KYBcast - podcast NPI ČR

Microsoft, Google ale i další velké IT firmy jsou známy tím, že sbírají a vyhodnocují uživatelská data. Jak je to u systémů jako Google Classroom či Microsoft Teams ve školách?

Show Notes

Tento článek rozdmýchal obavy o soukromí dětí: https://www.irozhlas.cz/zpravy-domov/data-soukromi-google-microsoft-gdpr-sledovanu-usa_2208290600_cib

Nicméně je v něm několik věcí, které nám přišly nepřesné, a tak jsme se v podcastu rozhodli uvést je na pravou míru. V titulku se píše, že "Zahraniční úřady zakazují školní služby od Google a Microsoftu". To není tak docela pravda – aktuálně víme jen o aktivitě Stefana Brinka, německého komisaře pro ochranu osobních údajů, který zakázal tyto produkty používat v několika spolkových zemích. Jiné země, jako třeba
v článku zmiňované Dánsko, se snaží služby využívat anonymně – děti tam nemají účty pod vlastními jmény, ale pod číselnými identifikátory atd.

Rozhodně se tedy nejedná o nějakou masovou akci, jak by z titulku mohlo znít, ale spíše o ojedinělé aktivity.

Věcně se k problematice vyjádřil i Kamil Kopecký z Univerzity Jana Palackého v Olomouci a projekt E-bezpečí.cz: https://www.facebook.com/kamil.kopecky/posts/10221728295579487

Citujeme :
Médii teď letí zprávy zaměřené na obavy o soukromí uživatelů služeb firem Microsoft a Google např. v oblasti vzdělávání, především pak obavy ze zneužití osobních údajů dětí. K tomu pár poznámek:

👉 Chování uživatelů sledují naprosto všichni provozovatelé velkých softwarových systémů, ve kterých se pohybují lidé. Je to z řady důvodů, počínaje bezpečností systému jako takového (tj. odhalování chyb, bugů, problémů se zabezpečením, řešení incidentů), optimalizací systému (jak se chová systém při zátěži, jak moc padá, nepadá, když tam naráz pustíme třeba milion lidí), marketingových důvodů (sledujeme chování, ať můžeme přesněji servírovat reklamu), z důvodů testování nových nástrojů (nástroje se prostě musí otestovat na živých lidech), z důvodů zálohování práce (dokument zálohujeme v čase) apod. Sbírání dat a práce s nimi je prostě naprosto běžná. A asi byste všichni chtěli, aby když se vám nějaký dokument poškodí, tak ať ho dokáže Microsoft či Google obnovit a vrátit zpět jeho předchozí verzi. Pokud prostě chceme, aby byly služby bezpečné, musíme dát jejich provozovatelům šanci sbírat data.

👉 Důležité je, co s našimi daty velcí hráči dělají, je to především o důvěře. Prodá Google či Microsoft mé dokumenty - třeba interní data z výzkumů či kazuistik – nějaké jiné straně? Ukradne mi můj prototyp či geniální vědecký objev? Prodá osobní údaje mých žáků někomu jinému? Riskne to, aby profitoval? To skutečně pochybuji. Protože kdyby skutečně došlo k této situaci a dozví se o tom veřejnost (např., že Microsoft prodal osobní informace o dětech nějaké marketingové agentuře), tak prostě v oblasti školství skončí. K velkým hráčům lidé chodí proto, protože jim věří, protože jsou uživatelsky přívětiví, protože jsou bezpeční, protože mají systém podpory (především komunitu) a protože jsou jejich nástroje z větší části zadara.

👉 Za mě je daleko větší šance, že data žáků či učitelů uniknou prostřednictvím slabého zabezpečení účtu (slabé univerzální heslo) nebo třeba toho, že se uživatel zapomněl odhlásit, nebo prostě učitel tabulku s osobními údaji žáků nahrál někam na své webovky..., než proto, že osobní údaje Microsoftu či Google někdo z databází ukradne, nebo je snad MS či Google prodá třetím stranám. Proč by to proboha takto velcí hráči dělali? Jejich bussiness přece stojí na naprosto jiných principech, z nichž velmi důležitý aspekt je důvěryhodnost.

👉 Diskuse o soukromí je určitě důležitá, plného soukromí ale na internetu nedosáhneme (pokud snad všichni nebudeme někde za TORem a ani tam to není stoprocentní). A open nástroje nás fakt nezachrání.

A například Microsoft má v podmínkách MS Teams pro školy uvedené toto:

V případě produktů Microsoft poskytovaných vaší školou K-12, včetně Microsoft 365 Education, bude Microsoft postupovat následovně: 
  • nebude shromažďovat ani používat osobní údaje studentů nad rámec těch, které jsou potřebné pro oprávněné vzdělávací nebo školní účely; 
  • nebude prodávat ani pronajímat osobní údaje studentů; 
  • nebude používat ani sdílet osobní údaje studentů pro reklamní nebo podobné komerční účely, jako je behaviorální cílení reklam na studenty; 
  • nebude vytvářet osobní profily studentů, s výjimkou podpory oprávněných vzdělávacích nebo školních účelů nebo na základě svolení od rodičů, opatrovníků nebo studentů, kteří dosáhli požadovaného věku; a 
  • bude požadovat, aby naši dodavatelé, s nimiž jsou osobní údaje studentů sdíleny za účelem poskytování vzdělávacích služeb, pokud takové dodavatele budeme využívat, plnili stejné závazky týkající se osobních údajů studentů.
Spíše máme obavy, aby alespoň takové záruky, jako poskytují tito technologičtí obři, poskytovali i lokální provideři, kteří školám dodávají jejich systémy. 


Creators & Guests

Editor
Pavel Matějíček
Geek, blogger, TikToker a nadšenec do IT bezpečnosti.
Editor
Václav Maněna
Učitel, lektor, ajťák, jůtůber a podcaster :-)

What is KYBcast - podcast NPI ČR?

Kybernetická bezpečnost pro učitele, ICT koordinátory a metodiky. Jednoduše, prakticky a srozumitelně s Václavem Maněnou, Pavlem Matějíčkem a hosty.

KYBcast vzniká v rámci Národního plánu obnovy, financování Evropskou unií – Next Generation EU