Informasjonssikkerhet på internett og de påtrengende tredjepartene.

Transkript

1 Informasjonssikkerhet på internett og de påtrengende tredjepartene

2 Informasjonssikkerhet på internett og de påtrengende tredjepartene Om Cookies, beacons, device fingerprinting, pålogging og alt det der. Og hvordan påvirker dette bruken av domenenavn og dnssec? 2

3 Sjekkpunkt Behandles personopplysninger? Personopplysning: Opplysninger og vurderinger som kan knyttes til en enkeltperson. Behandling av personopplysninger: Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. 3

4 Personopplysninger Fødselsnummer: Telefonnummer: IP-adresse: Bilnummer: BL Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: UDID: f7426bd d9ae2c a0dcd67ab5 4

5 3. Parter 1 5

6 3. parter 2 6

7 3. Parter 3 7

8 3. Parter 4 8

9 3. parter 5 9

10 Lightbeam 10

11 Nettside behandlingsansvarlig og databehandler

12 Hvor trygg er man? Bryting av kryptering Alle disse tredjepartene Hva hjelper det å se på domenenavnet? Hva hjelper det med dnssec da? 12

13 Informasjonsinnhentingsteknikker Cookies Beacons Device fingerprinting Pålogging Trylleord: Skal ivareta sikkerhet 13

14 Cookies Dårlig norsk løsning Den reviderte ekomloven trådte i kraft 1. juli 2013 og har fått en ny bestemmelse om vilkårene knyttet til lagring av opplysninger i kommunikasjonsutstyr - den såkalte «cookie paragrafen», jf. ekomloven 2-7b. Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker er informert om, og har samtykket til, hvilke opplysninger som behandles, hva formålet med denne behandlingen er og hvem som behandler opplysningene. De fleste nettlesere er innstilt slik at de automatisk aksepterer cookies. Dersom du ikke vil akseptere cookies, kan du gå inn og trekke tilbake ditt samtykke ved å endre innstillingene i nettleseren. Vi gjør imidlertid oppmerksom på at dette kan medføre at tjenestene på nettsider ikke fungerer optimalt. 14

15 Beacons og statistikk Google Analytics bruker cookies for å analysere hvordan brukere benytter nettstedet. Informasjonen som genereres av en slik cookie ved bruk av det aktuelle nettstedet, inkludert din IP-adresse, sendes til Google og lagres på servere i USA. Noen bruker anonymizeip, en funksjon som gjør at en enkeltbruker ikke kan identifiseres (?). Klippet fra Googles Personvernvilkår: 2012: Vi bruker informasjonen vi samler inn fra alle tjenestene til å levere, vedlikeholde, beskytte og forbedre tjenestene. 15

16 Device fingerprinting Alternativ til cookies Cookie regler gjelder, krav om samtykke, hvordan vil norske cookieregler håndtere dette? There are many types of data that can form a fingerprint, including the following examples: (a) CSS information (Cascading Style Sheets: layout, colors, and fonts) (b) JavaScript objects (e.g., document, window, screen, navigator, date and language); (c) HTTP header information (e.g., the number of bits of information in the User Agent string, HTTP header ordering, HTTP header variation by request type); (d) clock information (e.g., clock skew and clock error); (e) TCP stack variation; (f) installed fonts; (g) installed plugin information (e.g., configuration and version information);13 (h) the use of internal Application Programming Interfaces14 (API) exposed by the user agent/device; or (i) the use of external API s of Web services the user agent/device is communicating with. 16

17 Pålogging Schibsted: Aftenposten, Finn, SPID Google Facebook Microsoft Twitter... 17

18 Informasjonsinnhentingsteknikker Cookies Beacons Device fingerprinting Pålogging Trylleord: Skal ivareta sikkerhet 18

19 Art 29 WP (Datatilsynene i Europa) Google endret sin privacy policy. Det er påstått av noen land at Googles Privacy Policy ikke tilfredsstiller loven i disse landene. Det er satt opp en felles liste over krav som Google kan implementere. - Informasjon - Hvordan Google Analytics skal håndteres - Hvordan Google DoubleClick skal håndteres - Osv - 19

20 Sensorer TYPE_ACCELEROMETER TYPE_AMBIENT_TEMPERATURE TYPE_GRAVITY Wifi P2P TYPE_GYROSCOPE Bluetooth BLE TYPE_LIGHT NFC TYPE_LINEAR_ACCELERATION TYPE_MAGNETIC_FIELD GPS TYPE_ORIENTATION Digitalt kompass TYPE_PRESSURE GSM TYPE_PROXIMITY Kameraer TYPE_RELATIVE_HUMIDITY Mikrofon TYPE_ROTATION_VECTOR TYPE_TEMPERATURE TYPE_SIGNIFICANT_MOTION TYPE_STEP_COUNTER TYPE_STEP_DETECTOR TYPE_GAME_ROTATION_VECTOR TYPE_GEOMAGNETIC_ROTATION_VECTOR TYPE_MAGNETIC_FIELD_UNCALIBRATED TYPE_ORIENTATION 20

21 Personopplysninger Fødselsnummer: Telefonnummer: IP-adresse: Bilnummer: BL Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: UDID: f7426bd d9ae2c a0dcd67ab5 21

22 Registreringer 22

23 Helsinki airport, sporer de reisende 23

24 ibeacons ibeacon is Apple's implementation of Bluetooth lowenergy (BLE) wireless technology The beacons themselvers are small, cheap Bluetooth transmitters. Apps installed on your iphone listen out for the signal transmitted by these beacons and respond accordingly when the phone comes into range. The technology could be a big step towards mobile payments. 24

25 Beacon-butikker og tredjeparter AA BB CC CC BB AA BB CC

26 Personvernpolicy 26

27 WIFI 27

28 ITS Intelligente transportsystemer 28

29 På europeisk nivå Geolokalisering av mobiltelefoner Adferdsbasert annonsering på internett Ansiksgjenkjennelse på nett- og mobiltjenester Unntak fra kravet om samtykke til cookies Om apper Retningslinjer for samtykke for cookies Anonymiseringsteknikker Utviklingen for Internett of things Device fingerprinting 29

30 Atle Årnes er fagdirektør for teknologi i Datatilsynet. Hans hovedarbeidsfelt er personvern innenfor telekommunikasjons- og internettjenester, eid og biometri, samt samferdsel og intelligente transportsystemer. Han deltar i europeisk og internasjonal koordinering av personvernarbeid. postkasse@datatilsynet.no Telefon: datatilsynet.no personvernbloggen.no