Articles

Gdzie na świecie są moje dane i jak bardzo są bezpieczne?

Mask on digital graphic
Image caption Wraz ze wzrostem ilości danych osobowych w chmurze rośnie poziom oszustw identyfikacyjnych

Kiedy Max Schrems, austriacki działacz na rzecz ochrony prywatności, poprosił o wgląd w swoje dane osobowe przechowywane na serwerach Facebooka, otrzymał pocztą CD-ROM zawierający 1222-stronicowy dokument.

Ten plik, który rozciągałby się na prawie ćwierć mili, gdyby został wydrukowany i ułożony od końca do końca, oferował wgląd w apetyt Facebooka na prywatne szczegóły jego 1.65 miliardów użytkowników.

Informacje zawierały numery telefonów i adresy e-mail przyjaciół i rodziny pana Schrems; historia wszystkich urządzeń, których używał do logowania się do serwisu; wszystkie wydarzenia, na które został zaproszony; każdy, kogo „zaprzyjaźnił” (a następnie usunął z grona przyjaciół); oraz archiwum jego prywatnych wiadomości.

To nawet zawierało transkrypcje wiadomości, które usunął.

Ale pan Schrems, który twierdzi, że tylko sporadycznie korzystał z Facebooka w okresie trzech lat, uważa, że znaczna część informacji została wstrzymana od niego.

Max Schrems
Image caption Max Schrems złożył do tej pory dwa pozwy przeciwko polityce prywatności Facebooka

On otrzymał rekordy danych dla około 50 kategorii, ale wierzy, że jest więcej niż 100, mówi BBC.

„Oni wstrzymali moje dane rozpoznawania twarzy, która jest technologią, która może zidentyfikować mnie przez moje zdjęcia. Nie ujawniają również informacji o śledzeniu, czyli jeszcze bardziej przerażających rzeczy, które robią – rzeczy takie jak to, czy przeczytałeś stronę internetową o samochodzie sportowym i jak długo ją czytałeś.”

Facebook może nawet śledzić korzystanie z Internetu przez osoby niebędące jego użytkownikami za pomocą plików cookie umieszczanych na ich komputerach, co potwierdziła niedawna decyzja prawna w Belgii.

Facebook image
Image caption Facebook can even track non-members’ internet usage

Mr Schrems’s experience vividly illustrates the challenges we face in a digital age full of messaging apps, social networks, tailored search engines, email clients, and banking apps, all collecting personal data about us and storing it, somewhere, in the cloud.

Ale gdzie dokładnie znajdują się wszystkie te dane, jak są wykorzystywane i jak bardzo są bezpieczne?

Wielka Czwórka

Ponad połowa światowej pamięci masowej w chmurze, którą można wynająć, jest kontrolowana przez cztery główne korporacje. Amazon jest zdecydowanie największy, z około jedną trzecią udziału w rynku i ponad 35 centrami danych na całym świecie.

Kolejni trzej najwięksi dostawcy to Microsoft, IBM i Google, a każdy z nich przyjmuje podobny globalny wzór farm serwerów.

Dan Svantesson
Image caption Prof Dan Svantesson mówi, że posiadanie danych przechowywanych w wielu jurysdykcjach może powodować problemy prawne

Several of these major public cloud providers habitually duplicate user data across their networks. Oznacza to, że informacje przesłane do chmury w, powiedzmy, Wielkiej Brytanii lub USA, prawdopodobnie zostaną w pewnym momencie przekazane do serwerów w głównych miastach na całym świecie, od Sydney do Szanghaju.

Problem z tym, mówi prof. Dan Svantesson, specjalista w dziedzinie prawa internetowego na Bond University w Australii, jest taki, że „zawsze istnieje ryzyko, że kraj, do którego trafiają dane, nie ma takiego samego poziomu ochrony.

„Jeśli Twoje dane trafiają do innego kraju, może być niejasne, kto ma do nich dostęp, czy to dostawcy sieci czy organy ścigania”, mówi.

Benjamin Caudill, konsultant ds. cyberbezpieczeństwa w Rhino Security Labs w Seattle, również ma obawy dotyczące sposobu dystrybucji tych danych.

Benjamin Caudill
Image caption Benjamin Caudill uważa, że główni dostawcy usług w chmurze nie zawsze wiedzą, gdzie przechowywane są wszystkie dane użytkownika

„Nikt tak naprawdę nie wie, jak powstaje kiełbasa”, mówi pan Caudill, którego praca obejmuje testowanie zabezpieczeń firm poprzez „etyczny hacking”.

„Bardzo trudno jest zrozumieć, gdzie przechowywane są dane. W wielu przypadkach same firmy nie są pewne, gdzie mogą znajdować się wszystkie dane.”

Mówi, że jego klient, który korzystał z usługi chmury Azure firmy Microsoft, padł ofiarą włamania – wszystkie dane i kopie zapasowe zostały usunięte.

Google data centre pipes
Image caption Google’s data center in Taiwan is not all computer servers – a lot of cooling is needed too

But after some digging, it emerged that a portion of the lost data had been storedewhere on Azure’s servers. Podczas gdy to była ulga dla klienta pana Caudill, pozornie przypadkowa natura umieszczania danych na serwerach Microsoftu nie napełniła go zaufaniem.

„Nikt tak naprawdę nie wie, jak bezpieczne są usługi w chmurze od głównych dostawców”, mówi pan Caudill, który podejrzewa, że „zarówno Amazon, jak i Azure miały poważne kompromisy bezpieczeństwa w pewnym momencie.”

Naruszenie bezpieczeństwa?

Ze swojej strony, wszyscy wielcy dostawcy chmury publicznej mówią, że bezpieczeństwo jest priorytetem.

W serwerowni Google w Południowej Karolinie, na przykład, strażnicy patrolują drzwi i stosują biometryczne skanery tęczówki oka przy wejściach do wewnętrznego sanctum. Podpodłogowe wiązki laserowe wykrywają intruzów.

Ale nikt nie powie, że nigdy nie miał naruszeń bezpieczeństwa.

Google data centre Finland
Image caption Google’s data center in Finland underlines the sheer scale of such facilities

A Microsoft spokesperson told the BBC: „Microsoft ma zobowiązania klientów, aby pomóc chronić dane klientów i upoważnić ich do podejmowania decyzji dotyczących tych danych. Zalecamy klientom odwiedzenie Microsoft Trust Center, aby dowiedzieć się więcej o tym, jak ich dane są zarządzane i utrzymywane w bezpiecznym stanie.”

Amazon podkreśla, że klienci „zachowują własność i kontrolę nad swoimi treściami. Wybierają lokalizację do przechowywania swoich danych i nie przenosi się, chyba że klient zdecyduje się ją przenieść.”

Ta możliwość wyboru, w którym regionie przechowywane są dane, okazuje się coraz bardziej popularna wśród firm, szczególnie w Unii Europejskiej, gdzie nowe rygorystyczne Ogólne Rozporządzenie o Ochronie Danych ma wejść w życie w 2018 roku.

Post at your peril

Ale my, konsumenci, często nie mamy tego luksusu.

„Dane Twojego konta Gmail są absolutnie na więcej niż jednym serwerze. Znajdują się w więcej niż jednym kraju” – mówi prof. Svantesson.

Ale dlaczego miałoby nas to obchodzić?

Woman standing in front of data network graphic
Image caption Czy powielanie danych na wielu stronach zwiększa lub zmniejsza prawdopodobieństwo włamania?

Im więcej naszych danych jest rozproszonych po całym świecie, tym bardziej są one podatne na ataki hakerów, twierdzi pan Caudill – przypuszczenie to potwierdza fakt, że oszustwa dotyczące tożsamości są coraz częstsze.

Ponieważ ludzie nadal przesyłają swoje cyfrowe informacje online, w bagno terytorialnych zawiłości prawnych i nieujawnionych protokołów bezpieczeństwa narodowego, profesor Svantesson oferuje kilka praktycznych porad – do których wiele osób nadal się nie stosuje.

„Sugerowałbym, aby nigdy nie umieszczać w chmurze niczego wrażliwego, takiego jak informacje o kartach kredytowych lub osobiste zdjęcia, których nie chcesz, aby inni widzieli.

„Niektóre rzeczy należy po prostu zostawić dla siebie”, radzi.

line

Śledź redaktora Technology of Business @matthew_wall na Twitterze

Kliknij tutaj, aby uzyskać więcej funkcji Technology of Business

.