Ar reikia nerimauti dėl naujojo išmaniojo pirkinio? O kada susimąstyti dėl savo asmeninės informacijos saugumo? Tris populiariausius technologinius mitus paneigia ir išsamiai paaiškina JAV programavimo paslaugų įmonės „Devbridge“ Technologinių praktikų vadovas Vytautas Paulauskas.
Mitas Nr.1. Visi prie interneto jungiami namų įrenginiai yra nesaugūs
Ar teko girdėti nuogąstavimų, kad dulkių siurblys robotas iš Kinijos yra nepatikimas, nes gali šnipinėti jūsų namus? Vis daugiau ir daugiau namų įrenginių – šaldytuvams, žaidimų konsolėms, spausdintuvams, išmaniosioms apšvietimo sistemoms – tampant priklausomais nuo interneto ryšio, kyla kartais pagrįstas, kartais nepagrįstas nerimas, ar tikrai šie įrenginiai yra saugūs ir negali būti panaudoti piktiems kėslams.
Anot V. Paulausko, prieš gerą dešimtmetį užtekdavo pavaikštinėti po daugiabučių namų kvartalą ir stebėti, kaip išmaniojo telefono tinklų sąraše atsiranda slaptažodžiu neapsaugotas namų WiFi tinklas pavadinimu dlink arba tenda. Po prisijungimo, iš esmės, galima būti nematomam kažkurio namų ūkio internete. Netgi dalis slaptažodžiu apsaugotų bevielių tinklų naudodavo silpną, lengvai nulaužiamą šifravimo standartą WEP. Tačiau laikai pasikeitė – nesaugūs WiFi standartai nebenaudojami, o jūsų nauja bevielio tinklo stotelė turi sudėtingą slaptažodį, kurį ir patys sunkiai prisimenate.
„Roboto kaupiama vėžinimosi po namus informacija yra gana detali, ir iš jos galima atkurti kambarių planą, tą daro oficialios gamintojų programėlės. Ką padarytų hakeris, perėmęs šį informacijos srautą? Agreguotų informaciją, kad po kelių dienų galėtų nusipiešti buto planą? Yra ir lengvesnių būdų tokiai informacijai gauti – privataus namo išdėstymas pakankamai gerai matosi palydovinėje nuotraukoje, o analogiško buto gretimoje laiptinėje planą jūsų kaimynas yra paskelbęs NT pardavimo portale.
Samsung 2011 m. savo siurbliui robotui „Turbo View“ gamykliškai įmontavo vaizdo kamerą, per kurią Samsung programėlės pagalba buvo galima stebėti kambario vaizdą tuo metu, kai siurblys nesiurbia. Akivaizdu, kad stebėjimo per kamerą funkcija populiarumo nesulaukė, ir tik labai retas siurblio modelis dabar turi tokią funkciją, į daugumą siurblių montuojami kitokio tipo sensoriai – Lidar arba Vslam, gebantys siurbliui teikti tik labai abstraktų kambario vaizdą žemo kontrasto vaizdais. Bet kokiu atveju, modifikuoti siurblio roboto programinės įrangos ar įmontuoti paslėptos kameros, jo fiziškai neperėmus, įsilaužėliui irgi nepavyks.
Taigi nuogąstavimai yra nepagrįsti. Jei vis dėlto norėtumėte paeksperimentuoti (surizikavus, kad įrenginiui nebebus taikoma garantija), pasidomėkite, arba rinkitės siurblio gamintoją, kuris atvirai komunikuoja apie technologinius sprendimus, kurie užtikrina duomenų saugumą“, – sako Technologinių praktikų vadovas.
Vis dėlto V. Paulauskas pataria atkreipti dėmesį, kad senesni įrenginiai (5+metų) gali būti nesaugūs, bet juos galima perkonfigūruoti teisingai sukonfigūruotame tinkle ir įrenginiai bus saugūs. Tačiau jie turi būti apsaugoti ir fiziškai, pavyzdžiui, WiFi stotelė negali kaboti palubėje bendro naudojimo laiptinėje. Taip pat ir populiarėjančios WiFi stebėjimo kameros – teoriškai, tam tikro modelio kamerą išardžius ir perkonfigūravus, ji galėtų pradėti dirbti piktavaliams, bet kamerą nepastebėtam išmontuoti, greitai „pakrapštyti“ ir sumontuoti atgal yra šioks toks iššūkis. Palikime šiuos scenarijus filmų siužetams.
Mitas Nr.2. Mano naršymas internete yra sekamas
IT eksperto teigimu, dalis krislo tiesos šiame teiginyje vis dėl to yra, kadangi šiam tikslui technologinės priemonės tikrai egzistuoja. Žinomiausi naršymo sekimo būdai, kuriais gali naudotis svetainės yra slapukai ir „naršyklės pirštų atspaudai“ (angl. browser fingerprinting).
Slapukas – nedidelė tekstinė byla – naudojamas svetainės būtinų funkcijų, pavyzdžiui, kalbos pakeitimui iš anglų į lietuvių, išsaugojimui konkrečiame kompiuteryje. „Kai ši technologija naudojama tik būtinoms funkcijoms užtikrinti, ji neleidžia naujienų portalui sekti, ar naršote dar ir knygų el. parduotuvėje.
Tačiau jei abi šios svetainės naudoja bendrą platformą, kuri leidžia spausti „patinka“, dalytis nuorodomis, „trečioji šalis“ dalį informacijos apie jūsų naršymą gauna ir gali dalį jos kaupti. Specializuotos „trečiųjų šalių“ platformos, panašiai kaip fizinių parduotuvių nuolaidų kortelės, gali kaupti informaciją apie tai, kokio tipo prekę įsidėjote į krepšelį ir pamiršote, kokias reklamas matėte internete, kokias naujienų rubrikas skaitote, ir iš šios informacijos kurti patrauklesnius pasiūlymus būsimiems pirkiniams. Pirmą kartą atėję į svetainę, galite pasirinkti, ar naudoti tik būtinus, ar ir trečiųjų šalių slapukus“, – aiškina specialistas.
Anot „Devbridge“ įmonės atstovo, naršyklės pirštų atspaudų technika, skirtingai nei slapukai, informacijos lokaliai jūsų kompiuteryje nesaugo, tačiau apdoroja informaciją apie esminius kompiuterio parametrus unikaliam vartotojo profilio sukūrimui serveryje.
„Dalis šių parametrų yra būtini, ir naršyklė juos atskleidžia bet kuriai svetainei – kompiuterio IP adresas, ekrano rezoliucija, naršyklės versija, pageidaujama turinio kalba, laiko juosta. Kiti „pirštų atspaudų“ informacijos šaltiniai jau sukelia klausimų – tai tikrinimas, ar naudotojas įjungęs reklamų blokatorių, kompiuteryje įdiegtų šriftų sąrašas, vaizdo plokštės parametrų nuskaitymas naudojant grafines operacijas piešimui ant drobės (angl. HTML5 canvas). Įsitikinti, kaip pirštų atspaudų technika veikia, galite nuėję į puslapį tiek standartiniu, tiek incognito režimu – šiame puslapyje matysis visi jūsų apsilankymai“, – pataria vadovas.
Tačiau, anot jo, didelį postūmį naudotojų valiai apginti suteikė 2018 m. įvestas Bendrasis duomenų apsaugos reglamentas (BDAR, angl. GDPR), ir didžiosios platformos, neteisingai informavusios naudotojus, susilaukia didelių baudų.
„Amazon Europe“ 2020 m. gruodį buvo nubausta 35 milijonų Eur. bauda dėl to, kad pradėjus naršyti amazon.fr, į kompiuterį be naudotojo sutikimo įrašomas trečiosios šalies slapukas. Google 2019 m. buvo nubausta 50 mln. Eur. bauda už tai, kad Android įrenginyje varnelė „sutinku teikti duomenis personalizuotoms reklamoms“ būdavo pažymėta iš anksto. „Facebook“ savo finansinių rezultatų apžvalgoje mini, kad su BDAR pažeidimais susijusioms nuobaudoms yra rezervavusi 302 mln. Eur., kadangi prieš šį socialinį tinklą šiuo metu vyksta 10 teisminių procesų.
„Naršyklės pirštų atspaudų naudojimui taip pat turi būti pagrįstas, teisinis interesas, pavyzdžiui, mokama filmų ar edukacinės medžiagos platinimo platforma gali naudoti pirštų atspaudus, siekdama užtikrinti, kad keli žmonės nesidalytų tuo pačiu prisijungimo vardu. Šios technikos panaudojimas kitoms reikmėms yra rizikingas, kadangi, gavus nusiskundimų, būtų nagrinėjamas ir baudžiamas.
Taigi kiekvieno konkretaus asmens visa naršymo istorija nėra sekama. Tam tikro naujienų puslapio, el. parduotuvės, socialinio tinklo, filmų platformos, skelbimų portalo ar kt. naudotojų naršymo ir naršyklės parametrų informacija yra apdorojama tik gavus išankstinį sutikimą arba esant teisėtam interesui. Piktnaudžiavimo BDAR atvejai yra viešinami, nagrinėjami ir baudžiami didelėmis baudomis, tuo atgrasant ir kitus potencialius pažeidėjus“, – pažymi Technologinių praktikų direktorius.
V. Paulauskas pabrėžia, kad programinės įrangos kūrėjai taip pat turi būti atsakingi, ir, išsiaiškinę potencialaus kliento poreikius, juos konsultuoti duomenų kaupimo, privatumo ir atskaitomybės aspektais.
„Iš darbo „Devbridge“ praktikos, esame kūrę sistemą, kurioje sportinės aprangos gamintojai norėjo efektyviau valdyti duomenis apie aprangos matavimus ir gamybą JAV palaikymo šokėjų komandoms. Pirminėje mūsų kliento vizijoje, jie norėjo kaupti informaciją apie atletų „Instagram“ ir „Snapchat“ paskyras, kad paskui galėtų daryti šios informacijos analizę ir galbūt kontaktuoti su atletais. Klientą nuo šios idėjos atkalbėjome, kadangi ši informacija tikrai nėra būtina sportinės aprangos gaminimo kontekste", – pavyzdį pateikia pašnekovas.
Mitas Nr.3. Nesaugu slaptažodžius ir kitą asmeninę informaciją patikėti interneto gigantams
„Google“, kuri apima vis daugiau kasdienių paslaugų, siūlo slaptažodžius saugoti „Chrome“ naršyklėje. Kiekvienas socialinio tinklo „Facebook“ ar „Instagram“ įrašas, patiktukas ar istorija taip pat bus įrašyta kažkur „debesyje“. „Google Maps“, „Youtube“, „Netflix“ turinys yra personalizuojamas pagal ankstesnius jūsų atitinkamai buvimo vietos ar naršymo ypatumus. Ar visa tai saugu?
Pašnekovo teigimu, geriau turėti unikalius ir sudėtingus slaptažodžius, išsaugotus naršyklėje, nei nuolat naudoti tą patį slaptažodį. Kaip parodė duomenų nutekėjimo incidentai Lietuvoje, ir gana primityvūs įsilaužimo atvejai, sekę po to – kitose platformose bandoma prisijungti su ta pačia el. pašto ir slaptažodžio kombinacija, ir dalis šių bandymų būna sėkmingi.
„Interneto gigantai daug investuoja į saugumą. Bandant prisijungti iš anksčiau nenaudoto kompiuterio, į el. pašto adresą gausite pranešimą apie šią veiklą. Kilus įtarimams, kad kažkas ne taip, galite pasinaudoti „atsijungti nuo visų paskyrų“ funkcija. Taip pat galite sukonfigūruoti dviejų veiksnių autentifikavimą. Ar panašias funkcijas turi jūsų internetinės vaistinės paskyra, automobilių gamintojo puslapis ar netgi bankas, kuriam patikite savo pinigus? Greičiausiai – ne. Interneto gigantai, visada būdami kibernetinių atakų taikinyje, modernius internetinio saugumo sprendimus sukuria pirmi. „Download Your Data“ funkcija naudinga ne tik tada, kai norite uždaryti savo paskyrą, bet ir tada, kai norite pamatyti, ką platforma žino apie jus.
Paieškokite internete, kaip pasinaudoti „Download Your Data“ konkrečioje platformoje (Yahoo, Instagram, Endomondo, TikTok ar kt.), parsisiųskite failą, peržiūrėkite jį ir išjunkite tas platformos funkcijas, kurių duomenų nebenorite matyti ateityje“, – pataria IT specialistas.
V. Paulausko teigimu, interneto gigantų teikiamos paslaugos dažnai yra saugesnės nei kitų jūsų naudojamų svetainių. Nenaudojamų paslaugų ar duomenų kaupimo galite atsisakyti peržiūrėję savo „Download Your Data“ duomenų rinkinį. BDAR taip pat riboja piktavališkus bandymus kaupti perteklinę jūsų informaciją ir naudoti ją neteisėtam interesui, tad baimintis nereikėtų ir dėl to.