Na posvetu sem imel dve predavanji in sicer o problematiki integritete digitalnih dokazov s kontrolnimi vsotami izračunanimi z algoritmom MD5 ter o problematiki zaupanja digitalnim dokazom v mobilni telefoniji. Na voljo so prosojnice iz predavanj:

• prosojnice iz predavanja Zagotavljanje integritete digitalnih dokazov
• prosojnice iz predavanja Slepo zaupanje digitalnim dokazom – primer mobilne telefonije.

Kaj je prometni podatek

Sporočila so sestavljena iz vsebine in glave sporočila (včasih imenovane tudi ovojnica). Ovojnica ali glava vsebuje podatke o pošiljatelju, naslovniku, ter še nekaj pridruženih lastnosti (recimo na kakšen način naj sporočilo potuje). Ko sporočilo potuje po poti, na vmesnih postajah na podlagi glave sporočila nastanejo prometni podatki, recimo: “Sporočilo vrste V, velikosti K je ob času T prišlo iz smeri A in bilo napoteno v smer B.” V primeru telefonskega klica prometni podatki vsebujejo podatke o klicoči telefonski številki, klicani številki, datum in čas klica, ter njegovo trajanje. Elektronska komunikacija na internetu je sestavljena iz kar sedmih različnih nivojev, na vseh teh pa se ustvarjajo prometni podatki. Na nižjih nivojih iz prometnih podatkov ugotovimo, kateri napravi je bil dodeljen nek IP naslov, višje izvemo izvorni in ciljni IP naslov komunikacije, vrsto internetnega protokola, izvorna in ciljna vrata (port), čisto na vrhu pa podatke, ki so vezani na samo aplikacijo, recimo elektronske naslove v primeru elektronske pošte, ali parametre spletne poizvedbe.

Skoraj vse naprave na omrežju beležijo prometne podatke (OK, določene naprave, kot so recimo električno-optični pretvorniki res ne beležijo nič, a saj veste, kaj sem hotel reči). Vsak spodobno napisan računalniški program, ki komunicira preko omrežja, beleži dogajanje v svoj dnevnik. Vsak usmerjevalnik prometa zabeleži, na kateri vmesnik je prejel komunikacijski paket in preko katerega ga je predal naprej (oz. če ga ni, zakaj tega ni storil).

Kje vse se hranijo prometni podatki

Povsod. Vsak upravitelj spletnega strežnika hrani dnevniške datoteke, v njej pa so prometni podatki na aplikacijskem nivoju. Notri je datum in čas, IP naslov obiskovalca, zahtevana spletna stran in status poizvedbe (uspešna, neuspešna, preusmerjena, in tako naprej). Podobno je tudi z drugimi strežniki, od pošte in DNS sistema do namenskih strežnikov.

Vsaka organizacija običajno namesti požarno pregrado, s katero zaščiti svoje lokalno omrežje. Na njej se zbirajo prometni podatki za vso komunikacijo, ki preko požarne pregrade potuje. Zabeležijo se izvorni in ciljni naslovi, lastnosti komunikacije in še kaj več. Tudi doma lahko vaš brezžični usmerjevalnik beleži prometne podatke.

Operaterji beležijo prometne podatke tudi na usmerjevalnikih svojega omrežja. Preko njih spremljajo prometne tokove in na njihovi osnovi upravljajo z omrežjem. Načrtujejo nadgradnje in odgovarjajo z zaščitnimi ukrepi v primeru napadov. Operaterjem zakon predpisuje obvezno hrambo, po drugi strani pa jo prepoveduje.

Namen in uporaba prometnih podatkov

Prometni podatki so nujni za zagotavljanje zanesljivega delovanja omrežja. Brez njih je odkrivanje napak nemogoče. To si je pomembno zapomniti in najraje bi to zapisal še vsaj petkrat zapovrstjo.

Brez njih je internetni ponudnik (ali ponudnik drugih storitev, recimo gostovanja) kot človek brez spomina. Ko se znajde v slepi ulici, ne ve, zakaj je tja prišel, kako je prispel, niti ne ve, od kod je.

Ena od dokaj tipičnih pritožb, ki jo operaterji redno prejemajo, je recimo: “Poslal sem pomembno (elektronsko) pošto poslovnim partnerjem, a je ti niso prejeli. Pravijo, da vso pošto od drugod prejemajo brez problema, torej ste vi krivi.” V takšnem primeru ponudnik pogleda v svoje “zbirke prometnih podatkov” (pravni termin) oziroma “log fajle”, dnevniške datoteke svojih strežnikov (strokovni termin). Tam vidi zapisano, kdaj je sporočilo prejel in kdaj ga je predal tujemu poštnemu strežniku.

Tu pa se začne zgodba o z zakonom določeni hrambi prometnih podatkov. V bistvu se začne še nekoliko prej. Začne se pri strahu, da se lahko sledi vsakemu posamezniku preko shranjenih prometnih podatkov. 104. člen Zakona o elektronskih komunikacijah zato določa:

(1) Podatki o prometu, ki se nanašajo na naročnike in uporabnike ter jih je operater obdelal in shranil, morajo biti izbrisani ali spremenjeni tako, da se ne dajo povezati z določeno ali določljivo osebo, takoj ko niso več potrebni za prenos sporočil, razen če sodijo v kategorijo podatkov iz 107.b člena tega zakona, ki se hranijo v skladu s četrtim in petim odstavkom 107.a člena tega zakona.

Po uspešnem prenosu sporočila naj bi operater povezane podatke o prometu anonimiziral ali izbrisal. Kaj to pomeni v zgornjem primeru pritožbe? Če bi operater izbrisal ali anonimiziral podatke, čez kakšen teden dni (ko se uporabnik pritoži), ne bo več vedel, ali je sporočilo uspel predati naprej ali ne. Primera nisem naključno izbral, saj so napake pri delovanju poštnih strežnikov zelo zelo redke, pritožbe glede dostave pošte pa ne.  Običajno “zamočijo” pošiljatelji ali prejemniki (ti se včasih še celo zlažejo, da kakšne pošte niso dobili, ker jim pač njena vsebina poslovno preveč ne prija; lahko verjamete kaj takšnega, a?).

Vsak ponudnik na podlagi zbranih in analiziranih prometnih podatkov spremlja stanje na omrežju in ugotavlja, kje so ozka grla. Te podatke uporablja za načrtovanje razširitev in nadgradenj, ki bodo zagotavljale udobno delo na omrežju.

Ko pa gre za namerne napade na strežnike ali omrežje, prometni podatki pokažejo, kaj pravzaprav se je dogajalo. Ponudniku omogočijo zaznavo napada, ustrezno zaščito pred njim in omogočijo izsleditev izvora napada. Reakcija na napad vedno pride šele za njim. Če prometne podatke prehitro vržemo stran, potem ne moremo narediti nič. Ponudnik takrat lahko le zatisne oči in počaka, da vse skupaj mine. O tem smo pisali tudi ob napadih skupine Anonymous februarja letos.

No, ampak v zgoraj citiranem odstavku obstaja izjema pri hrambi, določena v 107.a. in 107.b. členih. Ta sta nastala na podlagi Direktive 2006/24/ES za namen boja proti terorizmu. Določata zelo omejen obseg prometnih podatkov, ki so jih operaterji dolžni hraniti. Vsi ponudniki po vsem svetu so seveda že pred tem beležili prometne podatke za namene zagotavljanja normalnega delovanja omrežja in načrtovanja. Direktiva je le na neroden način določila neko podmnožico podatkov, ki jih operaterji nujno morajo hraniti in omogočajo izsleditev storilca. Zato se je tudi moral popraviti 104. člen. Če sem malo ciničen, se je slaba rešitev “popravila” s še eno slabo.

Potvarjanje številke klicočega

Matej v svojem prispevku opiše, kako lahko v tujini najdete operaterja internetne telefonije, ki vam dovoli potvoriti telefonsko številko in potem preko ovinka pošiljate lažne klice in SMS sporočila. V računalniški srenji bi seveda lahko rekli: “It’s not a bug, it’s a feature,” predvsem za tistega ponudnika telefonije, ki to trži kot prikladno fleksibilnost. V svojem članku za Sobotno prilogo Lenart J. Kučić nekoliko posplošeno opisane aktivnosti povzame, da je Matej pri “… več slovenskih operaterjih mobilne, fiksne in internetne telefonije (voip) … uspešno preizkusil spreminjanje klicne identifikacije.” Matej ni spremenil identifikacije pri nobenem od slovenskih operaterjev, ampak je izbral tujega operaterja, ki to deklarirano dovoljuje, in potem preko njega izvedel klic v slovenska omrežja. To je velika razlika. Matej je uporabil možnost pri tujem VoIP ponudniku, ki jo ta pač ponuja svojim strankam. Ne moremo govoriti o varnostni pomanjkljivosti, ker gre za poslovni model. Ali je ta pameten ali ne, je drugo vprašanje.

Kot Matej pravilno ugotavlja, se je podobno dogajalo tudi na internetu. Preko potvorjenih IP naslovov so se izvajali različni napadi, dokler sčasoma ponudniki sami niso ugotovili, da je treba uvesti določena pravila na mejah omrežja, od koga boš sprejel kaj. Morda se bo to zgodilo tudi pri internetni telefoniji.

Najbolj pa je pomembno naslednje: kako se lahko lotimo preiskovanja v primeru, ko gre za podtaknjene in lažne klice? Odgovor je: preko analize prometnih podatkov! Vi boste ob Matejevem “napadu” res na zaslonu svojega telefona videli izmišljeno številko, ki jo bo on poljubno nastavil, vendar pa bo vaš operater telefonije lahko preko prometnih podatkov lahko preveril, od kod je klic dejansko prišel v njegovo omrežje. To ponudniki redno počnejo pri elektronski pošti, kadar pride do pritožb ali goljufij. Ko pa bo vaš operater prometne podatke izbrisal (zaradi zakonske določbe), tega ne bo mogel več ugotoviti in vi sami kot žrtev napada boste bolj izpostavljeni tveganju.

Druga napaka leži v domnevi, da se v preiskovanju zlorab na omrežju vedno zanašamo le na en sam podatek in da nikoli ne podvomimo v verodostojnost kateregakoli od njih. To seveda ni res. Vsako preiskovanje na omrežju vedno temelji na tem, da se primerjajo podatki iz različnih koncev in na podlagi njih se izdelajo možni scenariji, eni bolj, drugi manj verjetni. Koristno je, da se prometni podatki ustvarjajo pri različnih skrbnikih, z njihovo primerjavo pa se lahko povečuje ali zmanjšuje to verjetnost.

Preveč enostavno je tudi reči: “ker lahko na enem primeru pokažemo, da je možno, da prometni podatek ne ustreza dejanskem stanju, ne potrebujemo njihove hrambe.” Dvomim, da se kdajkoli samo na podlagi enega takšnega podatka odloča o pomembnih rečeh na sodišču. Ne smemo pa tudi mimo dejstva, da tveganja opisujemo z verjetnostmi in se na podlagi teh vedemo.

Povsem verjetno pa je, da se pri telefoniji takšne preiskovalne varovalke še najmanj uporabljajo, zato je v tem kontekstu Matejevo opozorilo na mestu.

Zakonska regulacija kot način urejanja kršitev

Pred leti je Mobitel d.d. predal policiji seznam klicanih številk, a pri tem pozabil vprašati, kje je odredba sodišča. Delodajalci na ministrstvu so preko izpiskov klicev službenih telefonov iskali zaposlene, ki so se pogovarjali z novinarji in jih za to kaznovali (po naši lokalni folklori seveda z obveznim političnim priokusom). Potem pa imamo še poskus tržnega inšpektorja, da bi pridobil identiteto internetnega uporabnika na podlagi zakonskega določila, ki ga je zakonodajalec sicer namenil pregonu hujših kaznivih dejanj. Kaj je skupno tem primerom? Namesto da bi v posameznem primeru prišli do ustreznega pravnega epiloga, se je dostikrat ubrala najlažja pot: ali malo spremenimo zakon, ali pa si ga razložimo na tako izviren način, da bo cilj dosežen. S pravno akrobacijo uvedbe razlikovanja statično in dinamično dodeljenih IP naslovov se je sicer rešil tisti problem z inšpektorjem, a nastali so problemi pri policijskih postopkih, zaradi političnih iger pa morajo sedaj vsi operaterji delno skrivati telefonske številke na izpiskih, ki nam jih pošljejo. Lahko, da se je v nekem primeru dobila bitka za zaščito zasebnosti zaposlenega, a zraven tudi jaz kot uporabnik občutim zame neželene stranske učinke, ki se dostikrat ob iskanju rešitve zanemarijo. Refleksno dodajanje členov in celih zakonov nas pelje v vedno bolj zbirokratizirano in konfuzno družbo, to da napišemo še en zakon, pa je nemalokrat tudi zatiskanje oči pred problemi in bežanje pred njihovim korenitim reševanjem. Da je stvar sedaj urejena in problema ne bi smelo več biti. Spam pri nas urejamo s kar štirimi zakoni, pa je pregon domačih spamerjev vseeno dolg, poln zapletov in čeri.

Prav tako so po krivem v središču prometni podatki. To “čast” si zaslužijo tisti, ki prometne podatke zlorabljajo ali prodajajo. Ker ne zmoremo kot družba kaznovati teh zlorab, raje vsem predpišimo, da prometnih podatkov sploh ne sme biti? Če gremo predaleč lahko tudi zaščita zasebnosti posameznika škodi njemu samemu, ko se znajde v vlogi žrtve prevare in pričakuje, da se bo storilca poiskalo. Sploh pa: medtem, ko se mi v peskovniku mikastimo glede tega in si eden drugemu mečemo v oči zdaj statični, zdaj dinamični internetni pesek, se velike firme, kot so Google in Facebook, smejejo na široko in naše podatke zajemajo z zelo velikimi lopatami.

Uvod

Konec leta 2011 je več slovenskih medijev poročalo, da naj bi poslanka Državnega zbora Melita Župevc iz enega svojega mobilnega telefona prejela klic na svoj drugi mobilni telefon, javil pa naj bi se neznan moški glas.

Na novinarska vprašanja so mobilni operaterji pojasnili, da takih primerov še niso zasledili, predstavnik Telekoma Slovenije pa je izjavil, da “vdor v sistem telefonskih povezav oziroma klic s prikazom kličoče številke, ki ne pripada v mobilni telefon vstavljeni SIM kartici, v Mobitelovem omrežju ni mogoč”.

Podoben je bil tudi odziv poslanca in trenutno ministra za notranje zadeve Vinka Gorenaka, ki je na svojem blogu zapisal, da “tehnično res ni mogoče, da te nekdo kliče iz tvoje lastne prve telefonske številke na tvojo lastno drugo telefonsko številko, brez tvoje vednosti seveda”.

Kljub temu pa pozorno branje odgovora Telekoma Slovenije kaže, da bi bilo klicanje s spremenjeno klicno identifikacijo morda le mogoče, saj so zapisali, da “na svetovni ravni ni enotne rešitve, ki bi neizpodbitno zagotovila, da v Mobitelovo omrežje pride klic s pravo in nepopačeno identifikacijo”.

Pa si nekoliko podrobneje poglejmo tehnične možnosti za kaj takega.

Phone phreaking – manipulacija telefonskih sistemov

Phone phreaking, friking oz. “telefonsko hekanje” je skupek postopkov, s katerimi opisujemo varnostne analize in zlasti zlorabe telefonskih sistemov. Tim. friking je bil sicer zelo aktalen v ZDA konec 1970-tih let, kasneje pa so tim. frikerji (ang. phreaker) praktično izginili. Postopki frikinga so kasneje znova postali aktualni konec 1990-tih let s pojavom internetne (VoIP) telefonije. Sam izraz phone phreaking sicer zelo dobro definira in opiše Gorazd Žagar v svojem diplomskem delu Metode in tehnike napadov na informacijsko-komunikacijske sisteme (stran 16 in 17):

“Phone phreak (poslovenjeno friker) je oseba, ki se intenzivno, skoraj obsedeno ukvarja s proučevanjem telefonskih sistemov z namenom poznati vse njegove razsežnosti. Pogosto znanje teh oseb presega znanje poklicnih vzdrževalcev in ostalih zaposlenih na tem področju. Svoje znanje nekateri tudi zlorabijo z namenom doseganja brezplačnih telefonskih klicev in ostalih plačljivih storitev telefonskega omrežja. Jih je težko izslediti, kajti svoje znanje uporabljajo tudi za učinkovito zakrivanje svoje identitete (t.j. klicne številke). Frikerji so predhodniki hekerjev, ker v času njihovega nastanka (konec 60. let v Združenih državah), računalniški sistemi še niso bili tako množično omreženi in heking v današnjem pomenu besede še ni bil poznan. Telefonski sistemi so bili takrat (predvsem oz. samo v Združenih državah) razviti že do stopnje, ki je omogočala “vsakemu” uporabniku telefonskega omrežja njegovo manipulacijo iz navadnega telefonskega priključka. Eden izmed znanih frikerjev je bil Steve Wozniak, znan tudi kot Woz, soustanovitelj podjetja Apple. Za očeta vseh frikerjev pa velja Joe Engressia, znan tudi kot “piskač”. Dejavnost frikerjev imenujemo ang. phone phreaking ali phone hacking, poslovenjeno friking. Frikerji so bili prvi, ki so v svojo dejavnost vključili tudi socialno inženirstvo (ang. social engineering).”

(Žagar, 2006: 16 in 17)

Znani frikerji poleg Joeja Engressia so bili sicer tudi Denny Teresi ter John T. Draper (njegov vzdevek je bil Captain Crunch), ki je iznašel tim. modro škatlico (ang. blue box).

Verjetno je manj znano, da telefonski friking ni bil omejen samo na ZDA, pač pa smo imeli frikersko skupino tudi v Sloveniji. Med leti 1999 in 2004 je namreč v Sloveniji delovala hekersko-frikerska skupina Phone Losers of Slovenia. Skupina je imela spletno stran (najprej v slovenščini, nato pa pretežno v angleščini), kjer so objavljali informacije o svojih hekersko in frikerskih dosežkih, ki so jih pridobili skozi raziskovanje telefonskih in računalniških sistemov. Ob 5-letnici obstoja so na svoji spletni strani zapisali: “smo zagotovo zadnja generacija pravih telefonskih hekerjev stare šole, ki so bili in so še zaljubljeni v analogno telefonsko tehnologijo. Naš cilj, ki je bil dosežen le delno, je bil vzpostavitev telefonske phreakerske skupnosti v Sloveniji, kjer bi ljudje lahko delili informacije o naših telefonskih sistemih. Žal smo ugotovili pomankanje interesa mladine na tem področju. Vprašanje je, ali je bilo telefonsko hekanje sploh kdaj aktivno v naši državi? Danes je vsako telefonsko hekanje izvedeno s pomočjo hekanja računalnikov. Telefonsko hekanje včasih vključuje računalniško hekanje, a prava čarovnija je v klikih in pokih, zvoku, ki pritegne tvojo pozornost.”.

Skupina je bila odgovorna za kar nekaj vdorov in na svoji spletni strani so objavili precej občutljivih informacij. Pri vseh objavah je bilo zapisano takšno ali drugačno opozorilo, da so informacije objavljene zgolj v izobraževalne namene in pozivi naj jih obiskovalci ne zlorabljajo, kljub temu pa je – razumljivo in pričakovano – do zlorab prihajalo. Vseeno pa je bil osnovni namen članov skupine verjetno predvsem raziskovanje in učenje in ne namerno povzročanje škode.

Člani PLS so se med drugim ukvarjali z ranljivostmi v telefonskih tajnicah in objavili seznam telefonskih številk odvetnikov in podjetij, ki so uporabjala telefonske tajnice s privzetimi dostopnimi kodami, ki so omogočale poslušanje posnetih sporočil, v nekaterih primerih pa tudi prisluškovanje pogovorom v prostoru. Objavili so nekaj datotek z navodili za vzdrževanje ADSL priključkov (kar naj bi bila posledica vdora v domači računalnik nekega uslužbenca Telekoma Slovenije, ki je imel doma shranjene službene datoteke), nekaj novic je bilo posvečenih tudi vprašanju kako zaobiti zaščito v Telefonskem imeniku Slovenije. Objavili tudi program SMS bomber, ki je omogočal masovno pošiljanje SMS sporočil na telefonsko številko žrtve. Najbolj sistematično in izčrpno pa je bil opisan vdor v sistem glasovne pošte večjega slovenskega proizvodnega podjetja, kjer so opisali tudi kako poslušati sporočila v poštnih predalih in kako zasesti prosti zvočni predal. Med drugim so opisali tudi funkcijo “takojšen klic osebe”, ki je omogočala klicanje na stroške podjetja. Mimogrede, tovrstne zlorabe so aktualne še danes, gre za tim. podaljšano izbiranje preko GSM vmesnikov. Gradivo o skupini Phone Losers of Slovenija in pogovori s člani so bili zbrani v okviru ciljnega raziskovalnega projekta “Računalniška/kibernetična kriminaliteta v Sloveniji”, ki ga je v letu 2006 izvajal Inštitut za kriminologijo pri Pravni fakulteti v Ljubljani (vodja projekta je bila dr. Nina Peršak, sodelavci P. Gorkič, M. Kovačič in A. Završnik).

Spletna stran Phone Losers of Slovenia iz leta 2001. Danes stran ni več dostopna.

Poleg možnosti raziskovanja različnih zmožnosti telefonskih sistemov ter možnosti brezplačnega klicanja je eden izmed bolj pomembnih delov (zlasti sodobnega) frikinga tudi spreminjanje klicne identifikacije. Klicna identifikacija oz. v angleščini Caller ID (zanjo se uporabljajo tudi kratice CID, CLID, CND, CNID in CLIP) je posebna storitev telefonskega omrežja, ki omogoča prenos klicne identitete klicatelja na terminalno opremo klicanega. V praksi to pomeni, da s pomočjo klicne identifikacije lahko vidimo kdo nas kliče, klice pa lahko tudi blokiramo ali pa izsledimo. Vsaj v teoriji. Kot bomo namreč pokazali, je klicna identifikacija v resnici precej nezanesljiv podatek, spreminjanje klicne identifikacije, tim. Caller ID spoofing pa razmeroma enostaven postopek. Potrebno je le nekaj malega znanja in opreme. Podrobnosti v nadaljevanju, a za začetek si poglejmo kako enostavno je pošiljanje “ponarejenih” SMS sporočil.

Pošiljanje SMS sporočil s poljubno identifikacijo pošiljatelja

Pošiljanje SMS sporočil iz “poljubne številke” – v resnici gre za pošiljanje SMS sporočil s spremenjeno identifikacijo pošiljatelja – je pravzaprav otročje lahko, saj za to ni potrebno praktično nikakršno poznavanje tehnologije. Vse, kar mora potencialni napadalec narediti je le, da na internetu poišče ustreznega ponudnika pošiljanja SMS sporočil.

Na spletu je mogoče najti ponudnike, ki oglašujejo pošiljanje tim. ponarejenih SMS sporočil, vendar je cena pošiljanja teh sporočil lahko kar visoka – tudi nekaj EUR na poslano sporočilo. Z malo brskanja po spletu pa lahko najdemo večje ponudnike pošiljanja SMS sporočil, ki svojim strankam omogočajo avtomatizirano pošiljanje velikega števila SMS sporočil preko preprostega spletnega servisa. Te storitve praviloma uporabljajo podjetja, ki preko SMS sporočil svojim strankam pošiljajo različna obvestila, spletne strani, ki svojim uporabnikom preko SMS sporočil posredujejo gesla, itd. Skratka vsi, ki ponujajo različne SMS storitve. Gre za povsem komercialno storitev, ki omogoča avtomatizirano pošiljanje (in tudi sprejemanje) velikega števila SMS sporočil. Cene za poslano SMS sporočilo se seveda razlikujejo, prav tako kvaliteta storitve (predvsem zmogljivost oz. hitrost pošiljanja večje količine SMS sporočil), praviloma pa so cene največ nekaj centov za poslano SMS sporočilo v Slovenijo.

Tako smo na spletu hitro našli ponudnika, ki omogoča pošiljanje SMS sporočil v Slovenijo po ceni 1 cent na sporočilo, ponudnik pa ob brezplačni registraciji vsakemu svojemu uporabniku naloži 2 EUR dobroimetja. Za registracijo je potrebno vpisati veljaven elektronski naslov, kamor nato ponudnik pošlje podatke za aktivacijo računa. To v praksi pomeni, da si potencialni napadalec lahko najprej ustvari anonimen elektronski naslov (in pri tem pazi, da ne razkrije svojega pravega IP naslova), z njim pa se nato registrira pri navedenem ponudniku s čimer pridobi možnost pošiljanja 200 brezplačnih SMS sporočil na mobilne številke slovenskih operaterjev. Za pošiljanje dodatnih SMS sporočil je seveda potrebno na svoj račun nakazati dodatna finančna sredstva, vendar že možnost pošiljanja 200 SMS sporočil napadalcu lahko povsem zadostuje.

Pošiljanje SMS poročil je sicer mogoče na več načinov, najbolj enostaven način pa je pošiljanje preko spletnega API vmesnika. V URL vrstico poljubnega spletnega brskalnika je potrebno vpisati URL naslov, v katerem je “zakodirano” SMS sporočilo, ki ga želimo poslati. Primer (nekoliko zabrisanega) URL naslova je naslednji:

http://ponudnik.com/sms/json?username=xxxxxxxx&password=xxxxxxxxx&from=040111222&to=38631123456&text=To%20je%20SMS%20sporocilo.

Navedeni URL naslov vsebuje naslednje parametre (ločene z znakom &):

• username=xxxxxxxx – gre z uporabniško ime našega uporabniškega računa pri ponudniku za pošiljanje SMS sporočil
• password=xxxxxxxxx – geslo za dostop do našega uporabniškega računa
• from=040111222 – telefonska številka, ki se bo izpisala prejemniku kot pošiljatelj SMS sporočila
• to=38631123456 – telefonska številka prejemnika v mednarodni obliki
• text=To%20je%20SMS%20sporocilo. – vsebina SMS sporočila. Namesto presledkov vpišemo %20.

Z dodatnimi parametri lahko nastavimo tudi tip SMS sporočila in nekatere dodatne možnosti, kot številko pošiljatelja pa lahko vpišemo poljuben niz znakov – torej tudi besedilo. Tako je mogoče poslati SMS sporočilo pri katerem se kot telefonska “številka” pošiljatelja izpiše npr. “DedekMraz” ali “Phreaker“.

SMS sporočilo z lažno identiteto pošiljatelja.

Pošiljanje SMS sporočil s poljubno identifikacijo pošiljatelja je torej povsem enostavno, z malce truda pa ga je mogoče izvesti tudi povsem anonimno. Kako pa vse skupaj v resnici poteka po tehnični plati, pa bomo prikazali na primeru vzpostavljanja govornih klicev s poljubno klicno identifikacijo. Ponudnikov, ki bi omogočali poljubno spreminjanje klicne identifikacije za govorne klice namreč ni mogoče enostavno najti, saj gre – kot bomo pokazali v nadaljevanju – za storitev, ki omogoča resne goljufije.

Kljub temu je potrebno poudariti, da spreminjanje klicne identifikacije samo po sebi ni prepovedano in v praksi se ta tehnologija tudi razmeroma pogosto uporablja. Tipičen primer so različni klicni centri, kjer so telefoni posameznih operaterjev v klicnem centru nastavljeni tako, da se kot njihova klicna identifikacija prikazuje telefonska številka centrale ali npr. vodje centra.

Podoben primer so tudi različne storitve ponudnikov telefonije preko interneta, npr. Vox.io, Skype in podobnih podjetij, ki svojim uporabnikom omogočajo klicanje iz njihove obstoječe mobilne številke preko spleta. Vendar pa omenjena podjetja pred vklopom klicanja s spremenjeno klicno identifikacijo preverijo lastništvo mobilne številke, ki jo uporabnik vpiše kot svojo. To preverjanje poteka npr. tako, da na vpisano številko uporabniku najprej pošljejo SMS z aktivacijsko kodo, ki jo mora uporabnik nato preko spletnega vmesnika prepisati v svoj uporabniški račun. Na ta način ponudniki teh storitev zagotovijo, da telefonska številka, ki se bo prikazovala kot klicna identifikacija pri klicih preko interneta, res pripada njihovemu uporabniku (oziroma, če smo bolj natančni, da je imel v času registracije njihov uporabnik dostop do mobilnega aparata s to številko).

Priprava tehnologije za klicanje s poljubno klicno identifikacijo

Za spreminjanje klicne identifikacije v primeru govornih klicev tako potrebujemo dostop do interneta, ustrezno programsko opremo (programsko telefonsko centralo ter programski telefon) ter povezavo do telefonskega omrežja. Najbolje je, če pridobimo tim. medoperaterski dostop, lahko pa uporabimo kar obstoječi SIP račun pri kakšnem ponudniku internetne telefonije, ki ne filtrira vnosov klicne identifikacije. Edini realni strošek je torej le strošek dostopa do telefonskega omrežja, pa še to ni nujno, saj napadalec lahko vdre v centralo ponudnika telefonije ali pa ukrade SIP račun, npr. z orodjem SIPViciuos. Vsa programska oprema, ki jo bomo uporabili v nadaljevanju pa je na voljo brezplačno.

V nadaljevanju si bomo pogledali nekoliko bolj zapleteno povezavo v telefonsko omrežje, saj želimo spreminjanje klicne identifikacije izvajati čim bolj mobilno (torej iz prenosnega računalnika) in neodvisno od vrste povezave v internet, hkrati pa si želimo zagotoviti anonimnost oz. neizsledjivost.

Za programsko telefonsko centralo lahko izberemo Linux distribucijo Trixbox. Gre za posebej prilagojeno Linux distribucijo v osnovi katere je operacijski sistem Centos 5.5, na katerem teče programska oprema za internetno telefonijo Asterisk ter ustrezni podporni programi za enostavno konfiguracijo in upravljanje telefonske centrale. Vsi programi so odprtokodni in na voljo brezplačno.

Trixbox lahko namestimo v virtualni računalnik. V našem primeru smo za virtualizacijsko okolje izbrali brezplačni in odprtokodni VirtualBox. Gre za posebno programsko opremo, ki znotraj računalnika ustvari virtualni računalnik, na katerega nato lahko namestimo poljuben operacijski sistem.

V našem primeru smo v VirtualBoxu ustvarili računalnik s 512 Mb pomnilnika RAM, 3 GB velikim navideznim trdim diskom in dvema omrežnima vmesnikoma – eden je tipa NAT, drugi pa Host-only Adapter. Razlog zakaj smo uporabili dva omrežna vmesnika je v tem, da na ta način dosežemo, da se virtualni računalnik preko enega vmesnika povezuje v internet, preko drugega pa se lahko v virtualni računalnik povezujemo iz fizičnega računalnika na katerem ta virtualni računalnik teče.

Nastavitve virtualnih omrežnih vmesnikov v Virtualboxu.

Ko v virtualni računalnik namestimo Trixbox je potrebno poskrbeti za povezavo do telefonskega omrežja. Kakšno povezavo do interneta mora imeti naša centrala je odvisno od tipa povezave do našega operaterja telefonije. Če uporabljamo SIP povezavo, je najbolj enostavno imeti statičen in po možnosti neposreden dostop do interneta. Če želimo svojo programsko telefonsko centralo uporabljati čim bolj mobilno (torej se hočemo iz nje do telefonskega omrežja povezovati iz različnih omrežij), jo je v primeru SIP povezave potrebno preko VPN povezave povezati do VPN strežnika, ki ima stalen IP naslov (lahko pa uporabimo tudi STUN strežnik). Prednost VPN povezave je v tem, da jo lahko uporabimo za skrivanje svoje prave identitete, hkrati pa se tudi izognemo prestrezanju naših komunikacij v lokalnem omrežju ali pri našem ponudniku dostopa do interneta. Če uporabljamo IAX2 (Inter-Asterisk eXchange) povezavo, uporaba VPN sicer ni potrebna, razen, če želimo z uporabo VPN dodatno zakriti svojo pravo identiteto.

Če se odločimo za uporabo VPN povezave, lahko uporabimo odprtokodni OpenVPN. Manjša težava je le v tem, da za Trixbox ni na voljo namestitvenega paketa za OpenVPN odjemalca. To pomeni, da je OpenVPN potrebno prevesti in namestiti ročno. Z nekaj malega poznavanja operacijskega sistema Linux je to stvar nekaj (deset) minut. Hkrati je seveda na drugi strani potrebno postaviti (ali uporabiti že obstoječ) OpenVPN strežnik. Za postavitev OpenVPN strežnika svetujemo uporabo Linux distribucije Ubuntu ali Debian, postavitev in konfiguracija strežnika ter odjemalcev pa je mogoča v manj kot eni uri. V našem primeru smo sicer postavili OpenVPN strežnik na zakupljenem virtualnem računalniku, ki ima popolnoma šifrirane trde diske, prav tako ima šifrirane trde diske tudi prenosni računalnik na katerem teče virtualni Trixbox (zakaj je to lahko pomembno bomo videli kasneje v poglavju o sledenju lažnih klicev).

Pri uporabi VPN je smiselno, da VPN povezavo nastavimo tako, da se povezava vzpostavi samodejno ob zagonu Trixboxa. Če uporabljamo SIP povezavo do operaterja, je potrebno v Trixbox-u v nastavitveni datoteki sip_nat.conf nastaviti še naš zunanji (fiksni) IP naslov. Datoteko lahko uredimo preko spletnega vmesnika za upravljanje s Trixbox centralo. V primeru IAX2 povezave to ni potrebno.

Nastavitve Trixboxa pri uporabi prevajalnika omrežnih naslovov (ang. Network Address Translator, NAT) in SIP povezave do operaterja.

Sledi vzpostavljanje povezave do telefonskega omrežja. Vrsta povezave do do telefonskega omrežja je seveda odvisna od tega, kakšno vrsto povezave nam sploh omogoča naš operater internetne telefonije. Pri tem je pomembno, da poiščemo operaterja, ki ne filtrira tim CID vnosov oz. kakorkoli drugače omejuje naše povezave v telefonsko omrežje. Čeprav se to morda na prvi pogled zdi težko, je take operaterje mogoče najti tako v tujini (zlasti v kakšnih azijskih državah), kot tudi v Evropi. V Sloveniji je (bilo) mogoče najti tudi operaterje, ki ne filtrirajo klicne identifikacije niti za svoje končne uporabnike SIP telefonije. V našem primeru smo se do operaterja povezali preko IAX2 povezave.

Povezavo v naši Trixbox centrali vzpostavimo tako, da nastavimo tim. trunk. Med nastavitve je potrebno vpisati IP naslov našega ponudnika medoperaterskega dostopa (tim. host), naše uporabniško ime (username) in geslo (secret).

Nastavitve povezave do našega operaterja.

V naslednjem koraku nastavimo še tim. izhodno povezavo (ang. outbound route), ki določa, da gredo vsi klici iz naše centrale do našega operaterja. Naj dodamo, da v našem primeru nismo nastavljali vhodne povezave, saj dohodnih klicev ne potrebujemo.

Nastavitve izhodne povezave v Trixboxu.

Na koncu na naši virtualni telefonski centrali nastavimo še lokalne telefonske številke (tim. extensions). V našem primeru je lokalna telefonska številka 1000. Na to telefonsko številko se bomo kasneje “povezali” s pomočjo programskega telefona preko SIP protokola.

Sledi konfiguracija programskega telefona SIP. V našem primeru smo uporabili odprtokodni in brezplačni SFL Phone in vanj vpisali nastavitve iz naše virtualne Trixbox centrale.

Ko vse skupaj zaženemo torej povezava poteka takole. Fizični računalnik se v internet povezuje preko žične, brezžične ali mobilne povezave. Virtualna telefonska centrala Trixbox se preko te internetne povezve poveže na VPN strežnik, od tam pa preko našega operaterja preko IAX2 povezave v telefonsko omrežje. Programski telefon SFL Phone pa se preko SIP protokola iz fizičnega računalnika lokalno poveže na virtualno Trixbox centralo.

Shema naše povezave: (1) programski telefon SFL Phone, (2) vmesnik za nastavljanje telefonske centrale, (3) telefonska centrala v virtualnem stroju, (4) šifriran VPN strežnik preko katerega se povezujemo v telefonsko omrežje.

Status povezave telefonske centrale lahko preverimo preko spletnega vmesnika in če je povezava uspešna lahko skušamo opraviti prvi klic. V programskem telefonu SFL Phone vpišemo telefonsko številko v mednarodni obliki (če npr. želimo klicati na mobilno številko 040/123-456 v programski telefon vtipkamo 38640123456) in kliknemo gumb za klicanje. Če se klic vzpostavi, je postavitev telefonske centrale in povezave do operaterja uspešna. Odpremo šampanjec.

Status virtualne telefonske centrale.

Izvedba klicanja s spremenjeno klicno identifikacijo

Če sedaj želimo opraviti klic s spremenjeno klicno identifikacijo, v nastavitvah telefonske centrale med nastavitvami lokalne telefonske številke (ang. extension) kot izhodno klicno identifikacijo (Outbound CID) vpišemo poljubno telefonsko številko v mednarodnem formatu.

Nastavitve prikaza klicne identifikacije za lokalno telefonsko številko.

Če bi se torej klicanemu radi predstavili s klicno identifikacijo npr. 040/999-999, je kot izhodno klicno identifikacijo potrebno vpisati “38640999999” <38640999999>. Nastavitve shranimo in (pomembno!) uveljavimo spremembe na telefonski centrali. Ko bomo naslednjič poklicali na poljubno zunanjo telefonsko številko, se bo kot klicna identifikacija klicatelja izpisala telefonska številka 040999999.

Prikaz prejetih klicev na mobilnem telefonu. V ozadju vmesnik za spreminjanje nastavitev telefonske centrale in programski telefon SFL Phone.

Postopek se sicer da še nekoliko poenostaviti, saj je Trixbox centralo mogoče nastaviti tako, da sprejema dohodne klice, uporabnikom pa omogoča, da s pomočjo telefonskega aparata najprej nastavijo želeno klicno identifikacijo (vtipkajo številko, ki naj se prikaže pri izhodnem klicu), nato pa vnesejo izhodno številko kamor se klic s spremenjeno klicno identifikacijo preusmeri. Na ta način bi bilo mogoče klicanje s spremenjeno klicno identifikacijo izvajati zgolj s telefonskim aparatom, seveda pa bi nekje nekje v ozadju potrebovali ustrezno nastavljeno telefonsko centralo ter vso prej opisano infrastrukturo.

Možnosti napadov

Kot smo torej videli, je klicanje s spremenjeno klicno identifikacijo tehnično povsem mogoče. Kličemo lahko iz poljubne številke, tudi iz lastne ali pa celo povsem izmišljene, npr. 1116.

Dejstvo je, da računalniško generirane podatke ljudje praviloma dojemamo kot zaupanja vredne same po sebi (tim. inherentno zaupanje) in praviloma ne pomislimo na možnost, da so podatki spremenjeni oz. ponarejeni. Ker pa na tej predpostavki pravilnosti in točnosti takšnih podatkov slonijo naše domneve o identiteti klicatelja, ima spreminjanje klicne identifikacije lahko resne posledice.

Poleg različnih možnosti lažnega predstavljanja (v kombinaciji s kakšnimi imitatorji znanih osebnosti bi znalo biti prav zabavno) se je po letu 2002 v ZDA pojavil tudi tim. swatting. V tem primeru gre za to, da napadalci s ponarejeno klicno identifikacijo kličejo na številko za klic v sili oziroma policijo (v ZDA na številko 911) in grozijo, da zadržujejo talce. Policija pa se nato odzove s prihodom specialne enote tim. SWAT (Special Weapons and Tactics), kar seveda povzroči nevšečnosti nič hudega slutečim pravim lastnikom telefonske številke. Od tu tudi izvira izraz swatting.

Na spletni strani Dispatch Magazine On-Line je navedeno nekaj več podatkov o swattingu. Kot pravilno ugotavljajo avtorji prispevka, tehnični ukrepi proti spreminjanju klicne identifikacije niso mogoči, je pa včasih mogoče naknadno ugotavljati izvor klica.

Drugo možnost zlorabe na svojem blogu opisuje Brian Krebs. Napadalci najprej pridobijo dostop do bančnega računa žrtve, nato pa med tem, ko izvajajo bančne transakcije, žrtev zasujejo s klici iz naključno generiranih telefonskih številk. S tem preprečijo, da bi banka, ki zazna sumljive transakcije uspela priklicati svojo stranko ter preveriti veljavnost sumljivih transakcij. Ker so telefonske številke naključno generirane, jih žrtev tudi ne more blokirati. Kot poroča Brian Krebs, je tako storitev na črnem trgu mogoče naročiti za 5 USD na uro oz. za 40 USD na dan.

Znan je tudi primer iz Velike Britanije, kjer so pred kratkim neznani napadalci s pomočjo spremenjene klicne identifikacije izvajali masovno klicanje posameznikov (tudi do 1000 klicev na uro). Napadalci so uporabljali klicne identifikacije obstoječih podjetij ter klicne identifikacije neobstoječih številk (kar je številne klicane osebe prestrašilo), zvezo pa so vzpostavili le do točke, da je klicana številka pozvonila, nato pa prekinili. Domnevno naj bi bil razlog takega početja preverjanje katere telefonske številke sploh obstajajo (tim. pinging), te podatke pa bi napadalci nato lahko prodali marketinškim podjetjem za potrebe nelegalnega oglaševanja.

Kaj pa…?

V nadaljevanju si poglejmo še nekaj podrobnejših pojasnil o sami tehniki spreminjanja klicne identifikacije.

Kaj se zgodi, če pokličemo nazaj?

Kot smo torej videli, je klicanje s spremenjeno klicno identifikacijo povsem mogoče. Kaj pa se zgodi, če klicana oseba pokliče nazaj na to številko (torej na številko, ki jo telefonski aparat pridobi iz spremenjene klicne identifikacije)?

Preprosto – klic se bo zaključil pri pravem lastniku telefonske številke, torej pri osebi, ki je pravi lastnik te telefonske številke. Če številka ne obstaja, bo omrežje seveda javilo, da številka ne obstaja. Prav tako strošek klica s spremenjeno klicno identifikacjo v nobenem ne bremeni pravega lastnika telefonske številke, niti se klicana številka ne zabeleži med njegovimi odhodnimi klici. V primeru, da torej sumimo, da smo žrtev lažne klicne identifikacije, lahko preprosto prekinemo klicno zvezo in pokličemo nazaj – dobili bomo pravega lastnika telefonske številke.

Ali je tak klic mogoče izslediti?

Na kratko: teoretično da, a tudi to ne vedno, v praksi pa zelo težko. Napadalec se namreč z nekaj triki lahko dobro prikrije. Klic je namreč potrebno najprej izslediti do izvornega operaterja, ki je napadalcu omogočil medoperaterski dostop, nato pa še preko interneta do dejanskega napadalca. Sledenje izvornemu operaterju je mogoče izvesti tako, da se pri končnem operaterju (torej operaterju žrtve napada) skuša ugotoviti od kje (od katerega operaterja) je prišel originalen klic.

Posredovanje klicev med operaterji lahko poteka na dva načina. V prvem primeru, npr. neki manjši operater A pri večjem ponudniku telefonije B zakupi nek nabor telefonskih številk, posredovanje klicev pa nato poteka preko tega večjega operaterja. V primeru klica od operaterja A preko B do končnega operaterja C, bi končni operater C videl, da je klic prišel od operaterja B. Preiskovalci bi nato morali iti do operaterja B in pri njem pridobiti podatke od kje so prišli klici iz njegovega omrežja. Pri tem je potrebno vedeti, da ni nujno, da operater B hrani prometne podatke o klicih, ki jih posreduje, saj za te klice hramba prometnih podatkov ni obvezna.

Druga možnost je, da ponudnik telefonije sklene neposredno pogodbo z mednarodnimi ponudniki (tim. agregatorji). V tem primeru končni operater vidi le, da je klic prišel iz tujine, ne pa tudi od katerega konkretnega operaterja. Podatke za sledenje je torej potrebno iskati pri agregatorju. Poleg tega gredo pri kakšnih “sivih” ponudnikih telefonije povezave pogosto preko različnih posredniških operaterjev, zato je sledenje izvora takega klica zelo težavno, če že ne povsem nemogoče. Ponudniki na mednarodnem trgu namreč ponujajo povezave različnih kvalitet in povezave, ki so zelo poceni so navadno preusmerjene preko različnih držav in različnih ponudnikov.

Podatki o klicu pri končnem operaterju izgledajo približno takole (primer izpisa iz Asterisk telefonske centrale):

From: “031xxxxxx” <sip:031xxxxxx@91.xxx.xxx.xxx>;tag=epKK8N443v7Hg
To: <sip:386xxxxxxxx@77.xxx.xxx.xxx:5060>
Call-ID: e34e06b6-b7c7-122f-bf9c-00163e62e8ec
CSeq: 22852192 INVITE
Contact: <sip:mod_sofia@91.xxx.xxx.xxx:5070>
User-Agent: MegaTel
P-Asserted-Identity: “031xxxxxx” <sip:031xxxxxx@91.xxx.xxx.xxx>

V prikazanem primeru med podatki o klicu lahko zasledimo več polj. Kot smo pokazali, je polje From mogoče enostavno ponarediti. Eno izmed polj, ki nam omogoča ugotavljanje prave identitete klicatelja pa je polje P-Asserted-Identity. Gre za polje, ki vsebuje podatek o originalnem klicatelju in na podlagi tega podatka bi bilo mogoče relativno hitro identificirati izvornega operaterja. Vendar pa se je potrebno zavedati, da se ta podatek med posredovanjem klica praviloma ne pošilja končnemu operaterju – uporablja se namreč samo med tim. zaupanja vrednimi omrežnimi vrstniki (ang. trusted peer). Poleg tega ga posredniški operaterji lahko tudi odstranijo ali spremenijo.

Če smo torej uspeli izslediti klic do izvornega operaterja, pa s tem še nismo na cilju. V drugem koraku je namreč potrebno izslediti klicatelja, torej osebo, ki se je preko internetne povezave do izvornega operaterja povezala v telefonsko omrežje. To je mogoče storiti preko denarnih nakazil ali preko IP naslova preko katerega se je napadalec povezal na svojega ponudnika telefonije.

Napadalec se sledenju denarnega nakazila lahko izogne tako, da storitve svojemu ponudniku telefonije ne plača s pomočjo kreditne kartice, pač pa preko poštne nakaznice, PayPala ali celo s pomočjo virtualnega denarja BitCoin. Ali pa preprosto uporabi ukradeno kreditno kartico.

Ostane torej še sledenje na podlagi IP naslova. V našem primeru bi preiskovalci uspeli ugotoviti, da je bila IAX2 povezava vzpostavljena iz IP naslova našega VPN strežnika. Kot smo omenili na začetku, ima lahko VPN strežnik šifrirane diske. Forenzična analiza vsebine strežnika torej ni mogoča, v primeru, da napadalec za VPN povezavo uporablja posredniške strežnike ali anonimizacijsko omrežje Tor, pa tudi ni mogoče izslediti pravega IP naslova napadalca. Napadalec sicer lahko za skrivanje svoje identitete uporablja dodatne trike, kot npr. anonimni zakup lastnega bloka IP naslovov in spreminjanje serijske številke svojega omrežnega vmesnika, o čemer pa morda v kakšnem prihodnjih prispevkov. Prav tako je tudi zakup VPN strežnika mogoče plačati anonimno.

Zaključimo torej lahko, da se napadalec z nekaj znanja in spretnosti lahko dobro prikrije pred preiskovalci in posledično popolnoma anonimno izvaja telefonske klice s spremenjeno klicno identifikacijo. Ostane pa še vprašanje, kateri podatki o takšnih klicih se na podlagi obvezne hrambe prometnih podatkov hranijo v zbirki prometnih podatkov, ki jo za potrebe preiskovanja kaznivih dejanj vzdržujejo operaterji.

Kaj pa obvezna hramba prometnih podatkov?

Vsako komunikacijo lahko delimo na dva dela – vsebino komunikacije in prometne podatke. Pri telefonskem pogovoru je vsebina komunikacije sam zvočni zapis pogovora, prometni podatki (ali dejstva o okoliščinah komunikacije) pa so telefonska številka klicočega, telefonska številka klicanega, čas začetka in konca pogovora, v primeru mobilne telefonije morda še lokacija obeh udeležencev, itd.

Leta 2006 sprejeta Direktiva o obvezni hrambi prometnih podatkov 2006/24/ES od operaterjev zahteva obvezno hrambo prometnih podatkov telefonskih in internetnih komunikacij. V Sloveniji je direktivo implementiral Zakon o elektronskih komunikacijah (ZeKOM) s katero je bila uveljavljena obvezna hramba prometnih podatkov tudi pri nas.

Hramba prometnih podatkov je vsekakor sporna iz stališča človekovih pravic – zlasti zasebnosti – kritiki pa s(m)o opozarjali tudi na pravno spornost tega ukrepa ter na dejstvo, da je ta ukrep razmeroma neučinkovit.

Nemški inštitut Max Planck je namreč v študiji, ki so jo leta 2011 opravili po naročilu nemškega pravosodnega ministrstva ugotovil, da hramba prometnih podatkov ne pripomore k večji preiskanosti kaznivih dejanj, niti nima preventivnih učinkov. Vprašanje je torej ali je obvezna hramba prometnih podatkov smiselna tako iz vidika učinkovitosti boja proti kriminalu kot tudi iz stališča varstva človekovih pravic.

Ker torej mobilni operaterji hranijo prometne podatke svojih strank, sem 27. februarja 2012 Simobil zaprosil za izpis lastnih prometnih podatkov (seznam odhodnih, dohodnih in neuspešnih dohodnih in neuspešnih odhodnih klicev) za obdobje od 13. februarja 2012 do 28. februarja 2012 – torej v času, ko se je izvajalo testiranje klicanja s spremenjeno klicno identifikacijo.

Po ZeKOM-u morajo operaterji komunikacij hraniti naslednje prometne podatke:

• podatke, potrebne za odkritje in prepoznanje vira komunikacije (telefonsko številko kličočega ter ime in naslov naročnika ali registriranega uporabnika);
• podatke, potrebne za prepoznanje cilja komunikacije (klicano telefonsko številko in v primerih, ki vključujejo dodatne storitve, kot je preusmeritev ali predaja klica, številko ali številke, na katere je klic preusmerjen, ime in naslov naročnika ali registriranega uporabnika);
• podatke, potrebne za ugotovitev datuma, časa in trajanja komunikacije (datum ter čas začetka in trajanje ali čas konca komunikacije);
• podatke, potrebne za ugotovitev vrste komunikacije (vrsto uporabljene telefonske storitve);
• podatke, potrebne za razpoznavo komunikacijske opreme uporabnikov (kličočo in klicano telefonsko številko, mednarodno identiteto mobilnega naročnika kličoče in klicane stranke, mednarodno identiteto mobilnega terminala kličoče in klicane stranke, v primeru predplačniških anonimnih storitev pa datum in čas začetka uporabe storitve ter ID celice, kjer je bila storitev izvedena).

Hraniti je potrebno tudi podatke o neuspešnih klicih.

Podatki iz te zbirke so na podlagi 107.č člena ZEKom dostopni preiskovalnim organom na podlagi sodne odredbe. Vendar pa posameznik v skladu s 30. členom Zakona o varstvu osebnih podatkov (ZVOP-1) od upravljavca zbirke osebnih podatkov lahko zahteva izpis svojih lastnih osebnih podatkov. Konec koncev gre pri pravici do vpogleda v lastne osebne podatke tudi za ustavno pravico, saj 38. člen Ustave RS določa, da ima vsakdo pravico seznaniti se z zbranimi osebnimi podatki, ki se nanašajo nanj. Ker 6. člen ZVOP-1 določa, da je osebni podatek katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen, so torej prometni podatki o klicih tudi osebni podatki.

Seveda je pri posredovanju osebnih podatkov potrebno biti pozoren tudi na varstvo pravic tretjih oseb, kar pomeni, da je potrebno poskrbeti za ustrezno anonimizacijo klicočih številk. Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij v 33. členu določa, da lahko države članice od izvajalcev zahtevajo, da ponudijo svojim naročnikom takšno obliko razčlenjenega računa, v katerem je izbrisano določeno število števk klicane številke. Zato slovenski operaterji številke na razčlenjenem računu naročnikom posredujejo na voljo v obliki, ki ne vsebuje prikaza zadnjih treh števk klicanih številk. In po isti logiki lahko operaterji na enak način zabrišejo tudi podatke o klicočih številkah iz zbirke prometnih podatkov, ki jih na podlagi ZVOP-1 posredujejo posameznikom.

Na podlagi zahteve za izpis prometnih podatkov mi je Simobil 8. marca 2012 posredoval izpispodatkov o dohodnih in odhodnih klicih. Na izpisku se nahaja samo seznam klicev, kjer je bila zveza vzpostavljena, saj naj Simobil po ustnem zagotovilu zaposlenih na naročniškem odelku ne bi beležil podatkov o neuspešnih klicih. Pri tem se sicer postavlja vprašanje ali to morda ni v nasprotju s 3. odstavkom 107.a člena ZeKOM, ki določa tudi hranjenje “podatkov o neuspešnih klicih, kjer jih operater ustvari ali obdela ter hrani ali beleži pri zagotavljanju z njimi povezanih javnih komunikacijskih storitev, ne vključuje pa hrambe podatkov o povezavah, ki niso bile uspešno vzpostavljene” (torej o klicih, kjer telefon klicane osebe zvoni, vendar klicana oseba ne sprejme klica).

Kakorkoli že, pri testiranju klicanja s spremenjeno klicno identifikacijo sem 25. februarja 2012 zvečer večkrat zaposredno klical na svoj mobilni telefon s spremenjenimi klicnimi identifikacijamo: 040/111-111, 040/222-222, 040/333-333, 040/444-444, 040/555-555, 040/666-666, 040/777-777, 040/888-888 in 040/999-999. Pri klicih identifikacijo 222-222, 444-444, 666-666 ter 888-888 pa sem tudi vzpostavil zvezo za nekaj sekund.

Izpisek prometnih podatkov iz Simobila.

Iz Simobilovega izpiska se – kljub temu, da so zadnje tri števke klicoče številke zabrisane – jasno vidijo vzpostavljeni klici iz navedenih dohodnih številk v času od 23:41 do 23:46. To torej pomeni, da operater dejansko zabeleži klicno identifikacijo, ki jo nastavimo sami in ne prave klicne identifikacije.

Izpisek seznama dohodnih klicev 25. februarja 2012 zvečer.

Sklep

Če torej zaključimo, smo lahko videli, da klicanje s pomočjo spremenjene klicne identifikacije tehnično in v praksi vsekakor je mogoče, prav tako je mogoče na mobilne telefone pošiljati SMS sporočila s spremenjeno identifikacijo pošiljatelja. Postopek smo preizkusili pri več slovenskih operaterjih fiksne, mobilne in internetne (VoIP) telefonije in postopek vsekakor deluje.

Prikaz prejetih klicev na telefonu v omrežju slovenskega VoIP operaterja. Postopek preverjeno deluje pri več različnih slovenskih operaterjih mobilne, VoIP in fiksne telefonije.

Še več. Kot smo prikazali, je klicanje in pošiljanje SMS sporočil z uporabo spremenjene klicne identifikacije mogoče izvajati povsem anonimno oziroma neizsledljivo, sama izvedba opisanih postopkov pa ni preveč tehnično zahtevna, predvsem pa ne zahteva kakšnih večjih finančnih sredstev.

Kljub temu je potrebno poudariti, da v resnici ne gre za kakšno veliko odkritje. Tehnologija spreminjanja klicne identifikacije je v uporabi že desetletja, seveda za legitimne namene in v razmeroma kontroliranih okoliščinah (ko npr. klicno identiteto nastavi operater za svoje stranke oz. to storitev ponujajo ponudniki telefonije preko interneta).

Tehnologija klicne identifikacije je v tem smislu pravzaprav zelo analogna tehnologiji identifikacije pošiljatelja pri pošiljanju elektronske pošte. Tudi pri pošiljanju elektronske pošte preko SMTP protokola je mogoče poljubno nastavljati poštno identiteto pošiljatelja (tim. from address). Res pa je, da mnogo sodobnih poštnih strežnikov takih sprememb ne dopušča, saj je bila možnost poljubnega nastavljanja identitete pošiljatelja elektronske pošte v preteklosti pogostokrat zlorabljena za pošiljanje nezaželene elektronske pošte (tim. spam). Poleg tega se med spremljevalne podatke elektronskega sporočila zapišejo tudi IP naslovi vseh posredniških poštnih strežnikov, zato je sledenje izvoru elektronskega sporočila nekoliko enostavnejše kot sledenje klicev med centralami.

Kljub temu, da ne gre za kakšno posebno odkritje, pa so posledice možnosti, ki jih omogoča spreminjanje klicne identifikacije lahko zelo resne. Kot smo namreč prikazali, končni operater beleži spremenjeno klicno identifikacijo in to tudi v zbirki prometnih podatkov. Zato se zastavlja povsem legitimno vprašanje: kaj vse skupaj pomeni za kazenski postopek, obvezno hrambo prometnih podatkov in boj proti kriminalu?

Prispevek je bil objavljen tudi na spletišču Slo-Tech.com pod naslovom Spreminjanje klicne identifikacije 101.

Dodatek iz dne 20. marca 2012

Kot kaže je  v članku omenjeni prispevek g. Vinka Gorenaka ni več dostopen na njegovem blogu. Izginulo kopijo besedila na blogu smo sicer našli v Googlovem predpomnilniku (tim. Google cache), objavljamo pa tudi PDF z izginulim besedilom, ki smo ga pridobili iz Googlovega predpomnilnika.

Obvestilo, da spletna stran na vinkogorenak.net ne obstaja.

Kljub temu je bilo besedilo objavljeno na spletni strani mogoče še nekaj časa najti.

Spletna stran je bila še nekaj časa vidna v tim. Google cache-ju.

V prispevku so izpostavili problematičnost zaupanja digitalnim dokazom. Dejstvo je, da se na sodiščih danes že rutinsko uporabljajo prometni podatki, ki jih beležijo ponudniki dostopa do interneta ter različni strežniki in druge omrežne naprave, podatki iz mobilnih telefonov, podatki iz digitalnih nadzornih videokamer, itd. Tudi pri digitalni forenziki digitalne dokaze išče in analizira različna programska oprema, saj je podatkov pogosto preveč, da bi jih lahko ročno, brez pomoči programov pregledal posamezni preiskovalec.

Težava, ki so jo izpostavili raziskovalci v svojem članku je, da sodišča digitalne dokaze, zlasti računalniško generirane digitalne dokaze praviloma dojemajo kot zaupanja vredne same po sebi (avtorji uporabljajo izraz inherently trustworthy evidence).

To ima posledice tudi na sam sodni postopek, saj imajo na (kazenskem) sodišču obtoženci oz. obramba pravico so soočenja s tožniki in (navzkrižnega) zaslišanja prič. Pri tem se postavlja zanimivo vprašanje, kaj storiti, če je »priča« računalnik oz. programska oprema? Čeprav se vprašanje na prvi pogled morda zdi akademsko, velja opozoriti na zanimiv sodni primer v ZDA State v. Chun (Supreme Court of New Jersey A-96-06, Docket No. 58,879), kjer je v sodnem postopku je pritožnica oporekala rezultatom testa alkoholiziranosti zaradi možnih napak v programski opremi elektronskega etilometra.

Pritožnica je zahtevala preveritev zanesljivosti delovanja elektronskega alkotesta Draeger Alcotest 7110 MKIII-C. Pridobili so izvorno kodo naprave in jo predali v analizo neodvisnemu podjetju Base One Technologies. Podjetje je v programski kodi naprave odkrilo 19.400 potencialnih napak, med njimi devet takšnih, ki bi lahko bistveno vplivale na rezultate meritve. Med drugim se je tudi izkazalo, da je naprava na precej nenavaden način izračunavala povprečje meritev,  saj je to počela na način, da je imela ena meritev veliko večji vpliv kot ostale. Vrhovno sodišče ZDA v konkretnem primeru sicer ni razveljavilo veljavnosti meritev alkoholiziranosti, je pa od proizvajalca zahtevalo odpravo napak v programski opremi elektronskega alkotesta.

Na problem zaupanja digitalnim dokazom bomo opozorili tudi v tem prispevku in sicer na primeru digitalnih dokazov na SIM kartici. Najprej pa nekaj osnov.

Nekaj osnov o SIM karticah

SIM kartica je tim. pametna kartica (vsebuje mikroprocesor), ki vsebuje podatke za avtentikacijo in avtorizacijo uporabnika mobilnega telefona v mobilnem omrežju. Vsebuje naslednje podatke:

• ICCID številko,
• IMSI številko,
• avtentikacijski šifrirni ključ (Ki),
• Local Area Identity (LAI),
• številke za klic v sili (specifično za vsakega operaterja),
• ostale podatke za prenos podatkov med operaterjem in naročnikom, kot npr. SMSC (Short Message Service Center) številko, Service Provider Name (SPN), Service Dialing Numbers (SDN), itd.

Poleg tega SIM kartica vsebuje še:

• PIN in PUK kodo,
• avtenikacijski algoritem,
• algoritem generiranja šifrirnih ključev A8,
• šifrirni ključ Kc, ki izvira iz Ki ključa,
• logične kontrole za kontrolo dostopa do podatkov na kartici,
• prostor za uporabniške podatke.

ICCID oz. serijska številka SIM kartice

ICC-ID (Integrated Circuit Card ID) številka je identifikacijska številka SIM kartice. Shranjena je v sami SIM kartici, je pa tudi natisnjena oz. vgravirana na njeni površini. ICCID se generira v procesu tim. »personalizacije« SIM kartice. Številka je dolga 19 (za Phase 2 SIM kartice) ali 20 (za Phase 1 SIM kartice) znakov, sestavljena pa je iz naslednjih elementov, ki temeljijo na ISO/IEC standardu 7812:

• identifikacijska številka izdajatelja (največ 7 cifer: prva dva znaka: Major Industry Identifier (MII) (za področje telekomunikacij je koda 89) / naslednji eden do trije znaki: oznaka države (za Slovenijo 386) / preostanek: identifikacija izdajatelja (npr. 40 za Simobil);

• identifikacijska številka kartice (do 12 znakov: številka »računa« (account identification number) / en znak: kontrolna vsota izračunana po Luhnovem algoritmu).

IMSI in TMSI številka

IMSI številka služi kot identifikator naročnika v GSM omrežju. Identifikator telefonskega aparata pa je IMEI številka (International Mobile Equipment Identity), gre za neke vrste serijsko številko mobilne naprave (telefona).

IMSI številka je zapisana na SIM kartici. Na podlagi IMSI številke se mobilni uporabnik predstavi mobilnemu omrežju, omrežje pa mu »dodeli« naročniško telefonsko številko. Zaradi možnosti prisluškovanja in sledenja uporabnikom naj bi se IMSI številka po omrežju prenašala čim redkeje. Namesto nje se prenaša naključno generirana TMSI številka. IMSI se prenese preko omrežja v trenutku, ko se telefon vključi ali ko je potrebno obnoviti povezavo med IMSI in TMSI (oz. generirati nov TMSI). TMSI številka je omejena na lokacijsko območje, kar pomeni, da je potrebno nov TMSI generirati vsakič, ko se mobilni uporabnik premakne v novo lokacijsko območje. Lokacijska območja tvori ena ali več baznih postaj. Vsako lokacijsko območje ima svojo lastno kodo lokacijskega območja, kodo pa v intervalih oddajajo posebne bazne postaje in sicer tim. »base transceiver station« ali BTS v GSM omrežjih oziroma Node B v UMTS omrežjih.

Prve tri cifre IMSI številke označujejo kodo države – Mobile Country Code (MCC), sledita dva znaka (po evropskem oziroma trije znaki po severnoameriškem standardu) za oznako omrežja – Mobile Network Code (MNC). Preostanek je identifikacijska številka uporabnika – Mobile Subscriber Identification Number (MSIN). Mobile Country Code (MCC) koda za Slovenijo je 293. Oznaka 901 je oznaka za International Shared Codes. 901 08 služi za za identifikacijo telefona brez SIM kartice (za klice v sili). Naj dodamo, da v nekaterih državah ni mogoče opraviti klica v sili zgolj s telefonom, torej brez kakršnekoli SIM kartice.

Avtentikacijski šifrirni ključ (Ki)

Avtentikacijski šifrirni ključ ali Ki je 128-bitna spremenljivka, ki služi za avtentikacijo SIM kartice mobilnemu omrežju. Ki je unikaten in določen v procesu personalizacije. Shranjen je na SIM kartici in v podatkovni bazi mobilnega operaterja, v tim. Home Location Registru (HLR). Ki ključa ni mogoče izpisati, pač pa ima SIM kartica posebno funkcijo RUN GSM ALGORITHM, ki telefonu omogoča, da SIM kartici pošlje podatke, le-ta pa jih podpiše s Ki ključem.

Zaradi tega se uporabi SIM kartice v GSM omrežju ni mogoče izogniti, saj je SIM kartica nujno potreben element GSM omrežja. Zaradi slabe varnostne zasnove je bilo stare SIM kartice mogoče razmeroma enostavno klonirati oz. prekopirati Ki šifrirni ključ. To je bilo mogoče preko radijske povezave v nešifriranih omrežjih (več informacij o tem v članku GSM Cloning avtorjev Iana Goldberga in Marca Bricena iz leta 1998). Druga možnost je fizični dostop, kjer napadalec SIM kartici pošila poizvedbe (tim. challenge) in v cca. 4 do 8 urah iz nje izlušči Ki ključ (pri tem procesu je obstajala tudi cca. 40% verjetnost poškodovanja oz. uničenja kartice). Pri novejših SIM karticah je kloniranje bistveno težje.

Pomembno je tudi vedeti, da lahko napadalec, ki pridobi dostop do Ki ključa oz. SIM kartice, dešifrira pogovore med mobilnim aparatom in omrežjem. V primeru, da se ne uporablja tim. poudarjena zaupnost (ang. perfect forward secrecy), je mogoče pogovore dešifrirati tudi za nazaj (v primeru, da bi napadalec snemal GSM pogovore žrtve, in bi nato kasneje pridobil SIM kartico, bi lahko za nazaj dešifriral vse šifrirane pogovore).

Local Area Identity (LAI)

Vsako lokacijsko območje ima svojo unikatno identifikacijsko številko, ki je sestavljena iz:

• E.212 mobilne oznake države (tri cifre, 293 za Slovenijo);
• oznake mobilnega omrežja (Mobile Network Code – MNC, dva znaka, npr. 40 za Simobil);
• oznake lokacijskega področja (Location Area Code, 5 znakov).

Podatke o lokaciji (Mobile Country Code, Mobile Network Code ter Local Area Code) oddaja mobilno omrežje na tim. Broadcast Control kanalu (BCCH). Mobilni telefon pa LAI številko shrani v SIM kartico. Ob spremembi lokacijskega območja, se podatek obnovi.

* * *

Če torej na kratko povzamemo, SIM kartica skrbi za avtentikacijo uporabnika v omrežju, na SIM kartici je shranjen šifrirni ključ, ki omogoča šifriranje pogovorov med mobilnim aparatom in bazno postajo v GSM omrežju, poleg tega pa je na SIM kartico mogoče shranjevati tudi določene uporabniške podatke. Najpomembnejši med njimi so seznam kontaktov uporabnika (tim. telefonski imenik) in SMS sporočila. Nekateri starejši mobilni telefoni pa so na SIM kartico shranjevali tudi zadnje klicane številke. Naj dodamo, da novejši mobilni telefoni uporabniških podatkov na SIM kartico praviloma ne shranjujejo, pač pa se ti podatki shranjujejo v telefon.

Branje uporabniških podatkov iz SIM kartice

V okviru forenzične preiskave SIM kartice iz le-te navadno želimo prebrati nekaj osnovnih identifikacijskih podatkov SIM kartice (npr. IMSI številko in ICCID številko) ter seznam kontaktov, SMS sporočila ter zadnje klicane številke.

Za branje teh podatkov iz SIM kartice potrebujemo PIN ali PUK kodo (razen, če PIN koda ni blokirana). Če PIN kode nimamo, je mogoče PUK kodo pridobiti od operaterja, v tem primeru je operaterju potrebno sporočiti ICCID serijsko številko, ki je natisnjena na SIM kartici. Poleg tega potrebujemo ustrezno strojno (čitalec SIM kartic) in programsko opremo.

Analiza SIM kartice z USB čitalcem.

Strojna oprema za branje vsebine SIM kartic je razmeroma poceni. USB čitalec SIM kartic lahko naročimo preko spleta (cena je slabe 3 EUR), lahko pa si ga celo izdelamo sami. Načrti za preprost čitalec SIM kartic so dostopni na spletni strani ameriške elektroinženirke Limor Fried na naslovu http://ladyada.net/make/simreader/index.html.

Čitalec SIM kartic.

Na tej spletni strani se nahaja tudi odprtkodna in brezplačna programska oprema za branje vsebine SIM kartic PySIMReader. Program lahko namestimo na računalnik z Linux, Windows ali Mac operacijskim sistemom (potrebujemo nameščen programski paket Python in knjižnici pySerial ter wxPython).

Uporaba programa je preprosta. Po zagonu se odpre glavno okno, kjer lahko izbiramo med branjem telefonskega imenika ali SMS sporočil oziroma iz menija izberemo možnost branja identifikacijskih podatkov SIM kartice, seznam zadnjih klicanih številk ali pa spremenimo oziroma blokiramo PIN kodo.

Programska aplikacija PySIMReader.

Program omogoča, da si iz SIM kartice prebrana SMS sporočila ogledamo v oknu, omogoča pa tudi prikaz izbrisanih SMS sporočil (v kolikor seveda še niso bila prepisana z drugimi podatki). Pri vsakem SMS sporočilu lahko spremenimo njegov status (read / unread / deleted : prebrano / neprebrano / izbrisano). Sporočila lahko tudi izvozimo v tekstovno datoteko. Na podoben način lahko v tekstovno datoteko izvozimo tudi kontakte iz telefonskega imenika. Naj dodamo, da smo aplikacijo testirali z več različnimi SIM karticami, pri nekaterih SIM karticah operaterja Mobitel pa je v programu prišlo do napake in branje ni bilo mogoče.

Informacije o SIM kartici.

Pregled SMS sporočil.

Branje telefonskega imenika.

Ponarejanje digitalnih dokazov na SIM kartici

Aplikacija PySIMReader pa omogoča tudi zapisovanje podatkov na SIM kartico. Postopek je enostaven. V oknu, ki omogoča prikaz SMS sporočil v meniju File izberemo možnost Import. Izberemo tekstovno datoteko z SMS sporočili in program sporočila zapiše na kartico.

Urejanje tekstovne datoteke z SMS sporočili.

Urejanje posameznega SMS sporočila.

Seveda pa tekstovno datoteko pred tem lahko poljubno urejamo. Struktura datoteke z SMS sporočili je namreč zelo enostavna, saj vsebuje polja datum, konktakt pošiljatelja, številko operaterjevega centra za posredovanje sporočil ter vsebino sporočila (Date, From, SerivceCenter, Message). V navedena polja lahko vpišemo poljubne podatke (seveda morajo biti v ustreznem formatu), datoteko shranimo in jo prenesemo (zapišemo) na SIM kartico. Program PySIMReader sicer omogoča tudi neposredno urejanje vsebine sporočila in pošiljateljevega kontakta za vsako posamezno sporočilo posebej.

Če sedaj SIM kartico vstavimo v telefon, bodo prikazana ponarejena SMS sporočila. V prvem primeru smo izdelali SMS sporočilo iz prihodnosti (iz 15. oktobra 2014), v drugem primeru pa je pošiljatelj (njegovi podatki so ponarejeni) 12. januarja 2001 poslal »napoved« terorističnih napadov na WTC 11. septembra 2001.

Ponarejeno SMS sporočilo iz preteklosti...

... in ponarejeno SMS sporočilo iz prihodnosti.

Mimogrede, v primeru novejših telefonov je SMS sporočila je iz SIM kartice mogoče tudi prenesti in shraniti na telefon. Ponarejanje digitalnih dokazov v mobilnih telefonih (zlasti tim. pametnih telefonih) je sicer tudi mogoče in bo morda opisano v kakšnem drugem prispevku.

SMS sporočila prenesena iz SIM kartice na pametni telefon.

V primeru kazenske preiskave bi preiskovalci (verjetno) pregledali tudi prometne podatke pri operaterju. V primeru, da bi se izkazalo, da je na SIM kartici shranjeno SMS sporočilo, prometni podatki pri operaterju pa ne bi potrjevali, da je bilo SMS sporočilo zares poslano, bi bil to lahko že indic, da je vsebina SIM kartice morda ponarejena. Prometni podatki se v skladu z ZeKOM sicer hranijo 14 mesecev.

Težava pa je, če bi napadalec vzel obstoječe SMS sporočilo in mu spremenil samo vsebino, prometne podatke (kontakt pošiljatelja in datum ter čas pošiljanja sporočila) pa bi pustil nespremenjene. V tem primeru bi prometni podatki pri operaterju potrjevali, da je bilo sporočilo res poslano, forenzična analiza SIM kartice pa bi razkrila vsebino, za katero ne bi bilo mogoče ugotoviti ali je resnična ali morda ponarejena. (Pri tem se postavlja zanimiva analogija s pogovorom, kjer operater tudi zabeleži prometne podatke, ne pa tudi vsebine pogovora. V tem primeru je s pomočjo prometnih podatkov mogoče potrditi dejstvo obstoja komunikacije, vsebina pa je stvar izjav oseb, ki so bile udeležene v komunikaciji. Zanimivo je, da je v primeru SMS sporočil, katerih vsebina je shranjena, stopja zaupanja v resničnost vsebine SMS komunikacije bistveno višja kot v primeru govorne komunikacije, ki se ne shranjuje.)

Podobne zagate povezane s slepim zaupanjem digitalnim in računalniško generiranim podatkov izvirajo tudi iz možnosti pošiljanja ponarejenih SMS sporočil preko GSM omrežja, kar bo sicer stvar naslednjega prispevka. Le na kratko – zasnova GSM omrežja omogoča, da napadalec poljubnemu uporabniku mobilne telefonije pošlje SMS sporočilo iz poljubne telefonske številke (tudi iz njegove lastne). Prejemnik torej dobi SMS sporočilo s spremenjeno (ponarejeno) identifikacijo pošiljatelja. Podobno spreminjanje klicne identifikacije je mogoče tudi v primeru govornih klicev – torej je mogoče klicanje na način, da se klicani osebi na telefonskem aparatu izpiše poljubna telefonska številka. A kot rečeno o tem v enem prihodnjih prispevkov.

Sklep

V današnjem času – še bolj pa bo to veljalo v prihodnosti – je sodiščem predloženih čedalje več dokazov v digitalni obliki. Za razliko od drugih vrst dokazov pa sodišča (in enako velja za preiskovalce) digitalne dokaze, zlasti računalniško generirane, preveč samoumevno dojemajo kot zaupanja vredne, nepristranske in zanesljive. Da temu ni tako, smo pokazali na primeru forenzične analize SIM kartic. Stroški za to so minimalni, digitalne dokaze pa je mogoče ponarediti v nekaj minutah. Podobno velja tudi na drugih področjih – na področju preiskovanja računalnikov, mobilnih telefonov in drugih naprav, lahko celo v primeru datotek aktivnosti pri ponudnikih storitev, operaterjih in drugih tim. neodvisnih tretjih strankah.

Dejstvo namreč je, da računalniki že dolgo časa niso več zgolj »stroji« (že sama beseda stroj predpostavlja razmeroma zanesljivo, mehansko napravo), ki bi jim veljalo slepo zaupati. Pri obravnavi digitalnih in računalniško generiranih dokazov bi bilo namreč potrebno vedno pomisliti tudi na možnost, da so spremenjeni in se znebiti predpostavk na katerih temelji zaupanje vanje.

Gre seveda za enega največjih računalniških poslov z javno upravo, v javnost pa je takrat pricurljalo nekaj podatkov, da naj bi bil razpis pisan na kožo samo določenim podjetjem, oziroma naj bi razpisni pogoji vsebovali zahtevo po uporabi točno določenih tehnologij (konkretno naj bi zahtevali uporabo tehnologije podjetij IBM in Oracle), kar sproža sum kršitve načela enakih možnosti. Del zgodbe zagotovo predstavlja tudi zakulisne boje različnih ponudnikov informacijskih storitev. Žal pa je ob vsem skupaj večina javnosti kar nekako spregledala dejstvo, da pri informatizaciji zdravstva ne gre zgolj za še eno izmed afer, kakšnih smo v Sloveniji že vajeni, pač pa da odlašanje z ustrezno in kvalitetno informatizacijo v zdravstvu ogroža človeška življenja. In to ne v prenesenem pomenu.

Mednarodna skupina strokovnjakov razvija odprtokodni zdravstveni informacijski sistem Medical, ki je usmerjen v zdravstveno varstvo na primarni ravni, soroden odprtokodni projekt Hospital pa je namenjen informatizaciji bolnišnic.

Februarja letos je bil v okviru Ministrstva za zdravje predstavljen Državni program obvladovanja raka v Sloveniji 2010 – 2015. Program na področju informatike predlaga standardizacijo zdravstvene dokumentacije, prehod na elektronsko vodenje vse zdravstvene dokumentacije ter vključitev Registra raka RS v elektronske povezave. Program daje poseben poudarek vzpostavitvi enotnega informacijskega sistema, ki bo omogočal tudi ustrezen finančni in organizacijski nadzor, npr. analizo čakalnih dob, vpogled v izkoriščenost opreme in obremenitve kadrov, analizo stroškov, itd..

Dokument na 40 straneh vsekakor navaja vrsto ugotovitev, ki jim ni mogoče ugovarjati. Vendar pa na spletu lahko najdemo tudi nekoliko daljšo delovno različico dokumenta iz leta 2008, ki pa navaja še nekaj utemeljitev, nad katerimi bi se morala zamisliti tako zdravstvena politika, kot tudi javnost.

V poglavju Informacijske povezave v onkologiji, avtorji ugotavljajo precej pomanjkljivo stanje na področju zbiranja informacij o raku v Sloveniji. Tako so medicinski zapisi v mnogih primerih pomanjkljivi, posledica česar je slabši zdravstveni izid za bolnike ter nepotrebno višanje stroškov, takšni zapisi pa so tudi povsem neuporabni za kakršne koli statistične ali druge analize.

Velik problem je tudi odsotnost primerjave kakovosti zdravljenja v različnih bolnišnicah. Tako ne obstajajo sistematični podatki o številu zapletov po bolnišnicah, povprečnem številu ležalnih dni, številu nepotrebnih posegov, itd. zlasti pa ne obstajajo podatki o učinkovitosti zdravljenja raka (in drugih bolezni) po posameznih ustanovah (kaj šele npr. po posameznih kirurgih). Posledica pa je seveda bistveno slabši nadzor nad kvaliteto zdravljenja, kot bi ga lahko imeli v primeru, da bi se ti podatki sistematično zbirali in tudi sistematično ter predvsem redno analizirali.

Delovna različica državnega programa obvladovanja raka v Sloveniji iz 2008 na strani 77 navaja podatek iz raziskave nemškega patologa, profesorja Paula Hermaneka. Hermanek je na predavanju Evropskega združenja za onkološko kirurgijo leta 1994 predstavil rezultate analize zdravljenja raka danke v sedmih velikih nemških mestih. Analiza je pokazala, da se – odvisno od ustanove oz. kirurga – verjetnost ozdravitve pacientov giblje od slabih 40% do več kot 80% (podrobnejša analiza je objavljena v članku Role of the Surgeon as a Variable in the Treatment of Rectal Cancer iz leta 2000).

Podatkov, ki bi omogočali tovrstne analize za vse vrste raka (kaj šele za vse bolezni) v Sloveniji ni, kljub temu pa nekatere analize kažejo, da je problem prisoten tudi pri nas. Dokument “Preživetje bolnikov z rakom zbolelih v letih 1991–2005 v Sloveniji” na strani 258 za bolnike obolele za ne-Hodgkinovim limfomom ugotavlja:

“V dodatni analizi smo primerjali nekatere značilnosti skupine 938 bolnikov, zbolelih v letih 2001–2005, ki so se zdravili na OI Ljubljana v okviru prvega zdravljenja, s preživetjem skupine 227 zbolelih v istem obdobju, ki se v okviru prvega zdravljenja niso zdravili v tej ustanovi. Srednje preživetje bolnikov, zdravljenih na OI Ljubljana, je bilo 5 let, zdravljenih v drugih bolnišnicah pa le 10 mesecev. … Ker na preživetje pomembno vplivajo stadij, starost in zdravljenje, smo te napovedne dejavnike vključili v multivariatni Coxov preživetveni model (Tabela 4). S tem smo želeli stvarno oceniti vpliv izbora bolnišnice prvega zdravljenja na izid bolezni. Rezultat je zaskrbljujoč, saj prvo zdravljenje bolnika zunaj OI Ljubljana tudi v multivariatni analizi ostaja dejavnik tveganja smrti bolnika; bolniki, ki v okviru prvega zdravljenja niso zdravljeni na OI Ljubljana, imajo 2,5-krat večje relativno tveganje smrti v primerjavi s tistimi, ki so zdravljeni v tej ustanovi.”

Podobne ugotovitve lahko najdemo še glede zdravljenja nekaterih drugih vrst raka (npr. raka debelega črevesa na strani 76), oziroma avtorji na več mestih ugotavljajo, da podatkov, ki bi tovrstne analize omogočali ni (npr. glede raka danke na strani 86, in raka dojk na straneh 156 in 158). Vsekakor pa se človek nehote vpraša zakaj te ugotovitve niso pristale na naslovnicah vseh slovenskih medijev in zakaj kakšna parlamentarna komisija problematiki ni namenila vsaj kakšnega nujnega zasedanja, če že ne cele parlamentarne preiskave? Vprašanje je seveda zgolj retorično.

Informatizacija pa bi lahko rešila še druge težave. Ena izmed njih so že omenjeni pomanjkljivi medicinski zapisi. V delovni različici poročila so tako navedeni rezultati kanadske študije iz leta 2004, kjer so primerjali opisno (narativno) in strukturirano (sinoptično) obliko medicinskega izvida. V Kanadi so namreč razvili posebno računalniško aplikacijo za strukturiran vnos operativnega medicinskega izvida, tako pridobljene podatke pa so iz več vidikov primerjali s klasičnimi izvidi.

Izkazalo se je, da je v primeru opisnega medicinskega izvida iz le-tega mogoče dobiti le dobrih 45% informacij potrebnih za nadaljnje zdravljenje. V primeru sinoptične oblike zapisa (kjer zdravnik izvid napiše tako, da podatke vnese v ustrezen računalniški obrazec) pa je iz zapisa mogoče pridobiti kar 99% potrebnih informacij, poleg tega je takšen izvid mogoče enostavno računalniško in statistično obdelati. Raziskava je tudi pokazala, da zdravnik za izpolnjevanje takšnega izvida v povprečju potrebuje okrog 6 minut (kar je primerljivo s časom potrebnim za zapis klasičnega izvida), za uvajanje je potreben en teden, vse skupaj pa tudi bistveno znižuje administrativne stroške. Članek z opisom in rezultati raziskave je bil v reviji Annals of Surgical Onkology objavljen že leta 2004, a utečena praksa se v Sloveniji do danes ni kaj bistveno spremenila.

Vsekakor so bolnišnice zaradi načina financiranja močno zainteresirane za odpiranje novih programov oz. oddelkov, a kot kažejo navedeni podatki kvalitete izvajanja teh programov sistematično ne izvaja nihče, prav tako pa ti podatki niso dostopni javnosti in bolnikom. Na strani 78 avtorji delovne različice državnega programa obvladovanja raka v Sloveniji, glede razvoja informatizacije v slovenski onkologiji predlagajo, da bi morala razporeditev onkološke dejavnosti po bolnišnicah v Sloveniji temeljiti tudi na oceni kvalitete zdravljenja:

“Če bo ugotovljeno, da zdravstvena ustanova ne dosega zahtevanih standardov, ne bo mogla opravljati onkološke dejavnosti. Nasprotno pa bi v ustanovah z visokimi standardi lahko koncentrirali onkološke bolnike. Višji dohodki v ustanovah z dobrimi rezultati zdravljenja bi neprimerljivo manj obremenjevali zdravstveno blagajno, saj so stroški ‘manj kvalitetnega’ zdravljenja enormno visoki – ponavljajoče operacije (vsaka naslednja je bolj zapletena, daljša in dražja), dolge hospitalizacije, dolge bolniške odsotnosti, invalidnost in zgodnje upokojitve.”

Te podatke bi lahko pridobili z ustrezno informatizacijo, ki bi morala biti zasnovana z mislijo na potrebo po kvalitetnih in hitrih statističnih obdelavah podatkov, ki bi morale biti tudi dostopne javnosti.

Morda takšna informatizacija ni v interesu nekaterih bolnišnic. Morda tudi ni v interesu ponudnikov različnih informacijskih rešitev, ki jih seveda zanima samo kako bodo s čim manj stroški in za čim višjo ceno uspeli prodati svoje rešitve. Gotovo pa je v interesu davkoplačevalcev in zlasti bolnikov. Projekt ustrezne informatizacije zdravstva zato ni zgolj še ena “afera”, pač pa prvovrstno politično vprašanje od katerega so odvisna naša življenja. In to dobesedno.

Ko bo Janez Novak iz naslova tega članka čez nekaj let v manjši slovenski bolnišnici kljub najboljši oskrbi v danih razmerah umiral za rakom, ne bo vedel, da je to morda posledica čisto konkretne zdravstvene politike. Oziroma čisto konkretnih političnih odločitev.

A kako bi le vedel. Zanj je politika pač prerekanje v parlamentu in zakulisne igre okrog javnega denarja. Sicer pa v državi, kjer so politike in medije več tednov zaposlovale podrobnosti o domnevnih spolnih zlorabah psov, od Janeza drugega niti ne moremo pričakovati. Bog mu daj večni pokoj!

Članek je bil 2, oktobra 2010 objavljen v Dnevnikovem objektivu, URL: http://www.dnevnik.si/objektiv/v_objektivu/1042392248.

Več informacij o odprtokodnem zdravstvenem informacijskemu sistemu Medical ter Hospital si je mogoče prebrati na naslednjih povezavah:

• Razvija se odprtokodni zdravstveni informacijski sistem, Slo-Tech, 2. september 2010
• spletna stran projekta Medical
• spletna stran projekta Hospital

Viri

• Državni program obvladovanja raka v Sloveniji 2010 – 2015, <http://www.mz.gov.si/fileadmin/mz.gov.si/pageuploads/zakonodaja/strategije_2010/Dr%C5%BEavni_program_obvladovanja_raka_2010-2015.26.2.2010.pdf>
• Državni program obvladovanja raka v Sloveniji, delovna različica, <http://www.mz.gov.si/fileadmin/mz.gov.si/pageuploads/aktualno/javna_razprava/drzavni_program_rak__070708/DPOR-260608.pdf>
• Preživetje bolnikov z rakom zbolelih v letih 1991–2005 v Sloveniji, <http://www.onko-i.si/fileadmin/onko/datoteke/dokumenti/Prezivetje.pdf>
• Edhemovic I., Temple W. J., de Gara C. J., Stuart G.C.. 2004. The computer synoptic operative report–a leap forward in the science of surgery, <http://www.ncbi.nlm.nih.gov/pubmed/15466354>
• Hermanek, P., Hermanek, P. J.. 2000. Role of the Surgeon as a Variable in the Treatment of Rectal Cancer, <http://onlinelibrary.wiley.com/doi/10.1002/ssu.3/pdf>

Povzetek

Pri vprašanju zasebnosti na delovnem mestu gre za trk dveh interesov – interesa delodajalca po gospodarni izrabi delovnega časa in sredstev ter pravice do zasebnosti zaposlenega. Različni pravni sistemi dajejo prednost enkrat enemu, drugič drugemu. V praksi sta se v zvezi s tem izoblikovala predvsem tim. “ameriški” pristop, ki daje prednost delodajalcu in tim. “evropski” pristop, ki daje prednost zaposlenemu. V prispevku sta skozi analizo zakonodaje in odločitev sodišč predstavljena oba pristopa, nekoliko podrobneje pa še ureditev področja zasebnosti na delovnem mestu v slovenski zakonodaji. Za Slovenijo je pomembno zlasti dejstvo, da se je evropska pravna praksa postavila na stališče, da lastninska pravica ne prevlada samodejno nad pravico do zasebnosti, kar pomeni, da je pravico do zasebnosti do določene mere potrebno spoštovati tudi na delovnem mestu. Vprašanje kakšne naj bodo torej omejitve zasebnosti pa je tako povezano tudi z vprašanjem sorazmernosti.

Uvod

Pri vprašanju zasebnosti na delovnem mestu v praksi pogosto naletimo na argumentacijo delodajalcev, češ, zaposleni uporablja opremo podjetja, v službi je plačan za opravljanje svojega dela, kako torej lahko na delovnem mestu pričakuje zasebnost? Če je delodajalec lastnik komunikacijske opreme (telefona, računalnika) in delovnega časa zaposlenega – ali torej nima pravice preveriti ali zaposleni dela, ali pa morda “zapravlja” čas podjetja oziroma morda celo krade poslovne skrivnosti?

Vprašanje je vsekakor na mestu, a odgovor na vprašanje ali zaposleni na delovnem mestu lahko pričakuje spoštovanje zasebnosti, je odvisen predvsem od razumevanja vloge zaposlenega. Pri tem sta se v svetu uveljavila dva pristopa. Prvi, “ameriški” pristop, zaposlenega na delovnem mestu vidi predvsem kot delojemalca, ki uporablja opremo, ki je last delodajalca, v delovnem času je plačan s strani delodajalca in zato službenih komunikacijskih sredstev in službenega časa ne sme “zlorabljati” v zasebne namene. Na drugi strani imamo tim. “evropski” pristop, ki zaposlenega na delovnem mestu ne vidi samo kot delavca, pač pa tudi kot človeško bitje, ki ima kot tak tudi določene (človekove) pravice. Ob vsem skupaj se v primeru nadzora na delovnem mestu postavlja še vprašanje pravic tim. tretjih oseb (z nadzorom komunikacij zaposlenega nadzorujemo tudi komunikacije njegovih zunanjih komunikacijskih partnerjev). Pri vsem skupaj je pomembno tudi vprašanje sorazmernosti (se pravi kolikšen obseg nadzora je sprejemljiv in še opravičljiv oziroma ali zaželenega cilja ni mogoče doseči z blažjimi sredstvi), saj je po eni strani jasno, da ima zaposleni tudi na delovnem mestu interes za čim večjo zasebnostjo, po drugi strani pa je nesporen tudi interes delodajalca po racionalni rabi službenih sredstev in delovnega časa.

Ameriški pristop

Ameriška zakonodaja je koncipirana kot sistem negativnih svoboščin zato je pravica do zasebnosti posameznikov nasproti državi bistveno bolj zavarovana kot nasproti delodajalcem. Zasebnost na delovnem mestu v ZDA v splošnem ni dojeta kot pravica, temveč bolj kot boniteta.

Ameriški delodajalci zato o zaposlenih zbirajo številne podatke, posebej problematično pa je, da pogosto ne zagotavljajo točnosti in zaupnosti podatkov, posameznikom pa pogosto tudi ne omogočijo, da bi napačne podatke lahko popravili. Obseg nadzora na delovnem mestu se v ZDA v zadnjem desetletju precej povečuje, postaja pa tudi čedalje bolj rutinski. Kot je leta 2001 ugotovil Schulman, je razlog za premik nadzorovanja od zgolj nekaj “problematičnih” posameznikov proti nadzoru celotne populacije zaposlenih ta, da je zdaj celotna delovna sila sumljiva, podjetja pa so čedalje bolj zaskrbljena zaradi t. i. ‘internih groženj’ (Schulman, 2001). Z nadzorom se podjetja v ZDA želijo zaščititi tako pred odtekanjem različnih poslovnih skrivnosti kot tudi pred odškodninskimi tožbami zaradi neprimernega ravnanja zaposlenih. Pomemben faktor pri povečevanju nadzora pa predstavlja tudi agresivno trženje nadzornih sistemov s strani proizvajalcev in prodajalcev tovrstne opreme.

Leta 1986 so v ZDA sprejeli Electronic Communication Privacy Act (ECPA; Electronic Communication Privacy Act of 1986, 18 U.S.C. (1986)), ki obravnava prisluškovanje elektronskim komunikacijam. ECPA v prvem poglavju, znanem tudi pod imenom Wiretap Act, prepoveduje prestrezanje elektronskih telekomunikacij, pri čemer je ‘prestrezanje’ definirano kot “zaznavanje izžarevanja [signala] (ang. aural) ali druga pridobitev vsebine žice oziroma elektronske ali ustne komunikacije, ki poteka s pomočjo uporabe kakršnekoli elektronske, mehanične ali druge naprave”. Bistveno pri tem je torej, da je prestrezanje definirano kot dejavnost, ki poteka hkrati s prenosom. Problem sodobne tehnologije – konkretno, nadzora elektronske pošte – pa je, da prestrezanje elektronske pošte ni nujno sočasno. Delodajalec namreč lahko dostopi do strežnika, v katerem je elektronsko sporočilo shranjeno, in s tem zaobide prepoved sočasnega prestrezanja. ECPA namreč v drugem poglavju, znanem pod imenom Stored Communications Act, ki prepoveduje dostop do shranjenih elektronskih sporočil brez soglasja nadzorovane osebe, iz prepovedi eksplicitno izključuje “osebe, ki zagotavljajo (ang. to provide) žično ali elektronsko komunikacijsko storitev”. Tako so iz prepovedi ECPA izvzeti delodajalci, ki imajo v lasti komunikacijsko opremo podjetja (Sinrod, 2004).

ECPA delodajalcem tudi sicer dovoljuje nadzor komunikacij (tudi telefonskih), a le, če zadevajo poslovanje podjetja. V primeru telefonskih pogovorov se tak nadzor v praksi izvaja tako, da lahko delodajalec zakonito nekaj časa posluša pogovor, da ugotovi, ali gre za poslovni ali zasebni pogovor (ACLU, 2003). Če je pri telefonskem pogovoru poslušanje še možno časovno omejiti, pa dostop do elektronske pošte ne more biti delen ali časovno omejen, pač pa delodajalec lahko naenkrat vpogleda v celotno sporočilo. Zato je nadzor elektronske pošte laže upravičiti. Vsekakor pa velja, da lahko kot pogoj za zaposlitev delodajalci zahtevajo soglasje za nadzor v (skoraj) kakršnemkoli obsegu in v tem primeru je nadzor komunikacij zaposlenega povsem zakonit. V nadaljevanju si poglejmo nekaj primerov, ki to ilustrirajo.

Leta 1990 je administratorka elektronskega poštnega sistema podjetja Epson, Alana Shoars ugotovila, da eden izmed direktorjev prebira elektronsko pošto zaposlenih. Temu je nasprotovala, zato so jo odpustili. Shoarsova je vložila tožbo, vendar se je podjetje branilo, da je sistem za elektronsko pošto v njihovi lasti in imajo zato pravico, da ga upravljajo in nadzorujejo, ali se uporablja samo v delovne namene ali ne. Kalifornijsko sodišče je nato 1992 v primeru Shoars proti Epson America Inc. (Shoars v. Epson America Inc., No. (SWC) II2749 (Cal App. Dep’t. Super. Ct. Dec 8, 1992)) presodilo, da ustava ščiti samo informacije, ki so osebne, ne pa tudi poslovnih komunikacij, Shoarsova pa je uporabljala opremo, ki je bila v lasti podjetja (Sykes, 1999: 140). Njena pritožba je bila zavrnjena.

Podobna je bila tudi odločitev v primeru Bonita P. Bourke, et. al. proti Nissan Motor Corporation (Bonita P. Bourke, et. al. v. Nissan Motor Corporation, No. 68-705 (Cal. Ct. App., 1993)), ko je leta 1993 kalifornijsko prizivno sodišče razsodilo, da vpogled v elektronsko sporočilo, ki ga je uslužbenka poslala po omrežju podjetja, ne pomeni neupravičenega vdora v njeno zasebnost, saj je uslužbenka predhodno podpisala izjavo, v kateri se je zavezala, da bo elektronsko pošto uporabljala zgolj v službene namene (Klemenčič, 2003: 137). Podobna je bila tudi razsodba v primeru McLaren proti Microsoft (McLaren v. Microsoft, No. 05-97-00824 (Tex. Ct. App. 28. maj, 1999)) iz leta 1999. V tem primeru je podjetje pregledalo z geslom šifrirano elektronsko pošto zaposlenega, shranjeno v osebnem imeniku ter na podlagi vsebine sporočil zaposlenega (ki je bil obtožen spolnega nadlegovanja) odpustilo. Zaposleni je sprožil sodni spor, a sodišče je v razsodbi dalo prav delodajalcu, in sicer z obrazložitvijo, da je interes delodajalca, da prepreči pošiljanje neprimerne elektronske pošte, nad interesom zaposlenega do zasebnosti (Klemenčič, 2003: 137).

Kaj je neprimerno, pa je pogosto stvar presoje delodajalca. Na to kaže primer zaposlenega v podjetju Pillsbury. Zaposleni Michael Smyth je namreč leta 1994 enemu izmed sodelavcev poslal elektronsko sporočilo, v katerem je zapisal, da so njegovi predpostavljeni “zahrbtne barabe”. Ker so le-ti spremljali komunikacijo svojih zaposlenih, so ga odpustili z obrazložitvijo, da so bili njegovi komentarji neustrezni in neprofesionalni. Smyth se je pritožil na sodišče in trdil, da so mu v podjetju zagotovili zasebnost komunikacij, podjetje pa je trdilo nasprotno. Zvezno sodišče je primer zavrglo (in s tem dalo prav delodajalcu) z obrazložitvijo, da tudi če bi podjetje zaposlenemu res obljubilo tajnost komunikacij, sporno dejanje ne posega v oškodovančevo zasebnost na nepošten način (Sykes, 1999: 141).

Problem nejasne in zastarele zakonodaje pa je postal precej očiten v primeru U. S. proti Councilman (United States of America v. Bradford C. Councilman, No. 03-1383 (1st Cir., June 29, 2004)). Šlo je za primer ponudnika brezplačne elektronske pošte, ki je prestrezal elektronsko pošto svojih uporabnikov (brez njihove vednosti). Podjetje, ki se je sicer ukvarjalo s prodajo rabljenih knjig, je namreč svojim strankam ponudilo brezplačne poštne predale, nato pa prestrezalo elektronsko pošto, ki so jo njihove stranke prejemale od konkurenčne prodajalne knjig, podjetja Amazon. Prestrezanje so izvajali misleč, da je na podlagi ECPA zakonito. S tem je podjetje hotelo ugotoviti katere knjige njihove stranke kupujejo pri konkurenci in po kakšnih cenah, posledično pa si pridobiti tržno prednost. Dejstvo je, da je ECPA precej nejasen in 29. junija 2004 ameriško prizivno sodišče prvega okrožja najprej razsodilo, da je takšno prestrezanje elektronske pošte zakonito. Odločitev je bila nato avgusta 2005 revidirana in okrožno sodišče v Massachusettsu je presodilo, da nadzor elektronske pošte v takih primerih ni dovoljen (EPIC, 2005).

Kot torej vidimo, je nadzor komunikacij zaposlenih v ZDA precej razširjen, zakonodaja pa nadzor na delovnem mestu v veliki meri dovoljuje. Vendar pa je tovrsten nadzor lahko dvorezen. Posledica pretiranega nadzora je pogosto lahko obravnava posameznikov bolj v smislu nekakšnega inventarja in manj kot avtonomnih človeških bitij. Uporaba elektronskih identifikacijskih kartic je zgolj zunanji znak take obravnave, posegi delodajalcev v telesno zasebnost (urinski, krvni in genski testi) pa odpirajo tudi vprašanja človekovega dostojanstva in avtonomije na delovnem mestu. Nekateri avtorji so mnenja, da vohunjenje za elektronsko pošto zaposlenih uničuje občutek skupnosti na delovnem mestu (Whitaker, 1999: 105), to pa verjetno vpliva tudi na lojalnost podjetju. Zato se upravičeno zastavlja vprašanje ali nadzorovanje zaposlenih sploh dosega svoj cilj – preprečevanje odtekanja informacij – in ali se delodajalci problema lojalnosti zaposlenih morda ne lotevajo na napačen način in z napačnimi sredstvi.

Evropski pristop

Povsem drugačen pristop do zasebnosti na delovnem mestu pa velja v Evropi. V zvezi z nadzorom na delovnem mestu sta verjetno najpomembnejši odločitvi Evropskega sodišča za človekove pravice Halford proti Združenemu kraljestvu (Halford v. Velika Britanija, odločba z dne 25. 6. 1997) iz leta 1997 ter Copland proti Združenemu kraljestvu (Copland v. Velika Britanija, odločba z dne 3. 4. 2007), iz leta 2007.

Ga. Halford, uslužbenka policije, je proti svojemu delodajalcu leta 1990 sprožila postopek zaradi diskriminacije na delovnem mestu. V svoji pisarni je imela dva telefona, od katerih je bil eden namenjen za zasebno uporabo, glede uporabe telefonov pa ji niso bile naložene nikakršne omejitve. Halfordova je kasneje ugotovila, da je njen delodajalec nadzoroval telefonske klice iz njenega službenega telefona (pa tudi domačega telefona) in sicer z namenom, da bi zbrali gradivo za svojo obrambo v postopku zaradi diskriminacije. Zadeva je prišla na Evropsko sodišče za človekove pravice, ki je presodilo, da je v tem primeru šlo za kršitev 8. člena Evropske konvencije o človekovih pravicah. V razsodbi je izrecno zapisalo, da zaposleni na delovnem mestu upravičeno pričakuje zasebnost.

Podobna je bila odločitev tudi v primeru Copland proti Združenemu kraljestvu iz leta 2007. V tem primeru je nadrejeni delavke Lynette Copland pregledoval izpiske telefonskih številk, ki jih je klicala med delovnim časom ter sezname spletnih strani, ki jih obiskovala. Nadzor naj bi se vršil z namenom ugotavljanja, ali delavka službena sredstva uporablja za zasebne namene. Da jo nadzorujejo, je ugotovila šele, ko so iz njenega podjetja kontaktirali njeno pastorko ter jo vprašali, zakaj pošilja elektronsko pošto na službeni e-poštni naslov Coplandove. Tudi ta primer je prišel na Evropsko sodišče za človekove pravice, ki je leta 2007 presodilo, da je tudi v tem primeru šlo za kršitev 8. člena Evropske konvencije o človekovih pravicah in da je torej delodajalec neupravičeno posegal v njeno zasebnost.

Evropsko sodišče za človekove pravice je v primeru presodilo, da varstvo zasebnosti velja tako za telefonske komunikacije, kot tudi za elektronsko pošto in uporabo interneta, in da je iz stališča varstva zasebnosti irelevantno ali gre za zasebno ali za službeno komunikacijsko sredstvo. Prav tako so presodili, da kršitev predstavlja že samo zbiranje in obdelava prometnih podatkov in s tem potrdili, da so prometni podatki integralni element komunikacij. Kršitev zasebnosti torej ni “le” vpogled v vsebino komunikacij, pač pa tudi vpogled v prometne podatke. Nadalje so v razsodbi zapisali, da je iz stališča varstva zasebnosti irelevantno ali so bili podatki “zgolj” zbrani, ali pa so bili tudi razkriti tretjim osebam oziroma uporabljeni proti pritožnici. S tem so se postavili na stališče, da je sporen že sam akt posega, ne pa šele morebitni kasnejši pregled oziroma obdelava prestreženih podatkov in komunikacij s strani tretje osebe. Pomemben element sodbe je bilo tudi dejstvo, da delavka ni bila vnaprej opozorjena, kdaj in v kakšnih primerih lahko delodajalec nadzira elektronsko pošto zaposlenih in je zato po mnenju sodišča lahko upravičeno pričakovala zasebnost na svojih službenih komunikacijskih sredstvih.

Evropski pristop k varovanju komunikacijske zasebnosti se kaže tudi v nekaterih drugih primerih. Evropsko sodišče za človekove pravice je leta 1998 v primeru Lambert proti Franciji (Lambert v. Francija, odločba z dne 24. 8. 1998) jasno poudarilo, da glede tajnosti komunikacij ni razlike med lastnim telefonskim priključkom ali telefonskim priključkom tretje osebe, istega leta pa v primeru Kopp proti Švici (Kopp v. Švica, odločba z dne 25. 3. 1998) tudi, da so zaščiteni tudi klici iz poslovnih prostorov ter v poslovne prostore.

Zanimiva je tudi razsodba (in predvsem njena utemeljitev) Kasacijskega sodišča Francije v primeru Societe Nikon France, SA v. Onof št. 99–42.942 iz leta 2001 (Societe Nikon France v. M. Onof, Cass. soc., 2. oktober 2001, Bull Civ. V, No. 291). V tem primeru je namreč delodajalec preiskal računalnik zaposlenega, zaradi suma, da le-ta krši konkurenčno prepoved. V okviru preiskave je delodajalec pregledal in prekopiral dve mapi na računalniku zaposlenega (označeni z imenom “osebno” in “fax”), pri čemer so ugotovili, da je zaposleni uporabljal računalnik za neslužbene namene in kršil konkurenčno prepoved, čeprav je bilo to z notranjimi pravili organizacije prepovedano. Na podlagi tega so ga odpustili.

Zaposleni se je pritožil, in Kasacijsko sodišče Francije je presodilo, da ima delavec tudi med delovnim časom in na delovnem mestu pravico do zasebnosti in tajnosti komunikacij. Pri tem so izrecno zapisali, da:

“delodajalec, ki bere sporočila, ki jih zaposleni pošilja ali sprejema preko službenega računalnika, krši temeljne pravice delavca, kot jih določa 8. člen Evropske konvencije o človekovih pravicah … To velja ne glede na to, ali je bil delavec vnaprej seznanjen, da službenega računalnika ne sme uporabljati v neslužbene namene… Podjetje ali druge ustanove ne smejo biti mesta, kjer bi delodajalci arbitrarno in brez omejitev izvajali svoje diskrecijske pravice; ne smejo postati okolja totalnega nadzora, kjer temeljne človekove pravice nimajo veljave … Menimo, da je splošna popolna prepoved uporabe e-pošte v neslužbene namene nerealna in krši pravno načelo sorazmernosti.” (Klemenčič, 2002: 402.)

Odločitev kaže na to, da – kot ugotavlja Klemenčič – “se domet pravice do komunikacijske zasebnosti ne ustavi zgolj pri zagotavljanju zaupnosti vsebine sporočanja in podatkov, povezanih z njo, ampak hkrati prepoveduje tudi nesorazmerne prepovedi komuniciranja z zunanjim svetom” (Klemenčič, 2002: 395). Dejstvo namreč je, da Priporočilo Sveta Evrope št. R(89) 2 določa, da imajo zaposleni na delovnem mestu pravico do vzpostavljanja osebnih in socialnih stikov. Podobno stališče je zavzelo tudi Evropsko sodišče za človekove pravice v primeru Niemietz proti Nemčiji (Niemietz v. ZR Nemčija, odločba z dne 16. 12. 1992) leta 1992, ko je zapisalo da mora “spoštovanje zasebnega življenja vsebovati tudi določeno stopnjo pravice do vzpostavljanja in razvijanja odnosov z drugimi človeškimi bitji”. Ter: “poleg tega se zdi, da ni načelnega razloga, zakaj bi ta pojem ‘zasebnega življenja’ izključeval profesionalne ali poslovne dejavnosti [posameznika]…”

Podobno stališče glede omejitev nadzora na delovnem mestu je Kasacijsko sodišče Francije zavzelo tudi v primeru Philippe K. v. Cathnet-Science (Philippe K. v. Cathnet-Science, Cour de Cassation, Chambre Sociale, Arret No. 1089 FS-P+B+R+1, Pourvoi No. J-03-40.017, 5/17/05). V primeru je delodajalec na mizi zaposlenega po naključju našel erotične fotografije, zaradi česar so posumili, da ima zaposleni na računalniku shranjene pornografske vsebine. Sledila je preiskava računalnika, na katerem so res našli pornografske vsebine in posledično zaposlenega odpustili. Nižja sodišča so odločitev delodajalca podprla, Kasacijsko sodišče Francije pa je presodilo, da sum prisotnosti pornografije na računalniku ne predstavlja opravičljivega razloga za preiskavo (Cate, 2007).

Vse to kaže na to, da evropska pravna ureditev na delovnem mestu zaposlenemu priznava bistveno širši krog komunikacijske zasebnosti kot ameriška pravna ureditev, hkrati pa tudi prepoveduje pretirano omejevanje komunikacij z drugimi. Glede nadzora komunikacij na delovnem mestu tako velja, da mora biti zaposleni vnaprej seznanjen s pravili delodajalca glede uporabe telefona, elektronske pošte in interneta, hkrati pa si delodajalec ne more privoščiti pretiranega omejevanja pravice do zasebnosti in pravice do komunikacije z zunanjim svetom.

Praviloma tudi velja, da se mora zaposleni z nadzorom strinjati oziroma mora biti nadzor objektivno opravičljiv in sorazmeren. Glede strinjanja velja poudariti, da je zaposleni nasproti delodajalcu seveda v podrejenem položaju, zato mora biti strinjanje prostovoljno in brez prisile. Article 29 Working Party je tako v svojem mnenju Opinion 8/2001 iz septembra 2001 zapisala, da “če zaposleni nima možnosti, da [obdelavo osebnih podatkov] zavrne, to ni soglasje. Soglasje mora biti vedno prostovoljno. Torej mora imeti zaposleni tudi možnost preklicati soglasje brez negativnih posledic” (Article 29 Working Party, 2001).

Po mnenju Article 29 Working Party je obdelava osebnih podatkov zaposlenega objektivno opravičljiva le npr. zaradi izpolnjevanja pogodbenih obveznosti oziroma spoštovanja zakonskih zahtev (npr. obdelava osebnih podatkov o plačah, posredovanje podatkov davčni upravi, itd.), zaradi zasledovanja zakonitih interesov delodajalca, razen, kadar taki interesi ne prevladajo nad temeljnimi pravicami zaposlenega (potrebno je torej najti ravnovesje med interesi delodajalca in zaposlenih) ali npr. zaradi zagotavljanja vitalnih interesov zaposlenega (npr. zagotavljanje varnosti pri delu). Omejevanje pravice do zasebnosti na delovnem mestu je torej mogoče le izjemoma (Article 29 Working Party, 2001).

Velja tudi poudariti, da vse navedeno ne velja le za vsebino komunikacij, pač pa tudi za obravnavo prometnih podatkov (podatkov o klicih oz. prejemnikih sporočil, in vseh drugih podatkov, ki ne predstavljajo vsebine komunikacije). Evropska pravna ureditev namreč prometne podatke obravnava precej drugače kot ameriška pravna ureditev. Vrhovno sodišče ZDA je tako leta 1979 v primeru Smith proti Maryland (Smith v. Maryland, 242 U.S. 735 (1979))presodilo, da prometni podatki o telefonskih pogovorih niso zaščiteni s Četrtim amandmajem ameriške ustave, s čimer so uvedli ločevanje prometnih podatkov od same vsebine komunikacije. Drugačno stališče pa je zavzelo Evropsko sodišče za človekove pravice, ki je v primeru Malone proti Veliki Britaniji leta 1984 presodilo, da so prometni podatki integralni element telefonskih komunikacij in kot taki tudi uživajo pravno varstvo.

Poleg tega pa je potrebno izpostaviti še dejstvo, da nadzor s strani delodajalca lahko predstavlja tudi kršitev interesa tim. tretjih oseb, torej oseb, ki komunicirajo z zaposlenim in morda niti ne vedo, da gre za službeno komunikacijsko sredstvo ter da delodajalec nadzoruje komunikacije zaposlenega, s katerim so v stiku (Klemenčič, 2001: 188–189). Ta problem je zelo očiten pri morebitnem nadzorovanju službenih mobilnih telefonov, kjer je možnosti za razlikovanje med službenim in zasebnim komunikacijskim sredstvom še manj.

Zasebnost na delovnem mestu v Sloveniji

Podoben odnos do zasebnosti na delovnem mestu kot ga ima Evropsko sodišče za človekove pravice, ima tudi slovenska pravna ureditev. Vendar pa ima slovenski pravni red neko specifiko, zaradi katere je komunikacijska zasebnost v Sloveniji še nekoliko bolj zaščitena kot na splošno v Evropi. Ustava RS namreč v 37. členu določa, da “samo zakon lahko predpiše, da se na podlagi odločbe sodišča za določen čas ne upošteva varstvo tajnosti pisem in drugih občil in nedotakljivost človekove zasebnosti, če je to nujno za uvedbo, ali potek kazenskega postopka ali za varnost države.”.

Slovenska ustava torej za posege v komunikacijsko zasebnost zahteva ustrezno zakonsko podlago in predvsem sodno odredbo. Oktobra 2008 je tako Ustavno sodišče v razsodbi Up-106/05 (odločba Ustavnega sodišča RS, št. Up-106/05, Uradni list RS, št. 100/2008) presodilo, da poseg v svobodo komuniciranja ni dovoljen brez predhodnega dovoljenja sodišča. V primeru je sicer šlo za preiskavo zakonito zaseženega mobilnega telefona in SIM kartice v kazenskem postopku brez (dodatne) odredbe sodišča. V razsodbi je Ustavno sodišče poudarilo tudi stališče, da je treba predmet varstva komunikacijske zasebnosti razlagati širše, in sicer tako, da le-ta vključuje tudi prometne podatke, ki so sestavni del komunikacije.

Visoke standarde za posege v zasebnost je Ustavno sodišče postavilo tudi v odločbi Up-472/02 iz oktobra 2004 (odločba Ustavnega sodišča RS, št. Up-472/02, Uradni list RS, št. 114/2004). Šlo je za odločanje v primeru snemanja pogovora s strani zasebnika in uporabi tega posnetka v poznejšem civilnem sodnem postopku. Sodišče je v odločitvi zapisalo:

“Poseg v pravico do zasebnosti bi bil pod določenimi pogoji dopusten, vendar bi morale biti v pravnem postopku za izvedbo dokaza, pridobljenega s kršitvijo pravice do zasebnosti, posebej utemeljene okoliščine. Izvedba takega dokaza bi morala imeti poseben namen za izvrševanje neke ustavno zavarovane pravice. V takem primeru mora sodišče upoštevati načelo sorazmernosti in skrbno prisoditi, kateri pravici je treba dati prednost.”

Po mnenju sodišča namreč:

“Posnetka oziroma tonskega zapisa telefonskega pogovora tudi ni mogoče enačiti z zapiski o pogovoru. Gre namreč za bistveno kakovostno razliko… Kot je bilo že poudarjeno, daje tonski zapis oblast nad tujo osebo oziroma njeno osebno dobrino, ker omogoča ponovitev (vnovično predvajanje). Če je torej to storjeno brez vednosti prizadete osebe, je s tem poseženo v izključno pravico osebe, da sama razpolaga s svojo besedo oziroma z glasom.”

Slovenska sodna praksa se tako praviloma postavlja na stran posameznika, kar kaže tudi odločitev Upravnega sodišča RS, s katero je le-to zaposlenemu priznalo pravico do varstva zasebnosti pri uporabi službenih mobilnih telefonov (Klemenčič, 2003: 137). V razsodbi U702/99 (sodba Upravnega sodišča št. U 702/99 z dne 21. 3. 2000) je Upravno sodišče presodilo, da se varstvo zasebnosti, zagotovljeno v 37. členu Ustave RS, nanaša tudi na službene telefone, pridobitev in uporaba izpiskov telefonskih klicev službenega telefona pa predstavlja kršitev. V obrazložitvi sodbe so zapisali:

“Sodišče je glede na ugovor tožene stranke, da je šlo za službene telefone, ugotovilo, da pojem tajnosti pisem in drugih občil zajema tako zasebne kot tudi službene komunikacije. Zaupnost razmerij, v katere vstopa posameznik, ne more biti uporabljena kot kriterij, ki bi določal obseg zaščite komunikacijske zasebnosti. … Pojem zasebno življenje torej vsebuje tako zasebne kot tudi službene telefonske linije, zaradi česar ni pomembna lastnina ali pripadnost določenega telekomunikacijskega sredstva. To varstvo je dano vsem osebam in ni mogoče slediti navedbi tožene stranke, da to ne velja za tožnike, ki so uporabljali mobilne telefone v lasti tožene stranke. Lastninski koncept zasebnosti, to je pristop z vidika dejstva, čigavo je komunikacijsko sredstvo, ki je bilo nadzirano, ni relevanten. Tudi Ustava RS ne ločuje zasebnosti v zasebni in službeni sferi.”

Glede obsega pravice do zasebnosti na delovnem mestu je sicer jasno, da je odvisen tako od delovnih nalog, ki jih zaposleni opravlja (npr. rokovanje s tajnimi podatki, itd.) in zahtev delovnega mesta (po npr. varovanju poslovnih skrivnosti), za nadzor pa je bistveno, da je transparenten in sorazmeren. Nadzor komunikacij zaposlenega zaradi ugotavljanja ali zaposleni morda ne “zapravlja” časa podjetja za zasebne namene ni ne sorazmeren, ne potreben. Za odpoved pogodbe o zaposlitvi namreč zadostuje že to, da delavec ni opravil dodeljenih nalog. Ali jih ni opravil zaradi pretirane uporabe interneta, elektronske pošte in telefona v neslužbene namena ali pa iz drugih razlogov, pa je ob vsem skupaj povsem irelevantno.

Ob tem določene posege v zasebnost – tudi na delovnem mestu – sankcionira in prepoveduje tako kazenska, kot tudi zakonodaja, ki se nanaša na varstvo osebnih podatkov.

Sklep

Pri vprašanju zasebnosti na delovnem mestu prihaja do trka lastninske pravice delodajalca in pravice do zasebnosti zaposlenega. Evropska pravna praksa se je postavila na stališče, da lastninska pravica ne prevlada samodejno nad pravico do zasebnosti, kar pomeni, da je pravico do zasebnosti potrebno (vsaj do določene mere) spoštovati tudi na delovnem mestu. Seveda pa je jasno, da tudi pravica do zasebnosti ni absolutna in tudi ta ne more prevladati nad lastninsko pravico delodajalca. Pomembni pa so tudi družbeni in psihološki vidiki. Pretiran nadzor namreč lahko omejuje kreativnost, motivacijo in lojalnost zaposlenega, zato na določeni točki lahko postane celo kontraproduktiven.

Ravno zaradi kolizije zgoraj omenjenih pravic pa je jasno, da bo vprašanje zasebnosti na delovnem mestu v prihodnosti sprožalo še številne polemike. Na to nakazuje tudi v začetku leta 2009 na Finskem sprejeta novela zakona o varstvu podatkov in elektronskih komunikacij (novela zakona je znana tudi pod imenom “Lex Nokia”; za sprejem zakona naj bi namreč lobiralo podjetje Nokia, ki pa je to zanikalo), ki delodajalcem v primeru suma kraje poslovnih skrivnosti daje pravico, do vpogleda v prometne podatke službene elektronske pošte zaposlenih (European Digital Rights, 2008). Zakon je že v fazi predloga požel precej kritik, številni pravni strokovnjaki pa so mnenja, da je protiustaven in morda tudi v neskladju z Evropsko konvencijo o človekovih pravicah. Posegi v zasebnost morajo namreč imeti ustrezno zakonsko podlago, hkrati pa morajo biti tudi nujni v demokratični družbi oziroma sorazmerni. In ravno vprašanja sorazmernosti, ter soglasja zaposlenega oziroma prisile delodajalca so tista, ki bodo v prihodnosti zakoličila obseg pravice do zasebnosti na delovnem mestu.

Viri in literatura

1. ACLU. 2003. »Privacy in America: Electronic Monitoring«. <http://www.aclu.org/Privacy/Privacy.cfm?ID=14170&c=132> (Datum dostopa: 19. 4. 2005; povezava ni več dostopna, nova povezava je: <http://www.aclu.org/technology-and-liberty/privacy-america-electronic-monitoring>).
2. Bogataj, Maja (ur.). 2003. Internet in pravo. Ljubljana: Pravna fakulteta.
3. Cate, H. Fred. 2007. »European Court of Human Rights Expands Privacy Protections: Copland v. United Kingdom«. ASIL Insights, Volume 11, Issue 21, 6. avgust 6 2007. <http://www.asil.org/insights070806.cfm>. (Datum dostopa: 28. 10. 2009).
4. EPIC. 2005. »United States v. Councilman«. <http://epic.org/privacy/councilman/>. (Datum dostopa: 1. 10. 2009).
5. European Digital Rights. 2008. Snooping law, “Lex Nokia”, proceeding slowly but surely in Finland. EDRi-gram, št. 6.24, 17. december 2008. <http://www.edri.org/edri-gram/number6.24/nokia-law-finland-snooping>. (Datum dostopa: 20. oktober 2009).
6. Klemenčič, Goran. 2001. »Varstvo elektronske zasebnosti«. V Potrč, Matjaž (ur.). 2001. Internet in pravo, str. 129–191. Ljubljana: Pasadena.
7. Klemenčič, Goran. 2002. »37. člen (varstvo tajnosti pisem in drugih občil)«. V Šturm, Lovro (ur.). 2002. Komentar ustave republike Slovenije, str. 391–408. Ljubljana: Fakulteta za podiplomske državne in evropske študije.
8. Klemenčič, Goran. 2003. »Internet in pravica do zasebnosti«. V Bogataj, Maja (ur.). 2003. Internet in pravo, str. 101–141. Ljubljana: Pravna fakulteta.
9. Potrč, Matjaž (ur.). 2001. Internet in pravo. Ljubljana: Pasadena.
10. Schulman, Andrew. 2001. »The Extent of Systematic Monitoring of Employee E-mail and Internet Use«. <http://www.sonic.net/~undoc/extent.htm>. (Datum dostopa: 17. 1. 2004).
11. Sinrod, J. Eric. 2004. »E-Legal: Employer Access to Employee E-Mails«. Law.com, 27. januar 2004. <http://www.law.com/jsp/article.jsp?id=900005537772>. (Datum dostopa: 11. 6. 2004; povezava je plačljiva).
12. Sykes, J. Charles. 1999. The End Of Privacy. New York: St. Martin’s Press.
13. Šturm, Lovro (ur.). 2002. Komentar ustave republike Slovenije. Ljubljana: Fakulteta za podiplomske državne in evropske študije.
14. Whitaker, Reg. 1999. The End of Privacy. New York: The New Press.

Pravni dokumenti ZDA

1. 4. amandma, Listina svoboščin (Bill of Rights), 1791.
2. Electronic Communication Privacy Act of 1986, 18 U.S.C. (1986).
3. Bonita P. Bourke, et. al. v. Nissan Motor Corporation, No. 68-705 (Cal.Ct.App.1993).
4. McLaren v. Microsoft, No. 05-97-00824 (Tex. Ct. App. 28. maj, 1999).
5. Smith v. Maryland, 242 U.S. 735 (1979).
6. Shoars v. Epson America Inc., No. (SWC) II2749 (Cal App. Dep’t. Super. Ct. Dec 8, 1992).
7. United States of America v. Bradford C. Councilman, No. 03-1383 (1st Cir., June 29, 2004).

Odločitve Evropskega sodišča za človekove pravice

1. Copland v. Velika Britanija, odločba z dne 3. 4. 2007.
2. Halford v. Velika Britanija, odločba z dne 25. 6. 1997.
3. Kopp v. Švica, odločba z dne 25. 3. 1998.
4. Lambert v. Francija, odločba z dne 24. 8. 1998.
5. Malone v. Velika Britanija, odločba z dne 02. 08. 1984.
6. Niemietz v. ZR Nemčija, odločba z dne 16. 12. 1992.

Odločitve Kasacijskega sodišča Francije

1. Philippe K. v. Cathnet-Science, Cour de Cassation, Chambre Sociale, Arret No. 1089 FS-P+B+R+1, Pourvoi No. J-03-40.017, 5/17/05.
2. Societe Nikon France v. M. Onof, Cass. soc., 2. oktober 2001, Bull Civ. V, No. 291.

Dokumenti Sveta Evrope

1. Svet Evrope. 1950. Evropska konvencija o varstvu človekovih pravic in temeljnih svoboščin, spremenjena s protokoli št. 3, 5 in 8 ter dopolnjena s protokolom št. 2, ter njeni protokoli št. 1, 4, 6, 7, 9, 10 in 11 (Convention on Human Rights and Fundamental Freedoms as amended by Protocols Nos. 3, 5 and 8 and amended by Protocol No. 2 and its Protocols Nos. 1, 4, 6, 7, 9, 10 and 11), sprejel jo je Svet Evrope leta 1950. Uradni list RS, št. 33/1994, “Mednarodne pogodbe”, št. 7/1994, 13. 6. 1994. Konvencijo je državni zbor Republike Slovenije ratificiral 13. 6. 1994. Veljati je začela dne 28. 6. 1994.
2. Svet ministrov Sveta Evrope. 1989. Priporočilo Sveta Evrope št. R(89) 2 o varstvu osebnih podatkov, uporabljanih za zaposlovanje (Recommendation No. R (89) 2 on the protection of personal data used for employment purposes), sprejeto 18 januarja 1989.

Dokumenti EU

1. Article 29 Working Party on Data Protection. 2001. Opinion 8/2001 on the processing of personal data in the employment context, iz dne 13. septembra 2001. <http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2001/wp48en.pdf>. (Datum dostopa: 28. 10. 2009; povezava ni več dostopna, vsebina je dostopna na <http://www.garanteprivacy.it/garante/document?ID=1365969>).

Slovenski pravni dokumenti

1. Ustava Republike Slovenije, Uradni list RS, št. 33/91-I, 42/97, 66/2000, 24/03, 69/04 in 68/06.
2. Sodba Upravnega sodišča št. U 702/99 z dne 21. 3. 2000.
3. Odločba Ustavnega sodišča RS, št. Up-472/02, Uradni list RS, št. 114/2004.
4. Odločba Ustavnega sodišča RS, št. Up-106/05, Uradni list RS, št. 100/2008.

Zagovorniki tovrstnega nadzora in proizvajalci CCTV opreme poudarjajo, da videonadzor močno pomaga zlasti pri preprečevanju kriminala in drugih oblikah asocialnega vedenja, pa tudi pri nadzoru prometa. A podatki že kar nekaj časa kažejo drugače. Obsežna raziskava britanskega notranjega ministrstva z naslovom “Crime prevention effects of closed circuit television: a systematic review” iz avgusta 2002 je namreč ugotovila, da uvedba videonadzora sicer vpliva na zmanjšanje kriminalitete, vendar le v manjšem obsegu. Ugotovitev raziskave ni osamljena; na spletni strani www.no-cctv.org.uk je navedenih še več raziskav, ki kažejo, da videonadzor kljub drugačnemu splošnemu prepričanju ne vpliva bistveno na zmanjšanje kriminalitete.

Tisoč videonadzornih kamer za en rešen primer

Podobne ugotovitve prinaša tudi interno britansko policijsko poročilo izpred dveh let. Britanska policija je namreč ugotovila, da videonadzorne kamere na javnih mestih ne pripomorejo bistveno k zmanjšanju kriminalitete, saj je s pomočjo videonadzora policiji uspelo rešiti le tri odstotke primerov uličnega kriminala. Lani so britanski mediji razkrili tudi podatke iz internega poročila londonske mestne policije, iz katerega izhaja, da je policija v letu 2008 rešila le en zločin na tisoč videonadzornih kamer, v enem mesecu pa so s posnetki pomagali identificirati le osem izmed 269 roparjev.

Videonadzor naj ne bi deloval niti preventivno, saj se kriminalci videonadzornih kamer sploh ne bojijo. Izjava ni površna ocena dogajanja, pač pa je to priznal inšpektor Mike Nevill, vodja posebnega britanskega policijskega videonadzornega oddelka Viido.

Podobne so tudi ugotovitve v nekaterih drugih državah. Raziskava o učinkovitosti videonadzora v San Franciscu, kjer so raziskovalci v letih od 2005 do 2008 analizirali stopnjo in pojavnost različnih oblik kriminala v okolici videonadzornih kamer (tatvine, vlomi, kraje vozil, napadi, ropi, umori in posilstva), je pokazala, da na večino omenjenih zločinov prisotnost videonadzornih kamer ni imela vpliva. Izjema so bile tatvine, ki se niso pojavljale le v radiju dobrih 30 metrov okoli kamer, umori pa so se v povprečju pomaknili 76 metrov stran od kamer, vendar se je njihovo število v območju od 75 do 152 metrov oddaljenosti ponovno približalo povprečju. Vse to raziskovalce navaja na sklep, da videonadzor umorov ne preprečuje, pač pa se morilci le nekoliko odmaknejo od videonadzorovanega območja. Na druge vrste zločinov prisotnost videonadzornih kamer ni imela vpliva.

Teorija razbitih oken

Res pa je, da nekatere raziskave kažejo, da prisotnost videonadzora zmanjša strah ljudi pred kriminalom. Nekateri strokovnjaki s področja varnosti, denimo Bruce Schneier, zato menijo, da veliko večjo vlogo pri videonazornih sistemih igra tako imenovani “varnostni teater”. Torej ukrep, ki vpliva zgolj na povečan občutek varnosti, varnosti same pa v resnici ne izboljšuje.

Vsekakor omenjene raziskave odpirajo vprašanje, ali je strošek namestitve in uporabe videonadzornih sistemov sploh upravičen in ali ne gre pravzaprav le za prelivanje davkoplačevalskega denarja v žepe proizvajalcev in prodajalcev tovrstnih sistemov. Britanski konservativni poslanec David Davis je pred časom tako javno izjavil, da bi bilo treba dobro premisliti, kako se porablja proračunski denar za preprečevanje kriminala, vse glasnejša pa so tudi mnenja, da bi bilo denar, namenjen nakupu in vzdrževanju CCTV sistemov, morda bolj smiselno porabiti za bolje osvetljene mestne površine ali več bolje usposobljenega policijskega osebja.

Da takšne ideje niso povsem brez podlage, kaže raziskava iz Združenih držav Amerike, ki je preverjala “teorijo razbitih oken“, ki sta jo leta 1982 razvila James Wilson in George Kelling. Teorija trdi, da je posledica vzdrževanja reda in čistoče na mestnih ulicah manj vandalizma in asocialnega vedenja, temu pa sledi tudi nižja stopnja kriminala. Teorijo sta potrdila Anthony Braga s Harvardske univerze in Brenda Bond z Univerze v Suffolku, ki sta skupaj s policijo v mestu Lowell identificirala 34 območij, kjer je vladala nadpovprečna stopnja kriminala. Na polovici teh območij so začeli z ulic čistiti smeti, popravljati razbite ulične svetilke ter preganjati postopače. Zavarovali so zapuščene stavbe, začeli pogosteje preganjati manjše prekrške ter povečali obseg pomoči brezdomcem.

Rezultati poskusa so zgovorni. Na omenjenih območjih je število telefonskih klicev na policijo upadlo za 20 odstotkov, analiza pa je pokazala, da je pri zmanjšanju kriminala najbolj učinkovito čiščenje fizičnega okolja. Pogostejše aretacije zaradi manjših prekrškov imajo manjši učinek, povečanje socialnih storitev pa ni imelo zaznavnega učinka. Teorijo razbitih oken je potrdila tudi raziskava Keesa Keizerja, Siegwarta Lindenberga in Linde Steg z Univerze v Groningenu, ki je pokazala, da ena oblika nereda, kot na primer grafiti na stenah ali odvržene smeti na tleh, spodbuja pojav drugih oblik nereda, kot so kraje.

Posnetki, ki jih nihče ne pregleduje

V zadnjem času pa se videonadzor širi predvsem na področje nadzora prometa, čeprav je na mestu vprašanje, koliko v resnici pripomore k varnosti – zlasti v smislu preprečevanja nesreč – tudi na tem področju. Res je sicer, da posnetki videonadzornih kamer lahko pomagajo pri ugotavljanju poteka prometne nesreče (po tem, ko se je le-ta  že zgodila), prav tako k varnosti dokazano pripomorejo tudi sistemi za zaznavanje vzvratne vožnje ali ustavljanja v predorih, vprašanje pa je, koliko k varnosti v cestnem prometu pripomorejo videonadzorni sistemi, ki posnetke zgolj shranjujejo, v resnici pa jih nihče ne pregleduje.

Sloveniji je znan primer iz lanskega leta, ko so pod viaduktom Goli vrh na primorski avtocesti našli razbit avto, v njem pa dve razpadajoči trupli. Nesreča se je zgodila že kar nekaj časa pred tem, vendar pa, kljub temu da je bil omenjeni odsek avtoceste po poročanju medijev pod videonadzorom, nihče ni opazil, da je omenjeno vozilo zapeljalo s ceste.

Sodobni videonadzorni sistemi sicer omogočajo tudi samodejno prepoznavanje registrskih tablic (gre za tim. tehnologijo ANPR – ang. automatic number plate recognition), na podlagi česar se lahko ustvarjajo obsežne zbirke podatkov o gibanju vozil in s tem posameznikov. Čeprav so bili sistemi prvotno uvedeni zaradi zaračunavanja vstopnine v mestna središča, kasneje pa so jih začeli uvajati z namenom iskanja ukradenih vozil, se danes uporabljajo tudi kot orodje boja proti terorizmu (v ZDA pa celo v ločitvenih postopkih). V Britaniji je v začetku veljalo, da ima policija dostop do teh podatkov le v primeru konkretne preiskave, vendar je leta 2007 britanska vlada te omejitve za namene boja proti terorizmu odpravila. Odločili so se namreč, da bodo do teh posnetkov “preventivno” in v realnem času lahko dostopali policisti iz protiterorističnega oddelka. O posledicah takšnega ukrepa za zasebnost in svobodo gibanja pa se razen redkih kritikov ni spraševal praktično nihče.

Kot kaže, pa z novo britansko vlado prihaja do sprememb tudi na tem področju. Britansko notranje ministrstvo je v začetku tega meseca obljubilo, da bodo to področje zakonsko uredili, saj sta po mnenju notranjega ministra Brokenshira rast in uporaba CCTV (pa tudi sistemov za samodejno prepoznavanje registrskih tablic) neprimerno urejena. Regulacija je potrebna zaradi zagotavljanja zaupanja javnosti v smotrno in pošteno rabo teh sistemov s strani oblasti. Vlada napoveduje, da bodo po novem natančno določili, kdo sploh sme zbirati in hraniti te podatke in koliko časa ter kdo in pod kakšnimi pogoji do teh podatkov sploh lahko dostopa. Obljubljajo tudi, da bodo sisteme za samodejno prepoznavanje registrskih tablic ustrezno označili.

Vprašanje je, kako se bodo na zakonske omejitve odzvali proizvajalci in prodajalci videonadzorne opreme, zagotovo pa lahko pričakujemo, da bodo vsem raziskavam in argumentom navkljub skušali širiti strah. Ne glede na to se je treba zavedati, da ima “varnostni teater” svojo ceno. Tako neposredno (strošek tovrstnih sistemov) kot tudi posredno (manj denarja za učinkovitejše načine boja proti kriminalu).

Zavzemanje za večjo zasebnost tako v tem primeru pomeni tudi zavzemanje za bolj racionalno porabo davkoplačevalskega denarja.

Članek je bil v nekoliko skrajšani različici 31. julija 2010 objavljen v Dnevnikovem Objektivu, URL: http://dnevnik.si/tiskane_izdaje/objektiv/1042377549.

Primer se je začel aprila 2007, ko je državljan Don Bubolz na podlagi zakonodaje o dostopu do informacij javnega značaja želel pridobiti izpis elektronskih sporočil pet učiteljev, ki so bila zasebne narave, a poslana iz službenega računalnika. Šola je najprej presodila, da gre za informacijo javnega značaja, saj so bila sporočila poslana s službenih (torej državnih) računalnikov, vendar so se učitelji na to odločitev pritožili.

Na prvi stopnji so pritožbo sicer izgubili, vendar je nato Vrhovno sodišče ameriške zvezne države Wisconsin presodilo, da mora biti delovanje javne oblasti sicer odprto, vendar pa vsebina zasebnih sporočil vladnih uslužbencev ni stvar javnosti.

Sodišče je kljub temu v določenih primerih dopustilo možnost razkritja zasebnih elektronskih sporočil vladnih uslužbencev poslanih iz računalnikov na delovnem mestu, na primer v primeru, da bi vsebovala dokaze o disciplinskih prekrških ali zlorabi javnih sredstev, tako kot  je bilo to v primeru City of Ontario v. Quon. o katerem je pred kratkim presojalo Vrhovno sodišče ZDA.

Ker je Quon večkrat prekoračil mesečne stroške za uporabo službenega pagerja, je njegov delodajalec pridobil prepis njegovih tekstovnih sporočil (iz službenega pagerja). Izkazalo se je, da so bila sporočila v veliki meri zasebne narave ter zelo seksualno eksplicitna. Maja 2003 je zato Quon skupaj s še tremi policisti na okrožno sodišče v Kaliforniji vložil tožbo zaradi kršitve pravice do zasebnosti, ki pa ni razsodilo njim v prid. Sledila je pritožba na prizivno sodišče, ki je 18. junija 2009 presodilo, da je v tem primeru šlo za kršitev pravice do zasebnosti v zvezni in kalifornijski ustavi.

Sledila je pritožba na Vrhovno sodišče ZDA, ki je ugotavljalo ali pripadnik posebne enote policije upravičeno pričakuje zasebnost na tekstovnih sporočilih, ki jih pošilja preko službenega pagerja ter ali enako velja tudi za posameznike, ki pripadnikom posebne enote policije na službene pagerje pošiljajo svoja sporočila.

17. junija letos je Vrhovno sodišče objavilo svojo odločitev (primer City of Ontario v. Quon, docket number 08-1332), in sicer da pregled takšnih sporočil ne predstavlja neupravičenega posega v zasebnost v skladu s Četrtim amandmajem ameriške ustave. Po mnenju sodišča je bila preiskava povezana z delom oziroma s sumom kršitve delovnih obveznosti, hkrati pa je bila upravičena in ni bila preveč invazivna, zaradi česar ne predstavlja kršitve Četrtega amandmaja ameriške ustave.

Odločitev je na nek način pričakovana, saj se je Vrhovno sodišče ZDA v odločitvi leta 1987 (primer O’Connor v. Ortega, 480 U.S. 709 (1987)) postavilo na stališče, da zaposleni na delovnem mestu sicer lahko pričakuje zasebnost, vendar je potrebno to pričakovanje uravnotežiti z interesom delodajalca glede nadzora nad delom zaposlenega. V primeru Ortega je Vrhovno sodišče ZDA presodilo, da je preiskava vladnega uslužbenca s strani delodajalca upravičena, če je opravljena v povezavi z njegovim delom in ni pretirano vsiljiva.

Naj še dodamo, da je področje komunikacijske zasebnosti na delovnem mestu v Evropi bistveno drugačno urejeno kot v ZDA.

Komisija za preprečevanje korupcije je zadevo preučila in 14. 6. 2010 sprejela mnenje številka 15, v katerem ugotavlja, da ravnanje uradnih oseb Ministrstva za javno upravo v postopku nabave in vzdrževanja Microsoft programske opreme nima znakov korupcije po 3. alineji 2. člena Zakona o preprečevanju korupcije in ne predstavlja konflikta interesov.

V mnenju komisija ugotavlja, da je Ministrstvo za javno upravo oziroma Center vlade Republike Slovenije za informatiko izvedel javna naročila za nabavo Microsoft programske opreme za delovne postaje skozi postopek s pogajanji, na podlagi česar je bila podpisana pogodba, sklenjena za obdobje 2009-2011. S tem je (po navedbah MJU) javna uprava proti Microsoftu kot velik kupec in dosegla bistveno bolj ugodne pogoje nabave, kot če bi programsko opremo nabavljal vsak organ samostojno.

Kot navaja MJU se je država odločila za postopek s pogajanji brez predhodne objave, kar je po Zakonu o javnem naročanju (24. člen) mogoče storiti v primeru, če zaradi tehničnih oziroma umetniških zahtev predmeta javnega naročila ali iz razlogov, ki so povezani z varovanjem izključnih pravic, naročilo lahko izpolni le določen ponudnik. Vendar pa je po mnenju Komisije za preprečevanje korupcije MJU uporabo postopka s pogajanji brez predhodne objave upravičil in zato tako ravnanje ni bilo nezakonito.

Komisija je preverila tudi trditve enega izmed prijaviteljev, da naj bi javni uslužbenci, ki sodelujejo pri uvajanju in uporabi konkurenčnih rešitev odprte kode, sodelovali tudi pri pogajanjih z družbo Microsoft, kar naj bi predstavljalo konflikt interesov.

MJU je Komisiji pojasnilo, da ravno to, da isti uslužbenci sodelujejo pri vseh teh aktivnostih, pomeni prednost pri pogajanjih z družbo Microsoft, saj široko poznavanje različnih področij s strani omenjenih državnih uradnikov omogoča boljša pogajalska izhodišča. To argumentacijo je Komisija sprejela.

Komisija je nato preverila tudi študijo »Ocena ekonomske upravičenosti MS-EA za obdobje 2003-2005«, ki naj bi jo naredili isti javni uslužbenci, ki so nato tudi sodelovali pri pogajanjih z družbo Microsoft, ter ugotovila, da javni uslužbenci v konkretnem primeru niso postopali pristransko oz. niso favorizirali točno določenega ponudnika, pač pa so naročniku predstavili prednosti in slabosti posamezne rešitve. Se pa pri tej presoji Komisija ni spuščala v ocenjevanje strokovnosti tistih, ki so sodelovali pri izdelavi študije, ravno tako pa se ni opredelila o tem, kateri operacijski sistem in ostali programi so najboljši in kot taki edini primerni in smotrni za uporabo v javnem sektorju, saj za to ni niti pristojna niti usposobljena.

Edini očitek, ki ga je Komisija naslovila na MJU pa je ta, da ne obstaja konkretna študija, ki bi pokazala na smotrnost nabave računalniške opreme v daljšem časovnem obdobju, pač pa se je pri nakupu nove opreme za obdobje 2009-2011 uporabila le obnovljena študija. Po mnenju Komisije pa lahko pomanjkanje nove študije povzroči vsaj dvom v smiselnost takega nakupa. Komisija v svojem mnenju tudi navaja ugotovitev, da MJU tudi sam priznava, da brez izvedbe pilotskih projektov v različnih delovnih okoljih ne more podati ocene trajanja in stroškov takega prehoda.

Koruptivnega ravnanja v tem primeru torej Komisija za preprečevanje korupcije ni našla, kljub temu pa lahko še enkrat ponovimo zaključno misel iz članka o transparentnosti in gospodarnosti javne uprave pri nakupih programske opreme:

“Nihče ne pravi, da bi država na vso silo morala pričeti uporabljati odprto kodo na vseh področjih. Nihče tudi ne trdi, da je prehod na odprto kodo in Linux na vseh področjih mogoč in smiseln. Obstaja pa dovolj indicev, da je uporaba odprte kode vsaj v delu poslovanja državne uprave verjetno smiselna in stroškovno učinkovita ter bi lahko z njeno uporabo morda lahko zmanjšali visoke stroške za informatizacijo javne uprave. To pa pomeni, da bi država odprto kodo morala začeti jemati kot resno alternativo, predvsem pa bi se morala pri nakupu programske opreme in storitev informatizacije začeti obnašati bistveno bolj transparentno in gospodarno. Za začetek morda lahko pričakujemo javno objavljeno pregledno analizo vseh stroškov za informatiko ter resno pilotno študijo o uvajanju odprte kode v javno upravo. Vprašanje namreč ni uporaba odprte ali zaprte kode, pač pa transparentnost in gospodarnost porabe javnih sredstev.“