogrožajo življenje ali telo posameznikov ter zločine, ki predstavljajo neposredno nevarnost za varnost države, po mnenju sodišča pa podatkov ne bi smeli uporabljati v “splošne” varnostno-obveščevalne namene. Podatki bi morali biti shranjeni decentralizirano, hranjeni pa bi morali biti na način, ki bi zagotavljal najvišjo možno stopnjo varovanja (tudi z uporabo šifriranja). Nadzor nad izvajanjem zakona bi moral imeti nemški informacijski pooblaščenec, ukrep obvezne hrambe prometnih podatkov pa se ne bi smel izvajati nad tim. posebnimi skupinami posameznikov, kot so npr. duhovniki, zdravniki, odvetniki in tudi novinarji. Ob tem je zanimivo, da je na irskem policija konec februarja s pomočjo shranjenih prometnih podatkov o telefonskih klicih skušala razkriti anonimni vir enega izmed novinarjev Sunday Tribune, kar jasno kaže, da pomisleki nemškega zveznega ustavnega sodišča nikakor niso neosnovani.

Celotna sodba se sicer nahaja na spletni strani nemškega zveznega ustavnega sodišča.

Prihodnost obvezne hrambe prometnih podatkov v EU?

Tako kot je sama uvedba obvezne hrambe prometnih podatkov povzročila številne burne odzive po vsej Evropi, imam močan odmev tudi omenjena odločitev nemškega zveznega ustavnega sodišča. Po mnenju nekaterih nemških poslancev omenjena odločitev predstavlja zaušnico vladi, notranji minister Thomas de Maiziere pa je izjavil, da “bi bilo sodbo ustavnega sodišča neprimerno kritizirati, vendar pa moram reči, da mi [razsodba] ne vliva zadovoljstva“, hkrati pa napovedal čim hitrejše sprejetje nove zakonodaje o obvezni hrambi prometnih podatkov.

Njegova kolegica, pravosodna ministrica Sabine Leutheusser-Schnarrenberger pa je po drugi strani mnenja, da s sprejemom takšne zakonodaje ne gre preveč hiteti. Hkrati je Delovna skupina o hrambi prometnih podatkov že pričela s kampanjo, s katero bi idejo o obvezni hrambi prometnih podatkov tudi politično pokopali. Čedalje glasnejše pa so tudi zahteve, da mora država državljane zaščititi ne samo pred nadzorom s strani represivnih organov, pač pa tudi pred zasebnimi podjetji, ki zbirajo številne osebne podatke o uporabnikih telekomunikacij. Neposredno po odločitvi nemškega ustavnega sodišča je Viviane Reding, evropska komisarka za pravosodje, že napovedala evalvacijo vse protiteroristične zakonodaje Evropske unije, zlasti iz vidika sorazmernosti in nujnosti.

Kljub vsemu opustitve zbiranja in hrambe prometnih podatkov ne gre pričakovati, saj gre konec koncev za ukrep, s katerim je mogoče razmeroma enostavno preiskovati nekatere oblike kriminala, pa tudi nemško zvezno ustavno sodišče ni presodilo, da bi bila hramba prometnih podatkov sama po sebi v nasprotju z nemško ustavo. Zlasti to velja za področje telefonskih komunikacij. Na internetu je situacija bistveno drugačna – skrivanje identitete in s tem “ponarejanje” prometnih podatkov je bistveno bolj enostavno, te postopke pa naprednejši uporabniki interneta ali kriminalne združbe z nekaj več tehničnega znanja že danes dobro obvladajo. Hramba prometnih podatkov na internetu zato skoraj gotovo ne bo imela bistvenih pozitivnih učinkov pri preiskovanju kriminala, bo pa po drugi strani naredila zelo transparentne navadne uporabnike interneta.

Slovenija je sicer pred kratkim sprejela novelo Zakona o elektronskih komunikacijah, ki je hrambo prometnih podatkov na področju telefonije skrajšala na 14 mesecev, hrambo internetnih prometnih podatkov pa na 8 mesecev (pred tem je bil v Sloveniji rok hrambe maksimalen – 24 mesecev). Nemčija je imela že v osnovi uveljavljen 6 mesečni rok hrambe.

Šola in Pensilvanije, ki je članica združenja šol Lower Merion School District je namreč lansko leto svojim učencem razdelila 2300 Applovih prenosnih računalnikov, ki naj bi jim pomagali pri učenju. Uporaba šolskih računalnikov je bila obvezna, učenci niso smeli uporabljati svojih računalnikov (če so v šoli uporabljali svoje računalnike so jim jih zasegli), šolski računalniki pa so bili za učence zaklenjeni (ni bilo mogoče nameščati ali odstranjevati programske opreme). Učencem, ki bi zaščito na računalnikih odstranili (tim. jailbreaking; gre za postopek s katerim je računalnik mogoče “odkleniti” in na njem nameščati ter poganjati poljubne programe), je grozil izpis iz šole. Težava pa je bila v tem, da je šola na vse prenosne računalnike namestila programsko opremo za oddaljeni nadzor.

Upravitelji šolskega informacijskega sistema so namreč na prenosne računalnike dijakov namestili programsko opremo za oddaljeno upravljanje z računalniki in oddaljeni nadzor LANRev. S pomočjo programa so šolski delavci lahko oddaljeno upravljali z računalnikom (npr. nameščali ali odstranjevali programe, odpravljali napake, itd.), program pa je omogočal tudi oddaljeni nadzor (preko omrežja oz. interneta). Tako so upravitelji šolskega informacijskega sistem lahko pregledovali vsebino namizja (zaslona) računalnika, program pa je omogočal tudi vklapljanje vgrajene spletne kamere in s tem prikrito opazovanje dijakov. Nadzor nad dijaki so izvajali tako v času pouka, kot tudi pri dijakih doma. Šola je sicer kot uradni razlog navedla, da nadzor med drugim izvajajo tudi zato, da bi v primeru kraje prenosnika lahko izsledili tatu, vendar o možnosti snemanja z vgrajeno videokamero dijakov in njihovih staršev niso obvestili. Nadzorni program je namreč upraviteljem omogočal, da so v primeru kraje prenosnika odkrili njegov IP naslov ter preko vgrajene spletne kamere zajeli sliko in tako posneli morebitnega tatu (zmožnosti programa v videoprispevku opisuje Mike Perbix iz Lower Meriton School District; njegova izjava se nahaja od 7:46 dalje).

Prikriti videonadzor s programom LANRev, levo posnetek namizja, desno slika iz vgrajene kamere.

Nekateri dijaki so sicer opazili, da se kamera na računalniku občasno vklaplja (lučka pri kameri je za kratek čas posvetila), vendar so jim na šoli vedno odgovorili, da gre za napako. Nekateri tehnično bolj podkovani dijaki so sicer kamere prelepili s črnim trakom, večina pa niti ni ugotovila za kaj bi pravzaprav lahko šlo, saj se z vgrajeno programsko opremo ni dalo ugotoviti kaj se dogaja.

Vendar pa ni šlo za napako, pač pa za sistematično vohunjenje nad učenci, čeprav šola trdi, da so omenjeni videonadzor uporabili samo 42-krat. Kot na svojem blogu opisuje Aaron Rhodes, je bilo delovanje nadzornega programja prikrito, klub temu pa je s pomočjo digitalno forenzične analize uspel ugotoviti kaj vse se je s programom dalo početi, odkril pa je tudi postopek s katerim je mogoče ugotoviti ali je na računalniku nameščen nadzorni program LANRev (s pomočjo tim. skeniranja IP naslova ciljnega računalnika z orodjem Nmap; Rhodes je odkril omrežni prstni odtis programa LANRev, ki ga že vključil v bazo omrežnih prstnih odtisov Nmap-a).

Vmesnik za oddaljeni nadzor računalnikov.

Vsekakor gre za hud poseg v zasebnost dijakov, zato so Robbins oziroma njegovi starši proti šoli sredi februarja letos že vložili tožbo (primer Blake J. Robbins v. Lower Merion School District). Konec februarja je nato zvezno sodišče šolam iz Lower Meriton School District v Pensilvaniji naložilo, da morajo takoj prenehati z videonadzorom učencev preko prenosnih računalnikov, prav tako pa do začetka sodnega postopka ne smejo uničiti nobenih datotek oziroma digitalnih dokazov o svojem početju. Prenosnik Robbinsa bo digitalno forenzično pregledan. Šola zdaj sicer zanika, da bi videonadzor preko spletnih kamer na prenosnikih uporabljala za namene disciplinskih postopkov proti dijakom.

Podjetje Absolute Software, ki proizvaja nadzorni program LANRev, je medtem že napovedalo, da bodo funkcijo nadzora preko spletne kamere onemogočili. Podjetje sicer proizvaja in trži tudi znani program za odkrivanje lokacije (s pomočjo IP naslova) ukradenih prenosnikov LoJack for laptops. Program v določenih časovnih intervalih sporoči svoje podatke in IP naslov v nadzorni center podjetja Absolute Software in v primeru kraje je nato lokacijo prenosnika s pomočjo teh podatkov mogoče izslediti. Program LoJack vsebuje tim. Persistence Module, ki onemogoča oziroma zelo otežuje odstranjevanje tega nadzornega programa. Avtorji programa so v sodelovanju z vodilnimi proizvajalci računalnikov razvili tehnologijo, ki onemogoča odstranitev programa LoJack tudi v primeru, da storilec izbriše celotno vsebino trdega diska ukradenega računalnika (!) in operacijski sistem naloži na novo (!). LoJackov Persistence Module je namreč povezan z BIOS-om računalnika, zato LoJack preživi vsako brisanje, menjavo diska ter celo nadgradnjo BIOS-a (tim. BIOS flash), po ocenah pa naj bi vsaj 60% novih prenosnikov že vsebovalo strojno (BIOS) podporo za LoJack.

Težava pa je v tem, da se je leta 2009 na konferenci Black Hat Briefings izkazalo, da ta nadzorna tehnologija vsebuje resno napako, zaradi katere je mogoče to tehnologijo obrniti proti lastniku takega prenosnika. Argentinska raziskovalca Anibal Sacco in Alfredo Ortega sta namreč pokazala, da je zaradi napake v zasnovi Persistence Modula na računalnik s to funkcionalnostjo (tudi v primeru, ko uporabnik ni namestil programa LoJack) mogoče namestiti virus oz. BIOS korenski komplet. Posledica tega je ta, da virusov na tako okuženem računalniku ni več mogoče odstraniti. Njune ugotovitve je kasneje potrdila še raziskava podjetja Corelabs.

Vsekakor se lahko resno vprašamo kakšne nadzorne tehnologije so že nameščene na naših računalnikih, pa se tega niti ne zavedamo, pa tudi kakšne varnostne ranljivosti imajo te tehnologije in kdaj se bodo le-te obrnile proti nam. Zaskrbljujoče je tudi dejstvo, da primer v Harrinton High School očitno ni osamljen, saj prenosnike v učnem procesu s podobno nadzorno tehnologijo uporabljajo tudi nekatere druge šole v ZDA. Vsekakor gre za pomemben dogodek, ki terja resen razmislek o pravici do zasebnosti in nadzoru s pomočjo sodobnih tehnologij.

DODATEK iz dne 26. februarja 2010: na spletu se je pojavil videoposnetek, ki prikazuje, kako šolski uslužbenci spremljajo dijake in jim v primeru, da niso dovolj prizadevni pošljejo sporočilo, naj se vrnejo nazaj na delo.

Gre za primer City of Ontario v. Quon, sprožil pa ga je pripadnik posebnih policijskih sil (tim. SWAT team) Jeff Quon, skupaj s še tremi policisti. Vprašanji, ki ju tožniki naslavljajo na Vrhovno sodišče sta, ali pripadnik posebne enote policije upravičeno pričakuje zasebnost na tekstovnih sporočilih, ki jih pošilja preko službenega pagerja ter ali enako velja tudi za posameznike, ki pripadnikom posebne enote policije na službene pagerje pošiljajo svoja sporočila.

Policijska enota, kjer so zaposleni tožniki je sicer imela sprejeto formalno politiko, da službenih komunikacijskih sredstev ni dovoljeno uporabljati za neslužbene namene, vendar je vodstvo oddelka neformalno in v omejenem obsegu dovolilo uporabo pagerjev za neslužbene namene. Sprejeta je bila namreč (neformalna) politika, da je pagerje mogoče uporabljati do določene mere (do 25.000 znakov mesečno), stroške, ki bi presegli to mejo, pa mora zaposleni poravnati sam.

Če je zaposleni trdil, da so bila vsa sporočila službene narave in da presežka ne bo poravnal, je veljalo, da je delodajalec sporočila lahko pregledal in ugotovil ali so sporočila res službene narave ali ne. Če pa je zaposleni razliko poravnal, pa se je pregledovanju izognil. Quon je bil v letih 2001 in 2002 nekajkrat pozvan k plačilu razlike in razliko je vedno poravnal.

Policist, ki je bil zadolžen za zbiranje teh presežnih plačil od zaposlenih, pa se je temu delu upiral in na nekem sestanku celo izjavil, da je “utrujen od tega, da mora zbirati račune od ljudi, ki presegajo dovoljeno uporabo tekstovnih sporočil na svojih službenih pagerjih“.

Avgusta 2002 sta Quon in še en policist ponovno presegla mejo 25.000 znakov, zato je vodstvo policije odredilo pridobitev prepisa sporočil z namenom ugotoviti ali so sporočila službene narave ali ne (niso pa ga pozvali k plačilu presežka). Ker mestni uradniki iz Ontaria do sporočil niso imeli dostopa, so zanje zaprosili podjetje Arch Wireless.

Pregled sporočil je pokazal, da je Quon avgusta 2002 presegel mesečni limit za 15.158 znakov, mnogo njegovih sporočil je dejansko bilo zasebne narave, pogosto pa so bila ta zasebna sporočila zelo seksualno eksplicitna.

Maja 2003 so zato omenjeni policisti na okrožno sodišče v Kaliforniji vložili tožbo zaradi kršitve pravice do zasebnosti, ki pa ni razsodilo njim v prid. Sledila je pritožba na prizivno sodišče, ki je 18. junija 2009 presodilo, da je v tem primeru šlo za kršitev pravice do zasebnosti v zvezni in kalifornijski ustavi.

Zadeva je sedaj na Vrhovnem sodišču ZDA, ki bo o primeru predvidoma odločilo v roku pol leta. Pri določitvi pa bo imelo precej pomemben vpliv tudi dejstvo, da v tem primeru ne gre za zasebnega delodajalca, pač pa je delodajalec država.

ECPA, U. S. proti Councilman ter O’Connor proti Ortega

Glede pravice do zasebnosti v ameriški zakonodaji je potrebno sicer dodati, da le-ta na delovnem mestu v splošnem ni dojeta kot pravica, temveč bolj kot boniteta. Prav tako glede pravice do komunikacijske zasebnosti na delovnem mestu v ZDA veljajo precej drugačna pravila kot v Evropi (glej npr. odločitvi Evropskega sodišča za človekove pravice Halford proti Združenemu kraljestvu iz leta 1997 ter Copland proti Združenemu kraljestvu, iz leta 2007) in Sloveniji. Upravno sodišče RS je npr. v razsodbi št. U 702/99 z dne 21. 3. 2000 zavzelo stališče, da se varstvo zasebnosti, zagotovljeno v 37. členu Ustave RS, nanaša tudi na službene telefone, pridobitev in uporaba izpiskov telefonskih klicev službenega telefona s strani delodajalca pa predstavlja kršitev.

Leta 1986 so v ZDA sprejeli Electronic Communication Privacy Act (ECPA, Electronic Communication Privacy Act of 1986, 18 U.S.C. (1986)), ki obravnava prisluškovanje elektronskim komunikacijam. ECPA v prvem poglavju, znanem tudi pod imenom Wiretap Act, prepoveduje prestrezanje elektronskih telekomunikacij, pri čemer je ‘prestrezanje’ definirano kot “zaznavanje izžarevanja [signala] (ang.  aural) ali druga pridobitev vsebine žice oziroma elektronske ali ustne komunikacije, ki poteka s pomočjo uporabe kakršnekoli elektronske, mehanične ali druge naprave”. Bistveno pri tem je torej, da je prestrezanje definirano kot dejavnost, ki poteka hkrati s prenosom. Problem sodobne tehnologije – konkretno, nadzora elektronske pošte ali tekstovnih sporočil pagerja – pa je, da prestrezanje ni nujno sočasno. Delodajalec namreč lahko dostopi do strežnika, v katerem je elektronsko sporočilo shranjeno, in s tem zaobide prepoved sočasnega prestrezanja. ECPA namreč v drugem poglavju, znanem pod imenom Stored Communications Act, ki prepoveduje dostop do shranjenih elektronskih sporočil brez soglasja nadzorovane osebe, iz prepovedi eksplicitno izključuje “osebe, ki zagotavljajo žično ali elektronsko komunikacijsko storitev”. Iz prepovedi ECPA so tako izvzeti delodajalci, ki imajo v lasti komunikacijsko opremo podjetja.

Zaradi navedenih razlogov je bil ECPA deležen številnih kritik, da je zakon dejansko nejasen in verjetno tudi zastarel, pa se je izkazalo v primeru U. S. proti Councilman (No. 031383 – 06/29/2004, No. 031383v3 – 08/11/2005). Šlo je za primer podjetja Interloc, ponudnika brezplačne elektronske pošte, ki je prestrezalo elektronsko pošto svojih uporabnikov (brez njihove vednosti). Podjetje, ki se je sicer ukvarjalo s prodajo rabljenih knjig, je svojim strankam ponudilo brezplačne poštne predale, nato pa v januarju 1998 začelo prestrezati elektronsko pošto, ki so jo njihove stranke prejemale od konkurenčne prodajalne knjig, podjetja Amazon. Prestrezanje so izvajali misleč, da je na podlagi ECPA zakonito. S tem je podjetje hotelo ugotoviti katere knjige njihove stranke kupujejo pri konkurenci in po kakšnih cenah, posledično pa si pridobiti tržno prednost. 29. junija 2004 ameriško prizivno sodišče prvega okrožja najprej razsodilo, da je takšno prestrezanje elektronske pošte zakonito. Sledila je pritožba, ki so jo s svojimi mnenji podprli številni znani strokovnjaki iz področja informacijske varnosti (Whitfield Diffie, Edward W. Felten, John R. Levine, Peter G. Neumann in Bruce Schneier). Odločitev je bila nato avgusta 2005 revidirana in okrožno sodišče v Massachusettsu je presodilo, da nadzor elektronske pošte v takih primerih ni dovoljen.

Glede zasebnosti na delovnem mestu na splošno, pa je Vrhovno sodišča ZDA odločalo v primeru O’Connor proti Ortega (O’Connor v. Ortega, 480 U.S. 709 (1987)). V tem primeru je šlo za psihiatra (zaposlen je bil v državni bolnišnici), ki je bil na delovnem mestu že 17 let in je imel na svoji delovni mizi tudi osebne stvari, potem pa je bil zaradi obtožb o spolnem nadlegovanju sodelavk in zlorab pri nakupih računalniške opreme poslan na prisilni dopust. V času njegovega prisilnega dopusta je delodajalec preiskal njegovo delovno mizo in sicer z namenom ločiti lastnino delodajalca od osebnih stvari zaposlenega, nekatere zasebne predmete pa je delodajalec kasneje uporabil v sodnem postopku proti zaposlenemu. Sodišče je na prvi stopnji dalo prav delodajalcu in sicer z argumentom, da ima pravico zaščititi svojo lastnino. Prizivno sodišče pa je dalo prav zaposlenemu in sicer z utemeljitvijo, da le-ta na delovnem mestu upravičeno pričakuje zasebnost. Sledilo je odločanje na Vrhovnem sodišču, ki pa je sicer menilo, da uslužbenec na delovnem mestu upravičeno pričakuje zasebnost, vendar je potrebno to upravičenje presojati na individualni osnovi, saj so delovna mesta zelo različna, imajo različne zahteve, pomembno pa je tudi ali poseg opravi državni organ (npr. policija) ali predpostavljeni (in seveda kakšen je razlog posega).

Vrhovno sodišče se je tako v svoji odločitvi leta 1987 postavilo na stališče, da zaposleni na delovnem mestu sicer lahko pričakuje zasebnost, vendar je potrebno to pričakovanje uravnotežiti z interesom delodajalca glede nadzora nad delom zaposlenega. Po mnenju Vrhovnega sodišča je preiskava vladnega uslužbenca s strani delodajalca upravičena, če je opravljena v povezavi z njegovim delom in ni pretirano vsiljiva. V konkretnem primeru sicer niso ugotovili, da bi bila preiskava neupravičena.

Sodba Vrhovnega sodišča ZDA glede komunikacijske zasebnosti na delovnem mestu na pravno prakso v Evropi sicer ne bo imela neposrednega učinka, vsekakor pa gre za pomembno zadevo, o kateri bomo zagotovo še poročali.

DPI tehnologije niso nekaj novega, saj so se v preteklosti že pojavljale kot tehnologije za zagotavljanje varnosti omrežij, samodejno prepoznavo virusnih in hekerskih napadov, neželene elektronske pošte in podobnih nevšečnosti. Vendar pa se DPI tehnologije v zadnjem času pojavljajo predvsem kot tehnologije množičnega nadzora in zbiranja osebnih podatkov, prestrezanja komunikacij in cenzure oziroma omejevanja prostega pretoka podatkov na internetu.

DPI tehnologije pa se tudi komercializirajo. Danes so tako postale predvsem posel. Pojavljajo se namreč številni ponudniki DPI naprav, katere operater komunikacijskega omrežja lahko vključi v svoje omrežje in spremlja ali omejuje promet svojih uporabnikov. Eno izmed podjetij, ki s pomočjo DPI spremljajo in beležijo spletne aktivnosti uporabnikov interneta je tudi podjetje Phorm. Podjetje v različnih državah (v Evropski uniji je najbolj znan primer Velike Britanije) s ponudniki dostopa do interneta sklepa dogovore, v okviru katerih svoje DPI naprave namešča v njihova omrežja in spremlja aktivnosti uporabnikov spleta. Na podlagi zbranih podatkov nato opravljajo analize vedenja (predvsem brskalnih navad) in temu prilagajajo oglase (gre za tim. vedenjsko oglaševanje). Zaradi spornega poseganja v komunikacijsko zasebnost – to se je namreč dogajalo brez soglasja uporabnikov – je Evropska komisija v začetku leta proti Veliki Britaniji sprožila postopek zaradi neusklajenosti britanske zakonodaje s pravili Evropske unije o tajnosti in zaupnosti komunikacij.

Uporaba DPI tehnologij lahko resno posega v zasebnost uporabnikov, zagovorniki tim. nevtralnosti interneta (ang. net neutrality) pa opozarjajo, da je DPI tehnologije mogoče zlorabiti tudi za cenzuro ali omejevanje prostega pretoka informacij in podatkov v omrežju. Upravitelj DPI naprave namreč lahko blokira ali omeji uporabo določenih storitev, npr. uporabo internetne telefonije pri konkurenčnih ponudnikih ali uporabo spletnih iskalnikov, ki z upraviteljem omrežja niso podpisali ustreznega sporazuma. Mogoče so tudi drugačne (zlo)rabe DPI tehnologije – npr. take, kjer upravitelj omrežja spremlja brskalne navade svojih uporabnikov in zbrane podatke prodaja marketinškim organizacijam, ali pa celo take, kjer upravitelj omrežja uporabnikom vriva svoje oglase. DPI tehnologija namreč lahko ob obisku določene spletne strani uporabniku iz nje “odstrani” originalne oglase in namesto njih vstavi svoje. Teoretično bi tako lahko upravitelj omrežja iz spletnih strani odstranjeval oglase drugih podjetij ter namesto njih svojim uporabnikom serviral svoje.

No, pravzaprav niti ne teoretično, saj je znano, da je British Telecom tovrstno tehnologijo “testiral” že v letih 2006 in 2007 (več informacij o DPI tehnologiji podjetja Phorm je na voljo na spletnih straneh BBC, na spletni strani BadPhorm ter na spletni strani kanadskega pooblaščenca za varstvo zasebnosti). Mimogrede, ste vedeli, da se ponudniki tovrstne tehnologije pojavljajo tudi v Sloveniji, eno izmed oblik DPI tehnologije pa razvijajo tudi nekatera slovenska podjetja?

Poleg poseganja v zasebnost in oviranje prostega pretoka informacij se torej odpira tudi vprašanje poseganja v vsebino spletnih strani in posledično morebitno kršenje avtorskih pravic lastnikov spletnih strani. Vendar pa proizvajalci DPI naprav o teh problemih ne govorijo preveč. Raje poudarjajo, da gre pri DPI za tehnologijo, ki omogočajo sodobnejše načine oglaševanja ali zagotavlja varnost omrežij. S slednjim argumentom se DPI tehnologije prodajajo predvsem podjetjem. In ker živimo v časih, ko se je v korist varnosti “potrebno” odreči svobodi in zasebnosti, se uporaba DPI naprav širi. Podobnost s prodajo videonadzornih sistemov vsekakor ni naključna.

Vsekakor gre za razmeroma nove tehnologije oziroma razmeroma nove načine uporabe obstoječih nadzornih tehnologij, za katere pa se zastavlja vprašanje, ali njihove uporabe – podobno kot je bilo to storjeno npr. z videonadzorom ali biometrijo v okviru Zakona o varstvu osebnih podatkov – morda ne bi bilo potrebno pravno regulirati. Uporaba DPI naprav namreč lahko predstavlja kršitev tako Zakona o varstvu osebnih podatkov kot tudi Zakona o elektronskih komunikacijah in Kazenskega zakonika.

Po Zakonu o varstvu osebnih podatkov je namreč prepovedana obdelava osebnih podatkov brez ustrezne pravne podlage (8. in 9. člen ZVOP-1), DPI tehnologije pa so namenjene tako obdelavi prometnih podatkov kot tudi prestrezanju in analizi vsebine komunikacij. To pa pomeni, da (pravno) nepravilna uporaba lahko predstavlja tudi kršitev 5. odstavka 103. člena Zakona o elektronskih komunikacijah, ki prepoveduje prestrezanje elektronskih komunikacij brez ustrezne pravne podlage oziroma lahko predstavlja tudi kaznivo dejanje kršitve tajnosti občil (139. člen Kazenskega zakonika) ter kaznivo dejanje napada na informacijski sistem (221. člen Kazenskega zakonika).

Kljub temu, da se tovrstne naprave prodajajo tudi v Sloveniji, pa kakšnih konkretnih podatkov o uporabi, predvsem pa implikacijah uporabe DPI tehnologij v Sloveniji nimamo. V tem oziru DPI tudi v svetovnem merilu predstavlja nekakšno novost, saj se je o pravnih in družbenih posledicah uporabe DPI nekoliko bolj sistematično začelo govoriti šele lansko leto, in sicer na pobudo kanadskega pooblaščenca za zasebnost, ki je z namenom osveščanja vzpostavil posebno spletno stran. Na spletni strani so zbrani prispevki različnih strokovnjakov, ki multidisciplinarno obravnavajo različne vidike DPI tehnologij.

Uporaba DPI v Sloveniji

Kot rečeno, se ponudniki DPI tehnologije, ki bi analizirala in morda celo posegala v komunikacijski promet javnih omrežij, pojavljajo tudi v Sloveniji. Vendar pa je slovenska zakonodaja glede posegov v komunikacijsko zasebnost precej stroga, zato so (vsaj nekateri) ponudniki dostopa do interneta glede uporabe DPI precej previdni. Manj pa to velja za podjetja, ki kupujejo DPI tehnologijo z namenom zaščite svojih internih omrežij. DPI tehnologija je v tem primeru “skrita” kot del funkcionalnosti požarne pregrade ali sistema za zaznavanje in preprečevanje vdorov v omrežje (tim. IDS in IPS sistemi; ang. Intrusion Detection Systems, Intrusion Prevention Systems). Problem pa nastopi pri praktični uporabi tovrstnih naprav, ki je lahko pravno pravilna ali pa pravno nepravilna. Težava je seveda v tem, da je prestrezanje digitalnih podatkov v sodobnih telekomunikacijskih omrežjih mogoče izvesti povsem nezaznavno, zato lahko uporabniki zelo težko (če sploh) ugotovijo, da se na njihovem omrežju izvaja DPI in da je posledično morda kršena njihova pravica do zasebnosti. Odsotnost pritožb uporabnikov zato ne pomeni nujno, da kršitev ni, pač pa lahko pomeni zgolj to, da so kršitve prikrite.

Kršitve je kljub temu mogoče zaznati, vendar je za to potrebno nekaj več računalniško-tehničnega znanja. V nadaljevanju si bomo pogledali prvi primer uradne obravnave uporabe DPI tehnologij v Sloveniji, v katerega sem bil “vpleten” tudi sam. Zgodba je zato nekoliko bolj osebna.

V začetku maja 2009 zjutraj sem na svojem službenem računalniku zagnal odjemalca za elektronsko pošto Mozilla Thunderbird. Odjemalec je nastavljen tako, da z njim prebiram svojo elektronsko pošto na štirih različnih strežnikih. Trije od njih omogočajo šifriranje povezav, zato se nanje povezujem preko šifriranega SSL oz. TLS protokola.

Ko se torej moj poštni odjemalec poveže na poštni strežnik, se med njim in strežnikom najprej vzpostavi šifrirana povezava, nato odjemalec (po šifrirani povezavi) strežniku pošlje uporabniško ime in geslo ter nato prenese e-poštna sporočila. Vsak izmed teh treh poštnih strežnikov za dokazovanje svoje verodostojnosti uporablja svoj digitalni certifikat, ki je tudi ustrezno podpisan.

Prebiranje e-pošte vsak dan poteka enako, tega dne pa je bilo nekaj drugače. Pri povezovanju na prvega izmed šifriranih strežnikov se je namreč pojavilo obvestilo, da identitete strežnika ni mogoče preveriti. Podrobnejši pregled SSL certifikata je pokazal, da je bil certifikat spremenjen (to je mogoče preveriti s pomočjo tim. prstnega odtisa oz. kontrolne vsote certifikata).

Novega (lažnega) certifikata nisem sprejel, pač pa sem zavrnil povezavo in se na poštni strežnik skušal povezati preko alternativnega, brezžičnega omrežja. V tem primeru mi je poštni strežnik poslal pravilen certifikat in povezava je bila uspešna. Očitno je postalo, da ne gre za problem poštnega strežnika, pač pa omrežja. Z drugimi besedami, v službenem omrežju mi je nekdo skušal podtakniti lažen SSL certifikat in s tem moj računalnik zavesti, da se poveže na njegov strežnik in mu posreduje uporabniško ime in geslo.

Obvestilo o spremembi SSL certifikata

Gre pravzaprav za klasičen napad s posrednikom (ang. man-in-the-middle napad), kjer se napadalec postavi med dve komunikacijski točki in se pred obema pretvarja, da je nasprotni komunikacijski partner. V danem primeru se je “napadalec” mojemu poštnemu odjemalcu predstavil kot poštni strežnik in ga poskušal zavesti, da bi se povezal nanj in mu posredoval svoje uporabniško ime in geslo. Te podatke bi potem “napadalec” poslal pravemu poštnemu strežniku in se mu predstavil kot moj poštni odjemalec. Kljub temu, da bi bili obe povezavi šifrirani, pa bi napadalec na sredi med obema komunikacijskima točkama lahko brez težav bral nešifriran promet (v našem primeru mojo e-pošto).

Shematski prikaz napada s posrednikom.

Ko sem se prepričal, da gre za poskus izvedbe napada s posrednikom in posledično morda za poskus neupravičene pridobitve mojega uporabniškega imena in gesla za dostop do mojega e-poštnega predala, sem se odločil za nekaj testov. S programom za analizo omrežnega prometa Wireshark sem opravil analizo omrežnega prometa iz mojega računalnika v internet in ugotovil, da ne gre za okužbo na mojem računalniku (tovrstne napade namreč znajo izvesti tudi nekateri virusi), pač pa za problem, ki se pojavlja nekje v samem omrežju.

Istega dne sem po elektronski pošti (seveda preko alternativne, “neokužene” povezave) omrežni incident oz. sum napada s posrednikom prijavil Arnesovemu centru za posredovanje ob omrežnih incidentih SI-CERT.

SI-CERT-ovo poizvedovanje je pokazalo, da do nepravilnosti v omrežju ne prihaja zaradi kakšnega hekerskega napada, pač pa zaradi delovanja požarnega zidu, ki omogoča DPI pregledovanje omrežnega prometa. O problemu sem obvestil tudi zaposlene v računalniškem centru fakultete, kjer sem zaposlen, od koder so me obvestili, da bo odgovor pripravilo podjetje, ki jim je prodalo DPI napravo in ki z njo tudi upravlja. To podjetje je kasneje posredovalo odgovor, kjer so pojasnili, da gre pri opisanem incidentu za delovanje požarne pregrade, ki je bila v začetku maja 2009 programsko nadgrajena, ob nadgradnji pa je bilo vklopljeno tudi protivirusno in protismetno pregledovanje za šifrirane poštne protokole.

V vmesnem času so šifrirane poštne povezave res začele normalno delovati, vendar pa sem opazil nekatere druge anomalije v delovanju omrežja oziroma delovanju nekaterih komunikacijskih protokolov in se zato odločil še za nekaj dodatnih testov (uporabljeno je bilo orodje za izvajanje naprednih testov omrežja, hping). Testiranja so sume, da se na omrežju še vedno izvaja prestrezanje in celo analiza komunikacijskih protokolov, še okrepila. Analize so namreč pokazale blokiranje nekaterih nestandardnih komunikacijskih protokolov ter prestrezanje komunikacij s pomočjo omrežnega posrednika (ang. transparent proxy).

V nadaljevanju sem se zato odločil izvesti še nekaj naprednejših analiz omrežja s katerimi sem uspel (približno) ugotoviti lokacijo prestrezne naprave v omrežju. Izkazalo se je, da je DPI naprava locirana na točki, kjer se omrežje moje fakultete povezuje naprej v internet, kar je pomenilo, da je DPI naprava sistematično prestrezala in (verjetno tudi) analizirala ves komunikacijski promet vseh zaposlenih in študentov, ki uporabljajo fakultetne računalnike.

Prijava Informacijskemu pooblaščencu

Kljub temu, da so moje ugotovitve kazale na to, da se prestrezanje izvaja avtomatizirano (brez tim. človeškega faktorja), pa se je treba zavedati, da argument “saj je samo stroj” ne vzdrži presoje. Poseganje v zasebnost je namreč koncipirano objektivno, kar pomeni, da do posega pride ne glede na to kdo ali kaj v zasebnost posega in je torej sporen že sam akt posega, ne pa šele morebitni kasnejši pregled prestreženih komunikacij s strani konkretne (tretje) osebe.

Izkazalo se je tudi, da je bila omenjena naprava vključena v omrežje brez ustrezne varnostne politike oziroma ustreznih notranjih aktov organizacije, ki bi jasno opredelila tovrstne posege, kaj šele, da bi o njih informirala zaposlene. V tem času sem prejel tudi odgovor podjetja, ki je fakulteti prodalo in upravljalo z DPI napravo. Le-ta je vseboval nekaj precej nenavadnih pojasnil. Med drugim so v odgovoru zapisali, da “ne gre za nobeno prestrezanje sporočil z namenom kršenja zasebnosti uporabnikov ali kaj podobnega, temveč za zagotavljanje varnosti omrežja in njegovih uporabnikov” ter dodali, da se uporabniki “ponavadi nevarnosti (odgovornosti?) za varnost omrežja ne zavedajo, saj jim je zasebnost pomembnejša od varnosti omrežja“. Predstavnik podjetja je v odgovoru še pojasnil da so “sporno pregledovanje kriptiranih protokolov na firewallu zenkrat izklopili, še vedno [pa] je vklopljeno pregledovanje nekriptiranih protokolov”. Očitno je torej bilo, da v očeh upravljalcev DPI naprave tim. varnost prevlada nad zasebnostjo.

Ob vsem skupaj se mi je zelo problematičen zazdel tudi del odgovora, kjer so predstavniki podjetja navedli, da v kolikor se uporabniki ne strinjajo s postavljenimi omejitvami, lahko za povezovanje v internet uporabljajo alternativno brezžično omrežje, kjer omejitev ni. Argument je precej nenavaden, saj ni jasno, kako bi v tem primeru zagotavljali varnost oziroma ni jasno kaj sploh varujemo – končne uporabnike, ali samo omrežno infrastrukturo? Konec koncev bi v najbolj radikalni različici lahko v žičnem omrežju celo prerezali vse kable (in s tem popolnoma “omejili” ves omrežni promet), vse uporabnike pa povezali na alternativno brezžično omrežje. V tem primeru varnostnih težav na žičnem omrežju sicer res ne bi bilo, bi se pa seveda še vedno pojavljale običajne težave pri končnih uporabnikih (npr. virusne okužbe). Zastavlja se torej vprašanje kaj je namen takšnega varovanja? Varovanje infrastrukture ne glede na pravice in potrebe uporabnikov? Odsotnost ustreznega premisleka o tem kaj sploh varujemo in kako varujemo, je torej postala še bolj očitna.

Glede na vse skupaj, pa tudi glede na pretekle izkušnje sem mnenja, da v omenjenem primeru ni šlo za osamljen incident, pač pa za sistematično nerazumevanje pomena komunikacijske zasebnosti in koncepta tajnosti, zaupnosti in neposeganja v komunikacije na internetu. Računalniški center univerze kjer sem zaposlen, je namreč že pred petimi leti za svoje uporabnike e-poštnega sistema brez obvestila vključil protismetno pregledovanje e-pošte. Protismetno pregledovanje je bilo precej radikalno, saj je brezpogojno izbrisalo vso e-pošto, ki jo je “prepoznalo” kot tim. spam (in pri tem žal pobrisalo tudi precej povsem legitimne e-pošte), predvsem pa so si upravljavci drznili posegati v integriteto elektronskih sporočil, saj so v e-pošto vrivali obvestila, da so bili iz e-pošte odstranjeni virusi in spam.

Poseganje v integriteto e-pošte z vrivanjem obvestil.

15. maja sem zato Informacijskemu pooblaščencu posredoval prijavo zaradi suma nezakonite obdelave prometnih (osebnih) podatkov.

Ugotovitve Informacijskega pooblaščenca

Na podlagi prijave je državni nadzornik 29. maja najprej izvedel inšpekcijski ogled na računalniškem centru univerze. Pregled je pokazal, da univerza nima enotne varnostne politike. Računalniški center univerze je kupil 6 požarnih pregrad, ena od njih pa je bila v uporabi pri fakulteti, kjer sem zaposlen. Ugotovljeno je bilo še, da politike in nastavitve požarnih pregrad določajo na posamezni fakulteti, vzdrževanje požarne pregrade pa izvaja zunanji izvajalec.

Nadalje je inšpekcijski pregled pokazal, da ima fakultetni računalniški center organizacije zgolj bralni dostop do nastavitev DPI naprave, da pa DPI naprava nima diskovnih zmogljivosti in elektronske pošte ne shranjuje, temveč zgolj opozori na zaznane nedovoljene dogodke.

Predstavnik računalniškega centra univerze je v okviru inšpekcijskega pregleda tudi podal mnenje, da DPI pregledovanje ni bilo izvedeno na uporabniku prikriti način, saj je moral uporabnik aktivno sprejeti ponujeni certifikat. Po mojem mnenju to sicer ne drži, saj je DPI naprava nešifriran promet pregledovala brez obvestil, prestrezanje certifikatov pa je na drugačen način, kot tako, da se uporabniku ponudi lažen certifikat zelo težko izvesti (ni pa povsem nemogoče). Poleg tega uporabnik, ki certifikata ni sprejel ni imel možnosti nadaljevati z delom oz. povezati se na svoj strežnik s pomočjo originalnega certifikata, večina uporabnikov pa zelo verjetno sploh ne razume pomena certifikatov oz. nima ustreznega znanja za ločevanje med pravim in lažnim certifikatom.

2. junija je bil nato opravljen še ogled pri računalniškem centru fakultete, kjer sem zaposlen. Tu so povedali, da je izbor in nakup opreme opravil računalniški center univerze, z DPI napravo pa je upravljal zunanji izvajalec, s katerim računalniški center fakultete ni imel sklenjene pogodbe, niti o napravi ni imel nobene dokumentacije in je imel do nje le omejen dostop.

2. julija je bil nato opravljen še inšpekcijski ogled pri zunanjem izvajalcu, kjer je bilo ugotovljeno, da DPI naprava (v času ogleda) ni izvajala nobenega beleženja v dnevniške datoteke, niti ni hranila nobenih osebnih podatkov. Ugotovljeno pa je bilo, da se s pomočjo naprave (če je vklopljeno beleženje v dnevniške datoteke) sicer da ugotoviti, kdo je kdaj dostopal do katere spletne strani, kar pomeni, da naprava omogoča zbiranje osebnih podatkov.

Vsi trije pregledi so pokazali, da pri uporabi omenjene naprave pravzaprav ni šlo za namerno kršenje zasebnosti uporabnikov ali zlonamerno poseganje v njihove komunikacije. Glavni problem je bil pravzaprav v tem, da so se stvari urejale po inerciji oziroma “po domače” – brez ustreznih varnostnih politik, brez sklenjenih pogodb, brez obveščanja uporabnikov in celo brez nekega jasnega načrta kaj točno in kako naj bi z uporabo DPI naprave dosegli. Pregled je tudi pokazal, da med vsemi vpletenimi (računalniški center fakultete, računalniški center univerze in zunanji izvajalec), niso povsem jasne pristojnosti in medsebojna razmerja. Uporabo sporne naprave je priporočil in jo tudi kupil računalniški center univerze (vendar pri tem ni pripravil ustreznih varnostnih politik), upravljal jo je zunanji izvajalec, še najmanj besede pri vsem skupaj pa je v praksi imel računalniški center fakultete.

Vendar pa je bila po mnenju Informacijskega pooblaščenca upravljavec osebnih podatkov oz. zavezanec po določbah ZVOP-1 fakulteta in ne univerza. 22. septembra je zato Informacijsko pooblaščenec fakulteti izdal ureditveno odločbo. (Kopijo sem pridobil na podlagi Zakona o dostopu do informacij javnega značaja; del podatkov iz odločbe je pred posredovanjem po ZDIJZ odstranil Informacijski pooblaščenec, del (označen z zvezdicami) pa sem iz odločbe odstranil sam).

Z odločbo je bilo zavezancu, torej fakulteti, naloženo, da v roku 60 dni sprejme in začne izvajati varnostno politiko za varovanje internega omrežja z vsebino katere mora seznaniti vse uporabnike svojega omrežja ter z zunanjim izvajalcem sklene ustrezno pogodbo, ki bo skladna z določili ZVOP-1. Varnostna politika mora vsebovati omejitve uporabe omrežja, popis mehanizmov, ki se izvajajo za varovanje in stabilnost delovanja omrežja z navedbo protokolov in storitev, ki se pregledujejo, obrazložitev postopkov, ki se izvajajo za filtriranje ali pregledovanje prometa, režim nadgradenj opreme za varovanje internega omrežja zavezanca ter postopke in ukrepe za nadzor fizičnega in logičnega dostopa do sistemskega prostora in opreme. Skratka, potrebno je urediti vsaj osnovna pravila glede uporabe DPI naprave ter o teh pravilih obvestiti uporabnike.

Sklep

Pri uporabi DPI tehnologije v organizacijskih omrežjih gre vsekakor za precej novo področje, kjer tehnologija zopet prehiteva pravo. Zato odločitev Informacijskega pooblaščenca postavlja nekakšen mejnik pri obravnavi DPI tehnologij. Dejstvo je, da se je pri svoji odločitvi Informacijski pooblaščenec odločal zelo previdno in ni sprejel kakšnega bolj radikalnega mnenja, ki bi uporabo DPI na splošno kar prepovedal ali kar dovolil. Namesto tega je izbral “srednjo pot”, kjer uporabe sporne tehnologije sicer ne prepoveduje, zahteva pa, da je podprta z ustreznimi notranjimi akti, njena uporaba pa opravičena in utemeljena ter predvsem transparentna.

Odločitev tako zavezancem ne prepoveduje določenih načinov uporabe DPI tehnologije, dejstvo pa je, da morajo biti ti načini utemeljeni, sorazmerni in zakoniti. Pravilnik, ki bi npr. določal, da se vsi uporabniki omrežja popolnoma odpovedo zasebnosti in tajnosti svoje elektronske pošte, bi zelo verjetno le stežka vzdržal pravno presojo, saj je varstvo tajnosti pisem in drugih občil ustavno zagotovljeno. Podobno velja tudi za prometne podatke, saj je Ustavno sodišče v razsodbi Up-106/05 izrazilo stališče, da je treba predmet varstva komunikacijske zasebnosti razlagati širše, in sicer tako, da le-ta vključuje tudi prometne podatke, ki so sestavni del komunikacije. Podobno stališče je zaznati tudi iz odločitve Evropskega sodišča za človekove pravice Malone proti Veliki Britaniji (Malone v. Velika Britanija, odločba z dne 02. 08. 1984).

Vsekakor je sprejem ustrezne varnostne politike koristen – z njo organizacija jasno definira cilje in sredstva varovanja, vsi posegi v informacijsko in komunikacijsko zasebnost so (če je ustrezno pripravljena) zakoniti in transparentni, prav tako pa so jasne pristojnosti “računalničarjev” in vodstva ter odgovornost za morebitne kršitve. Vprašanje, ali morda v prihodnosti uporabe DPI tehnologij ne bi bilo potrebno izrecneje pravno regulirati, tudi na področju javnih komunikacijskih omrežij, pa po mojem mnenju ostaja odprto. Če se je namreč zakonodajalec odločil za podrobnejše urejanje področja videonadzora in biometrije, si verjetno podobno obravnavo zasluži tudi uporaba tehnologij, ki omogočajo množične posege v komunikacijsko zasebnost. Glede na to, da omenjene tehnologije prihajajo v množično rabo, časa za razmislek ni več veliko.