Jozef Vyskoč

Jozef Vyskoč

Bloger 
  • Počet článkov:  166
  •  | 
  • Páči sa:  0x

Živí sa poradenstvom v oblasti bezpečnosti informačných systémov. Pravidelný prispievateľ do patavedeckých seminárov v Bratislave. Zoznam autorových rubrík:  BezpečnosťOchrana súkromiaPatavedaVzdelávanie a výskumNezaradené

Zoznam článkov blogera

Pripravuje sa eGovernment – budú mu ľudia dôverovať?

Jozef Vyskoč

Pripravuje sa eGovernment – budú mu ľudia dôverovať?

Keď firma pripravuje úplne nový produkt alebo službu, jej manažéri o.i. vopred naplánujú aktivity zamerané na to, aby u ľudí (zákazníkov) vytvorili pozitívny vzťah k novinke, aby o ňu mali záujem, aby ju chceli. Je to logické, veď ak si novinka nezíska dostatočné množstvo zákazníkov, výdavky spojené s jej vývojom a uvedením na trh budú bez úžitku premárnené. Štát síce nie je komerčná firma, ale v dnešnej dobe sa predsa len občas ocitne v obdobnej pozícií. Napríklad keď – prinajmenšom navonok – deklaruje snahu o efektívne vynakladanie verejných finančných prostriedkov a zároveň sa chystá svojim občanom ponúknuť „nové služby“ pod hlavičkou eGovernmentu. Budú pri tom „štátni manažéri“ uvažovať/postupovať podobne ako manažéri komerčných firiem?

  • 11. apr 2011
  • Páči sa: 0x
  • Prečítané: 1 379x
  • 11
Estónci sa dočkali prvého spochybnenia internetového hlasovania

Jozef Vyskoč

Estónci sa dočkali prvého spochybnenia internetového hlasovania

O zaujímavé spestrenie nedávnych parlamentných volieb v Estónsku sa postaral študent univerzity v Tartu. Objavil totiž a názorne demonštroval spôsob, ako ovplyvniť výsledky volieb prostredníctvom systému hlasovania cez Internet, ktorý sa v Estónsku používa, a na základe toho požiadal o anulovanie výsledkov volieb. Estónsky Najvyšší súd pred niekoľkými dňami jeho žiadosť zamietol ako neopodstatnenú, celý prípad však podľa môjho názoru stojí za povšimnutie a zamyslenie sa nad nie vždy vopred zrejmými dôsledkami zavedenia systému hlasovania cez Internet.

  • 25. mar 2011
  • Páči sa: 0x
  • Prečítané: 2 805x
  • 30
Poučné pripomienkové konanie

Jozef Vyskoč

Poučné pripomienkové konanie

Nedávno bolo ukončené medzirezortné pripomienkové konanie k návrhu novely zákona o ochrane osobných údajov. Pripomeňme si, že rozsiahly dokument, o.i. navrhujúci nadmerné zvýšenie právomocí Úradu a zavedenie ďalších byrokratických povinností pre prevádzkovateľov IS, bol sprístupnený na pripomienkové konanie 10. decembra 2010. Dokument obsahujúci 71 bodov návrhu, dvadsaťpäť strán nie práve najzrozumiteľnejšie formulovaného textu, ktorý sa musí čítať spolu s textom v súčasnosti platného znenia zákona, nie je jednoduché sústo ani pre toho, kto chce len pochopiť čo vlastne Úrad navrhol, nieto ešte poukázať na chyby, logické rozpory a iné nedostatky návrhu. A to všetko bolo potrebné stihnúť do Silvestra, kedy bol koniec pripomienkového konania. Priznám sa, mal som obavy, že téma ochrany osobných údajov nebude tak atraktívna, aby sa návrhu v predsviatočnom období niekto poriadne venoval. Teraz už viem, že môj pesimizmus nebol namieste.

  • 15. feb 2011
  • Páči sa: 0x
  • Prečítané: 1 627x
  • 0
Mágia dňa ochrany osobných údajov

Jozef Vyskoč

Mágia dňa ochrany osobných údajov

Včera bol Deň ochrany osobných údajov. Predvčerom som tu na blogu o tom písal ako o blížiacej sa udalosti a už je za nami. Neviem, ako hodnotia Deň ochrany osobných údajov ostatní, ale ten včerajší pre mňa veru nebol úplne obyčajný deň. To, čo som zažil, asi najvýstižnejšie vyjadrí pojem „mágia“ ...

  • 29. jan 2011
  • Páči sa: 0x
  • Prečítané: 2 076x
  • 9
Deň ochrany osobných údajov

Jozef Vyskoč

Deň ochrany osobných údajov

Zajtra, 28.januára, uplynie 30 rokov od prijatia Dohovoru Rady Európy o ochrane jednotlivcov pri automatizovanom spracúvaní osobných údajov. Na tento deň je zároveň vyhlásený už piaty Deň ochrany osobných údajov („Data protection day“, ako sa nazýva v EÚ, či „Data privacy day“, ako sa ho rozhodli nazvať v USA a Kanade), ako pripomenutie vzniku tohto základného kameňa ochrany súkromia a osobných údajov v Európe, ako aj pripomenutie dôležitosti ochrany súkromia ako jedného zo základných práv jednotlivca v dnešnom svete. V tento deň, ale už aj v období pred ním, inštitúcie zamerané na ochranu súkromia či osobných údajov propagujú túto tému na webstránkach, organizujú rôzne podujatia s témou ochrany súkromia/osobných údajov, či inými formami sa usilujú o šírenie osvety v tomto smere (pozri tiež linky pod článkom). Skrátka, usilujú sa – aspoň tie v zahraničí. Náš Úrad na ochranu osobných údajov na svojej webstránke ešte v čase prípravy tohto článku stále statočne mlčal (ak nerátame už dávnejšie umiestnený link na jeho hlavnej stránke, ktorý však vedie len na úvodnú stránku Rady Európy s aktuálnymi dennými správami).

  • 27. jan 2011
  • Páči sa: 0x
  • Prečítané: 1 491x
  • 12
Úrad na ochranu osobných údajov chce zvýšiť svoju dôležitosť

Jozef Vyskoč

Úrad na ochranu osobných údajov chce zvýšiť svoju dôležitosť

Tak sme sa konečne dočkali – po niekoľkých rokoch sa konečne objavil a na pripomienkové konanie dostal návrh novely zákona o ochrane osobných údajov. Zaujímavé čítanie, aj keď ešte nie je isté, čo z návrhu prežije legislatívny proces. Aj stručná analýza noviniek presahuje rozsah jedného článku, tak sa obmedzím len na konštatovanie, že návrh vytvára predpoklady na to, aby sa politici konečne začali zaujímať o ochranu osobných údajov. Presnejšie, o Úrad na ochranu osobných údajov. Podľa návrhu by totiž o.i. mal Úrad získať nezanedbateľné tzv. vyšetrovacie a intervenčné právomoci, napríklad

  • 20. dec 2010
  • Páči sa: 0x
  • Prečítané: 2 337x
  • 17
Patavedecky o láske

Jozef Vyskoč

Patavedecky o láske

Je ťažké nájsť človeka, ktorý by o láske aspoň nepočul, tak budem stručný. O láske je známe, že vyvoláva halucinačné stavy („motýle v bruchu“), spôsobuje nepochopiteľnú veselosť či neprítomné pohľady postihnutých, núti ich k šeptaniu dojemných veršíkov či dokonca k zliepaniu vlastných básničiek. Pre lásku sa ľudia dokážu ponižovať, ale aj vraždiť či samovraždiť. Láska „má prsty“ v mnohých umeleckých dielach, ale je aj príčinou nesmierneho trápenia postihnutých ... A práve utrpenie spojené s láskou je niečo, bez čoho by sa ľudstvo celkom dobre zaobišlo – takže tu máme celkom dobre definovaný výskumný problém. Láske sa venuje množstvo publikácií, ktoré však ťažko možno označiť za odborné – je v nich priveľa emócií a málo nezaujatého pohľadu. Skrátka, je načase aby sa láska, a predovšetkým príčiny utrpenia láskou postihnutých, stali predmetom seriózneho patavedeckého skúmania.

  • 14. dec 2010
  • Páči sa: 0x
  • Prečítané: 1 701x
  • 13
Pre koho sa pripravuje eGovernment?

Jozef Vyskoč

Pre koho sa pripravuje eGovernment?

Kedysi dávno, v časoch pred Internetom, bol pri riešení (bezpečnosti) IS určujúci iba jeden záujem – záujem prevádzkovateľa systému. Jemu patril systém i dáta, on určoval pravidlá a ostatní (používatelia systému) sa proste museli prispôsobiť, alebo si „ani neškrtli“. Internet bez centrálnej autority to zmenil – sebecké presadzovanie vlastných záujmov, možné v prostredí jednej (vlastnej) organizácie, by narážalo na záujmy či práva iných účastníkov pripojených na Internet. K tomu so zmenami vnímania ochrany súkromia pribudla nutnosť rešpektovať práva a záujmy aj ľudí, ktorých osobné údaje sa skladujú v rôznych databázach, a to aj keď nie sú priamymi používateľmi toho-ktorého systému. Skrátka, v dnešnej dobe by už návrh, vytvorenie i prevádzkovanie čo len trochu väčšieho systému mali prebiehať tak, aby sa vyvážene zohľadnili oprávnené záujmy zainteresovaných „kľúčových hráčov“. Mali. Keďže minimálne v prípade eGovernmentu pôjde o spracúvanie osobných údajov prakticky všetkých obyvateľov tejto krajiny, zrejme aj oni patria medzi „kľúčových hráčov“... budú sa ich záujmy brať do úvahy?

  • 18. nov 2010
  • Páči sa: 0x
  • Prečítané: 1 898x
  • 11
ID karta na Internete a ochrana osobných údajov

Jozef Vyskoč

ID karta na Internete a ochrana osobných údajov

Síce nie často, ale predsa len v reálnom živote používame ID kartu, aby sme preukázali či už svoju identitu, alebo splnenie nejakej podmienky (občan tejto krajiny, trvalé bydlisko v danom mieste, potrebný vek, a pod.). Pri tom síce druhej strane poskytneme viac osobných údajov, ako je potrebné, ale ak ide o človeka, pomerne spoľahlivo môžme predpokladať, že aj tak si z toho máločo zapamätá. Predpoklad slabšej pamäte však neplatí, ak tou druhou stranou bude počítač... a v prípade, že budeme chcieť využívať služby poskytované cez Internet, sa tomu nevyhneme. Prvého novembra 2010 sa v Nemecku začnú vydávať nPA (neuer Personalausweis) – nové ID karty prispôsobené dobe Internetu (eID karty). Nejde o jediné riešenie eID karty vo svete, ale nakoľko niečo podobné skôr či neskôr postihne aj nás a ochrane osobných údajov sa v Nemecku venuje (na rozdiel od nás) veľká pozornosť, neuškodí pozrieť sa, ako sa s ochranou osobných údajov pri používaní eID karty na Internete vysporiadali Nemci.

  • 13. okt 2010
  • Páči sa: 0x
  • Prečítané: 1 995x
  • 2
Má štát ucelenú predstavu informačnej spoločnosti?

Jozef Vyskoč

Má štát ucelenú predstavu informačnej spoločnosti?

Aká je základná „filozofia“ prístupu k bezpečnosti a ochrane súkromia v budovaní informačnej spoločnosti na Slovensku? Takáto otázka ma napadla počas počúvania prednášok v prvom dni konferencie Information Security Solutions Europe 2010 v Berlíne. Konkrétne tých, ktoré boli venované aktivitám nemeckých vládnych inštitúcií – jednu z „keynote“ prednášok mal nemecký federálny minister vnútra (Thomas de Maizire) a jeden z niekoľkých paralelných blokov prednášok bol venovaný novej nemeckej eID-karte, ktorá sa začne vydávať od 1. novembra 2010. Vlastne to začalo už otváracím prejavom prof. Pohlmanna (v roli prezidenta asociácie TeleTrusT), konkrétne

  • 8. okt 2010
  • Páči sa: 0x
  • Prečítané: 1 136x
  • 1
Anonymita hlasovania vo voľbách

Jozef Vyskoč

Anonymita hlasovania vo voľbách

Z prostredia diskutérov som dostal podnet – námet na článok. Stručne povedané, šlo o možnosť prekonať anonymitu hlasovania neskorším preskúmaním hlasovacích lístkov (tie sa uchovávajú pre prípadné neskoršie prepočítanie) a z odtlačkov prstov na nich zistiť kto ako volil. Autor podnetu k tomu dodal „samozrejme je to hlúposť, ale v horizonte bližšom ako sa zdá sú kompletné biometrické údaje všetkých občanov dostupné a myšlienka aktuálna. čo napísať také sci-fi?“ Takže ako je to s anonymitou volieb, keď popisovaný spôsob evidentne anuluje účinnosť pre voličov doteraz najviditeľnejšieho spôsobu zabezpečenia ich anonymity (zástena, za ktorou volič úpravou volebného lístka prejaví svoju vôľu)? Je neexistencia takej kompletnej databázy biometrických údajov občanov to jediné, čo anonymitu ešte ako-tak zabezpečuje? Skúsme si v rámci menšej mentálnej rozcvičky problém anonymity vo voľbách rozobrať trochu podrobnejšie.

  • 30. sep 2010
  • Páči sa: 0x
  • Prečítané: 1 559x
  • 14
Ľudský faktor v informačnej bezpečnosti

Jozef Vyskoč

Ľudský faktor v informačnej bezpečnosti

V súčasnosti sa už bežne v súvislosti s informačnou bezpečnosťou hovorí i píše o tzv. ľudskom faktore – o tom, aký vplyv na praktickú úroveň bezpečnosti systému majú „ľudia okolo“. Pod tým sa spravidla myslia používatelia IS a hrozby, ktoré dokážu vyvolať svojou (ne)činnosťou ... a azda každý správca systému to vie podoprieť historkami o tom, aké nezmysly a hlúposti popáchali „jeho“ používatelia. Pozoruhodne často však absentujú zmienky o ďalších osobách, ktoré tiež patria do kategórie „ľudí okolo“ – ako keby (ne)činnosť manažérov organizácie, správcu systému, bezpečnostného manažéra, audítorov, externých konzultantov, či pri širšom zábere aj autorov súvisiacich koncepčných a strategických dokumentov, noriem, štandardov a zákonov nemala na úroveň bezpečnosti systémov žiaden vplyv. Je to zvláštne, keďže vzhľadom k „váhe“ osôb, spomenutých v predchádzajúcej vete, môžu mať ich rozhodnutia či návrhy naozaj vážne dôsledky na samotné riešenie, resp. na úroveň praktickej bezpečnosti systémov organizácie, či celej spoločnosti. Prečo sa vlastne mlčky predpokladá, že len bežní používatelia sú nevedomí keď príde na informačnú bezpečnosť?

  • 24. sep 2010
  • Páči sa: 0x
  • Prečítané: 2 497x
  • 4
Ako to nakoniec dopadlo (pokračovanie jedného z mojich článkov)

Jozef Vyskoč

Ako to nakoniec dopadlo (pokračovanie jedného z mojich článkov)

Začiatok nevyzeral dobre... požiadal som o informácie, ktoré podľa zákona musia byť sprístupnené každému, kto o to požiada, ale odpoveď obsahovala len časť z nich. Keď ani dvojnásobné opakovanie žiadosti nebolo úspešné, napísal som o tom na blogu. Potom sa do toho na môj podnet vložil Úrad na ochranu osobných údajov, skonštatoval porušenie §32 zákona o ochrane osobných údajov a uložil predmetnej organizácii povinnosť poskytnúť mi požadované údaje evidencie IS. O tomto výsledku ma Úrad informoval doporučeným listom, ale po neúspešnom pokuse o jeho doručenie (nebol som doma) ma Slovenská pošta zabudla informovať, že v jej priestoroch čaká takáto zásielka...

  • 27. júl 2010
  • Páči sa: 0x
  • Prečítané: 1 290x
  • 2
Ako sa rieši a ako by sa mohla (mala) riešiť bezpečnosť IS

Jozef Vyskoč

Ako sa rieši a ako by sa mohla (mala) riešiť bezpečnosť IS

Riešenie bezpečnosti informačných systémov sa spravidla chápe ako otázka nasadenia nejakého súboru bezpečnostných produktov, v zriedkavom prípade doplnených o zavedenie systému riadenia bezpečnosti (ISMS – information security management system). Pri takomto nazeraní sa potom zdá byť prirodzené bezpečnosť riešiť až potom, ako je systém navrhnutý a implementovaný, resp. minimálne sú stanovené základné charakteristiky systému a kľúčových aplikácií. V takejto situácii je však manévrovací priestor pre riešenie bezpečnosti obmedzený rozhodnutiami, ktoré boli prijaté pri návrhu (a/alebo pri implementácii) systému, pri ktorých sa nezvažovali ich dôsledky pre bezpečnosť. Bezpečnostný špecialista potom už naozaj nemá veľa možností, čo môže urobiť, ale ako samozrejmosť sa očakáva, že za úroveň bezpečnosti bude niesť veľký diel zodpovednosti. Pritom by stačilo relatívne málo – pochopiť, že častokrát už rozhodnutia prijaté v úvodných fázach procesu, na konci ktorého je hotový IS, ovplyvňujú ako možné hrozby, tak aj možnosti ako sa im dá čeliť. Asi najvýraznejšie sa to prejavuje na príkladoch systémov, ktoré sú unikátne – ako napríklad

  • 6. júl 2010
  • Páči sa: 0x
  • Prečítané: 3 383x
  • 25
Prieskum, ktorý ukázal niečo iné ako bol pôvodný zámer

Jozef Vyskoč

Prieskum, ktorý ukázal niečo iné ako bol pôvodný zámer

Viete, kde všade sa nachádzajú vaše osobné údaje, obzvlášť tie, ktoré súvisia s vašim zdravotným stavom? Odpoveď „u tých lekárov, s ktorými mal človek niečo do činenia a v zdravotných poisťovniach“, napadne asi každého. Pravdepodobne podstatne menej ľudí bude vedieť, že také údaje sa vyskytujú aj v ďalších inštitúciach ... a domnievam sa, že neexistuje jednotlivec či organizácia, ktorá by o tom mala kompletný prehľad. Pred asi mesiacom som sa pokúsil o malý prieskum v rezorte zdravotníctva, ktorý mal pôvodne za cieľ identifikovať aspoň niektoré systémy okrem tých u poskytovateľov zdravotnej starostlivosti (a zdravotných poisťovní), ktoré obsahujú také citlivé osobné údaje, a zistiť, koľko ľudí má k tým údajom prístup.

  • 18. jún 2010
  • Páči sa: 0x
  • Prečítané: 1 982x
  • 2
e-Health a zákon o ochrane osobných údajov

Jozef Vyskoč

e-Health a zákon o ochrane osobných údajov

V rámci menšieho prieskumu stavu ochrany osobných údajov na Slovensku som sa o.i. nedávno obrátil na Národné centrum zdravotníckych informácií (ďalej NCZI) so žiadosťou o poskytnutie informácii o informačných systémoch s osobnými údajmi, ktoré NCZI prevádzkuje. Nešlo o niečo zložité, mimoriadne, niečo čo by si zo strany NCZI vyžadovalo nejaké extra úsilie - veď zákon o ochrane osobných údajov prevádzkovateľovi IS ukladá povinnosť vedenia evidencie (prípadne povinnosť registrácie IS) v ktorej sú uvedené základné informácie o predmetnom systéme a tiež stanovuje, že tieto informácie sú verejné. Okrem evidencie som žiadal aj o doplnkovú informáciu - zjednodušene povedané o uvedenie počtu oprávnených používateľov príslušných IS. Štandardný obsah evidencie, stanovený zákonom o ochrane osobných údajov, takúto informáciu neobsahuje ... keďže však v poskytnutí takej informácie nevidím žiadne ohrozenie niekoho záujmov, žiadosť som formuloval ako žiadosť podľa „infozákona“.

  • 20. máj 2010
  • Páči sa: 0x
  • Prečítané: 2 697x
  • 16
Dve správy pre ochranu súkromia na Slovensku

Jozef Vyskoč

Dve správy pre ochranu súkromia na Slovensku

Prvá správa (dobrá): konečne sa u nás našla politická strana, ktorá do svojho volebného programu zahrnula podporu ochrane súkromia. Žiaľ, druhá správa je menej potešiteľná –

  • 7. apr 2010
  • Páči sa: 0x
  • Prečítané: 2 307x
  • 6
Prečo riešiť bezpečnosť počítača aj keď v ňom nie sú citlivé údaje

Jozef Vyskoč

Prečo riešiť bezpečnosť počítača aj keď v ňom nie sú citlivé údaje

Ešte stále sa nájde dosť ľudí, ktorí bezpečnosť počítačov/informačných systémov zužujú len na problém ochrany citlivých údajov, ktoré sú v nich uložené. Ak si niekto nedokáže predstaviť, čo „zlé“ sa môže stať hoci aj v prípade počítača, v ktorom nie sú nejako zvlášť citlivé údaje, mal by trochu popremýšľať, alebo aspoň viac pozornosti venovať rôznym udalostiam a správam o nich. Napríklad tej spred pár dní – nešlo v nej o žiadnu špionáž či technicky zručného hackera, len o banálny prípad muža, ktorý zahorel láskou k vydatej kolegyni. Jeho pokus o odstránenie prekážky vzájomného vzťahu – manžela kolegyne – bol relatívne priamočiary ...

  • 6. apr 2010
  • Páči sa: 0x
  • Prečítané: 3 267x
  • 19
EZKO ako učebnicový príklad riešenia bezpečnosti

Jozef Vyskoč

EZKO ako učebnicový príklad riešenia bezpečnosti

Nahliadnutie do zborníka príspevkov nedávno konanej konferencie Informačná bezpečnosť 2010 mi poskytlo ďalšie informácie o prístupe k bezpečnosti v projekte Elektronickej zdravotnej knižky občana (EZKO). Aj keď doteraz sprístupnené informácie rozhodne nie sú kompletné, čo-to prezrádzajú o „filozofii“ riešenia bezpečnosti v tomto projekte, a snáď aj v rámci slovenského e-Health. Na ich základe som dospel k názoru, že projekt EZKO by mohol byť v učebniciach informačnej bezpečnosti uvádzaný ako príklad riešenia bezpečnosti. Dokonca v dvojroli – „ako sa to má robiť“ i „ako sa to robiť NEMÁ“ – podľa toho, koho záujmy majú byť prioritné pri riešení bezpečnosti informačného systému.

  • 17. feb 2010
  • Páči sa: 0x
  • Prečítané: 2 774x
  • 17
Pataveda a výcvik policajtov

Jozef Vyskoč

Pataveda a výcvik policajtov

Nie je tajomstvom, že obraz našej polície, obzvlášť jej zložiek zasahujúcich pri raziách či nepovolených zhromaždeniach, nie je práve najlepší. A to aj napriek tomu (alebo práve preto?), že už aj vo výcviku policajtov sa uplatňujú vedecké poznatky . Je najvyšší čas seriózne sa zaoberať účinnými spôsobmi ako zlepšiť imidž kukláčov či policajných ťažkoodencov – a ako to už býva, tam, kde zlyhávajú doterajšie (vedecky podložené) postupy, pataveda jasne ukazuje svoju silu, spočívajúcu v komplexnom a zároveň prísne logickom pohľade na svet a odvážnom prekračovaní limitov vedeckých disciplín i zažitých mentálnych bariér.

  • 8. feb 2010
  • Páči sa: 0x
  • Prečítané: 2 974x
  • 8
SkryťZatvoriť reklamu