Na Cryptopartyu o problematiki zasebnosti in varnosti v kibernetskem prostoru

Vodja nacionalnega odzivnega centra za omrežne incidente SI-CERT Gorazd Božič je v uvodnem predavanju v torek potekajočega Cryptopartyja pojasnil, zakaj šifriranje v nekaterih situacijah ne pomaga. Šifriranje deluje znotraj zaprtih skupin, predvsem pa je pomemben razmislek o tem, pred kom želimo skriti določeno vsebino, saj šifriranje vsega ni rešitev. Pri tem je izpostavil še nujnost osveščanja o pomenu šifriranja, s čimer pokažemo na koristi le-tega ter realne situacije, v katerih je uporabno.

Matej Kovačič iz Instituta Jožef Stefan je predstavil varno uporabo pametnih mobilnih telefonov ter spregovoril o možnih oblikah napadov. "Tudi ko imate zaščito, je telefone mogoče 'pohekati'," podarja Kovačič. Izpostavil je še, da kar danes ni možno, jutri mogoče bo, zato je potrebno neprestano slediti novostim, dodajati nove algoritme in nova spoznanja. Varnost je namreč po njegovem mnenju proces, ne izdelek, "gre za varnostno kulturo".

Sekretar na uradu vlade za varovanje tajnih podatkov Igor Eršte je predstavil osnutek strategije kriptografije v Sloveniji, ki naj bi jo urad pripravil do 30. junija. Namen dokumenta je, da natančno opredeli področje kriptografije in deležnikom priporoči uporabo kriptografskih rešitev.

Med drugim je Eršte izpostavil šest ciljev in ukrepov strategije, med katerimi sta denimo varnostno ovrednotenje šifrirnih rešitev in usposabljanje uporabnikov kriptografskih rešitev, saj je po njegovih besedah varnostna kultura na tem področju zelo nizka. Pogrešajo pripravljenost države za sofinanciranje tovrstnih projektov.

Spodbuditi želijo raziskovanje na področju kriptografije, ki se je v zadnjih letih odvijalo v zelo omejenem obsegu, ter implementacijo domačih in ne kupovanja tujih, nepreverjenih rešitev. Pri tem pa je velik problem kadrovska podhranjenost, trenutno imajo namreč v državni upravi enega kriptografa. "Če želimo biti na tem področju neodvisni, je nujno zaposlovanje kriptografskih strokovnjakov," poudarja.

Andrej Tomšič iz urada informacijskega pooblaščenca je izpostavil predvsem težave z razumevanjem informacijske zasebnosti. Če je bila analognost na nek način naraven ščit zasebnosti, pa digitalizacija ter informacijska družba to otežujeta, zato po njegovem mnenju izgubljamo nadzor nad mejo zasebnosti. Dolgoročnost negativnih učinkov izgubljene zasebnosti onemogoča pravilno oceno posameznika, pojasnjuje Tomšič, saj "s tem, ko dajemo podatke, na nek način dajemo tudi moč odločanja o nas".

V drugem delu dogodka pa so predavatelji na okrogli mizi spregovorili o vlogi države na področju zasebnosti in varnosti v kibernetskem prostoru. Spraševali so se, kako lahko država oblikuje politike ter na kakšen način bi lahko država odigrala proaktivno vlogo.

Božič je ob tam izpostavil, da gre pravzaprav za problem upravljanja države. V zadnjih 20 letih namreč po njegovem mnenju kot država nismo delali na tem, da bi vzgajali kadre. Problem je po njegovem mnenju v tem, da državne odločevalce problem informacijske družbe in tehnologij ne zanima.

Tomšič je ob tem poudaril, da mora vsaka izmed institucij prispevati svoj del zgodbe na področju varnosti, tajnih in osebnih podatkov. Enotnega organa namreč na tem področju najverjetneje ne bo, zato je pomembno, da vsi organi med sabo sodelujejo, je dodal Kovačič. Božič pa meni, da je stvari potrebno najprej urediti na operativni ravni, šele nato lahko govorimo o strateškem organu.

Več pozornosti bi se po njegovem mnenju moralo nameniti inženirskemu vidiku. "Prav bi bilo, da bi se vsaj za določene dele programskega razvoja zahtevalo več kot to, da oseba zna programirati. Zahtevati bi se moralo, da se programira v jezikih, ki so napisani z namenom, da se da v njih razvijati bolj stabilne aplikacije. Temu se na študijih računalništva zelo malo posveča," je prepričan Božič.

Kljub temu da je osveščanje ljudi pomemben del informacijske varnosti, pa po mnenju Božiča s programom osveščanja nikoli ne dosežemo celotne ciljne populacije. "Problem je v tem, da smo ljudje preplavljeni z informacijami, različni akterji pa tekmujejo, kako bi pritegnili našo pozornost. Osveščanje ima omejen domet, kar pa bi se dalo delno dopolniti s tem, da bi določene vsebine uvedli v šolske kurikulume," je prepričan.

Po besedah Domna Saviča iz zavoda Državljan D so z letošnjo izvedbo Cryptopartyja, ki se ga je udeležilo približno 70 ljudi, pokazali, da je tema še vedno aktualna in pomembna. K temu so prispevali tudi varnostni in zasebnostni incidenti v zadnjem letu, zaradi katerih so ljudje veliko boj pozorni na ta področja.

Z dogodkom želijo v zavodu promovirati kibernetsko zasebnost, varnost ter povezovati tehnološko, pravno in družboslovno sfero. Eden izmed pomembnih vidikov, ki jih skušajo izpostaviti, je združevanje različnih strok, "da skupaj pridemo do rešitev, ki bodo tako pravno ustrezne, tehnološko izvedljive in družbeno aplikativne," je še dodal Savič.