W Ministerstwie Infrastruktury przy ciasteczkach o ciasteczkach

Fundacja Bezpieczna Cyberprzestrzeń

W dniu wczorajszym FBC uczestniczyła w debacie zorganizowanej przez Ministerstwo Infrastruktury na temat wdrożenia artykułu 5-tego ust. 3 dyrektywy Parlamentu Europejskiego – 2002/58/WE. Ale mniejsza o zawiłe biurokratyczne symbole – chodzi o to jak obchodzić sie z „ciasteczkami” (ang. cookies) tak aby było bezpiecznie i nie była naruszona prywatność internautów. Z debaty wynika chyba tylko jedna jasna konkluzja – nie będzie łatwo.

W dyskusji na ten temat ścierają się przede wszystkim poglądy reprezentujących biznes internetowy i reprezentujących Internautów. Ci drudzy nawet nie zdają sobie sprawy z obecności swoich adwokatów na sali, co więcej – trzeba by dodatkowego wysiłku, żeby ich przekonać o tym że ich potrzebują. Powszechne „handlowanie” swoją prywatnością w Internecie jest faktem od dłuższego czasu. Klikamy „OK” na każdą propozycję nowej usługi wraz z akceptacją, że w ten sposób przekazujemy dane o sobie. I trudno się dziwić, bo te zgody nie mają nic wspólnego że zgodą świadomą. Ja bym raczej powiedział, że jest to potwierdzenie chęci korzystania z Internetu. W sytuacji kiedy prawie każda usługa jest od tego uzależniona zaczyna to przypominać naciskanie na klawisz „uruchom” a nie „zgadzam się”. I jest to bliższe szantażu a nie propozycji. Przeciwnicy tego poglądu powiedzą, że przecież przymusu nie ma. Zgadza się – można nie korzystać z tych usług – można też odłączyć się od sieci Internet. Można też nie płacić podatku dochodowego – wystarczy nie mieć dochodów.

„Ciasteczka” dla funkcjonowania Internetu są właściwie dzisiaj nieuniknione. Łatwo to sprawdzić wyłączając ich akceptację w ustawieniach przeglądarki i dalej z niej korzystać. Zapewniam – ćwiczenie dość frustrujące. „Ciasteczka” musimy zaakceptować. Natomiast pytanie czy powinniśmy akceptować masowe korzystanie, na bazie „klikniętej” zgody, z „ciasteczek”, które nie są konieczne i wykorzystywanie nieświadomości użytkownika co do tego jakie dane nam o sobie przekazuje? Uważam, że nie.

W czasie debaty przedstawiciele branży zapewniali, że są dziesiątki możliwości zadbania o swoją prywatność, tylko że ludzie tego nie robią, co jest dowodem na to, że nie chcą. Nie zgadzam się. Ludzie nie zdają sobie z sprawy z zagrożenia. Przedstawiane są im zazwyczaj korzyści wynikające z reklamy behawioralnej, i oni chętnie z nich korzystają. Internauci w większości nawet nie wiedzą, że istnieje coś takiego jak „ciasteczka”, a co dopiero, że można wyłączyć ich akceptację i pozwalać tylko na wyjątki, że można je automatycznie usuwać przy zamknięciu przeglądarki, regularnie usuwać itd. Nie wiedzą też o tym co w tych „ciasteczkach” jest o nich napisane, a jest sporo. Wieloletnie doświadczenie z wprowadzania masowych zabezpieczeń na poziomie użytkownika indywidualnego nauczyły mnie jednego – to nie działa! Ile byśmy nie przeprowadzili akcji uświadamiających i edukujących Internautów zawsze pozostanie dostatecznie duża grupa, która będzie odporna na tę wiedzę. Ta grupa założyła, że nie po to korzysta z Internetu, żeby zajmować bezpieczeństwem. I ja się z tym poglądem zgadzam – oni mają do tego prawo. Wielcy internetowego świata zrobili fortuny właśnie przede wszystkim na tej grupie. Dlatego powinni poczuć odpowiedzialność za bezpieczeństwo swoich klientów. Powinni coraz bardziej myśleć o bezpieczeństwie w formule „security by design”, czyli wprowadzanego w sposób domyślny a nie takie które wymaga działania internauty – tylko takie zadziała. Myślę, że to się im nawet biznesowo opłaca. Jeśli tego nie zrozumieją to odbędzie się to ze szkodą dla nich samych. O czym będą się systematycznie przekonywali. Dzisiaj na przykład przekonało się SONY, które nie zadbało odpowiednio o dane blisko 80 milionów swoich klientów. Kto następny?

Share Button