Ochrona reputacji

Zagrożeniem może być nie tylko złośliwe oprogramowanie, ale też dzia-łania ludzi publikujących i rozpowszechniających treści, w tym materiały au-diowizualne. Do tej grupy zagrożeń zaliczamy rozpowszechnianie niedozwo-lonych treści, nieprawdziwych informacji i informacji wrażliwych bez wiedzy ich właścicieli oraz treści z naruszeniem praw autorskich. Główny ciężar odpowiedzialności za treści publikowane w sieci spoczywa na dostawcach treści, w czasach Web 2.0 dotyczy to ogromnej grupy ludzi. Bardzo często przestępstwo popełnia użytkownik końcowy, ale oskarżany jest administra-tor portalu, który nie usunął obraźliwych treści albo nie chciał lub nie potra ił podać danych np. autora postu na forum. Regulacje prawne sprawiły, iż co-raz częściej użytkownicy muszą się rejestrować, by cokolwiek skomentować, a serwisy nauczyły się, że wszelkie fora i czaty należy jednak moderować, co przez niektórych traktowane bywa jako cenzura. Zgodnie z Konstytucją RP, „każdemu zapewnia się wolność wyrażania swoich poglądów i rozpowszech-niania informacji”, ale jednocześnie „każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci dobrego imienia oraz do decydowania o swoim życiu osobistym” (art. 47 oraz 54 ust. 1). Kiedy zamieszczane treści ewidentnie łamią prawo, sprawą z urzędu zajmuje się prokuratura. Problem pojawia się wtedy, gdy informacja nie przekracza w sposób oczywisty prawa, ale narusza dobra osobiste dotkniętej osoby.

Popularność portali społecznościowych sprawia, że coraz częściej ich użytkownicy chcą wymieniać się np. fotogra iami, ilmami i plikami muzycz-nymi, ale nie zawsze zastanawiają się, czy wszystko, co okazuje się możli-we technicznie, jest dozwolone z prawnego punktu widzenia. Niejednokrot-nie łamane jest w ten sposób Niejednokrot-nie tylko prawo autorskie i prawo własności, ale także prawo do prywatności, bowiem użytkownicy zwykle nie mają zgody fotografowanych osób na publikację ich wizerunku. Członkowie społeczności elektronicznych popadają często w kłopoty wynikające z nadinformowania o szczegółach z życia prywatnego. Problematyczna jest także konstrukcja re-gulaminów portali społecznościowych, które nie zawsze pozwalają na usu-nięcie lekkomyślnie publikowanych materiałów, a nawet na likwidację kon-ta z całą zawartością. Publikacje w Internecie mają szerszy zasięg i dłuższy czas „emisji” niż w innych mediach, stąd inicjatywa „prawo do zapomnienia”, dająca prawne możliwości usunięcia przez użytkownika informacji, które wcześniej wprowadził do danego serwisu. Nikt jednak nie jest w stanie prze-śledzić, na ilu komputerach domowych lub nośnikach pamięci lash przecho-wywane są opublikowane kiedyś materiały.

Kłopoty użytkowników portali społecznościowych stały się inspiracją do stworzenia usługi usuwania z sieci plików lub całych kont wraz z ich zawar-tością. Przykładem jest system ochrony reputacji ReputationDefender, który

99 3. Podaż i popyt na usługi cyfrowe w kluczowych obszarach życia

za opłatą wyszukuje w 40 najpopularniejszych portalach społecznościowych informacje na temat irmy lub osoby i np. usuwa niewygodne lub nieprawdzi-we wpisy. W Polsce w 2011 roku powstała podobna usługa Guarda. Pomaga monitorować pojawiające się w mediach społecznościowych, na blogach i fo-rach dyskusyjnych wypowiedzi dotyczące np. danej organizacji.

Techniki ICT stworzyły takie możliwości zbierania danych o użytkowni-kach usług cyfrowych, że zaczęło budzić to obawy o zakres gromadzonych danych i czas ich przechowywania. Zwykle irmy proszą użytkowników o po-zwolenie na gromadzenie informacji, ale nie jest jasne, jak będą one przecho-wywane i do czego wykorzystywane. Czy tylko do celów marketingowych da-nego przedsiębiorstwa? Czy może będą odsprzedawane innym organizacjom lub przekazywane organom państwowym i staną się narzędziem inwigilacji internautów? Przed taką kontrolą obywateli może ochronić jedynie rozważ-ne i powściągliwe stosowanie nowych usług.

3.6.3. Kryptologia

Kryptologia to nauka o bezpiecznej komunikacji, czyli o przekazywaniu informacji w sposób zabezpieczony przed niepowołanym dostępem. Wyko-rzystuje się w niej metody matematyczne. Do lat 70. XX wieku kryptologia była nauką stosowaną w dyplomacji, służbach specjalnych i wojsku. W cza-sach gdy informacja stała się towarem i można przesyłać ją siecią Internet, kryptologia znalazła się lub powinna się znaleźć w sferze zainteresowania wszystkich użytkowników sieci. Narzędzia kryptologiczne służą do kodowa-nia treści maili i plików (przesyłanych i zapisywanych na nośnikach), a także do transmisji między komputerami połączonymi w sieci, np. realizującymi opisaną w załączniku 1 usługę SSH.

Do szyfrowania stosuje się algorytmy symetryczne i asymetryczne. W pierwszych ten sam klucz służy do zaszyfrowania i odszyfrowania wia-domości (zatem musi być tajny), w drugich używane są dwa klucze: jeden powszechnie znany – nazywany publicznym, drugi tajny – nazywany prywat-nym (rysunek 3.2). Klucz to ciąg znaków niezbędny do zakodowania i odko-dowania informacji. By złamać szyfr, trzeba znać algorytm i klucz. Najbar-dziej znanymi szyframi symetrycznymi są: DES (Data Encryption Standard), trzykrotny DES (3DES) oraz IDEA, natomiast asymetrycznymi – Dif iego--Hellmana i RSA (Rivest, Shamir i Adleman), najpopularniejszy z systemów kryptogra ii klucza publicznego, trudny do złamania24. Szyfry asymetryczne wymagają większej mocy obliczeniowej, dlatego w pewnych sytuacjach ko-rzysta się z symetrycznych, np. do kodowania kilkuminutowych sesji

połą-24 Powodem nielicznych przypadków znalezienia klucza prywatnego zawsze była jego zbyt mała długość.

100 Usługi cyfrowe. Perspektywy wdrożenia i akceptacji...

czeń między komputerami w usłudze SSH czy SSL. Szyfrowanie asymetryczne jest stosowane w tworzeniu podpisu cyfrowego, wtedy jeden komplet kluczy służyć może i kodowaniu, i uwierzytelnianiu.

Rysunek 3.2. Szyfrowanie przy użyciu algorytmu asymetrycznego

Źródło: opracowanie własne

Nie istnieje szyfr, którego nie da się złamać, ale proces ten może trwać dłużej niż tajność zaszyfrowanej informacji, ponadto jego koszt może prze-kroczyć wartość atakowanego przedsiębiorstwa, dlatego czasem łatwiej i ta-niej jest je kupić. Z tego powodu klucze szyfrów są coraz dłuższe i tym samym trudniejsze do złamania.

Do szyfrowania plików można wykorzystać wiele programów kryptogra-icznych, darmowych i komercyjnych. Dla pełnego bezpieczeństwa konieczna jest obecność organizacji gwarantujących działanie algorytmu, ważność klu-czy i sposób ich przechowywania. RSA Security, irma założona przez twór-ców algorytmu RSA25, cieszy się największym zaufaniem w branży e-security. Firmy tego typu są często właścicielami stworzonego przez nie algorytmu oraz sprzedawcami certy ikatów dla ludzi, organizacji lub serwerów, gdy szy-frowana ma być transmisja danych. Certy ikat klucza publicznego to infor-macja o kluczu publicznym i podmiocie, dla którego został wydany. Istnieją też systemy, w których nie ma tzw. trzeciej zaufanej strony gwarantującej wiarygodność mechanizmu. Funkcję tę czasem pełni tzw. krąg znajomych, którym ufa każda następna osoba dołączająca do systemu. Przykładem jest PGP (Pretty Good Privacy), stworzony w 1991 roku przez Philipa Zimmer-manna i rozwijany przez społeczności programistów z całego świata. Zało-żona PGP Corporation została przejęta w 2010 roku przez irmę Symantec, która utrzymuje globalny katalog kluczy PGP. Prawo bezpłatnego

101 3. Podaż i popyt na usługi cyfrowe w kluczowych obszarach życia

nia z PGP ograniczono jedynie do celów niekomercyjnych. Darmowym odpo-wiednikiem jest Gnu Privacy Guard (GPG), wspierany przez rząd niemiecki .

W wielu usługach cyfrowych ważnym zagadnieniem staje się bezpieczeń-stwo komunikacji między klientem a serwerem, co zapewnić może protokół Secure Socket Layer (SSL) gwarantujący: prywatność (połączenie jest szy-frowane), uwierzytelnienie (klient i serwer określają swoją tożsamość) i in-tegralność przesyłanych danych (przez sumy kontrolne). Działanie SSL jest podobne do SSH (załącznik 1). Serwer strony WWW musi posiadać certy ikat klucza publicznego. Gdy przeglądarka klienta nawiązuje połączenie z serwe-rem, odbiera od niego jego klucz publiczny, losuje nowy klucz obowiązujący na czas trwania połączenia (klucz dla szyfru symetrycznego) i wysyła do ser-wera WWW zakodowany jego kluczem publicznym. Serwer odczytuje klucz sesji za pomocą swojego klucza prywatnego i od tego momentu transmisja jest nim kodowana. Certy ikaty SSL można kupić w jednym z centrów

certy-ikacji w Polsce lub na świecie. Najpopularniejszym i jednym z najdroższych jest VeriSign. Firma została stworzona w 1995 roku w RSA Security. Jej cer-ty ikacer-ty akceptują wszystkie przeglądarki, a stosują je np. banki i inscer-tytucje

inansowe. Certy ikaty SSL mogą zostać wygenerowane bez trzeciej zaufanej strony, ponadto bywały już przypadki „certy ikowania” przez twórców zło-śliwego oprogramowania. Z tego powodu użytkownicy powinni nie tylko sprawdzać wizualne symbole, jak kłódka na ekranie przeglądarki czy litera s w adresie HTTP, ale też treść certy ikatu i datę ważności.