środa, 21 marca 2018

Chroń swoją cyber – tożsamość i dane

Od maja obowiązywać będzie nowe prawo w UE, uszczelniające zbieranie i przetwarzanie naszych danych. Czy dzięki temu unikniemy kolejnych afer typu Cambridge Analytic?

W maju br. wchodzą w życie nowe przepisy dotyczące ochrony danych osobowych, a dziś świat obiega informacja jak nasze, wydawało się mało istotne dane z facebooka (like’i, komentarze, kręgi znajomych i zainteresowań, muzyka), służyły do manipulowania nami, użytkownikami. Najdziwniejsze jest to, że duże firmy takie jak Facebook zaczęły się przygotowywać długo wcześniej do wdrożenia nowych procedur.
Fb utworzył nowe centrum ochrony prywatności, które miało zawierać wszystkie główne ustawienia prywatności w jednym miejscu. Aby wdrożyć General Data Protection Regulation (GDPR), Fb zatrudnił setki inżynierów, analityków, prawników oraz specjalistów od polityk prywatności i bezpieczeństwa danych, którzy oceniają każdą poszczególne funkcje portalu pod kątem zgodności z jego wymaganiami.
Tym bardziej szokuje wyznanie informatyka, który mówił, że dane przekazywane były firmom zewnętrznym i fb traciło całkowicie kontrole nad nimi.
A firma zewnętrzna wykorzystywała – jak nam się wydawało dane bez znaczenia – do profilowania użytkowników. Big data, czyli utworzony zbiór wszystkich informacji, poddany został analizie i na podstawie tego prawdopodobnie można określić było np. preferencje polityczne. Mając już wynik i grupę docelową, specjaliści wiedzieli jaki przekaz jej podać, by zareagowała w sposób pożądany przez nich, czyli np. zagłosowała na ich kandydata. O to właśnie oskarżana jest firma Cambridge Analitica.  Brzmi jak political-fiction, ale badacze mówią, że to już rzeczywistość.

Drzewiej bywało…

Przychodził Pan w kapeluszu do kiosku. Prosił o gazetę. Płacił monetami. Dziękował i wracał do domu.  Dziś nie wychodząc z domu ten sam Pan zakłada konto online, wpisuje imię i nazwisko, dane adresowe, zatwierdza hasłem, podaje datę urodzenia i ma gazetę na swoim telefonie lub tablecie. Kiedyś dla sprzedawcy był to: Pan, w średnim wieku, w kapeluszu, który zawsze przychodzi do kiosku na rogu ulicy. Dziś dla sprzedawcy gazet to imię i nazwisko, adres i data urodzenia, konto, hasło, płatność elektroniczna. 
Kiedyś ze swoim „dossier zawodowym” szło się osobiście do kadr z pytaniem, czy jest praca. Dziś rejestrujemy się, wypisujemy dane i ktoś za nas próbuje spasować nasze umiejętności do wymagań postawionych przez pracodawcę.
Nagle okazało się, że we współczesnym świecie coraz częściej definiują nas nasze: imię nazwisko, adres, data urodzenia, e-mail, hasło, numer prawa jazdy czy dowodu, polubienia, cookiesy, ip, elektroniczne odciski palców, itd.

Nasze dane osobowe, czyli nasz druga tożsamość

Nikomu nie trzeba tłumaczyć, że takie dane łatwiej ukraść niż wizerunek wysokiego mężczyzny w kapeluszu, który potwierdza transakcję zakupu pozostawiając na ladzie monety.  Dziś można podszyć się pod kogoś używając jego danych. I jest to dużo prostsze! 
Data Protection Act, czyli Akt o Ochronie Danych Osobowych, obowiązujący w całej Unii Europejskiej pochodzi z lat dziewięćdziesiątych, z czasów, w którym tylko największe firmy dysponowały środkami do gromadzenia i przechowywania znacznych ilości danych.
W kolejnych latach łatwość gromadzenia naszych danych oznaczała, że ​​tysiące małych, średnich i dużych przedsiębiorstw nie tylko zbiera dane osobowe, ale także przechowuje je, przenosi i uzyskuje do nich dostęp w Internecie. Dane osobowe są wykorzystywane we wszystkim, od sprzedaży po zarządzanie relacjami z klientami po marketing.
Cyberprzestępcy szybko dostrzegli tę szansę. W 2016 roku firmy w Wielkiej Brytanii straciły ponad 1 miliard funtów przez cyberprzestępstwa. Poważne naruszenia danych dały przestępcom dostęp do imion, dat urodzenia i adresów, a nawet informacji na temat statusu materialnego czy funduszy zbieranych na emeryturę. 
Raport Federacji Małych Przedsiębiorstw (FSB) potwierdził, że to właśnie małe i średnie biznesy są teraz częściej atakowane przez cyberprzestępców niż ich duże korporacyjne odpowiedniki, które mają pieniądze, by dobrze się zabezpieczać.
Ale, ale…. czy subskrybent gazety, użytkownik agencji rekrutacyjnej, czy systemu online umawiania się do kosmetyczki nie może czuć się bezpieczny. Ryzyko zawsze jest, ale z pomocą mają nam przyjść przepisy, które uchwalono w Unii w 2016 i wejdą w życie w krajach UE 25 maja 2018.

Uszczelniamy i sprawdzamy – mówi UE

Przepisy te są dużo bardziej restrykcyjne, a tym samym bardziej dbają o bezpieczeństwo konsumentów. „Zgoda” jest słowem kluczem w tej derektywie unijnej.
Zgodnie z nowymi regulacjami, General Data Protection Regulation (GDPR), firmy muszą prowadzić dokładny rejestr tego, jak i kiedy dana osoba wyraża zgodę na przechowywanie i wykorzystywanie swoich danych.
A zgoda będzie oznaczać aktywne porozumienie.
Nie można zgody wydać np. klikając w poprzednio oznaczony kwadracik lub potwierdzając zgodę przez telefon, odpowiadając w tym samym czasie na inne pytania.  Firmy, które zapytają o nasze dane, mają obowiązek wykazać podczas kontroli przez wyznaczone w każdym kraju EU instytucję wyraźną ścieżkę otrzymania tej zgody, w tym kopie, zrzut ekranu lub zapisane formularze zgody, nagrania. Ma to dać nam, konsumentom, pewność, że zgoda na używanie i przetwarzanie danych osobowych nie zostało udzielone przez przypadek.
Mamy prawo do wycofania się ze zgody w dowolnym czasie, łatwo i szybko.
Kiedy ktoś wycofuje zgodę dane tej osoby muszą zostać trwale usunięte, a nie tylko usunięte z listy mailingowej. Nowe regulacje dają konsumentom prawo do bycia zapomnianym.
Jeśli zrezygnujemy z subskrypcji gazety i odwołamy zagrodę na przechowywanie naszych danych, a wydawca zadzwoni do nas po pewnym czasie z ponowną propozycją kupna gazety lub innych produktów, to złamie prawo.
Ważne także, że mamy prawo do bycia niezwłocznie poinformowanym w razie ataku hackerskiego na nasze dane.

I ci mali i duzi

Cyberprzestępcy uważają, że małe i średnie przedsiębiorstwa są łatwiejszym celem niż ich dobrze bronione przez rzesze informatyków korporacyjne odpowiedniki.
Jak przykład Fb pokazuje nie wasze tak jest. Przed Markiem Zuckebergiem ogrom pracy.
Małe i duże firmy przygotowując się do wejścia przepisów powinny sprawdzić, czy mają zgody klientów w pełni udokumentowane. Dlatego nie dziw się, gdy dostaniesz maila z firmy rekrutacyjnej o wyrażenie zgody na korzystanie z twoich danych, choć z firmą tą współpracujesz od lat.  Firmy muszą uporządkować swoje zbiory danych o nas. Zabezpieczyć foldery w szafach lub zaszyfrować dodatkowo pliki z danymi. Wszystkie zmiany są bardzo indywidualne w zależności od rodzaju świadczonych usług.
Jeśli jako przedsiębiorca nie wiesz co robić, wejdź na stronę Głównego Komisarza ds. Informacji: https://ico.org.uk/. Na tej stronie znajdziesz informacje o tym jak się przygotować; assesment, który pozwoli ci dowiedzieć się jak twoja firma jest przygotowana do wejścia przepisów.
Niedostosowanie się do przepisów grozi karami finansowymi. Sam poszkodowany konsument też ma prawo uzyskać odszkodowanie, jeśli dane jego wykorzystano z naruszeniem prawa i jego zgody.
Wielkie firmy od dłuższego czasu przygotowują się na wejście nowych regulacji.
Amazon rozpoczął ulepszanie szyfrowania danych w swojej usłudze przechowywania w chmurze i uprościł umowę z klientami dotyczącą sposobu przetwarzania ich informacji. Google musiało przeprojektować wiele umów dot. zgody, a także zmienić podstawową technologię, aby ułatwić usuwanie danych.
Dzięki tym wszystkim działaniom nasze elektroniczna tożsamość i dane mają być bezpieczniejsze. Czy uda nam się uniknąć kolejnych afer typu Cambridge Analytic? Czas pokaże. (ps)

0 comments:

Prześlij komentarz