Kaj je prometni podatek

Sporočila so sestavljena iz vsebine in glave sporočila (včasih imenovane tudi ovojnica). Ovojnica ali glava vsebuje podatke o pošiljatelju, naslovniku, ter še nekaj pridruženih lastnosti (recimo na kakšen način naj sporočilo potuje). Ko sporočilo potuje po poti, na vmesnih postajah na podlagi glave sporočila nastanejo prometni podatki, recimo: “Sporočilo vrste V, velikosti K je ob času T prišlo iz smeri A in bilo napoteno v smer B.” V primeru telefonskega klica prometni podatki vsebujejo podatke o klicoči telefonski številki, klicani številki, datum in čas klica, ter njegovo trajanje. Elektronska komunikacija na internetu je sestavljena iz kar sedmih različnih nivojev, na vseh teh pa se ustvarjajo prometni podatki. Na nižjih nivojih iz prometnih podatkov ugotovimo, kateri napravi je bil dodeljen nek IP naslov, višje izvemo izvorni in ciljni IP naslov komunikacije, vrsto internetnega protokola, izvorna in ciljna vrata (port), čisto na vrhu pa podatke, ki so vezani na samo aplikacijo, recimo elektronske naslove v primeru elektronske pošte, ali parametre spletne poizvedbe.

Skoraj vse naprave na omrežju beležijo prometne podatke (OK, določene naprave, kot so recimo električno-optični pretvorniki res ne beležijo nič, a saj veste, kaj sem hotel reči). Vsak spodobno napisan računalniški program, ki komunicira preko omrežja, beleži dogajanje v svoj dnevnik. Vsak usmerjevalnik prometa zabeleži, na kateri vmesnik je prejel komunikacijski paket in preko katerega ga je predal naprej (oz. če ga ni, zakaj tega ni storil).

Kje vse se hranijo prometni podatki

Povsod. Vsak upravitelj spletnega strežnika hrani dnevniške datoteke, v njej pa so prometni podatki na aplikacijskem nivoju. Notri je datum in čas, IP naslov obiskovalca, zahtevana spletna stran in status poizvedbe (uspešna, neuspešna, preusmerjena, in tako naprej). Podobno je tudi z drugimi strežniki, od pošte in DNS sistema do namenskih strežnikov.

Vsaka organizacija običajno namesti požarno pregrado, s katero zaščiti svoje lokalno omrežje. Na njej se zbirajo prometni podatki za vso komunikacijo, ki preko požarne pregrade potuje. Zabeležijo se izvorni in ciljni naslovi, lastnosti komunikacije in še kaj več. Tudi doma lahko vaš brezžični usmerjevalnik beleži prometne podatke.

Operaterji beležijo prometne podatke tudi na usmerjevalnikih svojega omrežja. Preko njih spremljajo prometne tokove in na njihovi osnovi upravljajo z omrežjem. Načrtujejo nadgradnje in odgovarjajo z zaščitnimi ukrepi v primeru napadov. Operaterjem zakon predpisuje obvezno hrambo, po drugi strani pa jo prepoveduje.

Namen in uporaba prometnih podatkov

Prometni podatki so nujni za zagotavljanje zanesljivega delovanja omrežja. Brez njih je odkrivanje napak nemogoče. To si je pomembno zapomniti in najraje bi to zapisal še vsaj petkrat zapovrstjo.

Brez njih je internetni ponudnik (ali ponudnik drugih storitev, recimo gostovanja) kot človek brez spomina. Ko se znajde v slepi ulici, ne ve, zakaj je tja prišel, kako je prispel, niti ne ve, od kod je.

Ena od dokaj tipičnih pritožb, ki jo operaterji redno prejemajo, je recimo: “Poslal sem pomembno (elektronsko) pošto poslovnim partnerjem, a je ti niso prejeli. Pravijo, da vso pošto od drugod prejemajo brez problema, torej ste vi krivi.” V takšnem primeru ponudnik pogleda v svoje “zbirke prometnih podatkov” (pravni termin) oziroma “log fajle”, dnevniške datoteke svojih strežnikov (strokovni termin). Tam vidi zapisano, kdaj je sporočilo prejel in kdaj ga je predal tujemu poštnemu strežniku.

Tu pa se začne zgodba o z zakonom določeni hrambi prometnih podatkov. V bistvu se začne še nekoliko prej. Začne se pri strahu, da se lahko sledi vsakemu posamezniku preko shranjenih prometnih podatkov. 104. člen Zakona o elektronskih komunikacijah zato določa:

(1) Podatki o prometu, ki se nanašajo na naročnike in uporabnike ter jih je operater obdelal in shranil, morajo biti izbrisani ali spremenjeni tako, da se ne dajo povezati z določeno ali določljivo osebo, takoj ko niso več potrebni za prenos sporočil, razen če sodijo v kategorijo podatkov iz 107.b člena tega zakona, ki se hranijo v skladu s četrtim in petim odstavkom 107.a člena tega zakona.

Po uspešnem prenosu sporočila naj bi operater povezane podatke o prometu anonimiziral ali izbrisal. Kaj to pomeni v zgornjem primeru pritožbe? Če bi operater izbrisal ali anonimiziral podatke, čez kakšen teden dni (ko se uporabnik pritoži), ne bo več vedel, ali je sporočilo uspel predati naprej ali ne. Primera nisem naključno izbral, saj so napake pri delovanju poštnih strežnikov zelo zelo redke, pritožbe glede dostave pošte pa ne.  Običajno “zamočijo” pošiljatelji ali prejemniki (ti se včasih še celo zlažejo, da kakšne pošte niso dobili, ker jim pač njena vsebina poslovno preveč ne prija; lahko verjamete kaj takšnega, a?).

Vsak ponudnik na podlagi zbranih in analiziranih prometnih podatkov spremlja stanje na omrežju in ugotavlja, kje so ozka grla. Te podatke uporablja za načrtovanje razširitev in nadgradenj, ki bodo zagotavljale udobno delo na omrežju.

Ko pa gre za namerne napade na strežnike ali omrežje, prometni podatki pokažejo, kaj pravzaprav se je dogajalo. Ponudniku omogočijo zaznavo napada, ustrezno zaščito pred njim in omogočijo izsleditev izvora napada. Reakcija na napad vedno pride šele za njim. Če prometne podatke prehitro vržemo stran, potem ne moremo narediti nič. Ponudnik takrat lahko le zatisne oči in počaka, da vse skupaj mine. O tem smo pisali tudi ob napadih skupine Anonymous februarja letos.

No, ampak v zgoraj citiranem odstavku obstaja izjema pri hrambi, določena v 107.a. in 107.b. členih. Ta sta nastala na podlagi Direktive 2006/24/ES za namen boja proti terorizmu. Določata zelo omejen obseg prometnih podatkov, ki so jih operaterji dolžni hraniti. Vsi ponudniki po vsem svetu so seveda že pred tem beležili prometne podatke za namene zagotavljanja normalnega delovanja omrežja in načrtovanja. Direktiva je le na neroden način določila neko podmnožico podatkov, ki jih operaterji nujno morajo hraniti in omogočajo izsleditev storilca. Zato se je tudi moral popraviti 104. člen. Če sem malo ciničen, se je slaba rešitev “popravila” s še eno slabo.

Potvarjanje številke klicočega

Matej v svojem prispevku opiše, kako lahko v tujini najdete operaterja internetne telefonije, ki vam dovoli potvoriti telefonsko številko in potem preko ovinka pošiljate lažne klice in SMS sporočila. V računalniški srenji bi seveda lahko rekli: “It’s not a bug, it’s a feature,” predvsem za tistega ponudnika telefonije, ki to trži kot prikladno fleksibilnost. V svojem članku za Sobotno prilogo Lenart J. Kučić nekoliko posplošeno opisane aktivnosti povzame, da je Matej pri “… več slovenskih operaterjih mobilne, fiksne in internetne telefonije (voip) … uspešno preizkusil spreminjanje klicne identifikacije.” Matej ni spremenil identifikacije pri nobenem od slovenskih operaterjev, ampak je izbral tujega operaterja, ki to deklarirano dovoljuje, in potem preko njega izvedel klic v slovenska omrežja. To je velika razlika. Matej je uporabil možnost pri tujem VoIP ponudniku, ki jo ta pač ponuja svojim strankam. Ne moremo govoriti o varnostni pomanjkljivosti, ker gre za poslovni model. Ali je ta pameten ali ne, je drugo vprašanje.

Kot Matej pravilno ugotavlja, se je podobno dogajalo tudi na internetu. Preko potvorjenih IP naslovov so se izvajali različni napadi, dokler sčasoma ponudniki sami niso ugotovili, da je treba uvesti določena pravila na mejah omrežja, od koga boš sprejel kaj. Morda se bo to zgodilo tudi pri internetni telefoniji.

Najbolj pa je pomembno naslednje: kako se lahko lotimo preiskovanja v primeru, ko gre za podtaknjene in lažne klice? Odgovor je: preko analize prometnih podatkov! Vi boste ob Matejevem “napadu” res na zaslonu svojega telefona videli izmišljeno številko, ki jo bo on poljubno nastavil, vendar pa bo vaš operater telefonije lahko preko prometnih podatkov lahko preveril, od kod je klic dejansko prišel v njegovo omrežje. To ponudniki redno počnejo pri elektronski pošti, kadar pride do pritožb ali goljufij. Ko pa bo vaš operater prometne podatke izbrisal (zaradi zakonske določbe), tega ne bo mogel več ugotoviti in vi sami kot žrtev napada boste bolj izpostavljeni tveganju.

Druga napaka leži v domnevi, da se v preiskovanju zlorab na omrežju vedno zanašamo le na en sam podatek in da nikoli ne podvomimo v verodostojnost kateregakoli od njih. To seveda ni res. Vsako preiskovanje na omrežju vedno temelji na tem, da se primerjajo podatki iz različnih koncev in na podlagi njih se izdelajo možni scenariji, eni bolj, drugi manj verjetni. Koristno je, da se prometni podatki ustvarjajo pri različnih skrbnikih, z njihovo primerjavo pa se lahko povečuje ali zmanjšuje to verjetnost.

Preveč enostavno je tudi reči: “ker lahko na enem primeru pokažemo, da je možno, da prometni podatek ne ustreza dejanskem stanju, ne potrebujemo njihove hrambe.” Dvomim, da se kdajkoli samo na podlagi enega takšnega podatka odloča o pomembnih rečeh na sodišču. Ne smemo pa tudi mimo dejstva, da tveganja opisujemo z verjetnostmi in se na podlagi teh vedemo.

Povsem verjetno pa je, da se pri telefoniji takšne preiskovalne varovalke še najmanj uporabljajo, zato je v tem kontekstu Matejevo opozorilo na mestu.

Zakonska regulacija kot način urejanja kršitev

Pred leti je Mobitel d.d. predal policiji seznam klicanih številk, a pri tem pozabil vprašati, kje je odredba sodišča. Delodajalci na ministrstvu so preko izpiskov klicev službenih telefonov iskali zaposlene, ki so se pogovarjali z novinarji in jih za to kaznovali (po naši lokalni folklori seveda z obveznim političnim priokusom). Potem pa imamo še poskus tržnega inšpektorja, da bi pridobil identiteto internetnega uporabnika na podlagi zakonskega določila, ki ga je zakonodajalec sicer namenil pregonu hujših kaznivih dejanj. Kaj je skupno tem primerom? Namesto da bi v posameznem primeru prišli do ustreznega pravnega epiloga, se je dostikrat ubrala najlažja pot: ali malo spremenimo zakon, ali pa si ga razložimo na tako izviren način, da bo cilj dosežen. S pravno akrobacijo uvedbe razlikovanja statično in dinamično dodeljenih IP naslovov se je sicer rešil tisti problem z inšpektorjem, a nastali so problemi pri policijskih postopkih, zaradi političnih iger pa morajo sedaj vsi operaterji delno skrivati telefonske številke na izpiskih, ki nam jih pošljejo. Lahko, da se je v nekem primeru dobila bitka za zaščito zasebnosti zaposlenega, a zraven tudi jaz kot uporabnik občutim zame neželene stranske učinke, ki se dostikrat ob iskanju rešitve zanemarijo. Refleksno dodajanje členov in celih zakonov nas pelje v vedno bolj zbirokratizirano in konfuzno družbo, to da napišemo še en zakon, pa je nemalokrat tudi zatiskanje oči pred problemi in bežanje pred njihovim korenitim reševanjem. Da je stvar sedaj urejena in problema ne bi smelo več biti. Spam pri nas urejamo s kar štirimi zakoni, pa je pregon domačih spamerjev vseeno dolg, poln zapletov in čeri.

Prav tako so po krivem v središču prometni podatki. To “čast” si zaslužijo tisti, ki prometne podatke zlorabljajo ali prodajajo. Ker ne zmoremo kot družba kaznovati teh zlorab, raje vsem predpišimo, da prometnih podatkov sploh ne sme biti? Če gremo predaleč lahko tudi zaščita zasebnosti posameznika škodi njemu samemu, ko se znajde v vlogi žrtve prevare in pričakuje, da se bo storilca poiskalo. Sploh pa: medtem, ko se mi v peskovniku mikastimo glede tega in si eden drugemu mečemo v oči zdaj statični, zdaj dinamični internetni pesek, se velike firme, kot so Google in Facebook, smejejo na široko in naše podatke zajemajo z zelo velikimi lopatami.

I.2.3 Poglavitne rešitve

Po predlogu zakona se izmed storitev, ki jih je prepovedano opravljati za osebe, ki nimajo koncesije Vlade RS za prirejanje iger na srečo, črta »omogočanje dostopa do spletnih strani oziroma drugih telekomunikacijskih povezav, preko katerih se je mogoče udeležiti spletnih iger na srečo«, ker iz besedila ni povsem jasno, da se nanaša le na tiste ponudnike storitev informacijske družbe, ki opravljajo storitve (storitev je naročeno delo, ki se opravi za koga, navadno za plačilo), torej so v pogodbenem odnosu z osebami, ki prirejajo igre na srečo brez koncesije Vlade RS.

Po predlogu zakona sme le sodišče ponudniku storitev informacijske družbe odrediti omejitev dostopa do spletnih strani, preko katerih se prirejajo igre na srečo brez koncesije Vlade RS. S tem je zagotovljena pravna varnost ponudnikov storitev informacijske družbe in upoštevano načelo sorazmernosti. Predlog sodišču lahko posreduje tudi pristojni nadzorni organ. Takšna ureditev je povzeta po Zakonu o elektronskem poslovanju na trgu (Uradni list RS, št. 96/09 – uradno prečiščeno besedilo), ki sicer dejavnost iger na srečo izključuje iz uporabe zakona.

Tak razvoj je seveda pozitiven, sploh ker se bo zakon spremenil brez skrajnih mehanizmov, kot so ustavna presoja ali referendum. Ne gre pa pozabiti, da je še pred nedavnim Urad RS za nadzor nad prirejanjem iger na srečo (Unpis) vseeno izdal več odločb slovenskim ponudnikom za blokado spletnih mest. Slovenski ponudniki so odreagirali s skupno izjavo za javnost, pritožbami in pozivom k odpravi odločb. Direktor Unpisa, Boris Kovačič je ob tem za Finance izjavil:

Verjamem, da smo (ponudnike interneta, op. a.) jih z ukrepom presenetili. Očitno na to niso bili pripravljeni. Toda njihovo dejanje pomeni, da podpirajo kaznivo dejanje. Drugega ne morem reči, zato jim bomo izdali plačilne naloge oziroma druge ustrezne ukrepe.

• Boris Kovačič, direktor Unpisa v članku “Unpis: Če ne bodo ubogali, jih bomo pa kaznovali“, Finance, 6. 4. 2010

Konec dober, vse dobro?

DPI tehnologije niso nekaj novega, saj so se v preteklosti že pojavljale kot tehnologije za zagotavljanje varnosti omrežij, samodejno prepoznavo virusnih in hekerskih napadov, neželene elektronske pošte in podobnih nevšečnosti. Vendar pa se DPI tehnologije v zadnjem času pojavljajo predvsem kot tehnologije množičnega nadzora in zbiranja osebnih podatkov, prestrezanja komunikacij in cenzure oziroma omejevanja prostega pretoka podatkov na internetu.

DPI tehnologije pa se tudi komercializirajo. Danes so tako postale predvsem posel. Pojavljajo se namreč številni ponudniki DPI naprav, katere operater komunikacijskega omrežja lahko vključi v svoje omrežje in spremlja ali omejuje promet svojih uporabnikov. Eno izmed podjetij, ki s pomočjo DPI spremljajo in beležijo spletne aktivnosti uporabnikov interneta je tudi podjetje Phorm. Podjetje v različnih državah (v Evropski uniji je najbolj znan primer Velike Britanije) s ponudniki dostopa do interneta sklepa dogovore, v okviru katerih svoje DPI naprave namešča v njihova omrežja in spremlja aktivnosti uporabnikov spleta. Na podlagi zbranih podatkov nato opravljajo analize vedenja (predvsem brskalnih navad) in temu prilagajajo oglase (gre za tim. vedenjsko oglaševanje). Zaradi spornega poseganja v komunikacijsko zasebnost – to se je namreč dogajalo brez soglasja uporabnikov – je Evropska komisija v začetku leta proti Veliki Britaniji sprožila postopek zaradi neusklajenosti britanske zakonodaje s pravili Evropske unije o tajnosti in zaupnosti komunikacij.

Uporaba DPI tehnologij lahko resno posega v zasebnost uporabnikov, zagovorniki tim. nevtralnosti interneta (ang. net neutrality) pa opozarjajo, da je DPI tehnologije mogoče zlorabiti tudi za cenzuro ali omejevanje prostega pretoka informacij in podatkov v omrežju. Upravitelj DPI naprave namreč lahko blokira ali omeji uporabo določenih storitev, npr. uporabo internetne telefonije pri konkurenčnih ponudnikih ali uporabo spletnih iskalnikov, ki z upraviteljem omrežja niso podpisali ustreznega sporazuma. Mogoče so tudi drugačne (zlo)rabe DPI tehnologije – npr. take, kjer upravitelj omrežja spremlja brskalne navade svojih uporabnikov in zbrane podatke prodaja marketinškim organizacijam, ali pa celo take, kjer upravitelj omrežja uporabnikom vriva svoje oglase. DPI tehnologija namreč lahko ob obisku določene spletne strani uporabniku iz nje “odstrani” originalne oglase in namesto njih vstavi svoje. Teoretično bi tako lahko upravitelj omrežja iz spletnih strani odstranjeval oglase drugih podjetij ter namesto njih svojim uporabnikom serviral svoje.

No, pravzaprav niti ne teoretično, saj je znano, da je British Telecom tovrstno tehnologijo “testiral” že v letih 2006 in 2007 (več informacij o DPI tehnologiji podjetja Phorm je na voljo na spletnih straneh BBC, na spletni strani BadPhorm ter na spletni strani kanadskega pooblaščenca za varstvo zasebnosti). Mimogrede, ste vedeli, da se ponudniki tovrstne tehnologije pojavljajo tudi v Sloveniji, eno izmed oblik DPI tehnologije pa razvijajo tudi nekatera slovenska podjetja?

Poleg poseganja v zasebnost in oviranje prostega pretoka informacij se torej odpira tudi vprašanje poseganja v vsebino spletnih strani in posledično morebitno kršenje avtorskih pravic lastnikov spletnih strani. Vendar pa proizvajalci DPI naprav o teh problemih ne govorijo preveč. Raje poudarjajo, da gre pri DPI za tehnologijo, ki omogočajo sodobnejše načine oglaševanja ali zagotavlja varnost omrežij. S slednjim argumentom se DPI tehnologije prodajajo predvsem podjetjem. In ker živimo v časih, ko se je v korist varnosti “potrebno” odreči svobodi in zasebnosti, se uporaba DPI naprav širi. Podobnost s prodajo videonadzornih sistemov vsekakor ni naključna.

Vsekakor gre za razmeroma nove tehnologije oziroma razmeroma nove načine uporabe obstoječih nadzornih tehnologij, za katere pa se zastavlja vprašanje, ali njihove uporabe – podobno kot je bilo to storjeno npr. z videonadzorom ali biometrijo v okviru Zakona o varstvu osebnih podatkov – morda ne bi bilo potrebno pravno regulirati. Uporaba DPI naprav namreč lahko predstavlja kršitev tako Zakona o varstvu osebnih podatkov kot tudi Zakona o elektronskih komunikacijah in Kazenskega zakonika.

Po Zakonu o varstvu osebnih podatkov je namreč prepovedana obdelava osebnih podatkov brez ustrezne pravne podlage (8. in 9. člen ZVOP-1), DPI tehnologije pa so namenjene tako obdelavi prometnih podatkov kot tudi prestrezanju in analizi vsebine komunikacij. To pa pomeni, da (pravno) nepravilna uporaba lahko predstavlja tudi kršitev 5. odstavka 103. člena Zakona o elektronskih komunikacijah, ki prepoveduje prestrezanje elektronskih komunikacij brez ustrezne pravne podlage oziroma lahko predstavlja tudi kaznivo dejanje kršitve tajnosti občil (139. člen Kazenskega zakonika) ter kaznivo dejanje napada na informacijski sistem (221. člen Kazenskega zakonika).

Kljub temu, da se tovrstne naprave prodajajo tudi v Sloveniji, pa kakšnih konkretnih podatkov o uporabi, predvsem pa implikacijah uporabe DPI tehnologij v Sloveniji nimamo. V tem oziru DPI tudi v svetovnem merilu predstavlja nekakšno novost, saj se je o pravnih in družbenih posledicah uporabe DPI nekoliko bolj sistematično začelo govoriti šele lansko leto, in sicer na pobudo kanadskega pooblaščenca za zasebnost, ki je z namenom osveščanja vzpostavil posebno spletno stran. Na spletni strani so zbrani prispevki različnih strokovnjakov, ki multidisciplinarno obravnavajo različne vidike DPI tehnologij.

Uporaba DPI v Sloveniji

Kot rečeno, se ponudniki DPI tehnologije, ki bi analizirala in morda celo posegala v komunikacijski promet javnih omrežij, pojavljajo tudi v Sloveniji. Vendar pa je slovenska zakonodaja glede posegov v komunikacijsko zasebnost precej stroga, zato so (vsaj nekateri) ponudniki dostopa do interneta glede uporabe DPI precej previdni. Manj pa to velja za podjetja, ki kupujejo DPI tehnologijo z namenom zaščite svojih internih omrežij. DPI tehnologija je v tem primeru “skrita” kot del funkcionalnosti požarne pregrade ali sistema za zaznavanje in preprečevanje vdorov v omrežje (tim. IDS in IPS sistemi; ang. Intrusion Detection Systems, Intrusion Prevention Systems). Problem pa nastopi pri praktični uporabi tovrstnih naprav, ki je lahko pravno pravilna ali pa pravno nepravilna. Težava je seveda v tem, da je prestrezanje digitalnih podatkov v sodobnih telekomunikacijskih omrežjih mogoče izvesti povsem nezaznavno, zato lahko uporabniki zelo težko (če sploh) ugotovijo, da se na njihovem omrežju izvaja DPI in da je posledično morda kršena njihova pravica do zasebnosti. Odsotnost pritožb uporabnikov zato ne pomeni nujno, da kršitev ni, pač pa lahko pomeni zgolj to, da so kršitve prikrite.

Kršitve je kljub temu mogoče zaznati, vendar je za to potrebno nekaj več računalniško-tehničnega znanja. V nadaljevanju si bomo pogledali prvi primer uradne obravnave uporabe DPI tehnologij v Sloveniji, v katerega sem bil “vpleten” tudi sam. Zgodba je zato nekoliko bolj osebna.

V začetku maja 2009 zjutraj sem na svojem službenem računalniku zagnal odjemalca za elektronsko pošto Mozilla Thunderbird. Odjemalec je nastavljen tako, da z njim prebiram svojo elektronsko pošto na štirih različnih strežnikih. Trije od njih omogočajo šifriranje povezav, zato se nanje povezujem preko šifriranega SSL oz. TLS protokola.

Ko se torej moj poštni odjemalec poveže na poštni strežnik, se med njim in strežnikom najprej vzpostavi šifrirana povezava, nato odjemalec (po šifrirani povezavi) strežniku pošlje uporabniško ime in geslo ter nato prenese e-poštna sporočila. Vsak izmed teh treh poštnih strežnikov za dokazovanje svoje verodostojnosti uporablja svoj digitalni certifikat, ki je tudi ustrezno podpisan.

Prebiranje e-pošte vsak dan poteka enako, tega dne pa je bilo nekaj drugače. Pri povezovanju na prvega izmed šifriranih strežnikov se je namreč pojavilo obvestilo, da identitete strežnika ni mogoče preveriti. Podrobnejši pregled SSL certifikata je pokazal, da je bil certifikat spremenjen (to je mogoče preveriti s pomočjo tim. prstnega odtisa oz. kontrolne vsote certifikata).

Novega (lažnega) certifikata nisem sprejel, pač pa sem zavrnil povezavo in se na poštni strežnik skušal povezati preko alternativnega, brezžičnega omrežja. V tem primeru mi je poštni strežnik poslal pravilen certifikat in povezava je bila uspešna. Očitno je postalo, da ne gre za problem poštnega strežnika, pač pa omrežja. Z drugimi besedami, v službenem omrežju mi je nekdo skušal podtakniti lažen SSL certifikat in s tem moj računalnik zavesti, da se poveže na njegov strežnik in mu posreduje uporabniško ime in geslo.

Obvestilo o spremembi SSL certifikata

Gre pravzaprav za klasičen napad s posrednikom (ang. man-in-the-middle napad), kjer se napadalec postavi med dve komunikacijski točki in se pred obema pretvarja, da je nasprotni komunikacijski partner. V danem primeru se je “napadalec” mojemu poštnemu odjemalcu predstavil kot poštni strežnik in ga poskušal zavesti, da bi se povezal nanj in mu posredoval svoje uporabniško ime in geslo. Te podatke bi potem “napadalec” poslal pravemu poštnemu strežniku in se mu predstavil kot moj poštni odjemalec. Kljub temu, da bi bili obe povezavi šifrirani, pa bi napadalec na sredi med obema komunikacijskima točkama lahko brez težav bral nešifriran promet (v našem primeru mojo e-pošto).

Shematski prikaz napada s posrednikom.

Ko sem se prepričal, da gre za poskus izvedbe napada s posrednikom in posledično morda za poskus neupravičene pridobitve mojega uporabniškega imena in gesla za dostop do mojega e-poštnega predala, sem se odločil za nekaj testov. S programom za analizo omrežnega prometa Wireshark sem opravil analizo omrežnega prometa iz mojega računalnika v internet in ugotovil, da ne gre za okužbo na mojem računalniku (tovrstne napade namreč znajo izvesti tudi nekateri virusi), pač pa za problem, ki se pojavlja nekje v samem omrežju.

Istega dne sem po elektronski pošti (seveda preko alternativne, “neokužene” povezave) omrežni incident oz. sum napada s posrednikom prijavil Arnesovemu centru za posredovanje ob omrežnih incidentih SI-CERT.

SI-CERT-ovo poizvedovanje je pokazalo, da do nepravilnosti v omrežju ne prihaja zaradi kakšnega hekerskega napada, pač pa zaradi delovanja požarnega zidu, ki omogoča DPI pregledovanje omrežnega prometa. O problemu sem obvestil tudi zaposlene v računalniškem centru fakultete, kjer sem zaposlen, od koder so me obvestili, da bo odgovor pripravilo podjetje, ki jim je prodalo DPI napravo in ki z njo tudi upravlja. To podjetje je kasneje posredovalo odgovor, kjer so pojasnili, da gre pri opisanem incidentu za delovanje požarne pregrade, ki je bila v začetku maja 2009 programsko nadgrajena, ob nadgradnji pa je bilo vklopljeno tudi protivirusno in protismetno pregledovanje za šifrirane poštne protokole.

V vmesnem času so šifrirane poštne povezave res začele normalno delovati, vendar pa sem opazil nekatere druge anomalije v delovanju omrežja oziroma delovanju nekaterih komunikacijskih protokolov in se zato odločil še za nekaj dodatnih testov (uporabljeno je bilo orodje za izvajanje naprednih testov omrežja, hping). Testiranja so sume, da se na omrežju še vedno izvaja prestrezanje in celo analiza komunikacijskih protokolov, še okrepila. Analize so namreč pokazale blokiranje nekaterih nestandardnih komunikacijskih protokolov ter prestrezanje komunikacij s pomočjo omrežnega posrednika (ang. transparent proxy).

V nadaljevanju sem se zato odločil izvesti še nekaj naprednejših analiz omrežja s katerimi sem uspel (približno) ugotoviti lokacijo prestrezne naprave v omrežju. Izkazalo se je, da je DPI naprava locirana na točki, kjer se omrežje moje fakultete povezuje naprej v internet, kar je pomenilo, da je DPI naprava sistematično prestrezala in (verjetno tudi) analizirala ves komunikacijski promet vseh zaposlenih in študentov, ki uporabljajo fakultetne računalnike.

Prijava Informacijskemu pooblaščencu

Kljub temu, da so moje ugotovitve kazale na to, da se prestrezanje izvaja avtomatizirano (brez tim. človeškega faktorja), pa se je treba zavedati, da argument “saj je samo stroj” ne vzdrži presoje. Poseganje v zasebnost je namreč koncipirano objektivno, kar pomeni, da do posega pride ne glede na to kdo ali kaj v zasebnost posega in je torej sporen že sam akt posega, ne pa šele morebitni kasnejši pregled prestreženih komunikacij s strani konkretne (tretje) osebe.

Izkazalo se je tudi, da je bila omenjena naprava vključena v omrežje brez ustrezne varnostne politike oziroma ustreznih notranjih aktov organizacije, ki bi jasno opredelila tovrstne posege, kaj šele, da bi o njih informirala zaposlene. V tem času sem prejel tudi odgovor podjetja, ki je fakulteti prodalo in upravljalo z DPI napravo. Le-ta je vseboval nekaj precej nenavadnih pojasnil. Med drugim so v odgovoru zapisali, da “ne gre za nobeno prestrezanje sporočil z namenom kršenja zasebnosti uporabnikov ali kaj podobnega, temveč za zagotavljanje varnosti omrežja in njegovih uporabnikov” ter dodali, da se uporabniki “ponavadi nevarnosti (odgovornosti?) za varnost omrežja ne zavedajo, saj jim je zasebnost pomembnejša od varnosti omrežja“. Predstavnik podjetja je v odgovoru še pojasnil da so “sporno pregledovanje kriptiranih protokolov na firewallu zenkrat izklopili, še vedno [pa] je vklopljeno pregledovanje nekriptiranih protokolov”. Očitno je torej bilo, da v očeh upravljalcev DPI naprave tim. varnost prevlada nad zasebnostjo.

Ob vsem skupaj se mi je zelo problematičen zazdel tudi del odgovora, kjer so predstavniki podjetja navedli, da v kolikor se uporabniki ne strinjajo s postavljenimi omejitvami, lahko za povezovanje v internet uporabljajo alternativno brezžično omrežje, kjer omejitev ni. Argument je precej nenavaden, saj ni jasno, kako bi v tem primeru zagotavljali varnost oziroma ni jasno kaj sploh varujemo – končne uporabnike, ali samo omrežno infrastrukturo? Konec koncev bi v najbolj radikalni različici lahko v žičnem omrežju celo prerezali vse kable (in s tem popolnoma “omejili” ves omrežni promet), vse uporabnike pa povezali na alternativno brezžično omrežje. V tem primeru varnostnih težav na žičnem omrežju sicer res ne bi bilo, bi se pa seveda še vedno pojavljale običajne težave pri končnih uporabnikih (npr. virusne okužbe). Zastavlja se torej vprašanje kaj je namen takšnega varovanja? Varovanje infrastrukture ne glede na pravice in potrebe uporabnikov? Odsotnost ustreznega premisleka o tem kaj sploh varujemo in kako varujemo, je torej postala še bolj očitna.

Glede na vse skupaj, pa tudi glede na pretekle izkušnje sem mnenja, da v omenjenem primeru ni šlo za osamljen incident, pač pa za sistematično nerazumevanje pomena komunikacijske zasebnosti in koncepta tajnosti, zaupnosti in neposeganja v komunikacije na internetu. Računalniški center univerze kjer sem zaposlen, je namreč že pred petimi leti za svoje uporabnike e-poštnega sistema brez obvestila vključil protismetno pregledovanje e-pošte. Protismetno pregledovanje je bilo precej radikalno, saj je brezpogojno izbrisalo vso e-pošto, ki jo je “prepoznalo” kot tim. spam (in pri tem žal pobrisalo tudi precej povsem legitimne e-pošte), predvsem pa so si upravljavci drznili posegati v integriteto elektronskih sporočil, saj so v e-pošto vrivali obvestila, da so bili iz e-pošte odstranjeni virusi in spam.

Poseganje v integriteto e-pošte z vrivanjem obvestil.

15. maja sem zato Informacijskemu pooblaščencu posredoval prijavo zaradi suma nezakonite obdelave prometnih (osebnih) podatkov.

Ugotovitve Informacijskega pooblaščenca

Na podlagi prijave je državni nadzornik 29. maja najprej izvedel inšpekcijski ogled na računalniškem centru univerze. Pregled je pokazal, da univerza nima enotne varnostne politike. Računalniški center univerze je kupil 6 požarnih pregrad, ena od njih pa je bila v uporabi pri fakulteti, kjer sem zaposlen. Ugotovljeno je bilo še, da politike in nastavitve požarnih pregrad določajo na posamezni fakulteti, vzdrževanje požarne pregrade pa izvaja zunanji izvajalec.

Nadalje je inšpekcijski pregled pokazal, da ima fakultetni računalniški center organizacije zgolj bralni dostop do nastavitev DPI naprave, da pa DPI naprava nima diskovnih zmogljivosti in elektronske pošte ne shranjuje, temveč zgolj opozori na zaznane nedovoljene dogodke.

Predstavnik računalniškega centra univerze je v okviru inšpekcijskega pregleda tudi podal mnenje, da DPI pregledovanje ni bilo izvedeno na uporabniku prikriti način, saj je moral uporabnik aktivno sprejeti ponujeni certifikat. Po mojem mnenju to sicer ne drži, saj je DPI naprava nešifriran promet pregledovala brez obvestil, prestrezanje certifikatov pa je na drugačen način, kot tako, da se uporabniku ponudi lažen certifikat zelo težko izvesti (ni pa povsem nemogoče). Poleg tega uporabnik, ki certifikata ni sprejel ni imel možnosti nadaljevati z delom oz. povezati se na svoj strežnik s pomočjo originalnega certifikata, večina uporabnikov pa zelo verjetno sploh ne razume pomena certifikatov oz. nima ustreznega znanja za ločevanje med pravim in lažnim certifikatom.

2. junija je bil nato opravljen še ogled pri računalniškem centru fakultete, kjer sem zaposlen. Tu so povedali, da je izbor in nakup opreme opravil računalniški center univerze, z DPI napravo pa je upravljal zunanji izvajalec, s katerim računalniški center fakultete ni imel sklenjene pogodbe, niti o napravi ni imel nobene dokumentacije in je imel do nje le omejen dostop.

2. julija je bil nato opravljen še inšpekcijski ogled pri zunanjem izvajalcu, kjer je bilo ugotovljeno, da DPI naprava (v času ogleda) ni izvajala nobenega beleženja v dnevniške datoteke, niti ni hranila nobenih osebnih podatkov. Ugotovljeno pa je bilo, da se s pomočjo naprave (če je vklopljeno beleženje v dnevniške datoteke) sicer da ugotoviti, kdo je kdaj dostopal do katere spletne strani, kar pomeni, da naprava omogoča zbiranje osebnih podatkov.

Vsi trije pregledi so pokazali, da pri uporabi omenjene naprave pravzaprav ni šlo za namerno kršenje zasebnosti uporabnikov ali zlonamerno poseganje v njihove komunikacije. Glavni problem je bil pravzaprav v tem, da so se stvari urejale po inerciji oziroma “po domače” – brez ustreznih varnostnih politik, brez sklenjenih pogodb, brez obveščanja uporabnikov in celo brez nekega jasnega načrta kaj točno in kako naj bi z uporabo DPI naprave dosegli. Pregled je tudi pokazal, da med vsemi vpletenimi (računalniški center fakultete, računalniški center univerze in zunanji izvajalec), niso povsem jasne pristojnosti in medsebojna razmerja. Uporabo sporne naprave je priporočil in jo tudi kupil računalniški center univerze (vendar pri tem ni pripravil ustreznih varnostnih politik), upravljal jo je zunanji izvajalec, še najmanj besede pri vsem skupaj pa je v praksi imel računalniški center fakultete.

Vendar pa je bila po mnenju Informacijskega pooblaščenca upravljavec osebnih podatkov oz. zavezanec po določbah ZVOP-1 fakulteta in ne univerza. 22. septembra je zato Informacijsko pooblaščenec fakulteti izdal ureditveno odločbo. (Kopijo sem pridobil na podlagi Zakona o dostopu do informacij javnega značaja; del podatkov iz odločbe je pred posredovanjem po ZDIJZ odstranil Informacijski pooblaščenec, del (označen z zvezdicami) pa sem iz odločbe odstranil sam).

Z odločbo je bilo zavezancu, torej fakulteti, naloženo, da v roku 60 dni sprejme in začne izvajati varnostno politiko za varovanje internega omrežja z vsebino katere mora seznaniti vse uporabnike svojega omrežja ter z zunanjim izvajalcem sklene ustrezno pogodbo, ki bo skladna z določili ZVOP-1. Varnostna politika mora vsebovati omejitve uporabe omrežja, popis mehanizmov, ki se izvajajo za varovanje in stabilnost delovanja omrežja z navedbo protokolov in storitev, ki se pregledujejo, obrazložitev postopkov, ki se izvajajo za filtriranje ali pregledovanje prometa, režim nadgradenj opreme za varovanje internega omrežja zavezanca ter postopke in ukrepe za nadzor fizičnega in logičnega dostopa do sistemskega prostora in opreme. Skratka, potrebno je urediti vsaj osnovna pravila glede uporabe DPI naprave ter o teh pravilih obvestiti uporabnike.

Sklep

Pri uporabi DPI tehnologije v organizacijskih omrežjih gre vsekakor za precej novo področje, kjer tehnologija zopet prehiteva pravo. Zato odločitev Informacijskega pooblaščenca postavlja nekakšen mejnik pri obravnavi DPI tehnologij. Dejstvo je, da se je pri svoji odločitvi Informacijski pooblaščenec odločal zelo previdno in ni sprejel kakšnega bolj radikalnega mnenja, ki bi uporabo DPI na splošno kar prepovedal ali kar dovolil. Namesto tega je izbral “srednjo pot”, kjer uporabe sporne tehnologije sicer ne prepoveduje, zahteva pa, da je podprta z ustreznimi notranjimi akti, njena uporaba pa opravičena in utemeljena ter predvsem transparentna.

Odločitev tako zavezancem ne prepoveduje določenih načinov uporabe DPI tehnologije, dejstvo pa je, da morajo biti ti načini utemeljeni, sorazmerni in zakoniti. Pravilnik, ki bi npr. določal, da se vsi uporabniki omrežja popolnoma odpovedo zasebnosti in tajnosti svoje elektronske pošte, bi zelo verjetno le stežka vzdržal pravno presojo, saj je varstvo tajnosti pisem in drugih občil ustavno zagotovljeno. Podobno velja tudi za prometne podatke, saj je Ustavno sodišče v razsodbi Up-106/05 izrazilo stališče, da je treba predmet varstva komunikacijske zasebnosti razlagati širše, in sicer tako, da le-ta vključuje tudi prometne podatke, ki so sestavni del komunikacije. Podobno stališče je zaznati tudi iz odločitve Evropskega sodišča za človekove pravice Malone proti Veliki Britaniji (Malone v. Velika Britanija, odločba z dne 02. 08. 1984).

Vsekakor je sprejem ustrezne varnostne politike koristen – z njo organizacija jasno definira cilje in sredstva varovanja, vsi posegi v informacijsko in komunikacijsko zasebnost so (če je ustrezno pripravljena) zakoniti in transparentni, prav tako pa so jasne pristojnosti “računalničarjev” in vodstva ter odgovornost za morebitne kršitve. Vprašanje, ali morda v prihodnosti uporabe DPI tehnologij ne bi bilo potrebno izrecneje pravno regulirati, tudi na področju javnih komunikacijskih omrežij, pa po mojem mnenju ostaja odprto. Če se je namreč zakonodajalec odločil za podrobnejše urejanje področja videonadzora in biometrije, si verjetno podobno obravnavo zasluži tudi uporaba tehnologij, ki omogočajo množične posege v komunikacijsko zasebnost. Glede na to, da omenjene tehnologije prihajajo v množično rabo, časa za razmislek ni več veliko.

Spletni piškotki in (oglasna) omrežja

Spletni piškotki so sicer omejeni na spletno domeno (npr. streznik.com), kar pomeni, da piškotkov, ki jih pošlje ena spletna stran, druge spletne strani ne morejo videti. Zato ena spletna stran ne more ugotoviti katere druge spletne strani uporabnik obiskuje (razen če gre za spletne strani na isti spletni (pod)domeni (npr. poddomena.streznik.com)).

Za oglaševalce to seveda predstavlja težavo, saj si oglaševalci želijo zbrati čim več podatkov o obiskovalcih spleta, predvsem katere spletne strani obiskujejo in kakšne so njihove brskalne navade. Zato se oglaševalci poslužujejo zbiranja podatkov o uporabnikih s pomočjo tim. oglasnih omrežij.

Začetki tehnologije, ki omogoča spremljanje in profiliranje uporabnikov interneta segajo v leto 1996, ko je podjetje HNC Software razvilo rešitev SelectCast. Omenjeno podjetje je sicer za ameriško vojsko in tajne službe razvijalo sisteme umetne inteligence, razvito tehnologijo pa so nato pričeli uporabljati tudi v komercialne namene (več o tem v knjigi Charlesa Sykesa, The End Of Privacy). Tehnologija zbiranja podatkov o uporabnikih interneta s pomočjo oglasnih omrežij se je množično začela uporabljati okrog leta 2000 s strani podjetja DoubleClick, danes pa je tehnologija v vsakodnevni rabi. Mimogrede, DoubleClick je leta 2007 za 3,1 milijarde USD kupil Google.

Kako delujejo oglasna omrežja?

Uporabnik spleta lahko spletne piškotke dobi neposredno iz spletne strani, ki jo obiskuje, gre za tim. spletne piškotke obiskane spletne strani (ang. first-party cookies), ali pa ji dobi iz spletne strani, katere vsebina je vključena v osnovno spletno stran. V slednjem primeru govorimo o piškotkih tim. tretjih spletnih strani (ang. third-party cookies). Spletne strani, ki jih obiskujemo, imajo namreč pogosto vključeno tudi vsebino iz tim. tretjih spletnih strani. To so lahko slike, oglasi, različni dodatki ali multimedijske vsebine, itd., lahko pa gre tudi za vsebino, ki se na spletni strani ne prikaže, pač pa se v obliki programske kode le izvede v našem spletnem brskalniku. Čeprav se na spletni strani te vsebine prikazujejo kot del osnovne spletne strani, so v resnici v njo le povezane in jih uporabniku posredujejo zunanji (ang. third-party) spletni strežniki.

Vsak izmed teh zunanjih spletnih strežnikov pa seveda uporabniku lahko pošlje spletni piškotek. V primeru oglasnih omrežij tako oglasno omrežje lahko točno ve, katero spletno stran, ki je povezana v omrežje, je obiskal uporabnik in kdaj. Seveda to velja le za spletne strani, ki so vključene v oglasna omrežja, a če je oglasno omrežje dovolj veliko, lahko dokaj natančno ugotovi uporabnikove brskalne navade.

Pravno urejanje spletnih piškotkov

Očitno je torej, da sodobna (oglaševalska) omrežja omogočajo zbiranje številnih osebnih podatkov. Pravzaprav postajajo kar nekakšen Veliki brat, ki pridno beleži vse naše aktivnosti na spletu. Eno izmed večjih, podjetje Google, tako lahko o nas ve kaj na spletu iščemo, katere spletne strani obiskujemo, kdaj in kako pogosto, kakšne računalnike imamo, kje se nahajamo (s pomočjo geolokacijske baze IP naslovov), itd. V času intenzivne uporabe spleta gre vsekakor za posege v zasebnost, ki zahtevajo pozoren razmislek.

Problema zbiranja osebnih podatkov s pomočjo piškotkov se je razmeroma zgodaj zavedla tudi Evropska unija, ki je v leta 2002 sprejeti Direktivi o zasebnosti in elektronskih komunikacijah 2002/58/EC, v 24. točki posebej izpostavila problem spletnih piškotkov. Določila je, da jih mora imeti uporabnik možnost zavrniti, hkrati pa mora biti seznanjen s tem, kakšne informacije spletni strežnik s pomočjo piškotka shranjuje na njegovi (uporabnikovi) terminalski opremi.

Glede zbiranja osebnih podatkov in prejemanja reklamnih e-sporočil sta se v pravu uveljavili dve načeli. Prvo, načelo privolitve, ki ga označujemo z angleškim izrazom opt-in zahteva vnaprejšnje soglasje uporabnika, drugo, načelo odjave, ki ga označujemo z izrazom opt-out, pa uporabniku daje možnost kasnejše odjave oz. prepovedi. Drugače povedano: zakonodajalec lahko določi, da se smejo osebni podatki zbirati (ali pošiljati oglasna elektronska pošta) le z vnaprejšnjim soglasjem posameznika (opt-in), ali pa določi, da se osebni podatki smejo zbirati (in oglasna elektronska pošta pošiljati) vse dotlej, dokler posameznik tega izrecno ne prepove (opt-out).

V evropskem pravnem prostoru se je tako glede zbiranja osebnih podatkov, kot tudi glede pošiljanja oglasne elektronske pošte uveljavilo načelo soglasja (opt-in), torej načelo, ki zahteva vnaprejšnje soglasje uporabnika. Vendar pa je zanimivo, da to načelo velja praktično povsod (razen seveda tam, kjer za zbiranje osebnih podatkov daje podlago ustrezen zakon), le pri spletnih piškotkih ne.

Za razliko od ostalih področij zbiranja osebnih podatkov le pri spletnih piškotkih velja, da se osebni podatki s pomočjo spletnih piškotkov zbirajo vse dotlej, dokler uporabnik v svojem spletnem brskalniku spletnih piškotkov izrecno ne onemogoči.

Pa še tukaj se pojavlja problem, saj nekatere spletne strani namesto običajnih spletnih piškotkov, katerih sprejemanje uporabnik lahko onemogoči v spletnem brskalniku) uporabljajo tim. superpiškotke (Local Shared Objects oz. Flash piškotke). Z njihovo pomočjo spletni strežnik identificira uporabnika in celo ugotovi, ali je ta uporabnik izbrisal običajne piškotke (in se na ta način skušal izogniti sledenju).

Zato se v EU že nekaj časa razmišlja, da bi bilo na tem področju potrebno nekaj storiti in uporabo (zlorabo?) spletnih piškotkov za zbiranje osebnih podatkov brez izrecnega in informiranega soglasja omejiti. Seveda pa se je potrebno zavedati, da je oglaševalska industrija na spletu težka dobesedno milijarde (po nekaterih ocenah je imel samo Google v letu 2008 dve milijardi obiskovalcev, vrednost spletnega oglaševanja samo v Evropi v letu 2008 pa je znašala slabih 13 milijard EUR) in bo kakršenkoli poizkus spremembe zatečenega stanja zelo verjetno naletel na silovit odpor industrije.

Nova pravila za spletne piškotke v Evropski uniji?

Kljub vsemu je Svet ministrov EU (Slovenijo sta zastopala ministra Žbogar in Gaspari) 22. oktobra 2009 sprejel direktivo 3674/09 z (nekoliko dolgim) imenom DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA o spremembah Direktive 2002/22/ES o univerzalnih storitvah in pravicah uporabnikov v zvezi z elektronskimi komunikacijskimi omrežji in storitvami, Direktive 2002/58/ES o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij in Uredbe (ES) št.2006/2004 o sodelovanju med nacionalnimi organi, odgovornimi za izvrševanje zakonodaje o varstvu potrošnikov.

Gre pravzaprav za reformo regulativnega okvira EU za elektronska komunikacijska omrežja in storitve, ki pa prinaša pomembno novost na področju zasebnosti na spletu. Točka 66 namreč pravi:

“Tretje strani si morebiti želijo shranjevati informacije o uporabnikovi opremi ali pridobiti dostop do že shranjenih podatkov iz najrazličnejših razlogov, ki zajemajo vse od legitimnih namenov (na primer določene vrste piškotkov) do tistih, ki obsegajo neupravičen vdor v zasebnost (na primer vohunska programska oprema ali virusi). Zato je izjemno pomembno, da so uporabniki jasno in izčrpno obveščeni pri vseh dejavnostih, ko bi lahko prišlo do takšnega shranjevanja ali dostopanja. Načini obveščanja in zagotavljanja pravice do zavrnitve bi morali biti čim bolj uporabniško prijazni. Izjeme glede obveznosti obveščanja in zagotavljanja pravice do zavrnitve bi morale biti omejena na primere, ko je tehnično shranjevanje ali dostop nujno potreben za legitimni namen omogočanja uporabe posebne storitve, ki jo je izrecno zahteval naročnik ali uporabnik. Uporabnikovo privolitev, da se strinja z obdelavo, je mogoče izraziti z uporabo ustreznih nastavitev v brskalniku ali drugih aplikacijah, in sicer v primeru, da je to tehnično izvedljivo in učinkovito ter v skladu z ustreznimi določbami Direktive 95/46/ES. Uveljavljanje teh zahtev bi moralo postati učinkovitejše, in sicer s podelitvijo večjih pooblastili ustreznim nacionalnim organom.“

Direktiva s tem odpira možnosti za tim. opt-in pristop pri zbiranju osebnih podatkov s pomočjo piškotkov preko spleta, saj izrecno pravi, da morajo biti potrošniki jasno in izčrpno obveščeni o tem, da tretje strani skušajo shranjevati informacije o uporabnikovi opremi (računalniku, programski opremi). Besedilo direktive govori tudi o tem, da bi morale biti izjeme od tega obveščanja omejene le na primere, kjer je uporabnik storitev izrecno zahteval (npr. dostopil do spletne strani) in sta tehnično shranjevanje in dostop nujno potrebna. To preprosto pomeni, da se spletni piškotki osnovne spletne strani, ki jo je uporabnik obiskal, lahko shranjujejo v računalniku (razen seveda če uporabnik tega izrecno ne prepreči – tim. opt-out), za spletne piškotke tretjih spletnih strani (katerih vsebina je vključena v osnovno spletno stran – največkrat gre za oglase), pa bo potrebno pridobiti predhodno izrecno soglasje (opt-in).

Čeprav je bila odločitev deležna nekaterih žolčnih kritik, pa se je treba zavedati, da je v ozadju novih regulatornih ukrepov pravzaprav želja po regulaciji tim. vedenjskega oglaševanja (ang. behavioral advertising). Za razliko od kontekstualnega in semantičnega oglaševanja, kjer se oglasi prikazujejo glede na iskalne nize s katerimi je uporabnik prišel na spletno stran ali vsebino uporabniku prikazane spletne strani, gre pri vedenjskem oglaševanju za izbiro oglasov glede na preteklo brskalno vedenje posameznika (torej glede na to katere spletne strani je posameznik obiskoval v preteklosti). To pa je mogoče le z zbiranjem brskalnih navad posameznikov.

Vedenjsko oglaševanje…

Oktobra 2009 so britanski poslanci pričeli razmišljati o spremembah zakonodaje, ki bi v primeru vedenjskega oglaševanja zahtevala izrecno soglasje posameznika, utegne pa se zgoditi, da bo takšno pravilo sprejeto na ravni celotne EU.

Francoski pooblaščenec za varstvo osebnih podatkov je namreč 5. februarja 2009 predstavil poročilo z naslovom “Online targeted advertising“. Poročilo navaja kar nekaj težav, ki jih za uporabnike predstavlja načelo odjave. Načelo odjave je za uporabnika precej zapleteno, saj mora uporabnik takšno storitev oglasnega omrežja poiskati in sam izrecno zahtevati. Odjava je potem izvedena s pomočjo posebnega piškotka, ki oglasnemu omrežju sporoča, da uporabnik ne želi biti tarča vedenjskega oglaševanja. A če uporabnik ta piškotek pobriše (oziroma zaradi izgube podatkov ponovno namesti operacijski sistem na računalniku in spletni brskalnik), mora postopek odjave ponoviti. Poleg tega postopek odjave praviloma zadeva le pošiljanje ciljanih oglasov, ne pa tudi samega zbiranja podatkov o uporabniku.

Pristopi odjave, pa tudi brisanja piškotkov so za uporabnika izrazito nepraktični. Uporabnik, ki bi se odločil, da bo zavračal vse spletne piškotke, danes ne more več normalno uporabljati različnih storitev interneta. Uporabnik, ki bi se odločil, da se bo za vsak piškotek posebej odločil ali ga bo sprejel ali ne, pa bo soočen z neprestanimi opozorili in vprašanji brskalnika, zaradi česar bo brskanje po spletu zanj neuporabno. Tudi brisanje piškotkov po koncu brskalne seje je za večino uporabnikov precej nepraktično. Zaradi vseh teh razlogov, je opt-out pristop po mnenju francoskega pooblaščenca za varstvo osebnih podatkov, precej problematičen. V poročilu so zapisali, da podpirajo pristop, ki bo zahteval vnaprejšnje izrecno soglasje. To velja tako za vedenjsko oglaševanje, kot tudi za zbiranje osebnih podatkov, ki jih uporabniki niso posredovali sami.

…in zbiranje osebnih podatkov s pomočjo omrežnih orodij za analizo obiska

Vendar pa je vedenjsko oglaševanje samo del problema, med drugim tudi zato, ker trenutno še ni preveč razširjeno. Drugi del problema predstavljajo omrežne storitve za merjenje in analizo obiska spletnih strani. Ena bolj znanih je brezplačna storitev Google Analytics (trenutno storitev uporabljamo tudi na tej spletni strani, razmišljamo pa o zamenjavi). Google Analytics upraviteljem spletnih strani ponuja preprosto JavaScript kodo, ki jo vključijo na svojo spletno stran. Ko obiskovalec spletne strani le-to obišče, se JavaScript koda izvede v njegovem brskalniku, analitično omrežje pa mu pošlje tudi spletni piškotek. Na ta način analitično omrežje ugotovi kar nekaj tehničnih značilnosti uporabnikove terminalne opreme (npr. kateri spletni brskalnik in operacijski sistem uporablja, kakšno ima resolucijo zaslona, itd.) s pomočjo piškotka pa lahko tudi spremlja gibanje uporabnika po spletni strani oziroma po vseh spletnih straneh, ki uporabljajo to omrežno storitev.

Storitev Google Analytics upraviteljem spletnih strani nato nudi izredno zmogljivo orodje za analizo in grafično predstavitev podatkov o njihovih obiskovalcih in trendih obiska, itd. (a le za njihovo spletno stran), lastniku storitve (podjetju Google) pa seveda nudi vpogled v značilnosti in brskalne navade uporabnikov interneta. Storitev Google Analytics uporabljajo številne (znane) spletne strani; po nekaterih ocenah v Nemčiji to storitev uporablja okrog 13% spletnih strani na domeni .de.

Zastavlja se torej vprašanje ali bi bilo tudi za takšno zbiranje podatkov potrebno uvesti izrecno vnaprejšnje soglasje uporabnikov?

Dokončna odločitev sicer še ni sprejeta, a kaže, da se temu ne bo mogoče popolnoma izogniti. Pred kratkim objavljeni članek na TechCrunchu, navaja mnenje več nemških uradnikov, ki bdijo nad varstvom osebnih podatkov, da je zbiranje osebnih podatkov z Google Analyticsom v Nemčiji morda nezakonito. Posebno zaskrbljenost so izrazili predvsem zaradi zbiranja podatkov na spletnih straneh povezanih z zdravjem in zdravstvenim zavarovanjem. Podobna mnenja je slišati tudi drugje po Evropi.

Kaj lahko storimo sami?

Dokler nova pravila področja ne bodo natančneje oz. izrecneje uredila, imamo zaskrbljeni uporabniki interneta na voljo nekaj tehničnih rešitev, s katerimi lahko zaščitimo svojo spletno zasebnost. Za začetek velja pobrskati med nastavitvami spletnega brskalnika, pobrskamo pa lahko tudi po spletu ter se odjavimo iz vedenjskega oglaševanja oglasnih omrežij (seveda tistih, ki to storitev omogočajo). Tovrstno brskanje je nekoliko težje, saj je oglasnih omrežij precej, za nastavitve odjave pa je potrebno precej pobrskati po spletu, a na spletni strani Network Advertising Initiative si je mogoče ogledati seznam nekaterih omrežij, spletna spran pa tudi prikaže iz katerih smo odjavljeni in katera nas spremljajo. Iz vseh teh oglaševalskih omrežij se lahko z nekaj kliki tudi odjavimo (pozor: ob prvem obisku spletne strani boste verjetno presenečeni koliko oglaševalskih omrežij vas spremlja). Mimogrede, uporabniki Google računa si lahko na Googlovi posebni spletni strani ogledate tudi katere podatke ima o vas Google. Posebej zanimiva je zgodovina iskanja po spletu, video vsebinah, slikah in zemljevidih…

Za brskalnik Firefox pa je na voljo tudi nekaj dodatkov, ki omogočajo razmeroma enostavno obrambo pred neželenimi spletnimi piškotki in oglasi. Prvi dodatek se imenuje TACO (Targeted Advertising Cookie Opt-Out). Dodatek uporabnika s pomočjo posebnega anonimnega spletnega piškotka odjavi iz vedenjskega oglaševanja za 90 oglasnih omrežij (med njimi so tudi največja). Drugi dodatek, BetterPrivacy, je namenjen brisanju tim. superpiškotkov (med nastavitvami lahko nastavimo samodejno brisanje superpiškotkov). Omeniti pa velja še dodatek Adblock Plus, ki je namenjen blokiranju oglasov v brskalniku Firefox. Po namestitvi slednjega se marsikateri oglasi sploh ne prikazujejo več, brskanje po spletu pa zato postane hitrejše in bolj enostavno. Adblock Plus je mogoče tudi “naučiti” dodatnih pravil za blokiranje in nastavimo lahko tudi blokiranje sledilne kode iz spletišča Google Analytics.

Če je razumljiva želja uporabnikov po tem, da jih oglasna in omrežja za analizo obiska ne sledijo in ne zbirajo njihovih osebnih podatkov, pa je po drugi strani razumljiva tudi želja upraviteljev spletnih strani po spremljanju obiska na njihovi spletni strani. Na srečo tudi na tem področju obstajajo rešitve. Ena izmed njih je Piwik, odprtokodno in brezplačno spletno analitično orodje, ki skuša posnemati Google Analytics, a ga je mogoče namestiti na spletni strežnik. Tako za spremljanje in analitiko obiska spletnih strani ni potrebno uporabljati omrežnih orodij, ki sledijo uporabnike med tem, ko se gibljejo po spletu, pač pa orodje Piwik deluje le lokalno, na spletni strani na kateri je nameščeno in uporabnikov ne sledi po celem spletu.

Zaključek

Vsekakor je dejstvo, da so podatki o obiskanih spletnih straneh, tehničnih značilnostih uporabnikovega brskalnega okolja (kateri brskalnik uporablja, kateri operacijski sistem, katere programe za predvajanje multimedijskih vsebin ima naložene, itd.) ter tudi IP naslov osebni podatki. (Mimogrede, v Sloveniji je še vedno ukoreninjeno prepričanje, da IP naslov ni osebni podatek. To ne drži, kot izhaja iz mnenja Informacijskega pooblaščenca, mnenja 4/2007 o konceptu osebnega podatka, ki ga je izdala skupina EU Article 29 ter tudi mnenj nekaterih evropskih pooblaščencev, npr. francoskega CNIL, ki je bilo 22. maja 2008 potrjeno tudi na Prizivnem sodišču v Rennesu, itd.. Koncept IP naslova kot osebnega podatka je tako v Evropi splošno sprejet.). Za zbiranje osebnih podatkov pa načeloma velja, da je zanje potrebno predhodno soglasje oziroma ustrezna zakonska podlaga.

Ne glede na to, da se je v praksi pri spletnih piškotkih uveljavilo načelo odjave (opt-out), v prihodnosti v Evropski uniji verjetno lahko pričakujemo nove regulatorne ukrepe, ki bodo tovrstne prakse prepovedale ali vsaj omejile. Do takrat pa se bomo uporabniki, ki svojo spletno zasebnost cenimo, morali zaščititi predvsem sami.

A treba se je zavedati, da pravzaprav ne gre samo za problem spletnih piškotkov. Prakse zbiranja osebnih podatkov in ciljanega oglaševanja ter trženja storitev se usmerjajo tudi na nove storitve, ki jih prinašajo internet in sodobna komunikacijska omrežja. Med njimi lahko izpostavimo IP in mobilno televizijo, IP telefonijo, različne geolokacijske storitve, ki jih lahko uporabljamo na mobilnih telefonih, standard HTML5 prinaša tim. lokalno shrambo (Local Storage oz. DOM Storage) itd. Kaže torej, da je skrajni čas za premislek o zbiranju in uporabi osebnih podatkov na spletu, internetu in komunikacijskih omrežjih na splošno. Evropski pooblaščenci za varstvo osebnih podatkov delajo korak v pravi smeri, vprašanje je le, kako odločen (naj) bo.

Strežnik lahko nastavi čas veljavnosti piškotka in določi, kateri del spletnega strežnika ima lahko dostop do njega. Po času trajanja ločimo tim. sejne piškotke (ang. session cookies) in trajne piškotke (ang. persistent cookies). Prvi potečejo na koncu brskalne seje, torej ko uporabnik zapre spletni brskalnik, drugi pa imajo čas trajanja daljši, lahko tudi več let. Piškotek je strežniku dostopen ves čas trajanja, če ga seveda uporabnik prej ne izbriše.

Ker se piškotki danes uporabljajo za sledenje brskalnim navadam uporabnikov interneta, jih številni uporabniki brišejo ali blokirajo, saj so mnenja, da gre za poseg v njihovo zasebnost. Večina sodobnih brskalnikov ima celo možnost samodejne obravnave piškotkov. Tako lahko vse piškotke zavračamo ali pa blokiramo samo piškotke za posamezno domeno, recimo piškotke oglasnega omrežja.

Problema zbiranja osebnih podatkov s pomočjo piškotkov se zaveda tudi EU. Leta 2002 je bila namreč sprejeta Direktiva o zasebnosti in elektronskih komunikacijah 2002/58/EC, ki je v 24. točki posebej izpostavila problem spletnih piškotkov. Določila je, da jih mora imeti uporabnik možnost zavrniti, hkrati pa mora biti seznanjen s tem, kakšne informacije spletni strežnik s pomočjo piškotka shranjuje na njegovi terminalski opremi.

Skratka, gre za znan problem, ki naj bi se ga uporabniki zavedali in tisti, ki to želijo tudi imajo vse možnosti, da piškotke učinkovito zavračajo.

A marketing se ne da. Osebni podatki uporabnikov so pač vroče tržno blago in če si uporabniki sledenja s piškotki ne želijo, je “problem” treba nekako rešiti, kajne?

In tako so se pojavili tim superpiškotki. Gre za tim. Flash piškotke (stokovno se jim reče Local Shared Objects, LSO), katerih značilnost je, da jih ni mogoče nadzorovati preko standardnih nastavitev za piškotke v spletnih brskalnikih.

Če uporabnik v brskalniku izbriše običajne piškotke, s tem ne izbriše tudi Flash piškotkov. Ob ponovnem obisku spletne strani spletni strežnik lahko s pomočjo Flash piškotkov identificira uporabnika in ugotovi, da je ta uporabnik izbrisal običajne piškote, ki jih sletni strežnik uporablja za sledenje. Spletni strežnik na ta način izbrisane piškotke lahko “oživi” in ponovno pošlje uporabniku.

Kot je pokazala raziskava University of Berkeley, kar nekaj velikih spletnih strani uporablja to tehniko oživljanja izbrisanih piškotkov, Flash piškotki pa v politiki zasebnosti dostikrat sploh niso omenjeni. Kratek pregled nekaterih slovenskim spletnih mest pa je pokazal, da omenjene superpiškotke uporabljajo tudi nekatere znane slovenske spletne strani, seveda pa uporabniki o tem niso ustrezno obveščeni.

Na rečo obstaja rešitev. Za brskalnik Firefox je namreč na voljo dodatek BetterPrivacy, s pomočjo katerega je mogoče brisati superpiškotke (oziroma nastaviti ustrezno samodejno obravnavo LSO objektov. Za zasebnost je torej spet poskrbljeno. Vsaj do naslednjega “izuma” zbiralcev osebnih podatkov.