Zasebnost na spletu, kako jo v praksi zaščitimo

Zasebnost na spletu se v praksi začne pri dveh navadah: da razkrijemo manj, kot je nujno, in da do naših računov ni mogoče priti z enim samim geslom. Večina zlorab se ne začne z zapletenimi vdori, temveč s prehitro potezo klikom na lažno sporočilo, ponovljenim geslom ali aplikacijo, ki ji nehote dovolimo preveč. To so človeške napake, ki se zgodijo hitro. Dobra novica je, da jih je mogoče omejiti z nekaj premišljenimi koraki.

Zakaj je zasebnost pomembna tudi, če “ničesar ne skrivam”?

Ker zasebnost ni vprašanje skrivanja, ampak nadzora. Podatek je lahko povsem nedolžen, dokler ni povezan z drugimi: e-naslov + telefonska številka + navada nakupovanja + lokacija. Skupaj postanejo uporabni za prevare, izsiljevanje, prevzem računov ali za to, da nekdo zelo natančno ugane, kdaj boste kliknili. Informacijski pooblaščenec v smernicah o orodjih za zaščito zasebnosti poudari, da gre pri preventivi prav za “vračanje moči odločanja” uporabniku komu in pod kakšnimi pogoji sploh dovolimo dostop do svojih podatkov.

Kaj vse sploh šteje med osebne podatke na spletu?

Veliko širše, kot si večina predstavlja. Ne gre le za EMŠO, naslov ali številko dokumenta. Tudi spletni “odtisi” sodijo zraven. Mojca Prelesnik, informacijska pooblaščenka, je v predstavitvi o GDPR med osebne podatke izrecno vključila tudi spletne identifikatorje, kot so identifikatorji piškotkov in IP-naslovi. To je pomembno, ker pokaže, da se osebni podatki ne začnejo šele pri obrazcu z vašim imenom včasih se začnejo že pri tem, kako vas brskalnik “predstavi” spletu.

Foto: Premišljeno deljenje podatkov Vir: Freepik

Kdaj zasebnost na spletu najpogosteje odpove?

Najpogosteje takrat, ko je človek v naglici. Sporočilo o dostavi paketa. Opozorilo “banke”, da bo račun blokiran. Prošnja “podpore”, da nujno potrdite prijavo. Skupni imenovalec je isti: poskus, da vas poženejo v hitro odločitev. To je socialni inženiring napad na pozornost, ne na tehnologijo. In deluje, ker je videti normalno. Zato si je vredno zapomniti en sam refleks: če sporočilo pritiska na strah ali hitenje, se ustavite in preverite po drugi poti (uradna aplikacija, ročno vpisan naslov strani, znana telefonska številka).

Kako hitro uredim osnovno zaščito osebnih podatkov na spletu?

Če bi morali izbrati samo nekaj potez, so to štiri, po vrsti:

1. E-pošta kot “glavni ključ”
   E-pošta je pogosto izhod v sili za ponastavitve gesel. Če jo kdo prevzame, lahko prek nje pride še do drugih računov. Vklopite dodatno preverjanje prijave in preverite, ali so obnovitvene možnosti (sekundarni e-naslov/telefon) res vaše.
2. Unikatna gesla, po možnosti z upraviteljem gesel
   ENISA med osnovnimi priporočili navaja močna in unikatna gesla, izogibanje ponovni uporabi ter uporabo upravitelja gesel.
3. Dvofaktorska avtentikacija (2FA) tam, kjer največ izgubite
   Najprej e-pošta, nato družbena omrežja, shranjevanje dokumentov, plačilne storitve.
4. Posodobitve
   Posodobitve niso “teženje telefona”, ampak popravljanje znanih lukenj. Tudi ENISA jih uvršča med osnovno kibernetsko higieno.

Ali drži, da je močno geslo dovolj za zaščito osebnih podatkov?

Delno. Močno geslo pomaga dokler ni reciklirano. Največja napaka je ista kombinacija (ali ista “variacija”) na več mestih. Takrat zadostuje en sam vdor ali uhajanje podatkov, pa ima napadalec “ključ” še za druge račune.

Mit: “Moje geslo je dolgo, zato sem varen.”
Dejstvo: Če je isto na dveh storitvah, je tveganje visoko, tudi če je dolgo.

Kdaj DA / kdaj NE pri geslih
DA: upravitelj gesel + dolga, naključna, edinstvena gesla.
NE: ista baza gesla z zamenjano številko; pošiljanje gesel po e-pošti; gesla v nezaščitenih zapiskih.

Foto: Splet Vir: Freepik

Kdaj je dodatno preverjanje prijave res koristno in kdaj ne?

Dodatno preverjanje (2FA) je ena redkih nastavitev, ki statistično naredi veliko razliko, ker napadalcu doda še eno oviro. ENISA ga zato izpostavlja kot osnovni ukrep.

A 2FA ni neprebojna, če jo sami nehote obidete.

Mit: “Če imam 2FA, phishing ne more uspeti.”
Dejstvo: Če kodo vnesete na lažni strani ali potrdite prijavo, ki je niste sprožili, ste zaščito izročili sami.

Dober “test resničnosti”: koda ali potrditveno obvestilo, ki ga niste pričakovali, ni nadloga je opozorilo.

Kaj če aplikacija ali spletna stran zahteva preveč dovoljenj?

Takrat velja pravilo: dovoljenje mora imeti jasen razlog. Lokacija, kamera, stiki, mikrofon to so podatki, ki jih je mogoče zlorabiti ali vsaj preveč široko uporabiti. SAFE.SI recimo opozarja na spletno kamero: naj bo izključena, ko je ne uporabljate, ker deluje “kot okno” v vašo zasebnost.

Kdaj DA / kdaj NE pri dovoljenjih
DA: lokacija “samo med uporabo” pri navigaciji; kamera ob skeniranju in potem izklop.
NE: stalna lokacija za aplikacijo, ki je ne potrebuje; dostop do stikov “za vsak primer”; mikrofon brez jasne funkcije.

Praktičen trik: enkrat na mesec preletite dovoljenja in odstranite aplikacije, ki jih sploh ne uporabljate. To je pogosto učinkovitejše kot lovljenje “popolnih” nastavitev.

Ali drži, da zasebno brskanje pomeni zasebnost?

Ne v smislu, kot si ga ljudje pogosto predstavljajo. Zasebno okno večinoma pomeni, da se na vaši napravi ne shrani zgodovina in piškotki. Ne pomeni pa, da vas spletna stran ne more prepoznati, če ste prijavljeni, ali da spletni promet “izgine”. Če želite več dejanske zasebnosti, je bolj smiselno: manj prijav na tujih napravah, bolj premišljeno sprejemanje piškotkov in redno preverjanje nastavitev zasebnosti v storitvah. Informacijski pooblaščenec v smernicah jasno opiše cilj: uporabniku pomagati, da zaščiti osebne podatke na napravah, omeji dostop tretjim osebam in prepreči zlorabe računov.

Foto: Zasebnost na spletu Vir: Freepik

Kaj če pride do vdora ali zlorabe identitete v Sloveniji?

Takrat šteje red ukrepov, ne popolnost.

1. Zamenjajte geslo za e-pošto in odjavite vse aktivne seje.
2. Preverite, ali je kdo dodal svojo obnovitveno številko ali e-naslov.
3. Če gre za denar, takoj kontaktirajte banko ali ponudnika plačil.
4. Če gre za zlorabo ali incident, ga prijavite.

Kaj si velja zapomniti, ko zaprete brskalnik?

Zaščita osebnih podatkov ni projekt, ki ga “enkrat nastavite in pozabite”. Je skupek kratkih navad: posredujete le nujno, ne klikate pod pritiskom, gesel ne reciklirate, pomembne račune dodatno zavarujete. Ko to postane rutina, je tudi splet manj napet ker je več odločanja spet na vaši strani.na rutina: ne delite, česar ne rabite, in nikoli ne potrjujte ničesar pod pritiskom sporočila. Ko ta dva refleksa združite z unikatnimi gesli in 2FA, ste za veliko večino vsakdanjih zlorab precej manj lahka tarča.

Pripravil: L. H.
Viri: Informatec Digital, SAFE.SI, KulKul.si, IK4 (ik4.es), SI-CERT, ENISA

The post Zasebnost na spletu, kako jo v praksi zaščitimo first appeared on NaDlani.si.