Vse izjave

Zasebni strežnik ni javna knjižnica!

16. december, 2015 (nazadnje posodobljeno: 1. maj, 2018)
Članek se posveča naslednjim programskim točkam:  Zasebnost, nadzor in varovanje podatkov
Objavljeno v kategoriji: Informacijska politika, Odločitve sodišč, Pravna država, Zakonodaja

Predstavljajte si, da imate zasebni strežnik (če ga imate, je predstava nepotrebna). Nanj shranjujete podatke. To so lahko podatkovne baze, informacijski sistemi, oblak, na njemu poganjate spletno stran in še bi lahko naštevali. En dan na vrata potrka Policija z odredbo, ki jim omogoča zaseg strežnika, po uradniško izpostavljeno, da gre za sum takšnega ali drugačnega kaznivega dejanja.

Odredba, v imenu ljudstva, kot sodišča rada (ironično) izpostavijo, Policiji zagotavlja neomejen dostop do vseh podatkov na strežniku in drugih elektronskih naprav, čeprav jih zares zanima samo razdelek strežnika o podatkih v oblaku, kamor se je shranil komentar na vaš blog, v katerem je komentator napisal nekaj občutljivega, da izpostavimo pogost primer, ki se dogaja v praksi.

In to je praktično uvod v preseganje pooblastil. Reakcija, ki je neizrazito večja od osnovne akcije oz. dejanja, kot se je zgodilo v primeru zasega strežnikov nemških Piratov.

Srž težave je ravno v tem: tehnično neznanje organe pregona primore k skrajno pretiranim dejanjem, ki v takih situacijah niso potrebne! Kako si lahko vse skupaj lažje predstavljamo?  Strežnik oz. strežniki na sebi nosijo več podatkov, več storitev, nameni katerih so lahko povsem različni. Fizični strežnik je lahko tudi podlaga za celo množico virtualnih strežnikov, ki jih upravljajo različne osebe!

Kako deluje strežnik?

Zelo grobo rečeno so strežniki kot fizičen arhiv (tisti, ki se ponavadi nahajajo v kleteh državnih ustanov). Razlika tiči le v tem, da je strežnik v stalni uporabi (no, to in dejstvo, da je namenjen delu na spletu ali vsaj v nekem notranjem omrežju). In sedaj se poraja vprašanje, kako dostopamo do podatkov v arhivu? Uporabnikom arhiva je omogočen dostop do tistih oddelkov, kjer se njihovo interesno polje nahaja, ne dobijo pa vstopnice za prosto pohajkovanje po celotni zbirki arhiva, saj so tam shranjeni občutljivi in zasebni podatki!

Strežnik je oblika spletnega arhiva

S tem dognanjem smo končno dosegli naše glavno sporočilo: v uradnih postopkih mora zasebnost ne-vpletenih ostati zaščitena! Pirati so sicer z nemško policijo sodelovali in jim celo pomagali pri dostopanju do podatkov, ki ni bilo povezano z dejavnostmi stranke. A vedimo: Cilj ne opravičuje dejanj!

Čemu vsa ta skrb?

Podobna prigoda se je zgodila aktivistu, ki se je prizadeval za višjo varnost policijske komunikacije, Dejanu Ornigu v njegovem ‘soočenju’ s slovensko Policijo glede zadeve TETRA: Zaradi točno določenih podatkov na točno določenem prostoru na njegovem strežniku so dobili odprt dostop do vseh podatkov na strežniku, ne glede na njihovo relevantnost! Kot primer: iskali so vsebine, povezane z vdori v sistem TETRA, odkrili pa so posnetke pogovorov njegovega delodajalca, kar so nemudoma uporabili za pregon zaradi kaznivega dejanja neupravičenega prisluškovanja in zvočnega snemanja.

Zakonsko ureditev sodnih nalogov za dostop do podatkov na strežniku moramo napisati bolj natančno, kot “odprta sezona lova na vse občutljive osebne podatke na strežniku”. Zakaj? Zato, ker lahko z danes veljavno zakonodajo, če želijo ovirati volilno kampanjo stranke, k neki objavi na spletni strani le pripišejo komentar, ki bi bil tipična predstava sovražnega govora. Preiskava, ki se je, recimo, zgodila en teden pred volitvami, bi preiskovala s stranko povsem nepovezanega storilca. Zavoljo prepoznave storilca bi policija zasegla strežnik stranke. Lahko si predstavljate, da tak poseg lahko močno ohromi, celo povsem zaustavi delovanje in javno komuniciranje politične stranke (brez panike, iz izkušenj nemških Piratov smo se marsikaj naučili in smo na to tudi pripravljeni 😉 ).

Enako se lahko zgodi zasebnim podjetjem. Dogaja se, da osebo, ki je zaposlena v vašem podjetju, preiskujejo zaradi suma kaznivega dejanja in zaradi njegovih zasebnih dejavnosti na delovnem mestu zasežejo vaše strežnike. Strežnike, kjer se nahajajo občutljivi podatki vseh strank in drugih podjetniških skrivnosti tega podjetja!