Anonimowość w sieci pozytywne i negatywne strony

[bezpieczny.rodryg]

W innych wątkach piszecie o różnych sposobach na anonimowość w sieci, ale czy w każdym przypadku jest ona korzystna. Sądzę, że jeśli chodzi o możliwość identyfikacji miejsca zamieszkania i innych naszych danych osobowych ważne jest, żeby pozostać anonimowym aby nie narobić sobie problemów, ściągnąć na siebie kłopotów. Jednak wyobraźmy sobie, że mamy firmę o której ktoś anonimowo wypisuje bzdury w internecie np. na jakich forach, niszcząc nam tym samym reputacje i pozbawiając klientów, co wtedy? jak poradzić sobie z tą sytuacją namierzyć tą osobę udowodnić, że jest np. naszym konkurentem i specjalnie działa na naszą niekorzyść. Kolejnym przykładem może być np. pracownik tej naszej firmy który również anonimowo 'wyprowadza" do internetu ważne dane dotyczące tej firmy, ważne jest wtedy, żeby wiedzieć kto to i żeby właściwa osoba poniosła konsekwencje swojego zachowania. Co myślicie na ten temat? Może przychodzą wam do głowy pomysły na pozytywne i negatywne aspekty anonimowości w sieci? i jak sobie radzić z tymi negatywnymi?

[Mad_Dud]

Bardzo fajny temat.

Pozytywy:

• prywatność (złudna),

Negatywy:

• skłania ku przestępstwom internetowym (poczucie bezkarności),
• zmienia zachowanie i ma wpływ na podejmowane decyzje(Anonymity & Behavior Change : Greg Laden's Blog, https://en.wikipedia.org/wiki/Anonym..._user_behavior)
• obniżenie wydajności - rozwiązania wspierające anonimowość (szyfrowanie) wymagają dodatkowych nakładów mocy obliczeniowej i przesyłu danych, nie wspominając już o dodatkowych czynnościach wymaganych ze strony użytkownika

[blablabla]

Z jednej strony Internet jest symbolem wolności. Jednak patrząc z innej perspektywy Internet aż czai się od niebezpieczeństw!
Dlatego walcząc o wolność Internetu, nie można zapominać o tym, że z Internet może być wykorzystywany nie tylko do dobrych celów.
Jak zapobiec wyciekaniu informacji z firmy? Może wystarczy te najważniejsze informacje udostępniać tylko zaufanym pracownikom? A może należy przyjąć bardziej rygorystyczne środki i założyć filtry na maile? Albo jeszcze gorzej przeglądać pocztę pracowników?
W interesie nas wszystkich jest, aby jednak anonimowość w sieci była ograniczona. Być może powinny istnieć specjalne służby, które mogłyby sprawdzić, z jakiego nr IP, kto konkretnie, skąd wysłał jakąś wiadomość, dokonał jakieś transakcji itd.

[Arnold]

Jestem laikiem w tej dziedzinie, więc postaram się to rozłożyć.
Według mnie na ten temat można patrzeć z dwóch stron, jako użytkownik:

Pozytywne Strony:
- Poczucie wolności, że wszystko możemy ( może to być również w negatywnych stronach w stosunku do innych użytkowników)
- Wirtualni znajomi,
- Możliwość wypowiedzenia się bez żadnych konsekwencji na tematy nas drażniące, lub własnie negatywna ocena źle prosperujących firm itd.

Negatywne Strony:
- Możemy nie być branymi poważnie pod uwagę,

Jako postępowanie innych użytkowników:

Pozytywne strony:
- dobre oceny naszych działań, <feedback>

Negatywne Strony:
- Nigdy nie wiemy kto siedzi po drugiej stronie,
- Czy ta osoba ma jakieś dane na nasz temat,
- Poczucie bezkarności,
- Naciąganie niektórych zdarzeń przez osoby uważające się za poszkodowane, co oczernia nas i firmy, w których pracujemy.

Podsumowując dla nas ze strony innych użytkowników może być to pewnego rodzaju zagrożenie.

[Maurycy31]

Uważam ,że najlepszą odpowiedzią na złą opinię w sieci nt. jakiejś firmy są oceny przez innych użytkowników internetu... To będzie najbardziej wiarygodne.Nieświadome nagłośnienie związane z szukaniem winowajcy przez firmę może jej przysporzyć przypadkowo black PR- po przez naświetlenie problemu... Za 2 miesiące ludzie nie będą pamiętać o winowajcy tylko ,że w tej firmie były jakieś problemy...
filtr na maila ? ludzie są wystarczająco kreatywni, że jeśli będą chcieli z pewnością go ominą.. szkoda siły i pieniędzy...
Faktycznie poufne informacje powinny zostać wśród zaufanego staff-u... PZdr.

[TQM]

1. Poufne informacje powinny pozostac poufne i udostepniane tylko tym ktorzy maja uzasadniona potrzebe aby wiedziec... a za przekazanie danych dalej pracownicy powinni dostawac natychmiastowe dyscyplinarki.
2. Co do komentowania - lista exit-node'ow TORa jest publiczna... lista anonimowych proxy tez jest do znalezienia - blokujesz je na stronach firmy i nie przyjmujesz od nich wpisow - problem anonimowosci odpada...
3. Inne rozwiazania to wymaganie potwierdzenia adresu email zanim przyjmiesz wpis (wiesz przynajmniej kto wpisal) albo zwyczajna moderacja gdzie firma musi zatwierdzic - choc to nie jest wskazane...

[bezpieczny.rodryg]

Bardzo słusznie zauważyliście, że możliwość anonimowości w sieci sprzyja wyciekom informacji z firmy. Przecież gdyby pod każdym wpisem, wysłanym e-mailem trzeba się było podpisać imieniem i nazwiskiem, a nie wymyślonym nickiem, nikt nie dopuściłby się się takiego postępowania z obawy na konsekwecje. Trzeba wobec tego próbować zapobiegać tym sytuacjom, może właśnie tak jak proponujecie poprzez udostępnianie ważnych informacji tylko osobom, które muszą to wiedzieć. Jak to osiągnąć? Może poprzez wprowadzanie i stosowanie w firmach odpowiedniej polityki bezpieczeństwa.
Np. norma PN-ISO/IEC 17799 Technika informatyczna, Techniki bezpieczeństwa, Praktyczne zasady zarządzania bezpieczeństwem informacji zaleca nam własnie prowadzenie kotroli dostępów. W punkcie 11.1.1 tej normy jest napisane: "zaleca się, aby zasady kontroli dostępu oraz prawa każdego użytkownika lub grupy użytkowników byly jasno określone w polityce kontroli dostępu. Zabezpieczenia dostępu mogą byc zarówno logiczne jak i fizyczne, lecz zaleca się ich wspólne traktowanie...Zaleca się aby polityka uwzględniała następujące zagadnienia:
- wymagania bezpieczeństwa pojedynczych aplikacji biznesowych,
- identyfikację wszystkich informacji związanych z aplikacjami biznesowymi oraz ryzyk, na które te informacje mogą być narażone,
- politykę rozpowszechniania informacji i przyznawania uprawnień, np. zgodnie z zasadą wiedzy koniecznej oraz poziomami bezpieczeństwa i klasyfikacją informacji,
- standardowe profile praw dostępu w organizacji dla użytkowników na typowych stanowiskach,
- wymaganie formalnej autoryzacji wniosku o przyznanie dostępu"
Jak sądzicie czy wiele firm stosuje się do tych zasad? czy są to wystarczające wytyczne aby zapobiec wyciekowi poufnych informacji?

Wracając do tej anonimowości i tego, że zmienia ona nasze zachowanie, być może na bardziej otwarte, odważne, jak odniesiecie się do tego, że nawet tu na forum chcemy być anonimowi i używamy nicków?

[Mad_Dud]

Jak sądzicie czy wiele firm stosuje się do tych zasad? czy są to wystarczające wytyczne aby zapobiec wyciekowi poufnych informacji?

Specyfikacja zabezpieczania danych musi być aktualizowana na bieżąco i dostosowywana do zmieniających się warunków (nowe osie ataku, nowe urządzenia, nowe usługi). Jednak polityka prywatności nawet jeśli perfekcyjna, nie gwarantuje skutecznej ochrony. Słabym punktem są ludzie, którzy nie stosują się do tych zasad i zaleceń.

Przecież gdyby pod każdym wpisem, wysłanym e-mailem trzeba się było podpisać imieniem i nazwiskiem, a nie wymyślonym nickiem, nikt nie dopuściłby się się takiego postępowania z obawy na konsekwecje.

Dlaczego nie? Duże, szanujące się firmy uniemożliwiają wewnętrzną komunikację bez szyfrowania i podpisu kluczem prywatnym.

Trzeba wobec tego próbować zapobiegać tym sytuacjom, może właśnie tak jak proponujecie poprzez udostępnianie ważnych informacji tylko osobom, które muszą to wiedzieć. Jak to osiągnąć? Może poprzez wprowadzanie i stosowanie w firmach odpowiedniej polityki bezpieczeństwa.

Edukacja pracowników idąca w parze z prawidłową implementacją bezpieczeństwa w metodzie bottom-up.

Jak sądzicie czy wiele firm stosuje się do tych zasad?

Firmy nie mają wyboru. Inaczej nie otrzymaliby kontraktów rządowych lub nie przeszliby pierwszych audytów.

Wracając do tej anonimowości i tego, że zmienia ona nasze zachowanie, być może na bardziej otwarte, odważne, jak odniesiecie się do tego, że nawet tu na forum chcemy być anonimowi i używamy nicków?

Przede wszystkim - nie jesteś anonimowa. Jak się odnosimy do tego? Codzienność.

[nezka]

Zdecydowanie zgadzam się z Arnoldem - można to rozłożyć na dwa punkty widzenia. Chociaż może pokusiłabym się jeszcze o trzeci punkt - prawo. Bo co jeśli dla mnie - użytkownika - i moich znajomych - innych użytkowników - rozpowszechnianie w sieci np. prywatnych informacji z firmy, danych osobowych ex-chłopaka, etc. nie jest niczym złym .. ? Kwestia jest bardzo dyskusyjna, wydaje mi się, że pod uwagę trzeba wziąć moralność, wychowanie, zasady etyczne..ok, każdy jest inny i każdy zachowa się inaczej, tylko sieć jest takim 'światem', w którym te cechy zanikają.

Dla mnie pozytywną stroną na pewno jest po prostu sam fakt anonimowości - nikt nie wie co, jak i gdzie, mogę być każdym. A pozytywne - niestety też anonimowość - tak jak ja nie mam złych zamiarów, tak nie mam pojęcia, czy ktoś po drugiej stronie ich nie ma... Z tym się ściśle wiąże kwestia dobra ogółu, czy jednostki.

Wydaje mi się, że anonimowość w sieci ok, ale tylko z odpowiednim prawem, przepisami, sankcjami w związku z tymi, którzy anonimowość wykorzystują do 'niecnych' celów.

[TQM]

Blad - jesli masz prawdziwa anonimowosc w sieci to nie jestes w stanie wprowadzic w zycie sankcji, bo niby w stosunku do kogo?

Co do pytan o ISO 1799 - teoria teoria i jeszcze raz teoria (dla jasnosci, pracowalem pare lat temu w jednostce certyfikujacej systemy ISO, wiec znam temat dosc dobrze - w normach ISO spedzilem 4-5 lat w sumie)... bo norma to wytyczne - lista punktow ktore sa sprawdzane w czasie audytu a nie cos co daje faktyczne bezpieczenstwo. Owszem, te elementy sa wazne - tak jak Mad_Dud podal ciagla ewaluacja dostepu i polityki rozpowszechniania informacji - to przeciez cykl PDCA, nic wiecej, nic trudnego... a zycie i tak koryguje sytuacje udowadniajac w chyba wiekszosci przypadkow ze PDCA tez jest malo osiagalny (czas realizacji 1 pelnego cyklu) w wiekszosci organizacji, bo zawsze jest cos wazniejszego do zrobienia... a to czego nie ma na papierze nie istnieje :-)
Problem polega na tym, ze jak dobra by ta polityka nie byla, to nie przetrwa zderzenia z rzeczywistoscia - jak tylko wprowadzisz polityki i procedury to zostana one rozmyte przez odchylenia w postepowaniach zgodnych z procedura. Porzadek trzeba robic, chaos robi sie sam - nie mozna dac scislych granic co i jak mozna zrobic, bo biznes przyjdzie z zapotrzebowaniem na X (np wyjatek - dostep do danych na czas okreslony dla osobny ktora miec dostepu nie powinna normalnie - np zewnetrzy audyt finansowy/prawny/itd) - nie ma tego w polityce/procedurze/instrukcji? No to idz napisz nowa...

Z praktycznego punktu widzenia:
- jesli pracownik chce wyniesc dane, to wyniesie... dlatego zapobieganie jest idealne ale detekcja to juz przymus
- nie ma czegos takiego jak 'zaufany pracownik' ktoremu mozna udostepnic dane, sa tylko mniej lub bardziej indywidualne przypadki - albo musi miec dostep albo nie musi, tak/nie - innej drogi nie ma
- technika jest jedynie narzedziem i to nie narzedzie jest problemem, tylko jego uzytkownik
- co do anonimowosci ogolnie i ukrywania sie pod nickami - ja nie uzywam na forum swojego prawdziwego imienia i nazwiska z lenistwa i przyzwyczajenia ale tez nie ukrywam ich w zaden specjalny sposob - ot jest jak jest