Do stworzenia tego wpisu skłoniła mnie nagonka na Windows 10 za „problemy z prywatnością” oraz nagonka na korporacyjne rozwiązania chmurowe, jako „niebezpieczne i narażone na handel danymi”.
Microsoft jak zwykle ma problemy z komunikacją. Windows 10 nie robi praktycznie nic więcej niż Windows 7 czy 8 pod względem gromadzenia „telemetrii” (lub wg internetowych speców: „szpiegowania”). „Windows 10 ma keyloggera!”. Nie chcę roztrząsać zasadności zbierania informacji o zachowaniu użytkowników, ale warto zrozumieć kilka kwestii:
- telemetria (czyli informacje o sposobie korzystania z systemu) zbierana przez Windowsa jest ANONIMOWA i SZYFROWANA,
- wersje Enterprise (dla firm) mogą całkowicie ją wyłączyć. Wersje Pro mogą wyłączyć ją w znacznej większości,
- Windows nie używa telemetrii do celowania w nas reklamami ani nie skanuje maili w tym celu,
- jeśli keyloggerem nazwiesz uczenie się autopodpowiedzi wprowadzanych na klawiaturze – nie mam pytań – pozostaniemy przy swoich zdaniach. Tak samo robi Twoja klawiatura na Androidzie czy iOS.
Na koniec odrobina perspektywy – zauważyłem, że bezpieczeństwo i prywatność Windowsa 10 najgłośniej krytykują użytkownicy Androida, który nie załatał zdalnie dużej luki bezpieczeństwa dla ponad miliarda urządzeń i żyje ze sprzedawania danych o nas do rzucania w nas reklamami.
"Windows 10 is a threat for my privacy and security!"
via Twitter for Android— Piotr Górecki Jr (@PiotrGoreckiJr) August 24, 2015
Druga kwestia jest dużo poważniejsza, a dyskusje często bardziej wyważone. Dyskusja o przewadze infrastruktury chmurowej nad lokalną (i odwrotnie) dla przedsiębiorstw. Najwięksi przeciwnicy rozwiązań chmurowych podnoszą kilka zasadniczych argumentów:
- dane w chmurze nie są bezpieczne,
- dane w chmurze przestają być Twoje,
- dane w chmurze mogą być wykorzystywane, przeglądane, a nawet sprzedawane na zewnątrz.
Posłużę się starym cytatem… siebie w tej kwestii.
Odpowiadając szerzej na powyższe trzy kwestie.
- Po pierwsze, dane składowane lokalnie, we własnych serwerowniach, są jeszcze mniej bezpieczne. Zarówno pod względem ich utraty, jak i podejrzenia. I nie wynika to tylko z ryzyka (moim zdaniem dość łatwego) przekupienia administratorów sieci, ale też z ryzyka związanego z przekazywaniem danych na zewnątrz, co jest konieczne przy tworzeniu backupów. Nieraz spotkałem się z tym, że auto-backup był transmitowany na zdalny serwer… nieszyfrowanym łączem przy pomocy transmisji radiowej (?!).
- Nie, dane w komercyjnych chmurach dalej są Twoje, tak jak trzymanie danych na dyskach kupionych od Western Digital, nie czyni WD ich właścicielem. I to jest wyraźnie zapisane w postanowieniach i umowach.
- Po pierwsze, szansa, że dostarczyciel chmury będzie ryzykował reputację i ogromne odszkodowania, żeby przeglądać Twoje dane jest… znikoma. Ale nawet jeśli nie przekonuje Cię uczciwość i intencje tych firm, pomyśl o BYOK („bring your own key”, czyli przynieś własny klucz). W największym skrócie – jest to szyfrowanie nie transmisji danych, a samych danych w miejscach ich przechowywania. Szyfrowanie kluczem prywatnym, którego jedynym dyspozytorem jest klient. Szyfrowanie tym kluczem odbywa się lokalnie na urządzeniach (tak jak i deszyfrowanie), a do Microsoftu czy Amazona trafiają jedynie całkowicie „nieodszyfrowywalne” dane, które można zdekryptować jedynie posiadając klucz prywatny szyfrującego algorytmu niesymetrycznego. Zaraz usłyszę – „ale Microsoft pewnie zaszył backdoora w algorytmie i tym mechanizmie”. Nie, rozwiązanie to jest Open Source i każdy może podejrzeć jego kod źródłowy na Git Hubie. To daje pełną (nie lubię tego słowa) gwarancję prywatności, ale wiąże się z koniecznością dobrego zarządzania tymi kluczami. Często jest to sprawa na tyle złożona, że lepiej pozostawić ją profesjonalistom. Takim jak Amazon czy Microsoft. Jak zawsze – coś za coś.
Na koniec – dla fanów Apple’a, którzy będą podkreślać, że ich system operacyjny nie ma takich „kłopotów” z prywatnością czy reklamami jak konkurencja. Po części to prawda, ale trzeba pamiętać, że wiele usług, z których Apple korzysta (choćby do Siri) właśnie rośnie w siłę dzięki zbieraniu danych o użytkowniku oraz utrzymuje się z wyświetlania spersonalizowanych reklam.