Începând cu anul 2013, odată cu revelaţiile deja celebrului Edward Snowden despre programul de supraveghere în masă al agenţiei de securitate americane NSA, toată lumea pare din ce în ce mai preocupată de modul în care este asigurat dreptul la viaţa privată în spaţiul cibernetic. Subiectul a iscat o controversă ce pare departe de final şi asta pentru că vorbim de curente de opinii total diferite, dar în acelaşi timp cu argumente valide şi de o parte şi de alta. Este lesne de înţeles că în principiu absolut toată lumea îşi doreşte atât securitate, cât şi viaţă privată, numai că, cel puţin deocamdată, pare că este nevoie de asumarea unor compromisuri între cele două drepturi individuale. În rândurile următoare vă propun să abordăm subiectul prin prisma unei analize de risc cu privire la viaţa privată în spaţiul cibernetic.
Una dintre întrebările fundamentale pe care trebuie să ne-o punem este următoarea: oare cine anume este interesat de viaţa noastră privată şi mai cu seamă de ceea ce facem în spaţiul cibernetic? Răspunsul meu ar fi că sunt trei tipuri de entităţi interesate de aceste date, fiecare având scopuri diferite:
- Instituţiile din sfera aplicării legii şi asigurării securiţăţii naţionale, în scopul îndeplinirii atribuţiilor care le revin;
- Indivizii sau organizaţiile rău intenţionate care urmăresc să folosească în scopuri ilegitime datele noastre personale/confidenţiale;
- Companiile ce activează în domeniul publicităţii sau chiar comercianţii care încearcă să ne cunoască obiceiurile şi gusturile.
Acum, că ştim cine ar beneficia de pe urma procesării datelor legate de viaţa noastră personală, ar trebui să ne punem următoarea întrebare: de cine anume vrem să ne protejăm? Evident că răspunsul diferă de la individ la individ. Şi ca să evit din nou o controversă am să afirm că în mod cert ne dorim să ne ferim viaţa privată de indivizii sau organizaţiile rău intenţionate, sau mai bine zis de cei care urmăresc să exploateze aceste date în defavoarea noastră.
Problema securiţăţii personale în spaţiul cibernetic şi implicit protejarea datelor ce ţin de viaţa privată devine până la urmă o problemă de identificare a obiectelor şi entităţilor în care avem încredere. Spre exemplu, în momentul în care ne achiziţionăm şi apoi utilizăm un smartphone va trebui să ne gândim la încrederea pe care o avem în:
- Producătorul/integratorul dispozitivului şi lanţul de aprovizionare al acestuia (supply chain);
- Producătorii sistemului de operare şi aplicaţiilor;
- Producătorii aplicaţiilor instalate;
- Autorităţile de certificare (CA) ale căror certificate sunt prezente în dispozitiv;
- Magazinul de la care cumpărăm telefonul şi lanţul de aprovizionare al acestuia;
- Producătorul cartelei SIM;
- Operatorul de telefonie mobilă;
- Administratorii reţelelor WiFi la care ne conectăm;
- Furnizorii de servicii de Internet (ISP);
- Site-urile web şi platformele online pe care le folosim.
Fiecare dintre entităţile enumerate anterior, cel puţin în teorie, pot avea un impact negativ asupra asigurării confidenţialităţii datelor şi activităţii noastre în spaţiul cibernetic. Nu-mi rămâne decât să închei prin a vă invita să reflectaţi asupra controlului pe care-l deţinem în realitate asupra securiţăţii şi vieţii private odată cu accelerarea utilizării produselor şi serviciilor digitale.
NOTĂ:
Cătălin Pătraşcu este expert în securitate cibernetică, cu peste opt ani de experienţă relevantă în domeniu. Şi-a început călătoria în domeniul securităţii cibernetice în cadrul Ministerului Apărării Naţionale (2010-2012), a continuat în calitate de coordonator al echipei de răspuns la incidente din cadrul Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO (2012-2018) şi activează, în prezent, ca manager de livrare de servicii de securitate cibernetică în cadrul unei companii de profil. A gestionat cu succes proiecte în domeniul securităţii cibernetice, a planificat şi moderat exerciţii cibernetice, a gestionat incidente cibernetice la scară naţională şi a efectuat diverse studii pe teme de securitate cibernetică şi criminalitate informatică.