UNIVERZA V MARIBORU FAKULTETA ZA ELEKTROTEHNIKO, RAČUNALNIŠTVO IN INFORMATIKO Dejan Tojnko ZAVEDANJE UPORABNIKOV O ZASEBNOSTI IN VARNOSTI OBLAČNIH STORITEV Diplomsko delo Maribor, september 2016
ZAVEDANJE UPORABNIKOV O ZASEBNOSTI IN VARNOSTI OBLAČNIH STORITEV Diplomsko delo Študent: Študijski program: Smer: Mentor: Dejan Tojnko Visokošolski študijski program, Informatika in tehnologije komuniciranja Tehnologije multimedijskega komuniciranja doc. dr. Boštjan Šumak, univ. dipl. inž. rač. in inf.
i
Zahvala Ob zaključku diplomskega dela, se iskreno zahvaljujem vsem sodelujočim v raziskavi in vsem, ki so omogočili izdelavo diplomskega dela. Posebna zahvala gre doc. dr. Boštjanu Šumaku, ki me je vodil od začetka do konca in staršema, ki sta mi študij omogočila, ter celotni družini za podporo. ii
Zavedanje uporabnikov o zasebnosti in varnosti oblačnih storitev Ključne besede: varnost, zasebnost, oblačne storitve, uporabnik, eksperiment, anketa, varovanje podatkov UDK: 004.658(043.2) Povzetek Varnost in zasebnost podatkov, je v današnjem času zelo pomembna, saj se informacije o ljudeh zbirajo na vsakem koraku na vsakem koraku. Naloga skrbnikov podatkov je, da podatke zaščitijo in tako varujejo zasebnost, naloga ljudi pa je, da z svojimi podatki ravnajo odgovorno in so seznanjeni komu jih predajajo. V prvem delu diplomskega dela smo teoretično opisali, kaj pomeni varnost in zasebnost podatkov in kako se zagotavlja. V drugem delu, pa smo izvedli raziskavo z pomočjo eksperimenta, ki je vključeval napravo za sledenje očem in anketni vprašalnik. V tretjem delu naloge smo predstavili rezultate raziskave in podali nekaj predlogov. Rezultati raziskave so pokazali, da uporabniki ne zaupajo v oblačne storitve, kar je lahko posledica tega, da so zelo slabo seznanjeni z varnostjo in varovanjem zasebnosti v tovrstnih storitvah. Uporabnik prav tako ne pozna svojih pravic in se ne seznani z pogoji uporabe, čeprav jih ponudniki jasno predstavijo. Na splošno je zavedanje o varnosti in zasebnosti zelo nizko. Ugotovili smo, da raziskava pri kateri potrebujemo več kandidatov in posebno opreme še zdaleč ni preprosta za izvedbo in zahteva veliko priprav in načrtovanja. iii
Users` awareness of privacy and security risks of cloud services Keywords: security, privacy, cloud services, user, experiment, survey, data security and privacy UDK: 004.658(043.2) Abstract Data privacy and security is very important nowadays, because information about people are getting collected on every step. Job of data handlers is to establish good security in order to maintain data privacy and peoples job is to be responsible and aware with whom their data is being shared. First part of thesis contains theory about data security and privacy and how to achieve them. In the second part, we conducted a research which contains experiment including eye tracking device and survey. In third part of thesis we presented research results and wrote some proposal ideas. Experiment results showed, that users don t trust in cloud services, which may be due to the fact that they're very poorly informed about privacy and security in such services. Users also don't know their rights and are not familiar with terms of use, although providers present them clearly. In general, awareness of security and privacy is very low. We found that the research where we need more than a few candidates and special equipment is not easy and requires a lot of preparation and planning. iv
KAZALO 1 UVOD... 1 1.1 Predstavitev problemskega področja... 1 1.2 Name naloge... 3 1.3 Cilji... 3 1.4 Teze diplomskega dela... 4 1.5 Predpostavke in omejitve... 4 1.6 Motivacija... 5 2 OBLAČNE STORITVE... 8 2.1 Vrste storitev... 10 2.2 Zagotavljanje varnosti in zasebnosti v Evropi... 11 2.3 Varnost v oblačnih storitvah... 12 2.3.1 Uporaba gesel... 12 2.3.2 Tehnike izbiranja močnega gesla... 12 2.3.3 Odsvetovane tehnike izbire gesla... 12 2.3.4 Zaščita na mobilnih napravah... 13 2.3.5 Varovanje v primeru da uporabnik zahteva zaklep mobilne aplikacije, v spletni storitve Cubby... 14 2.3.6 Šifriranje podatkov v spletni storitvi Cubby... 14 2.3.7 Dvostopenjsko preverjanje... 15 2.3.8 Varnostni certifikati... 15 2.3.9 Fizična zasnova prostorov... 16 2.4 Zasebnost v oblačnih storitvah... 16 2.5 Nevarnosti storitev v oblaku... 17 2.6 Uporabniški vidiki varnosti in zasebnosti... 21 v
2.7 Način uporabe storitev... 23 3 INFORMACIJSKA VARNOST... 24 3.1 Varnost podatkov... 24 3.2 Informacijska zasebnost... 25 4 STORITVE IN APLIKACIJE UPORABLJENE V RAZISKAVI... 26 4.1 Cubby oblačna storitev... 26 4.2 Google dokumenti... 26 4.3 Morae... 27 4.3.1 Morae Recorder... 27 4.3.2 Morae Observer... 28 4.3.3 Morae Manager... 28 5 NAČRT EKSPERIMENTA... 29 5.1 Ozadje problema... 29 5.2 Cilj in naloga eksperimenta... 29 5.3 Objekt opazovanja... 29 5.4 Kontekst... 30 5.5 Profil sodelujočih... 30 5.6 Inštrumenti eksperimenta... 30 5.7 Navodila eksperimenta... 31 5.8 Navodila za vodje eksperimenta... 32 5.9 Merilni inštrumenti... 32 5.9.1 Naprava za sledenje očem... 32 5.10 Spremljanje aktivnosti uporabnika... 34 vi
6 IZVEDBA IN REZULTATI EKSPERIMENTA... 35 6.1 Predstavitev izvedbe eksperimenta... 35 6.2 Predstavitev rezultatov... 40 7 SKLEP... 53 7.1 Sklepi... 53 7.2 Predlogi... 55 7.3 Omejitve raziskave in rezultatov ter posplošitev... 56 7.4 Nadaljnje raziskovalno delo... 57 8 VIRI... 58 vii
KAZALO SLIK SLIKA 6.1: OPREMA ZA SPREMLJANJE POGLEDA... 35 SLIKA 6.2: NAPRAVA EYEGUIDE NAMEŠČENA NA GLAVI... 36 SLIKA 6.3: NAPRAVA EYEGUIDE MED KALIBRACIJO... 36 SLIKA 6.4: ZAZNAVANJE TOČK NA EKRANU... 37 SLIKA 6.5: POJAVLJANJE KROGOV ZA KALIBRACIJO... 37 SLIKA 6.6: REZULTAT NAPAČNE KALIBRACIJE... 38 SLIKA 6.7: REZULTAT PRAVILNE KALIBRACIJE... 38 SLIKA 6.8: TOPLOTNI ZEMLJEVID... 39 SLIKA 6.9: ZASLONSKA SLIKA POSNETKA IZ MORAE... 40 KAZALO TABEL TABELA 2.1: GROŽNJE IN POJAVLJANJE DOGODKA... 22 TABELA 2.2: RAZLOGI IN POJAVLJANJE RAZLOGOV... 22 TABELA 2.3: STRATEGIJA IN POJAVLJANJE STRATEGIJ... 22 KAZALO GRAFOV GRAF 1.1: UPORABA OBLAČNIH STORITEV MED POSAMEZNIKOV... 2 GRAF 1.2: UPORABA OBLAČNIH STORITEV MED PODJETJI... 2 GRAF 1.3: RAZLOGI ZA NEUPORABO MED POSAMEZNIKI... 6 GRAF 1.4 TEŽAVE PRI UPORABI OBLAČNIH STORITEV... 7 GRAF 6.1: POVPREČEN ČAS, DEJANJ PRI IZVEDBI NALOGE... 41 GRAF 6.2: POVPREČEN ČAS DEJANJ PRI IZVEDBI NALOG PRI STORITVI CUBBY... 42 GRAF 6.3: ČAS IZVEDBE PREGLEDA POGOJEV UPORABE... 42 GRAF 6.4: ČAS PREGLEDA PREDSTAVITVE NAMIZNE APLIKACIJE... 43 GRAF 6.5: POVPREČEN ČAS VSEH TOČK, KI SMO JIH OPAZOVALI... 44 GRAF 6.6: BRISANJE DATOTEK OB PREKINITVI POVEZAVE Z RAČUNOM, REZULTAT MOŠKIH... 45 GRAF 6.7: BRISANJE DATOTEK OB PREKINITVI POVEZAVE Z RAČUNOM, REZULTAT ŽENSKE... 45 GRAF 6.8: REZULTAT PRVEGA VPRAŠANJA ANKETE... 46 GRAF 6.9: REZULTAT DRUGEGA VPRAŠANJA ANKETE... 47 GRAF 6.10: REZULTAT TRETJEGA VPRAŠANJA ANKETE... 47 GRAF 6.11: REZULTAT ČETRTEGA VPRAŠANJA ANKETE... 48 GRAF 6.12: REZULTAT PETEGA VPRAŠANJA ANKETE... 49 GRAF 6.13: REZULTAT ŠESTEGA VPRAŠANJA ANKETE... 49 viii
GRAF 6.14: REZULTAT SEDMEGA VPRAŠANJA ANKETE... 50 GRAF 6.15: REZULTAT OSMEGA VPRAŠANJA ANKETE... 51 GRAF 6.16: REZULTAT DEVETEGA VPRAŠANJA ANKETE... 52 ix
UPORABLJENE OKRAJŠAVE Saas - Software as a service programska oprema kot storitev IaaS - Infrastructure as a Service infrastruktura kot storitev PaaS - Platform as a Service platforma kot storitev CRM customer relation management - upravljanje odnosov s strankami AES - advanced encryption standard napredni šifrirni standard EU European Union Evropska unija DoS Denial of Service zavrnitev storitve x
1 UVOD 1.1 Predstavitev problemskega področja Varnost in zasebnost sta koncepta, ki spremljata človeka na različnih področjih življenja. Mnogokrat ta dva koncepta ljudje jemljejo kot samoumevna, vendar tako v realnem svetu kot virtualnem oziroma v svetu podatkov in informacijske tehnologije varnost, še posebej pa zasebnost nista sama po sebi zagotovljena. Vrste informaciji kot so zdravstvo, finance, osebni podatki, slike in posnetki, razne kartoteke ali dokumenti, so lahko zelo občutljivi za posameznika in si verjetno vsak želi, da ostanejo privatni ali na voljo pooblaščenim osebam. Zaradi hitrega razvoja informacijskih tehnologij in še večje količine podatkov, ki se zbirajo, je zagotavljanje varnosti in zasebnosti vedno večji problem. Varnost in zasebnost sta dva ločena koncepta, vendar sta tesno povezana. Zlasti v informacijskih sistemih, saj sistem brez varnosti in varnostnih politik ne more zagotoviti zasebnosti. Sistem mora biti zavarovan pred vdori in nepooblaščenimi dostopi, da lahko zagotovi zasebnost podatkov. Ponudniki storitev na spletu in na splošno vsa podjetja, ki upravljajo z podatki, ki so bolj ali manj pomembni morajo zagotavljati varnost, kar vključuje fizično varovanje strojne opreme in programsko varovanje podatkov. Glede na občutljivost podatkov morajo upravitelji zagotavljati določene protokole, ki jih določajo certifikati in standardi, kateri so razdeljeni glede na občutljivost in vrsto podatkov. Vprašanja zagotavljanja varnosti in zasebnosti pa nista vedno naloga oskrbovalcev podatkov, vendar tudi naloga uporabnikov, da se zaščitijo z gesli in drugimi načini verifikacije, ter pazljivo ravnajo z osebnimi podatki. V zadnjih nekaj letih so vse bolj pogosto uporabljane, tako imenovane oblačne storitve, ki običajno delujejo preko spleta. Poznamo javne in privatne oblačne storitve. Privatni oblaki naj bi bili bolj varni saj omogočajo dostop le določenim uporabnikom. Oblačne storitve postajajo vedno bolj priljubljene zaradi nizkih stroškov, saj omogočajo zaračunavanje glede na potrebe. Posameznikom pa omogoča dostop, shranjevanje, deljenje datotek iz različnih naprav in katerekoli lokacije, uporabnik potrebuje le internetni dostop.
Kot je razvidno iz Graf 1.1, ki je izrisan z podatki pridobljeni s strani organizacije Eurostat, se uporaba oblačnih storitev pri privatnih uporabnikih iz leta v leto dviguje. Graf 1.1: Uporaba oblačnih storitev med posameznikov Vir:[5] Eurostat, posodobljeno: 7.1.2016 Spodnji Graf 1.2 prikazuje odstotek podjetji z 10 ali več zaposlenimi, ki uporabljajo oblačne storitve. Tudi tukaj vidimo da se uporaba povečuje. Vir:[6] Eurostat, posodobljeno: 17.5.2016 Graf 1.2: Uporaba oblačnih storitev med podjetji 2
Tovrstne storitve prinašajo veliko prednosti, vendar poleg vseh pozitivnih strani prinašajo tudi veliko vprašanj varnosti in zasebnosti podatkov, ki jih podjetja ali posamezniki shranjujejo, delijo, obdelujejo. Večina ponudnikov storitev zagotavlja visoko stopnjo varnosti in varuje svojega uporabnika, vendar se težava lahko pojavi pri uporabnikih samih, saj morda niso dovolj pozorni kam shranjujejo podatki, kdo ima dostop do njih, kdo jih lahko spreminja, kakšne so njihove pravice ob izgubi podatkov, s čem se strinjajo pri registraciji in kje so njihovi podatki sploh shranjeni. Z preučevanjem literature, izvedbe eksperimenta in ankete bomo poskušali ugotoviti kakšna je stopnja zavedanja glede varnosti in zasebnosti v oblačnih storitvah pri posameznih uporabnikih. 1.2 Name naloge Namen naloge je, da raziščemo kakšna je stopnja zavedanja zasebnih uporabnikov ob uporabi oblačnih storitev o varnosti. Analiza in prikaz rezultatov, bo pokazal na kaj so uporabniki pozorni pri uporabi, ali namenijo pozornost varnosti in zasebnosti ob uporabi. Prav tako je namen uporabnike ozavestiti, da varno in razumno ravnajo z svojimi podatki. 1.3 Cilji Cilj diplomskega dela je odgovoriti na naslednja raziskovalna vprašanja: RV1: Ali uporabniki zaupajo ponudnikom oblačnih storitev? RV2: Ali se uporabnik seznani s pogoji uporabe, kako so varovani njegovi podatki in kako je poskrbljeno za zasebnost podatkov? RV3: Ali ponudniki obveščajo uporabnike o tem kako varujejo podatke? RV4: Ali se uporabnik zaveda kakšne so njegove pravice ob izgubi podatkov in kako se lahko sooči z težavo? RV5: Se uporabnik seznani ali določi kakšne pravice ima uporabnik, ki je z njim delil datoteko, nad to datoteko? 3
1.4 Teze diplomskega dela H1: Uporabniki imajo zaupanje v oblačne storitve H2: Uporabniki se ne seznanijo kako je poskrbljeno za varnost in zasebnost njihovih podatkov ali pa prestavitev le preletijo H3: Uporabniki ne preberejo pogojev uporabe ali pa jih le preletijo H4: Ponudnik obveščajo uporabnike o tem kako deluje njihov sistem H5: Uporabnik se ne zaveda kakšne so njegove pravice ob izgubi podatkov, vendar bi poiskal morebitno rešitev. H6: Uporabnik je seznanjen in izbere osnovno pravico nad datoteko(branje, pisanje, komentiranje), ampak ne preveri dodatnih možnosti. 1.5 Predpostavke in omejitve V eksperiment ne bomo vključili vseh starostnih in osebnostnih skupin uporabnikov. Uporabnik bo izvedel nalogo po navodilih in ne bo preizkušal vseh funkcionalnosti storitve, tekom eksperimenta bo uporabnik ustvaril datoteko, jo shranil, delil, izvozil in uporabil namizno aplikacijo. Uporabljena bo le spletna storitev in namizna aplikacija, ne glede na to da ponudniki ponujajo tudi mobilne programe za storitev. Pri izvedbi naloge bomo spremljali, na kaj se uporabnik osredotoča med postopkom in ali preverja kakšne so dodatne funkcije, nastavitve, varnostne nastavitve, možnosti deljenja datotek, dodajanje in odstranjevanje naprav povezanih z računom. V raziskavi bomo uporabili informacije in statistične podatke, ki so prosto dostopni na spletu in statistične podatke, ki jih bomo pridobili z analizo eksperimenta. Pri predstavitvi oblačnih storitev bomo predstavljali in opisovali le osnovne oblačne storitve, kot so shranjevanje in deljenje in obdelava podatkov, zakup osnovne pisarniške programske opreme. 4
1.6 Motivacija Motivacija za izvedbo eksperimenta je problematika varnosti in zasebnosti, podatkov v oblačnih storitvah. Vse pogostejša uporaba, tako v zasebne kot v poslovne namene, poleg vseh prednosti prinaša tudi slabosti, ki se večinoma odražajo v pomanjkanju varnosti in zasebnosti podatkov. Ker pa so tovrstne storitve, že kar nekaj časa v uporabi, so storitve ponudnikov že dodobra izpopolnjene tako kar se tiče funkcionalnosti kot varovanja podatkov. Najšibkejši člen pri uporabi tako postaja uporabnik sam, saj so uporabniki velikokrat zelo slabo ozaveščeni glede uporabe oblačnih storitev in deljenje svojih osebnih podatkov nasploh. Po poročanju organizacije Gartner so predvidevanja glede oblačnih storitev naslednja[22]: Skozi leto 2020, bo za 95% napak v varnosti pri oblačnih storitvah vzrok uporabnik in ne ponudnik. Do leta 2017 se bo število podjetji, ki imajo politiko o prepovedi shranjevanja podatkov v javnih oblakih zmanjšalo na 5%. Do leta 2017 bo 95% podjetji, ki ponujajo oblačne storitve in imajo letni dohodek večji kot 500 milijonov dolarjev imelo uradno oceno varnosti. Skozi leto 2018 in kasneje, se bo število javljenih napak v oblačnih storitvah še vedno večalo vsako leto, vendar bo za le eno do dve napake kriva tehnologija in prakse podjetja, ki ponuja storitve. 5
Naslednji podatki, ki so predstavljeni v grafih, prikazujejo statistiko uporabe oblačnih storitev. Spodnji Graf 1.3 prikazuje statistiko, kaj v posameznih državah podjetja odvrne od uporabe oblačnih storitev. Vir:[7] Eurostat: posodobljeno 1.7.2016 Graf 1.3: Razlogi za neuporabo med posamezniki 6
Graf 1.4 prikazuje v koliko procentih so se posamezniki v Evropi leta 2014 soočali z težavami pri uporabi oblačnih storitev. Vir:[8] Eurostat, posodobljeno 1.7.2016 Graf 1.4 Težave pri uporabi oblačnih storitev 7
2 OBLAČNE STORITVE Oblačne storitve so zelo razširjena tehnologija, ki jo uporabljajo posamezniki, podjetja, organizacije, itd. Osnovna funkcionalnost je namenjena shranjevanju datotek v oblak, kateri omogoča dostop do datotek ne gleda na vrsto naprave ali lokacije, kjer se uporabnik nahaja. Dandanes se tehnologija uporablja v veliko bolj kompleksne namene, kot so na primer celotno poslovanje podjetja, shranjevanje in sinhronizacija varnostnih kopij posameznih uporabnikov iz vseh njegovih naprav, delo na projektih v skupinah, kar zagotavlja ažurnost in dostopnost vsem članom skupine in podobno. Storitve v večini zagotavljajo kompatibilnost z različnimi napravami(mobilni telefon, računalnik, tablica) in različnimi platformami(windows, Linux, Mac OS, Android, os). Uporaba tovrstnih storitev je v zadnjih letih visoko v porastu in prav tako se pričakuje tudi v bližnji prihodnosti. Zaradi množične uporabe, se ponudniki storitev trudijo zagotoviti brezhibno varnost in zasebnost podatkov, ki jih uporabniki shranjujejo v oblak. Kljub temu da večina ponudnikov zagotavlja ustrezno varnost podatkov, se pojavljajo težave, pri katerih uporabniki izgubljajo podatke, pride do nepooblaščenih dostopov, izpadov dostopa do podatkov, neažurno posodabljanje podatkov. Večina zasebnih uporabnikov, ki storitve uporabljajo zgolj za shranjevanje ali deljenje podatkov, se ne zavedajo in se ne obremenjujejo z varnostjo in zasebnostjo njihovih podatkov, dokler ne pride do težav. Za to je pomembno, da se vsak preden karkoli shranjuje ali deli v oblaku zaveda, kakšne podatke shranjuje, z kakšnim namenom in ali lahko zaupa ponudniku. Problematično je zlasti deljenje podatkov, saj ne moremo vedeti kakšen namen ima uporabnik z katerim podatke delimo, to lahko nadzorujemo z tem, da se prepričamo, z kom podatke delimo in kakšne pravice ima nad temi datotekami. 8
Za računalništvo v oblaku obstaja več razlag in definiciji, najbolj uporabljena in splošno sprejeta je definicija Ameriškega inštituta NIST(National Institute of Standards and Technology) [15]:»Računalništvo v oblaku je model, ki omogoča dostop na zahtevo, do deljenih nastavljivih računalniških virov, kot so omrežje, strežniki, podatkovne shrambe, aplikacij in storitev, ki so lahko na voljo uporabniku z minimalno interakcijo ponudnika.«[15] Definicija organizacije Gartner pravi:»računalništvo v oblaku je stil računalništva, pri katerem so masivno razširljivi viri informacijskih tehnologij in ponujeni kot storitev preko internetnih tehnologij več odjemalcem.» [9] Podjetje IDC, ki se ukvarja z analizami in raziskavami na področju informacijskih tehnologij, podaja definicijo za oblačne storitve in računalništvo v oblaku. Oblačne storitve:»so produkti, storitve in rešitve za zasebne in poslovne uporabnike, ki so ponujene preko interneta v realnem času.«[12] Računalništvo v oblaku:»računalništvo v oblaku je nastajajoč model, ki vpliva na razvoj informacijskih tehnologij, načina razporejanja in dostavljanja, ter omogoča dostop do produktov, storitev in rešitev v realnem času preko interneta.«[12] 9
2.1 Vrste storitev Oblačne storitve se delijo na tri osnovne koncepte: SaaS(Software as a Service) Oblika storitev v oblaku, ki ponuja licenčno programsko opremo, do katere uporabnik dostopa običajno preko spletnega brskalnika. Najpogosteje uporabljena programska oprema je namenjena urejanju besedil, komunikaciji, programi za upravljanje podatkovnih baz, programi za upravljanje z projekti, razvojni programi, CRM(Customer relationship management) program za komunikacijo z strankami. [2] IaaS(Infrastrcture as a Service) Oblika storitev v oblaku pri kateri ponudnik ponuja računalniško infrastrukturo, kot so strežniki, podatkovno shrambo, internetno povezavo in operacijske sisteme, kot storitve na zahtevo. Ta vrsta oblačnih storitev omogoča uporabniku najema toliko virov, kot jih potrebuje in s tem zmanjša stroške nakupov strežnikov in ostale opreme. Prednosti so dinamično spreminjanje virov, cenovno ugodno, omogoča velik izkoristek strojne opreme. [2] Paas(Platform as a service) Podobna oblika storitve v oblaku, kot SaaS, vendar ne ponuja končne namenske programske opreme. PaaS ponuja platformo ali okolje, ki omogoča razvijalcem razvoj aplikacij in storitev preko spleta. Prednost za razvijalce je, da imajo dostop, do okolja enostavno preko spleta. Omogoča delo več uporabnikov na projektih, varno shranjene podatke, omogoča dinamično uporabo virov, nadzor in spremljanje napredka dela. [2] 10
2.2 Zagotavljanje varnosti in zasebnosti v Evropi Varnost omrežji in informacijskih sistemov v evropski uniji določa direktiva o ukrepih za visoko raven varnosti omrežij in informacijskih sistemov v Uniji, ki je bila nazadnje posodobljena dne 6.julija.2016 in računalništvo v oblaku opredeli takole:»storitve računalništva v oblaku zajemajo raznolike dejavnosti, ki jih je mogoče zagotavljati po različnih modelih. V tej direktivi izraz storitve računalništva v oblaku zajema storitve, ki omogočajo dostop do prožnega in po obsegu prilagodljivega nabora deljivih računalniških virov. Ti računalniški viri obsegajo vire, kot so omrežja, strežniki ali druga infrastruktura, shranjevanje, aplikacije in storitve. Izraz prožen se nanaša na računalniške vire, ki jih ponudnik storitev v oblaku prilagodljivo dodeljuje, ne glede na geografsko lokacijo virov, da bi se tako lahko odzvali na spremembe v povpraševanju. Izraz prilagodljiv nabor opisuje take računalniške vire, ki se zagotavljajo in sproščajo glede na povpraševanje, da bi se tako število razpoložljivih virov hitro povečalo ali zmanjšalo odvisno od delovne obremenitve. Izraz deljiv opisuje take računalniške vire, ki se zagotavljajo več uporabnikom, ki si delijo isti dostop do storitve, vendar se obdelava za vsakega uporabnika opravi ločeno, čeprav storitev opravlja ista elektronska oprema.«[4] Direktiva določa obveznost, da morajo vse države članice sprejeti nacionalne varnostne strategije za varnost omrežij in informacijskih sistem. Prav tako direktiva vzpostavlja skupino za sodelovanje, ki bi omogočala in zagotovila lažje strateško sodelovanje za izmenjavo informacij med državami članicami in bi okrepila zaupanje med njimi, ter mrežo skupin CSIRT(Computer security incident response team), ki bi prispevala h okrepitvi zaupanja med državami članicami ter spodbudila hitro in učinkovito operativno sodelovanje. Določa varnostne zahteve in zahteve glede priglasitve za izvajalce bistvenih storitev in za ponudnike digitalnih storitev. [4] 11
2.3 Varnost v oblačnih storitvah 2.3.1 Uporaba gesel Določanje gesla pri uporabi oblačnih storitev je zelo pomemben korak pri ustvarjanju uporabniškega računa. Običajno ponudniki ob registraciji ponujajo več stopenjski indikator, ki prikazuje kako močno geslo je uporabnik izbral. Pomembno je, da uporabnik izbere geslo, ki si ga bo zapomnil in, hkrati ne preveč enostavno. Močno geslo mora biti sestavljeno iz minimalno 8 znakov, ki jih izberemo z spodaj naštetimi tehnikami. Zahtevnost gesla je zalo pomembna saj ob morebitnem napadu, napadalcu otežuje ugotavljanje zaporedja znakov uporabnikovega gesla. Če vštejemo da je možno uporabiti vse znake in da je geslo osem mestno dobimo 645 bilijonov kombinaciji.[10] 2.3.2 Tehnike izbiranja močnega gesla Osnovni ukrep, ki a lahko uporabnik naredi, da zaščiti svoj uporabniški račun pri uporabi oblačne storitve ali katerekoli druge spletne aplikacije je, tako da izbere močno geslo. Osnovno priporočilo je, da se geslo izbere iz črk abecede v kombinaciji z številkami, pri črkah lahko izberemo kombinacijo velikih in malih črk. Za naprednejša gesla in boljšo zaščito je priporočljiva uporaba simbolov, pri katerih se odsvetuje uporaba presledkov. Za naprednejša gesla, ki še močneje varujejo vaše geslo pred morebitnim poskusom dešifriranja, se priporoča uporaba besednih zvez, iz katerih uporabimo le samoglasnike ali pa jih napačno črkujemo. Kot zelo učinkovito se izkaže uporaba nejasnih besed, ki uporabniku nekaj pomenijo in si jih zlahka zapomni. To vključuje uporabo neobičajnih znakov v uporabniku poznanih izrazih, zapis niza dveh besed, ki se ne povezujeta, izbira besede z napačnim črkovanjem, uporaba kratic za uporabniku znane izraze, logična zamenjava znakov, črke z besedami ali črke z simboli, izbira simbolov za ločevanje besed. [10] 2.3.3 Odsvetovane tehnike izbire gesla Pri izbiri gesla je potrebno poleg upoštevanja pravil dobre prakse za zapis močnega gesla, dobro poznati tudi nekatere priporočila, kaj ne uporabiti v geslu. Strogo odsvetovana je uporaba svojega imena ali priimka v kakršnikoli obliki, prav tako kakršnekoli osebne številke, kot so: davčna številka, številka osebne izkaznice, bančnega računa in podobno. Ker je lahko geslo tarča napada, ki skuša uganiti geslo se odsvetuje 12
uporaba delov uporabniškega imena, znanih imen ali priimkov, zapis gesla z manj kot 6 črkami. Pred napadom z tehniko socialnega inženiringa, se geslo obvaruje, tako, da uporabni ne izbira gesla, ki vsebujejo imena prijateljev, sorodnikov, hišnih ljubljenčkov, telefonske številke, naslova, rojstnega datuma, obletnic in podobno. Zaradi tako imenovanih»brute-force«napadov, ki delujejo tako, da poskušajo ugotoviti geslo z poskušanje vnosa različnih nizov, je odsvetovana uporaba znanih kratic, geografskih imen, imen izdelkov, znanih oseb ali likov, tehničnih izrazov, izbira samo numeričnih znakov, uporaba le ene besede pred katero je ali ji sledi številka.[10] 2.3.4 Zaščita na mobilnih napravah Mobilne naprave predstavljajo dodatne izzive pri zagotavljanju varnosti, saj imajo do mobilnih naprav za razliko od računalnikov fizično dostop veliko več ljudi, uporabniki jih puščajo na različnih mestih in velikokrat nimajo ustrezno vzpostavljene zaščite. Osnovna zaščita z katero lahko zaščitimo mobilno napravo je, da nastavimo geslo za odklepanje telefona, to lahko storimo, tako da nastavimo numerično PIN kodo, geslo, biometrično prepoznavo prstnega odtisa ali obraza. [24] Pri uporabi spletnih aplikaciji je priporočljivo, da si uporabnik vzpostavi dvostopenjsko preverjanje pristnosti, kjer uporabnik na mobilno aplikacijo ali tekstovno sporočilo prejme geslo z katerim se vpiše v spletno aplikacijo. Tako se uporabnik veliko bolj zaščiti in zmanjša možnost vdora v njegov spletni račun. [24] Zelo pomembno za varnost pri mobilnih napravah je prav tako posodabljanje mobilne naprave, kot vseh nameščenih aplikaciji, s tem uporabnik zmanjša tveganje, da bi napadalec izkoristil morebitne varnostne luknje v aplikacijah ali operacijskem sistemu telefona. Priporočljivo je, da je mobilna naprava nastavljena na samodejno posodabljanje.[24] 13
2.3.5 Varovanje v primeru da uporabnik zahteva zaklep mobilne aplikacije, v spletni storitve Cubby V primeru, da uporabnik zahteva blokado mobilne aplikacije, lahko izvede tako imenovan»lockout«, kar pomeni da zaklene svoj račun pred mobilno aplikacijo katera je povezana z njegovim računom. Ko uporabnik zahteva to storitev, se ob naslednji zahtevi mobilne aplikacije za podatke izbrišejo vsi podatki, iz mobilne naprave, ki so bili povezani z računom, aplikacija pa se ponastavi. [1] 2.3.6 Šifriranje podatkov v spletni storitvi Cubby Uporabniški podatki, ki so preneseni v oblak, so šifrirani z AES-256 simetričnim algoritmom. Storitev ustvari unikaten ključ, ki je naključno generiran za vsako naloženo datoteko. Ključi so shranjeni v podatkovni bazi poleg drugih lastnosti storitve. Pri vpisu uporabnika v storitev se iz baze prenese ključ z katerim se šifrirajo in dešifrirajo podatki. Storitev omogoča dodaten sloj varovanja in sicer to zagotovi tako, da aktivira funkcijo»cubby Locks«, katera zaklene uporabniške podatke na tak način, da so dostopni samo uporabniku. Funkcija deluje tako, da se podatki šifrirajo na podlagi uporabniškega imena in gesla, kar pomeni da, dostopa do podatkov nima niti ponudnik storitve. Varnost in zaupanje za uporabniške podatke zagotavlja kriptografsko ogrodje. Vsak uporabnik, ki uporablja datoteke zaklenjene z omenjeno funkcijo ima svoj sistemsko generiran simetrični ključ imenovan USK(user symmetric key), ki je šifriran z uporabniškim geslom in shranjen z AES-256 šifriranjem v podatkovno bazo. Za vsako zaklenjeno datoteko obstaja 4096-bitni RSA ključ imenovan URK(user RSA key), ki vsebuje dva ključa, privatnega in zasebnega. Privatni del ključa je šifriran z prej omenjenim USK ključem in AES-256 šifriranjem. Javni ključ pa je shranjen kot golo besedilo. USK in URK ključa sta unikatna za vsak uporabniško račun posebej. Uporaba asimetričnega šifriranje pomeni, da karkoli šifrirano z javnim ključem, je lahko dešifrirano le z privatnim ključem in obratno.[1] 14
2.3.7 Dvostopenjsko preverjanje Dvostopenjska verifikacija omogoča povečanje varnosti. V primeru, da nekdo ugotovi uporabnikovo geslo lahko neomejeno dostopa do podatkov v oblaku. Če pa ima uporabnik omogočeno dvostopenjsko verifikacijo, najprej vpiše geslo računa, nato pa na elektronski naslov ali telefon dobi dodatno unikatno geslo z katerim se prijavi v svoj račun. [1] 2.3.8 Varnostni certifikati HIPPA(Health Insurance Portability and Accountability) HIPPA je akt, ki določa varnost občutljivih podatkov pacientov. Vsako podjetje, ki upravlja z podatki o zdravju uporabnikov mora imeti varnost usklajeno po standardih, ki jih določa HIPPA[1] PCI(Payment Card Industry) PCI je akt, ko določa varnostne standarde, kateri varujejo podatke, ki se prenašajo med spletnimi plačili z kreditnimi karticami. Strežniki zagotavljajo 256-bitno SSL šifriranje, ki ga uporabljajo nekatere bančne kartice z katerimi je mogoče plačevati preko spleta, kot so MasterCard, Visa, American Express. Akt prav tako zahteva dvostopenjsko verifikacijo in druge striktne politike delovanje sistema, ki se jih mora ponudnik zagotavljati. [1] FIPS(Federal Information Processing Standards) FIPS je akt, ki določa standarde za kriptografske module, katere uporablja ponudnik za procesiranje podatkov. Določa, kakšne varnostne sisteme mora ponudnik zagotavljati pri uporabi kriptografskih modulov, da ne pride do izgube celovitosti ali izgube zaupnosti informacij. [25] 15
2.3.9 Fizična zasnova prostorov Podatkovni centri so zasnovani tako, da nimajo oken. Varnostni sistem, zagotavlja neprekinjeno dobavo električne energije v ozadju pa je v stanju pripravljenosti električni generator.[19] Vse površine podatkovnih centrov, so nadzorovane z pomočjo varnostnih kamer, prav tako so pod nadzorom vse dostopne točke, preko katerih je mogoče vstopati do strežnikov. Nadzor poteka tudi z pomočjo zaznavanja kontaktov na ključavnicah, detektor lomljenja stekla, detektorji premikanja, nadzor nepooblaščenih vstopov.[19] Nepooblaščene vstope preprečujejo tri ravni zaščite dostopa. Prva stopnja za vstop v varnostno kletko je branje geometrije roke, za dostop do notranjih varnostnih kletk so potrebni ključi od ključavnice. V primeru, da se strežniki nahajajo v prostorih kjer so nameščeni strežniki, več kot enega ponudnika storitev je za vstop potrebno koda, ki se vpiše v številčnico, ki ima lastno napajanje. Vse dostopi so shranjeni v dnevnikih, katere si lahko uporabnik storitev(stranka) prenese in pregleda.[19] 2.4 Zasebnost v oblačnih storitvah Politika podjetja za varovanje podatkov Ponudnik LogMeIn podatkov uporabnikov v storitvi Cubby.com ne prenaša tretjim osebam, razen, ko to zahteva zakon ali je to potrebno za zagotavljanje varnosti uporabnikov, zaposlenih in drugih. Cubby omogoča dodatno zaščito občutljivih podatkov, ki se nahajajo v uporabnikovem oblaku, z dodatno verifikacijo.[1] Orodja na voljo uporabniku za nadzor podatkov Beleženje aktivnosti omogoča nadzor nad aktivnostmi uporabnikov, pripomore k nadzoru ob izgubi ali nepooblaščenem spreminjanju ali dostopu do podatkov. Iz zabeleženih dogodkov je razvidno kateri podatki se delijo, kako in s kom. V primeru kršitve lahko administrator filtrira dogodke glede na zaposlenega in preveri njegova dejanja. [1] 16
Zabeleženi so naslednji dogodki: kdaj je bila datoteka deljena, je uporabnik sprejel ponudbo za deljenje datoteke ali ne, kdaj je datoteka izbrisana, kdaj je datoteka dokončno izbrisana iz oblaka ponudnika, so arhivirane verzije datoteke izbrisane iz oblaka, kdaj uporabnik preneha uporabljati deljeno datoteko, kdaj so ustvarjene javne hiperpovezave. kdaj je datoteka sinhronizirana z napravo, kdaj je bilo aktivirano in zaključeno brisanje podatkov iz naprave, kdaj je naprava odstranjena iz oblaka. Lastnik, vodja računa podjetja lahko vidi podatke vseh uporabnikov na tem računu, če ti niso posebej zaklenjeni s strani člana te skupine. Vodja računa ima možnost izvesti akcijo, ki izbriše člana njegove skupine in izbriše vse njegove z vseh naprav, ki jih ta uporablja ali obdrži uporabniški račun in izbriše le podatke z določene naprave. Funkcija je zelo uporabna v podjetjih. Če zaposleni izgubi, mu ukradejo napravo ali zapusti podjetje lahko vodja prekliče njegov račun, mu izbriše podatke iz oblaka in vseh naprav. Funkcijo lahko po potrebi izvede tudi uporabnik sam, vendar samo za svoj račun in svoje podatke. 2.5 Nevarnosti storitev v oblaku Organizacija Cloud security Alliance je določilo devet največjih groženj računalništva v oblaku: Kršitev varnostnih protokolov Kraja zaupnih podatkov je velika težava podjetji, saj lahko v premeru da pridejo podatki v roke konkurence izgubijo prednost pred ostalimi in izgubijo intelektualno lastnino. Kraje podatkov se dogaja že od časa preden so se pojavili računalniki. Uporaba oblačnih storitev je še povečala stopnjo zaskrbljenosti glede varnosti in zasebnosti podatkov, saj podjetje zaupa svoje podatke ponudniku, za katerega ne vedo natančno kako varuje podatke.[23] Problematika iztekanja podatkov se rešuje z šifriranjem podatkov, kar ustvari nov problem, saj lahko izgubimo ključ za dešifriranje podatkov in ostanem brez podatkov. Za to je še vedno priporočljivo hraniti varnostne kopije na varnih lokacijah, ki niso povezane z spletom. Tako je možno omejiti večjo izgubo ali iztekanje pomembnih in zaupnih informacij.[23] 17
Izguba podatkov Do izgube podatkov v oblaku lahko pride iz več razlogov to so: razni napadi, nenamerno izbrisani podatki s strani ponudnika ali uporabnika, fizične poškodbe objektov kje so shranjeni podatki(požari, potresi, poplave). Vse to so lahko razlogi za izgubo podatkov v primeru da ponudnik nima urejenih ustreznih tehnologij za varnostno kopiranje podatkov. Izguba podatkov pa ni vedno krivda ponudnika storitev, vendar je lahko krivda tudi samega uporabnika v primeru, da ta šifrira podatke in izgubi ključ za dešifriranje ali sam ne namenoma izbriše podatke.[23] Ponudnik je po zakonih EU dolžan obvestiti uporabnike ob vsaki izgubi ali iztekanju podatkov za katere je odgovoren ponudnik.[23] Kraja računov ali vdor v promet storitve Oblačne storitve so zelo občutljive na tako imenovane»phishing«napade, to je napad v katerem se napadalec izdaja za legitimno osebo iz podjetja in poskuša pridobiti podatke uporabnika, z katerimi se lahko prijavi v storitev in v njegovem imenu upravlja z podatki. Tovrstni napadi se rešujejo z dvostopenjskimi verifikacijami in izobraževanjem uporabnikov.[23] Nevarnosti v uporabniških vmesnikih in aplikacijah Ponudniki oblačnih storitev ponujajo razno programsko opremo, ki jo uporabniki uporabljajo za upravljanje z podatki, nadzor in uporabo storitev. Varnost in dostopnost do oblaka je odvisna od teh vmesnikov in aplikacij. Verifikacija, nadzor nad dostopom, šifriranje in nadzorovanje dogodkov so osnovni varnostni ukrepi, katere morajo vmesniki in aplikacije vsebovati da lahko zagotavljajo varnost pred namernimi in nenamernimi akcijami, ki bi lahko ogrozile podatke.[23] Ponudniki in tretje osebe velikokrat razvijajo dodatne vmesnike, ki ponujajo dodatne funkcije, kar pa prinese nove varnostne pomanjkljivosti.[23] 18
Napad DoS (Denial of Service) DoS napad prepreči uporabniku dostop, do storitev in podatkov v oblaku. Napad deluje tako, da napadalec obremeni strojno opremo(procesor, pomnilnik, diskovno shrambo) in povezavo ponudnika kar povzroči počasno delovanje sistema ali celo odpoved delovanja, kar onemogoči uporabnikom dostop. Tovrstni napadi so zelo popularni saj lahko z malo truda in znanja napadalec doseže velik učinek. Običajno napadalci izkoriščajo varnostne luknje v spletnih strežnikih, podatkovnih bazah ali drugih delih sistema, ki sestavljajo oblak. [23] Zlonamerni ljudje z dostopom(zaposleni, bivši zaposleni) Zlonamerni zaposleni ali bivši zaposleni imajo dostope do kritičnih podatkov in predelov sistema. Ob neprimerni politiki v sistemu(verifikacija, onemogočanje računov bivšega zaposlenega, omejevanje dostopov raznim zunanjim izvajalcem), lahko pride do izkoriščanja položaja, kar lahko vodi do velikih težav v sistemu ali izgube oz. izhajanje podatkov. [23] Zloraba oblačnih storitev Oblačne storitve so zelo dobra rešitev za mala in velika podjetja, saj je najem veliko cenejši. Nakupa takšne informacijske infrastrukture, kot ga lahko podjetja najamejo, si večina podjetji in organizaciji nebi mogla privoščiti. Zato je najem procesorskih, podatkovnih, pomnilniških in drugih virov idealna rešitev. [23] Pojavljajo pa se tudi najemniki storitev, ki te vire izkoriščajo zlonamerno. Na primer napadalec, ki se loti dešifriranja, bi z svojo strojno opremo potreboval lahko potreboval leta, da bi prišel do rezultatov, če pa najame dovolj virov od ponudnika oblačnih storitev, lahko pride do rezultatov nekaj minutah. Prav tako lahko napadalci vire ponudnika uporabijo za DoS(Denial of Service) napade ali širjenje škodljive programske opreme. Tovrstne zlorabe so težava ponudnikov, saj po navadi ne prizadenejo uporabnikov. Ponudnik pa se mora soočiti s tem kako prepoznati takšne uporabnike, ki zlorabljajo njihove storitve in kako jim to preprečiti. [23] 19
Zavedanje, kaj prinaša prehod in uporaba oblačnih storitev Oblačne storitve prinašajo zmanjšanje stroškov, učinkovitejše izkoriščanje strojne opreme in boljšo varnost sistema. Pri vseh teh prednostih pa se pojavijo tudi težave, ko se podjetje ali organizacijo odloči za prehod na oblačne storitve se mora zavedati tudi slabosti in razumeti celoten obseg prehoda na novo tehnologijo. Najemniki storitev morajo dobro vedeti kakšne so njihove potrebe in pametno sestaviti pogodbo z ponudnikom, ki mora zagotavljati varnost, zanesljivost, zasebnost, določati odgovornosti, nadzor. [23] Podjetja se morajo zavedati, da prenašajo morebitne sisteme, ki so delovali na internem omrežju v oblak, da ne bodo imeli popolne kontrole nad sistemom, da njihovi razvijalci morda niso seznanjeni z tehnologijami, ki jih uporablja uporabnik oblačnih storitev. Najemniki storitev, ki že imajo vzpostavljen določen sistem, morajo temeljito raziskati in pretehtati svoje možnosti pri prehodu v oblak in ali je to za njih najboljša izbira. [23] Ranljivosti pri deljenih tehnologijah Ponudniki storitev ponujajo vel različnih vrst oblačnih storitev, tri osnovne vrste so: IaaS(Infrastructure as a Service), PaaS(Platform as a Service), SaaS(Software as Service). Grožnja obstaja, ker si vse vrste delijo vire sistema, kar pomeni, da če v eni vrsti oblačne storitve pride do varnostne luknje so lahko ogroženi podatki v vseh vrstah oz. storitvah ponudnika. Pomembno je da ima ponudnik dober nadzor nad vsemi svojimi storitvami in da v primeru kakršne koli napake pravilno ravna in zavaruje podatke uporabnikov. [23] 20
2.6 Uporabniški vidiki varnosti in zasebnosti Raziskava Avstralske univerze za računalništvo in matematiko, po izvedbi raziskave kako uporabniki gledajo na varnost in zasebnost oblačnih storitev ugotavlja, da ne glede na vse prednosti na koncu o odločitvi za uporabo odloča ali uporabnik zaupa v storitev ali ne. Rezultati so pokazali, da se veliko uporabnikov ne zaveda potencialnih nevarnosti in tudi, če se jih zavedajo, se pred njimi ne zanjo obvarovati.[20] Anketiranci so med različnimi vprašanji od prednosti, slabostih in nevarnostih izpostavili naslednje varnostne koncepte:[20] Glavne varnostne grožnje nezaupanje in pri shranjevanju podatkov v oblak. Negativne izkušnje z zlorabo podatkov. Težave z selitvijo podatkov v oblak.[20] Vzroki za grožnje razlogi za nezaupanje v oblačne storitve za shranjevanje datotek. Nezadovoljstvo z obstoječimi orodji za varovanje podatkov in politiko odkrivanja napak, ter obveščanja o morebitnih varnostnih napakah.[20] Strategija izogibanja grožnjam opraviti potrebne korake pred migracijo podatkov v oblak. Nezadovoljstvo uporabnikov z pogoji uporabe storitev. Nejasnost glede tega, kdo je odgovoren za podatke v oblaku.[20] Prestavljeni podatki predstavljajo uporabniške vidike varnosti in zasebnosti pri uporabi računalništva v oblaku. Naštete koncepte so vsakega posebej razdelili na bolj podrobne grožnje, vzroke in strategije, ki so jih sodelujoči izpostavili in določili njihov procent, ki predstavlja, kako pomemben se zdi sodelujočemu. [20] 21
Grožnje in odstotek pojavljanja so prestavljeni v Tabela 2.1. Tabela 2.1: Grožnje in pojavljanje dogodka Glavne varnostne grožnje Pojavljanje dogodka Kršitev varnosti podatkov 95% Izguba podatkov 85% Nedostopnost podatkov 72% Nadzor nad podatki s strani tretje osebe 69% Privatnost podatkov 45% Vir: [20] Razlogi in odstotek pojavljanja so predstavljeni v Tabela 2.2. Tabela 2.2: Razlogi in pojavljanje razlogov Možno vzroki za varnostne grožnje Pojavljanje vzroka Zlonamerni zaposleni ali ljudje z dostopom 100% Pomanjkanje varnostnih orodji 89% Pomanjkanje znanja o oblačnem okolju 75% Pomanjkanje transparentnosti 69% Slab nabor vmesnikov 69% Neučinkovito napisani pogoji uporabe 50% Vir: [20] Strategija in odstotek so predstavljeni v Tabela 2.3. Tabela 2.3: Strategija in pojavljanje strategij Strategije za izogibanje grožnjam Pojavljanje strategije Ocena tveganja in načrt za zmanjšanje škode 75% Obnovitev po kršitvi vernosti in rezervni načrt 72% Šifriranje podatkov 85% Pogodba o uporabi storitve 55% Vir: [20] 22
2.7 Način uporabe storitev Dostop preko brskalnika Večina ponudnikov ponuja dostop do aplikacije preko spletnega brskalnika, preko katerega uporabnik prenaša in deli datoteke ali uporablja druge funkcije, ki jih ponuja ponudnik storitev. Dostop preko namizne aplikacije Namizne aplikacije oblačnih storitev običajno omogočajo upravljanje z podatki, nastavitve sinhronizacije, se integrirajo v sistem operacijskega sistema, kateri kasneje v svojih menijih ponuja dodajanje datotek v oblak. Dostop preko mobilne aplikacije Ponudniki običajno ponujajo mobilne aplikacije za več vrst mobilnih operacijskih sistemov, da zajamejo čim več uporabnikov. Mobilne aplikacije ponujajo dodajanje, pregled, sinhronizacijo z kamero, elektronskimi sporočili, ali drugimi podatki, ki jih ustvarja mobilna naprava. Običajno ponujajo funkcijo, za dodatno zaščito z geslom ali prstnim odtisom, zaradi dostopnosti naprave. 23
3 INFORMACIJSKA VARNOST V Evropski uniji za zaščito podatkov deluje neodvisna organizacija EDPS(European data protection supervisor), ki zagotavlja, da institucije in drugi organi ravnajo z podatki po pravilih, ki so bili sprejeti 18.december.2000 v Evropskem parlamentu in tako ščiti osebne podatke posameznikov. Sodelujejo tudi pri sprejemanju novih zakonov in svetujejo institucijam in drugim organom v evropski uniji. Osnovni nameni organizacije so nadzor, svetovanje in sodelovanje. [21] 3.1 Varnost podatkov Varnost podatkov je širok pojem in zajema različna področja računalništva, kot tudi fizičnega varovanja opreme s katero se obdelujejo in shranjujejo podatki.»informacijska varnost je obsežno področje, ki zahteva timski pristop in z njim širok nabor strokovnjakov različnih strok. Področje preseneti z eksponentno rastjo znanja, ki izjemno hitro zastari, kar je posledica interdisciplinarnega pristopa in velike težnje po odkrivanju novega.«[11] Islovar varnost podatkov razlaga, kot stanje, pri katerem je zagotovljena zaupnost, neokrnjenost in razpoložljivost podatkov, informacijsko varnost pa kot varnost podatkov in informacijskih sistemov pred zlorabo in uničenjem. Varnost podatkov se nanaša na varnostne ukrepe, ki preprečujejo nepooblaščene dostope, do računalnikov, podatkovnih baz in spletnih strani. Varnost podatkov je prav tako povezana z preprečevanjem, da bi prišlo do zlorabe ali spreminjanja podatkov. Pojem je znan tudi kot informacijska varnost ali računalniška varnost. [3] Univerzalna in klasična definicija informacijske varnosti je zelo jedrnata in preprosta, saj po NIST-u (2013)»informacijska varnost pomeni zaščito informacij in informacijskih sistemov pred neavtoriziranim dostopom, uporabo, razkritjem, onemogočanjem ali uničenjem, z namenom zagotoviti njihovo zaupnost, celovitost in dostopnost«.[3] 24
Tudi organizacija ISO/IEC proces varovanja informacij opredeljuje kot ohranjanje zaupnosti, celovitosti in razpoložljivosti informacij kakor tudi zagotavljanje drugih lastnosti, kot so verodostojnost, odgovornost, neovrgljivost in zanesljivost.[14] Varnost in zasebnost podatkov, sta izraza, ki sta povezana vendar nimata enakega pomena. Razlaga je zelo preprosta, potrebno je implementirati varnostne sisteme, da bi zagotovili zasebnost. Z drugimi besedami, potrebno je uporabiti varnost, da pridobimo zasebno, varnost je dejanje katerega rezultat je zasebnost ali varnost je strategija katere izid je zasebnost.[18] Če povzamemo; podjetje mora imeti aktivno vključeno strategijo za zagotavljanje varnosti in zasebnosti. 3.2 Informacijska zasebnost Informacijska privatnost podatkov, se nanaša privatnost osebnih podatkov, ki so shranjeni na računalniških sistemih. Razlog za vzdrževanje privatnosti podatkov, je najpomembnejše zaradi osebnih podatkov, kot so zdravstveni podatki, finančni podatki, kazenske kartoteke, politične evidence, poslovni podatki in podatki spletnih strani.[13] 25
4 STORITVE IN APLIKACIJE UPORABLJENE V RAZISKAVI 4.1 Cubby oblačna storitev Cubby je oblačna storitev, ki omogoča shranjevanje, spreminjanje in deljenje podatkov. Storitev je dostopna tako preko brskalnika, kot tudi preko aplikacije, ki je na voljo za operacijske sisteme Windows, ter mobilna operacijska sistema Android in ios. Programska rešitev je bila razvita pod okriljem podjetja LogMeIn, ki se primarno ukvarja z razvojem programske opreme za varno oddaljeno povezovanje, kar omogoča, da se lahko uporabnik varno poveže z oddaljenim računalnikom ne glede na to, kje se nahaja. Ponudnik za osnovno rabo, kar predstavlja shranjevanje deljenje in spreminjanje podatkov nudi brezplačno uporabo. Napredne funkcije, kot so sinhronizacija, zapisovanje dnevnikov, dodajanje novih uporabnikov, določevanje politike pravic, funkcija za brisanje podatkov iz naprav katerim administrator odstrani pravice za dostop in pa povečanje prostora za shranjevanje podatkov, za te funkcionalnosti pa ponudnik zaračunava mesečno naročnino. 4.2 Google dokumenti Podjetje Google je ponudnik storitve Google dokumenti, katera omogoča ustvarjanje, spreminjanje in shranjevanje dokumentov, kot so tekstovni dokumenti, preglednice, predstavitve, tabele in obrazci. V storitev se uporabnik vpiše z Googlovim računom, ki je enak tistemu za uporabo storitve Gmail in drugih, ki jih ponuja Google. Prednost storitve je v tem da je brezplačna, datoteke lahko delimo z drugimi uporabniki, prav tako lahko drugim uporabnikom dodelimo pravice za spreminjanje, kar omogoča skupinsko delo na daljavo. Vse spremembe se sproti shranjujejo, kar zmanjšuje možnost izgube podatkov. Datoteke lahko urejamo tudi, če nimamo dostopa do interneta, kar pomeni, da se spremembe shranijo, ko se povežemo na splet. Urejanje datotek brez internetne povezave omogoča Googlov produkt GoogleDrive, ki je oblačna storitev, ki ponuja shranjevanje spreminjanje, deljenje podatkov in sinhronizacijo. 26
4.3 Morae Morae je programska oprema, namenjena preizkušanju programske opreme in spletnih strani. Omogoča merjenje uporabnosti in razkrivanje šibkih točk, kar omogoča hitro in učinkovito izboljšanje programske opreme ali spletnih strani. Programska oprema je sestavljena iz treh komponent, to so Morae Recorder, Morae Observer in Morae Manager. 4.3.1 Morae Recorder Morae Recorder je ena od treh komponent, ki sestavljajo programsko opremo. Program omogoča zajemanje slike iz kamere, zaslonske slike, zvoka, premika miške, klike na miško in tipkovnico, potek izvedbe opravil uporabnika, beleži razne podatke, kot so: čas uporabe določenega programa, kaj uporabnik išče v spletnih brskalnikih, katere programe uporablja, ter ostale prametre. [16] V programski opremi je možno nastaviti ali bo program snemal zaslonsko sliko, sliko kamere ali oboje. Nastavitve lahko shranimo in jih uporabimo za več snemanj. Za lažje spremljanje posnetkov, lahko nastavimo naloge, katere uporabnik izvaja, te naloge spremljevalec eksperimenta dodaja v video, med tem ko spremlja sodelujočega v eksperimentu in ob tem določi oceno izvedbe(primer: slabo, srednje, odlično). Prav tako je možno dodajanje dogodkov, kot so razne napake, pomoč uporabniku, komentarji opazovalca in podobno. Po opravljeni nalogi eksperimenta, lahko v programu dodamo anketo, ta se prikaže po končanem snemanju, ko jo sodelujoči izpolni je zaključil z svojo nalogo v eksperimentu. [16] 27
4.3.2 Morae Observer Observer je del programske opreme Morae, ki omogoča opazovanje sodelujočega v eksperimentu v realnem času enemu ali več opazovalcem. Poleg opazovanja omogoča vstavljanje komentarjev in ocenjevanje izvedbe nalog. Za povezavo z opazovanim namizjem je potrebno vnesti naslov ali ime opazovanega računalnika. Po končanem opazovanju se vstavljeni komentarji in ocene združijo z projektom v Recorder-ju. Kar omogoča lažji pregled in analizo v Morae Manager-ju. [16] 4.3.3 Morae Manager Funkcije programa so: pregled obstoječe študije, ustvarjanje označb in zapiskov s katerimi se označujejo potek dela sodelujočega, ocenjevanje poteka dela sodelujočega v eksperimentu in zapisovanje opomb, izdelava grafov iz zbranih podatkov. Poleg osnovnih, že naštetih funkcij Observer omogoča popravljanje in dodajanje opomb, ocenjevanje, analiza podatkov, ustvarjanje grafov. Za predstavitev podatkov program omogoča izvoz v Excel ali drug program za predstavitev števil. Z funkcijo storyboard, lahko poljubno iz zajetega videa odrežemo odseke, jih komentiramo in ocenimo in jih nato predstavimo v Word-ovem dokumentu. [16] 28
5 NAČRT EKSPERIMENTA 5.1 Ozadje problema Uporaba oblačnih storitev je med zasebnimi in poslovnimi uporabniki vsako leto bolj priljubljena. Zaradi množične uporabe in velikega pretoka podatkov, postaja vprašanje varnosti in zasebnosti podatkov vedno bolj aktualno. V Raziskavi se bomo osredotočili na oblačne storitve namenjene zasebnim uporabnikom. 5.2 Cilj in naloga eksperimenta Naloge eksperimenta vključujejo, ugotavljanje pomanjkljivosti obveščanja uporabnika o varnosti in zasebnosti in ugotavljanje zavednosti uporabnika o varnosti in zasebnosti podatkov, pri uporabi oblačnih storitev Cilj eksperimenta je zbrati podatke, s pomočjo naprave za sledenje očem in anketnega vprašalnika, ter jih analizirati. Pridobljeni rezultati so pokazatelj kakšna je stopnja zavednosti uporabnikov o varnosti in zasebnosti podatkov med uporabo oblačnih storitev. 5.3 Objekt opazovanja V eksperimentu se osredotočimo na uporabnika, ki uporablja oblačne storitve za osebne namene, kar vključuje shranjevanje, deljenje, sinhronizacijo podatkov in enostavnejša urejanja datotek. Analizirali smo, na kaj je uporabnik pozoren med uporabo, čemu nameni več časa pri registraciji in ali je varnost in zasebnost pri uporabi nasploh njegova skrb. 29
5.4 Kontekst Eksperiment vključuje spletne oblačne storitve, katere so dostopne preko namizne aplikacije ali spletnega brskalnika. Sodelujoči v eksperimentu so računalniško pismeni ljudje z delnimi izkušnjami pri uporabi oblačnih storitev. Problematika na katero se osredotočamo je varnost in zasebnost podatkov v oblaku, kar je splošen problem ne samo oblačnih storitev ampak na splošno pri uporabi spleta. Varnost in zasebnost je problematika, ki je aktualna v preteklosti, sedanjosti in bo najverjetneje, zaradi okoriščanja z zbiranjem in krajo podatkov tudi v prihodnosti. 5.5 Profil sodelujočih V eksperimentu je sodelovalo 7 moških in 5 žensk. Vsi sodelujoči so odrasle, računalniško pismene osebe, ki razumejo angleško. Starost sodelujočih je od 19 do 27 let. 5.6 Inštrumenti eksperimenta Pri izvedbi eksperimenta smo uporabili programsko orodje Morae, ki je namensko orodje za analizo uporabe programske opreme in ga je mogoče uporabljati v povezavi z strojno opremo za sledenje očem. Naprava za sledenje očem je glavni pripomoček z katerim smo analizirali uporabnikove aktivnosti med izvajanjem nalog eksperimenta. 30
5.7 Navodila eksperimenta 1. V brskalniku odprite spletno stran na naslovu www.docs.google.com 2. Vpišite se z vašim računom ali si ga ustvarite na novo. 3. Ustvarite novo tekstovno datoteko z imenom ime_priimek. 4. V ustvarjeno tekstovno datoteko zapišite ime, priimek, telefon, naslov in elektronski naslov. 5. Ustvarjenemu tekstovnemu dokumentu ustrezno nastavite pravice deljenja in ga delite z uporabniškim računom dejan.tojnko@gmail.com. 6. Ustvarjen dokument prenesite na namizje v formatu pdf(file>download As>PDF Document(.pdf). 7. Izpišite se iz storitve. 8. V brskalniku odprite spletno stran na naslovu www.cubby.com 9. Razglejte se po spletni strani ponudnika in se registrirajte v spletno storitev. 10. V spletni storitvi ob že obstoječi mapi ustvarite novo z svojim imenom in priimkom. 11. Iz namizja prenesite svojo shranjeno datoteko z imenom ime_priimek.pdf v mapo, ki ste jo ustvarili v oblačni storitvi Cubby. 12. Celotno mapo v spletni storitvi z imenom ime_primek delite z naslovom dejan.tojnko@gmail.com 13. Vpišite se v aplikacijo Cubby nameščeno na računalniku. Sinhronizirajte novo ustvarjeno mapo z imenom vašega imena in priimka, na namizje. Na namizju se pojavi mapa z vašim imenom in priimkom v njej pa je datoteka z vašimi osebnimi podatki ustvarjena v Googlovih dokumentih, ki ste jo shranili v prvem delu naloge. 14. Vrnite se v spletno aplikacijo in v meniju uporabnika poiščite vrstico»devices«, tukaj je spisek naprav, ki so povezane z vašim računom. Ker ste z nalogo zaključili odstranite aplikacijo na računalniku iz povezave z vašim računom. 15. Izpišite se iz spletne storitve. 31
5.8 Navodila za vodje eksperimenta Vodja spremlja sodelujočega v eksperimentu, opazuje ali ima kakšne tehnične težave z izvedbo in pomaga pri morebitnih težavah. Vzdržuje red v prostoru kje se eksperiment izvaja, da ne prihaja do nepotrebnih vplivov, ki bi lahko spremenili rezultate eksperimenta. Zagotavlja delovanje računalnika, naprave za sledenje očem, potrebne programske opreme in delovanje internetne povezave 5.9 Merilni inštrumenti 5.9.1 Naprava za sledenje očem Z napravo za sledenje očem spremljamo točke pogleda pri registraciji, deljenju datotek, prekinjanju povezav z računom. Merimo koliko časa je uporabnik, namenil branju pogojev pri registraciji(v primeru da je odprl povezavo) in prestavitvi storitve, med registracijo. Spremljamo koliko časa in kaj je uporabnik opazoval pri predstavitvi varnosti(v primeru da je odprl povezavo v meniju). Sledimo na kaj je uporabnik najbolj pozoren med izvajanjem naloge na strani ponudnika, ko se izpisuje iz storitve in pri deljenju tekstovne datoteke na strani www.docs.google.com z pomočjo toplotnega zemljevida. 32
Anketa V sklopu raziskave, smo po eksperimentu izvedli anketo. Anketo izpolnjujejo sodelujoči, po izvedbi eksperimenta. Na vprašanja se odgovarja na računalniku in sicer v sklopu programske opreme Morae, katera omogoča tudi predstavitev rezultatov. Z rezultati ankete smo natančneje določili sklepe o zavedanju uporabnikov o varnosti in zasebnosti. Anketna vprašanja: 1. Ali pri izbiri oblačnih storitev bolj zaupate ponudnikom, ki so bolj znani na tem in drugih področjih informatike(npr. Google Drive, DropBox, Apple icloud)? 2. Imate pomisleke glede varnosti in zasebnosti podatkov, ko shranjujete podatke v oblak? 3. Ali vas pri uporabi oblačnih storitev zanima, kje fizično so shranjeni vaši podatki? 4. Ali poznate svoje pravice v primeru, da ponudnik oblačnih storitev izgubi, zlorabi vaše podatke? 5. Bi v oblak shranjevali osebne podatke in podatke, ki so za vas zelo pomembni(osebne finance, osebne fotografije, posnetki,...)? 6. Ste pri uporabi oblačnih storitev že kdaj naleteli na težave? 7. Bi kateremu od ponudnikov storitev v oblaku zaupali varnostno kopiranje vseh vaših naprav storitev, ki jih uporabljate(mobitel, prenosnik, tablica, TV, bančništvo, socialna omrežja, elektronska pošta, slike, video)? 8. Ali veste kakšne vse pravice ima uporabnik z katerim ste delili datoteko na storitvi www.google.docs.com nad deljeno datoteko? 9. Ste imeli kakšne pomisleke, glede tega, da ste morali v datoteko zapisati osebne podatke in jih deliti? 33
5.10 Spremljanje aktivnosti uporabnika Spremljanje možnosti pri prijavi, ali hoče uporabnik ostati prijavljen ali ne. Spremljanje ali je uporabnik pregledoval opis varnosti storitve, ki ga ponuja ponudnik. Spremljanje kaj uporabnik izbere na predelu kjer ga ponudnik sprašuje ali mu lahko pošilja in ga obvešča po elektronski pošti Spremljanje ali uporabnik preveri v spletni storitvi ali je njegova datoteka dokončno izbrisana, po izbrisu datoteke iz računalniške aplikacije Spremljanje ali uporabnik preveri, če so za njim ostale kakšne datoteke, ko se izpiše iz računalniške aplikacije(v tem primeru datoteka z osebnimi podatki, in ustvarjena mapa). 34
6 IZVEDBA IN REZULTATI EKSPERIMENTA 6.1 Predstavitev izvedbe eksperimenta Za izvedbo raziskave smo uporabili računalnik, ekran, miško, tipkovnico, USB WiFi vmesnik in napravo za sledenje očem imenovano EyeGuide, ki jo lahko vidite na Slika 6.1, ter pripadajočo programsko opremo EyeGuide Visualize in Analyze. Za zajemanje zaslonske slike smo uporabili tudi programsko opremo Morae Recorder, Morae Observer in Morae Manager za urejanje posnetkov. Anketa je bila izvedena v sklopu programa Morae. Slika 6.1: Oprema za spremljanje pogleda 35
Na Slika 6.2 vidimo kako pravilno namestiti napravo za sledenje očem na glavo sodelujočega, Slika 6.3 pa prikazuje. Začetek kalibracije, kje nastavimo lečo za spremljanje očesa in usmerimo napravo in s tem glavo sodelujočega, tako da program zajame okvir ekrana in ga pozicioniramo na sredino slike, ki jo zajema kamera na napravi. Slika 6.2: Naprava EyeGuide nameščena na glavi Slika 6.3: Naprava EyeGuide med kalibracijo 36
Slika 6.4 in Slika 6.5 prestavljata nadaljevanje kalibracije, leva Slika 6.4 zazna ekran in poišče točke. Te točke se po nekaj sekundah začnejo prikazovati na ekranu, naloga sodelujočega v eksperimentu je da pogled usmeri v sredino tega kroga, kot je prikazan na Slika 6.4. Slika 6.4: Zaznavanje točk na ekranu Slika 6.5: Pojavljanje krogov za kalibracijo 37
Slika 6.6 prikazuje kalibrirano točko, ki ni pravilno zaznana, če se križa ne pokrivata na točki programska oprema pogleda ne zaznava pravilno. Križec v sredini kroga je točka kjer bi pogled moral biti zaznan, križec izven kroga pa je točka kjer ga bo zaradi nezadostne kalibracije program zaznaval pogled. Slika 6.6: Rezultat napačne kalibracije Kot vidimo se na Slika 6.7 križca pokrivata, kar pomeni, da gre za pravilno kalibracijo. Slika 6.7: Rezultat pravilne kalibracije Zaradi tehničnih težav z programsko opremo naprave za sledenje očem EyeGuide, nam ni uspelo prenesti vseh posnetkov iz naprave. Za analizo posnetkov smo uporabili 9 posnetkov iz naprave EyeGuide in 12 posnetkov iz programske opreme Morae, ter vseh 12 anket. Opravili smo natančen pregled vseh posnetkov in izluščili podatke, ki smo jih potrebovali za rezultate raziskave. Rezultati in izsledki bodo predstavljeni v nadaljevanju. Da bi dobili smiselne rezultate smo združili izsledke iz programske opreme EyeGuide in Morae. 38
Slika 6.8 prikazuje toplotni zemljevid, katerega ustvari programska oprema iz podatkov, ki jih prejme iz naprave za spremljanje pogleda. Z pomočjo tovrstne prezentacije podatkov, lahko razberemo, kam je uporabnik usmerjal pogled med izvajanjem nalog in tako ugotovimo na kak način je prišel do povezav na katere je klikal, kako dolgo je razmišljal ali bo kliknil povezavo in na kaj je bil pozoren. Slika 6.8: Toplotni zemljevid 39
Nekatere sodelujoče smo med izvedbo spremljali tudi preko spletne kamere, ki jo programska oprema Morae združi z posnetkom, kot je prikazano na Slika 6.9. Slika 6.9: Zaslonska slika posnetka iz Morae 6.2 Predstavitev rezultatov Pri izvedbi smo bili še posebej pozorni na kaj se uporabnik koncentrira, pri delih nalog, ki vključujejo elemente varnosti in zasebnosti. Prva opazovana točka naj bi tako bila prijava in registracija v storitev Google Dokumenti, kjer so se vsi uporabniki vpisali že z obstoječim računom, ker pri navadni prijavi v storitev ni posebnih točk katere bi vplivale na uporabnikovo zavedanje o varnosti ali zasebnosti, tukaj nismo pridobili posebej zanimivih rezultatov, razen tega, da so se vsi sodelujoči iz storitve po opravljenem delu tudi izpisali, kar pomeni, da se zavedajo privatnosti računa do neke mere. Naslednja naloga sodelujočega je bila, da ustvari novo tekstovno datoteko in v njo zapiše osebne podatke. Vsi so podatke brez pomislekov vpisali, vendar po pregledu ankete smo ugotovili, da so le trije od dvanajstih sodelujočih, na vprašanje ali so imeli pomisleke glede vpisa osebnih podatkov odgovorili, da niso imeli pomislekov, trije so odgovorili, da so imeli pomisleke, ostali pa so izbrali da niso imeli pomislekov, ker gre za raziskavo. Delitev datoteke je bil naslednji korak, pri katerem smo opazovali, kakšna pozornost bo namenjena nastavitvam deljenja datoteke. Sodelujoči po večini niso polagali pozornosti na 40
dodatne nastavitve, kliknila in pregledala dodatne nastavitve sta samo dva dodelujoča, njun povprečni čas dejanj je prikazan v Graf 6.1. Samo eden od dveh pa je po pregledu dejansko spremenil nastavitve. Graf 6.1: Povprečen čas, dejanj pri izvedbi naloge Z deljenjem in shranjevanjem datoteke, je bil končan prvi del nalog. V drugem delu nalog se je sodelujoči vpisal v storitev Cubby. Čeprav gre za manj znano storitev, pa je ponudnik storitve LogMeIn, ki se izkaže, da ponuja tudi nekaj drugih storitev, na katere so štirje od sodelujočih že prijavljeni. Kot smo ugotovili iz posnetkov večina od njih ni bila pozorna na pogoje uporabe storitve. Med vsemi sodelujočimi, ki so si ustvarili račun na tej storitvi je samo ena sodelujoča odprla in preleta pogoje uporabe storitve. 41
Naslednja točka na katero smo bili pozorni je pregled predstavitve varnosti in funkcij storitve. Samo štirje od sodelujočih so si vzeli čas za pregled predstavitve ali varnosti. Povprečni časi v Graf 6.2 dokazujejo, da če uporabnik pregleda spletno stran ponudnika, si ne vzame veliko časa in jo le preleti. Graf 6.2: Povprečen čas dejanj pri izvedbi nalog pri storitvi Cubby Samo ena sodelujoča, pri registraciji odprla in pregledala pogoje uporabe. V Graf 6.3 je časovno prikazano, kako je sodelujoča ob registraciji prišla do pogojev uporabe in koliko časa je porabila za pregled. Graf 6.3: Čas izvedbe pregleda pogojev uporabe 42
Kot naslednja opazovana točka, je uporabnikov vpis v namizno aplikacijo. Med vpisom v aplikacijo, se prikaže predstavitev v kateri so opisane osnovne funkcije. Tukaj nas je zanimalo ali je uporabnik pozoren na predstavitev, saj če uporabnik ne pozna kako aplikacije deluje ne more biti seznanjen z privatnostjo in varnostjo njegovih podatkov. Na primer, če uporabnik ni seznanjen z sinhronizacijo med računom in vsemi napravami, lahko pusti napravo prosto dostopno in tako lahko dostopajo tudi osebe katere nimajo pravice do datotek, brez vednosti lastnika. V Graf 6.4 je predstavljeno koliko časa je sodelujoči porabil za pregled predstavitve. Graf 6.4: Čas pregleda predstavitve namizne aplikacije 43
V Graf 6.5 je prikazan povprečen čas vseh opazovanih točk v zaporedju, kot so jih sodelujoči izvajali. V povprečje so vzeti, časi vseh, kar pomeni, da če kandidat na primer ni pregledal varnostne nastavitve je bil njegov čas nič. Do sedaj predstavljeni grafi z povprečnimi časi, pa prikazujejo povprečne čase dejanj, sodelujočih, ki so dejanja dejansko izvedli. Kar pomeni, da smo na primer vzeli povprečje sodelujočih ki so pregledali predstavitev varnosti in nismo šteli čase vseh sodelujočih. Graf 6.5: Povprečen čas vseh točk, ki smo jih opazovali 44
Kot zadnja opazovana točka je brisanje povezave med napravo in spletnim računom na storitvi Cubby. Storitev omogoča, da uporabnik prekine povezavo z napravo, kar vključuje tudi namizno aplikacijo v katero se je sodelujoči med izvedbo vpisal. Graf 6.6 predstavlja rezultate moških anketirancev, Graf 6.7 pa rezultate ženskih anketirank. Graf 6.6: Brisanje datotek ob prekinitvi povezave z računom, rezultat moških Graf 6.7: Brisanje datotek ob prekinitvi povezave z računom, rezultat ženske 45
Rezultati ankete Rezultati ankete bodo predstavljeni v naslednjih grafih, za vseh 12 sodelujočih in ne bodo deljeni po spolu. 1. Ali pri izbiri oblačnih storitev bolj zaupate ponudnikom, ki so bolj znani na tem in drugih področjih informacijskih tehnologij(npr. Google Drive, DropBox, Apple icloud)? Odgovori na prvo vprašanje, predstavljeni v Graf 6.8, so pokazali da sodelujoči v anketi po veliki večini bolj zaupajo znanim ponudnikom oblačnih storitev. To potrjuje tudi podatek, da so vsi sodelujoči že imeli ustvarjen uporabniški račun v storitvi Google Dokumentih v storitvi Cubby pa le štirje. Graf 6.8: Rezultat prvega vprašanja ankete 46
2. Imate pomisleke glede varnosti in zasebnosti podatkov, ko shranjujete podatke v oblak? Kot prikazuje Graf 6.9 večina sodelujočih ne zaupa v oblačne storitve, nekaj pa jih tovrstnih storitev ne uporablja Graf 6.9: Rezultat drugega vprašanja ankete 3. Ali vas pri uporabi oblačnih storitev zanima, kje fizično so shranjeni vaši podatki? Graf 6.10 prikazuje da večina anketirancev ne zanima, kje so shranjeni njihovi podatki, kar je lahko povezano s tem da zaupajo ponudnikom katerih storitve uporabljajo. Graf 6.10: Rezultat tretjega vprašanja ankete 47
4. Ali poznate svoje pravice v primeru, da ponudnik oblačnih storitev izgubi, zlorabi vaše podatke? Iz Graf 6.11 je razvidno da večina sodelujočih, ki uporabljajo oblačne storitve nebi vedela kako ukrepati v primeru, da pride do zlorabe ali izgube njihovih podatkov. Graf 6.11: Rezultat četrtega vprašanja ankete 48
5. Bi v oblak shranjevali osebne podatke in podatke, ki so za vas zelo pomembni(osebne finance, osebne fotografije, posnetki,...)? Že rezultati prejšnjih grafov kažejo da manjšina sodelujočih, bolj zaupa oblačnim storitvam kot ostali. Tako je tudi iz Graf 6.12 razvidno, da sodelujoči po večini nebi zaupali osebnih in drugih pomembnih podatkov oblačni storitvi. Graf 6.12: Rezultat petega vprašanja ankete 6. Ste pri uporabi oblačnih storitev že kdaj naleteli na težave? Večina, ki uporablja oblačne storitve, kot je razvidno iz Graf 6.13 nima težav z uporabo. Graf 6.13: Rezultat šestega vprašanja ankete 49
7. Bi kateremu od ponudnikov storitev v oblaku zaupali varnostno kopiranje vseh vaših naprav storitev, ki jih uporabljate(mobitel, prenosnik, tablica, TV, bančništvo, socialna omrežja, elektronska pošta, slike, video)? V sedmem vprašanju smo spraševali podobno kot v petem, po Graf 6.14 vidimo, da so rezultati zelo podobni. Predvidevamo, da uporabniki vseeno že koristijo nekatere oblačne storitve, ki so naštete v vprašanju. Glede na to, da smo iz pregleda posnetkov ugotovili, da imajo vsi sodelujoči že ustvarjen Googlov račun, predvidevamo, da uporabljajo isti račun na mobilnih napravah, kar pomeni, da verjetno uporabljajo sinhronizacijo in s tem kopiranje, stikov, slik in podobno v oblak. Graf 6.14: Rezultat sedmega vprašanja ankete 50
8. Ali veste kakšne vse pravice ima uporabnik z katerim ste delili datoteko na storitvi www.google.docs.com nad deljeno datoteko? Večina sodelujočih, kot vidimo v Graf 6.15 ni vedela s kakšnimi pravicami je delila datoteko. Glede na čas porabljen za pregled nastavitev je število pozitivnih odgovorov precej visoko, razlog za to je verjetno, da so poznali le osnovno pravico, ki je pred nastavljena. Niso pa prepoznali nastavitev, ki se nahajajo pod dodatnimi nastavitvami. Graf 6.15: Rezultat osmega vprašanja ankete 51
9. Ste imeli kakšne pomisleke, glede tega, da ste morali v datoteko zapisati osebne podatke in jih deliti? Med raziskavo, ni nihče od sodelujočih izrazil zaskrbljenosti glede vpisa osebnih podatkov. Iz Graf 6.16 je razvidno, da bi večina verjetno imela pomisleke, če nebi šlo za raziskavo. Graf 6.16: Rezultat devetega vprašanja ankete 52