Ma már a legtöbb családban téma a biztonságos internethasználat és az online jelenlét. De vajon eleget beszélgetünk, és mindezt a megfelelő témák mentén tesszük? A Telekom és a Hintalovon Gyermekjogi Alapítvány közös, gyerekek részvételével készült kutatásában arról kérdeztük a gyerekeket, hogy miről lenne szükségük több információra az internettel kapcsolatban: másodikként jelölték meg, hogy többet szeretnének tudni arról, hogy mi történik az adataikkal a neten. Lehet, hogy te magad is bizonytalan vagy ebben a kérdésben, ezért megpróbáltuk összeszedni, amit a témában tudni érdemes és amiről fontos lenne beszélni, illetve készítettünk a témában egy cikket a gyerekeknek is, ezt itt találod: https://yelon.hu/szemelyes-adatok-a-neten/
Sokszor mi, felnőttek is csak annyit látunk, hogy a 2018-ban elfogadott GDPR óta a legtöbb oldalon felugrik egy idegesítő pop-up, amit a „rendben” vagy az „oké” gombra kattintva tudunk eltüntetni. Azt viszont már nem tudjuk, hogy ilyenkor valójában mire mondunk igent, vagy épp mihez is járulunk hozzá.
Mik azok a személyes adatok?
Amikor egy weboldalon böngészünk, a legritkább esetben olvassuk el az adatvédelmi szabályzatot, mielőtt elfogadjuk. Ha viszont mindezt egy olyan oldalon tesszük, ahonnan például rendszeresen rendelünk (ételt, kozmetikumot, háztartási dolgokat, gyógyszert stb.), akkor azt látnánk, hogy a rendszer a következő adatainkat gyűjti és tárolja (egy valós, az általa folytatott gyakorlat alapján átlagosnak mondható kiszállítócég adatvédelmi szabályzatából gyűjtöttük ki a következőket):
- név;
- postai és számlázási cím;
- e-mail cím;
- telefonszám;
- születési idő;
- titulus;
- közösségi médiában használt felhasználónév/profil;
- törzsvásárlói és egyéb klubtagságok;
- legközelebb eső vagy kedvenc áruház;
- belépési azonosító adatok;
- információ az online vásárlásokról (mit, mikor és hol veszünk, hogyan fizetjük ki);
- bankkártyaadatok;
- információ online keresési viselkedéséről és arról, amikor valamelyik hirdetésre kattintunk;
- információ az ehhez használt eszközökről (IP-cím, böngésző, illetve eszköz típusa, modellje, földrajzi elhelyezkedése, operációs rendszere, elsődlegesnek beállított nyelve);
- tranzakciós információk (beváltott pontok, kedvezmények, kuponok, utalványok);
- a küldött és megnyitott e-mailek és linkek, azok részletei;
- boltokban, üzletekben, szolgáltatóknál készült felvételek (a látogatás napjával és idejével).
Ezek pedig kiegészülnek azokkal a metaadatokkal, amit a viselkedésünk és a rendeléseink elárulnak. Ez azt jelenti, hogy a korábbiakon felül kiderül
- a családi állapotunk;
- az életkorunk;
- az egészségügyi állapotunk;
- az anyagi helyzetünk;
- a szokásaink;
- a geolokációs adataink (azaz hogy hol vagyunk) és ezek változása;
- az életvitelünk;
- az érdeklődési körünk;
- hogy van-e háziállatunk, autónk, bizonyos háztartási gépeink stb.
És akkor még csak feltöltöttük a következő hétre a hűtőt és a kamrát…
Ha nem regisztrálunk, csak bejelentkezés nélkül böngészünk egy oldalon, akkor az azon elhelyezett cookie-k segítségével a felhasználói viselkedésünkről osztunk meg információkat:
- honnan (pl. telefonról, laptopról), milyen csatornán (pl. hirdetésből, Google-keresésből), milyen felületről (pl. közösségi oldalról, cikkben elhelyezett linkről) érkeztünk az oldalra;
- melyik aloldalra érkeztünk, és melyikről hagytuk el a weboldalt;
- hányszor látogattuk meg az adott weboldalt;
- mennyi ideig tartózkodtunk rajta;
- eközben milyen aloldalakat kerestünk fel, és az egyes oldalakon mennyi időt töltöttünk;
- illetve hogy mikor látogattuk meg először, és mikor kerestük fel utoljára az adott oldalt.
Miért lehet veszélyes, ha nem vigyázunk ezekre az adatokra?
Alapvetően az, hogy ezek az adatok hozzáférhetőek, sok szempontból közös érdekünk. A GDPR azért jött létre 2018-ban, hogy ez ne sérülhessen. Vagyis hogy amikor az adatainkkal fizetünk azért, hogy a Google még pontosabb találatokat adjon, vagy a weboldalak még inkább a felhasználók valós szokásainak megfelelően működhessenek (pl. hogy ki tudják iktatni egy fizetési folyamatban a felesleges lépéseket, vagy hogy a számunkra valóban érdekes termékeket lássuk egy webshopban), akkor is biztosított legyen a személyes adataink védelme.
Az, hogy a böngészőink és a mögöttük futó analitikai rendszerek tárolják ezeket az adatokat, segítik, hogy egyre személyre szabottabb tartalmak várjanak minket, a nekünk megfelelő formában. Az alkalmazások, amik a testmozgásunkat, megtett lépéseinket, költéseinket, nyelvtanulásunkat követik, szintén a velük megosztott adatoknak köszönhetően biztosítják az ígért célokat.
Ártalmas vagy hasznos?
Néha bosszantó, hogy ha például megrögzött pacifistaként valakinek ajándékba kerestünk egy fegyverekről szóló könyvet, utána hetekig mindenhol fegyvertáskák, háborús filmek és lőtéri programok hirdetésit látjuk majd. De segíthet is, ha mondjuk, egyre több keresésünk irányul terhesvitaminokra és kismamaruhákra, majd ezek a rendszerek és algoritmusok babakocsikat, hordozókendőket ajánlanak a figyelmünkbe – már ismerik a preferenciáinkat, a tartózkodási helyünket, az anyagi lehetőségeinket, így jó eséllyel számunkra valóban érdekes termékek és szolgáltatások kerülhetnek így a látóterünkbe.
Mikortól veszélyes?
Amíg ezeket az adatokat
- a szabályzatuknak megfelelő célra, ideig és formában;
- a kezelésük során pedig biztosítják azok védelmét (biztonságos szerverekkel, hálózatokkal, hozzáférésekkel);
- és azok felülvizsgálatának, illetve törlésének lehetőségét;
addig mi magunk is biztonságban vagyunk.
Ha viszont például azok a szerverek, amin a személyes adatainkat tárolják, olyan országban helyezkednek el, ahol a jogszabályok nem nyújtanak az általunk elvártnak megfelelő védelmet, vagy veszünk egy új tévét, robotporszívót, központi okos hőmérséklet-szabályozót (vagyis bármilyen eszközt, ami a wifinket használja), és nem módosítjuk a (mindenki által ismert, netről kikereshető) gyári jelszavait, már könnyen bajba kerülhetünk.
Illetve nagyon gyakran okoz problémát a jelszavaink védelme is: ha egy nem annyira biztonságos oldalon – még ha csak egyszer használjuk is – ugyanazzal a jelszóval hozunk létre profilt, mint amit mindenhol máshol használunk, és ezt később feltörik, a teljes levelezésünkhöz és a többi fiókunkhoz is hozzáférnek. Így már nagyon sok, veszélyt jelentő információt adunk ki magunkról (előfizetések, kártyaadatok, visszaigazoló e-mailek fontos helyekről, jelszóemlékeztetők stb.). Vagyis ha nem figyelünk eléggé a jelszavainkra, hiába járunk el körültekintően minden egyéb kérdésben, más trehánysága miatt is bajba kerülhetünk.
Ezt két módon előzhetjük meg:
- Minden felületen más jelszavak használatával, amik nem egyeznek a levelezésünk jelszavával, illetve nem annak a módosított verziói.
- Időnként ellenőrizzük, nem kerültek-e az e-mail címeink és adataink illetéktelen kezekbe. Ezt ezen az ingyenesen használható oldalon bármikor megtehetjük: az e-mail címünk megadása után a rendszer jelzi, került-e már illetéktelen kezekbe. Ha azt látjuk, hogy igen, érdemes azonnal jelszót változtatni.
Miért kell ez idegeneknek?
Sok adat, amit megosztunk magunkról, valóban szükséges egy-egy alkalmazás vagy weboldal optimális működéséhez, illetve van, amikor ezekkel ahhoz járulunk hozzá, hogy közösen tanítva, finomítva a rendszereket egyre felhasználóbarátabb felületekkel dolgozhassunk (gondoljunk például a Google-fordítóra vagy a Google-térképre, ami a felhasználóktól érkező visszajelzéseknek és információknak köszönhetően lesz egyre pontosabb).
Érdemes viszont mindig átgondolni – és a gyerekeinket is erre bátorítani –, hogy akarunk-e olyan alkalmazást használni, ami a működése szempontjából egyértelműen felesleges hozzáféréseket kér. Egy sima lista- vagy szöveges jegyzetalkalmazásnak például valószínűleg nem lesz szüksége a kameránkra, a telefon galériájához való hozzáférésre és a helyadatainkra. Érdemes mindig tudatosan végignézni, hogy egy-egy app mihez kér hozzáférést, és ezeket nem automatikusan, hanem mindig külön, egyenként mérlegelve és manuálisan beállítva megadni neki.
Ugyanígy, bár van, hogy egy-egy alkalmazás érthető okokból kér hozzáférést a telefonunkon tárolt képeinkhez (pl. egy képszerkesztő vagy vágóprogram), mivel ezek személyes tartalmak, amiken nemcsak az látszik, amit a kamera megörökített, hanem rengeteg metaadat (földrajzi elhelyezkedés, dátum, használt eszköz stb.) és kikövetkeztethető adat (lakhely, anyagi helyzet, napi- és hetirend, hová és mikor járunk edzésre, kutyát sétáltatni, mikor vagyunk otthon, stb.) is, ezekkel is érdemes óvatosan bánni.
Ha minden ilyen esetben
- végiggondoljuk, hogy valóban szükséges-e egy-egy alkalmazás megfelelő működéséhez az összes adat/hozzáférés, amit kér;
- és amennyiben igen, olyat választunk, amelyik ezeket megfelelően, etikusan használja (nem adja tovább, biztonságosan őrzi, stb.);
máris sokat tettünk az adataink biztonságáért.
Hogyan válasszuk ki a fentieknek megfelelő weboldalt, alkalmazást?
Az alkalmazásboltban, mielőtt letöltenénk egy új appot, mindig nézzük meg, hogy azt hányan töltötték le, ők milyen visszajelzéseket adtak, és milyen egyéb alkalmazásai vannak a gyártónak/fejlesztőnek. Már ezzel a gyors szűréssel is kiszúrhatjuk azokat a fejlesztőket, akik jellemzően nem „szakmai”, hanem adathalászappokat készítenek.
Ezen kívül érdemes követni azokat a szakmai oldalakat, amelyek rendszeresen kigyűjtik az adathalász-alkalmazásokat és a veszélyes bővítményeket. Ha ugyanis már egy ilyen van a telefonunkon, ugyanott tartunk, mint ha az otthoni wifihálózatunkra engedünk fel a gyári beállításaival egy új háztartási- vagy okoseszközt: minden olyan adatunkat, amelyet jóhiszeműen, jól körülhatárolható gyakorlati okokból osztunk meg egy-egy felelős vállalattal, felülettel, kiszolgáltatjuk mindenféle adathalásznak és hackernek.
Elég csak a közelmúltban nagyobb nyilvánosságot kapott TikTok adatvédelmi botrányra gondolnunk, ahol bár a gyűjtött adatok minősége és mennyisége hasonló volt a többi ilyen típusú alkalmazáshoz, azok kezelése viszont már problémásnak bizonyult.
Fontos alapelv lehet, hogy a világban – néhány kivételtől eltekintve – a dolgok általában nincsenek ingyen: ha valaki ingyenesen kínál valamilyen számunkra fontos, kényelmes szolgáltatást, és nem kér érte pénzt, akkor jó eséllyel valójában az adatainkkal fizetünk mindezért.
Miért lehet ez problémás?
Ha az adataink illetéktelen kezekbe kerülhetnek, visszaélhetnek velük közvetlenül és közvetve is. Előbbi esetben vásárlásokat vagy átutalásokat indítanak; személyes vagy céges adatokat lopnak, hogy azt harmadik félnek adják el; profilunkat zaklatásra, rágalmazásra használhatják; vagy kijátszhatják a lakásunk biztonsági rendszereit, kameráit. Utóbbi esetben zsarolhatnak minket azzal, hogy nyilvánossá teszik pl. a laptopunk kamerájával készített képeket, esetleg az e-mailjeinket, de az is lehet, hogy épp ellenkezőleg: elveszik a hozzáférésünket számunkra fontos dokumentumokhoz, képekhez, fájlokhoz, amelyek visszaállításáért pénzt kérnek. Az is megtörténhet, hogy észrevétlenül átadjuk a gépünket (vagy annak egy számunkra észrevétlenül maradó részét) egy botnet hálózatnak, és az kezd majd adathalászatba, minden leütésünk rögzítésébe (e-mailek, jelszavak, chatbeszélgetések), vírusterjesztésbe, spamlevelek tömeges kiküldésébe, vagy egész egyszerűen a gépünk teljesítményének egy részét kriptovaluták bányászatára csoportosítja át. Mindez számos visszaélésre ad lehetőséget, amit pedig sokkal könnyebb megelőzni, mint utólag megpróbálni ártalmatlanítani.
Ráadásul ez csak az, amit rövid távon látunk – ne feledjük azonban, hogy napjainkban az adat az új olaj: azért „halásszák”, mert értékes. Egyrészt az, amit ma megosztunk magunkról és a gyerekeinkről, egy későbbi, egészségügyi reform során például befolyásolhatná, hogy a családunknak mennyit kell fizetnie az egészség- vagy életbiztosításért, ahogy a digitális profilunk a gyerekünk későbbi hitelminősítésére, egyetemi felvételijére vagy adott esetben munkaerőpiaci helyzetére is hatással lehet. A munkáltatók már most is ellenőrzik egy-egy jelentkező digitális lábnyomát, de a mesterséges intelligencia révén például már azt is meg tudják jósolni, milyen gyakran fogunk munkahelyet váltani – és mindez nem varázslat, csupán az emberek önszántából közzétett adatainak a technika adta lehetőségek szolgálatába állítása.
Szülőként fontos lehet az is, hogy a hirdetők a felhasználói viselkedésünk alapján helyeznek el hirdetéseket az általunk látogatott oldalakon. Ezért ha nem szeretnénk, hogy a gyerekeink a nekünk, felnőtteknek szánt hirdetéseket lássák, akkor érdemes minden esetben külön profilt készíteni számukra, vagy arra kérni őket, hogy a böngészőket inkognitónézetben használják.
Honnan tudhatod, hogy egy-egy oldal vagy alkalmazás milyen adataidat, és mire akarja használni?
Ebben a témában érdemes inkább túl óvatosnak lenni, és csak olyan felületeket használni, amelynek megálmodói megtették a szükséges lépéseket ahhoz, hogy valóban biztonságban érezhessük magunkat az oldalaik, alkalmazásaik használata során.
Ha nem vagy nem könnyen, esetleg (hazai szolgáltatónál) nem magyar nyelven érhető el az adatvédelmi tájékoztató, vagy abból nem derül ki egyértelműen, hogy ki üzemelteti az adott szolgáltatást, illetve hogy az üzemeltető hogyan érhető el, az mindig gyanúra adhat okot.
Ugyanígy, ha ez a tájékoztató nem rögzíti világosan, hogy az adott cég
- milyen adatainkat;
- milyen célból;
- mennyi ideig használja és tárolja;
- azokat milyen egyéb szolgáltatókkal osztja meg;
- és milyen módon kérhetjük az adataink törlését, illetve az azokba való betekintést;
akkor feltételezhetjük, hogy ezek a kérdések a szolgáltatói oldalon sem világosak, vagyis jobban tesszük, ha ilyen platformokon semmit nem osztunk meg magunkról.
Honnan tudhatod, hogy biztonságban vannak az adataid?
Érdemes megtanulnunk tudatosan odafigyelni a jelszavainkra, az automatikusan engedélyezett hozzáféréseinkre és arra, hogy mikor mit használunk bejelentkezve – emellett szerencsés, ha ismerjük az eszközeinket, ha tudjuk, hogyan törölhetjük az előzményeket, és hogy az általunk használt oldalak és alkalmazások milyen adatainkat, és mire használják. Ehhez az alábbi oldalakon találhatunk segítséget.
Népszerű böngészők cookie-törlési tájékoztatója:
Sütik törlése további, harmadik fél oldalain (ezek a szinte minden oldal mögött megtalálható, hirdetési rendszerek üzemeltetéséhez szükséges adatok gyűjtéséért, kezeléséért felelős szolgáltatók):
Emellett érdemes lehet követni a Nemzeti Kibervédelmi Intézet híreit is, valamint a Nemzeti Média- és Hírközlési Hatóság Tudástárában is hasznos információkat találhatunk: http://nmhh.hu/internethotline/tudastar
Nagy Viktória
Köszönjük a cikk elkészítésében önkéntesként nyújtott szakmai segítséget Papp Gábornak, a The Pitch alapítójának és Bay Áronnak (Exact Match).
Kiemelt kép innen.