Nominace na cenu Big Brother Awards není seriozní
Nevládní organizace Iuridicum Remedium nominovala hl. m. Prahu na cenu Big Brother Awards, kterou uděluje v soutěži o to, kdo nejvíce zasahuje do soukromí občanů. Hl. m Praha odmítá, že by projekt karty Opencard, který realizuje Magistrát hl.m. Prahy, ohrožoval soukromí občanů. Má za cíl zvyšovat kvalitu služeb poskytovaných hlavním městem Prahou a partnery projektu obyvatelům a návštěvníkům Prahy. V současné době je projekt, jehož veřejný provoz byl zahájen 12.4.2007, ve zkušebním provozu, který je plánován do konce letošního září. Jeho součástí je i ověření technických, procesních a organizačních prvků tak, aby byl další rozvoj a provoz systému maximálně efektivní, bezpečný a zajišťoval poskytování kvalitních služeb pro uživatele opencard.
- 4 minuty čtení
Nevládní organizace Iuridicum Remedium nominovala hl. m. Prahu na cenu Big Brother Awards, kterou uděluje v soutěži o to, kdo nejvíce zasahuje do soukromí občanů. Hl. m Praha odmítá, že by projekt karty Opencard, který realizuje Magistrát hl.m. Prahy, ohrožoval soukromí občanů. Má za cíl zvyšovat kvalitu služeb poskytovaných hlavním městem Prahou a partnery projektu obyvatelům a návštěvníkům Prahy. V současné době je projekt, jehož veřejný provoz byl zahájen 12.4.2007, ve zkušebním provozu, který je plánován do konce letošního září. Jeho součástí je i ověření technických, procesních a organizačních prvků tak, aby byl další rozvoj a provoz systému maximálně efektivní, bezpečný a zajišťoval poskytování kvalitních služeb pro uživatele opencard.
K informacím, v textu vyznačeným jako citáty z článku zveřejněném na serveru idnes.cz po tiskové konferenci organizace Iuridicum Remedium, Magistrát hl. m. Prahy uvádí následující fakta:
"Údaje na kartě totiž může číst bez vědomí jejího držitele prakticky každý. Neanonymizovaná karta navíc umožňuje zúčastněným firmám shromažďovat informace o nákupních zvyklostech jednotlivých zákazníků."
Toto tvrzení není pravdivé. Informace na kartě jsou chráněny systémem nezávislých klíčů v souladu se specifikací MIFARE Standard společnosti Philips. Tento typ karet je užíván po celém světě s počtem vydaných karet přes 200 miliónů kusů.
Shromažďování informací o nákupních zvyklostech jednotlivých zákazníků není možné, neboť služby jsou poskytovány buď anonymně (tedy bez přístupu k informacím o držiteli karty), což je příklad bezhotovostní úhrady parkování nebo jimi disponuje pouze poskytovatel služeb na základě samostatné smlouvy s jejich uživatelem – jako je tomu v případě Městské knihovny v Praze, kde lze kartu také používat.
Projekt za 100 milionů korun
Uvedená částka je součástí nákladů na zkušební provoz a nebyla v tomto rozsahu zatím investována.
"Projekt nebere ohledy na ochranu osobních údajů Pražanů," zdůraznil Filip Pospíšil z nevládní organizace Iuridicum Remedium. "Jméno, datum narození a pohlaví držitele si může bez jeho vědomí a na dálku přečíst v podstatě kdokoliv," dodal. "Navíc služby, které byly občanům dříve poskytovány anonymně, jako například placení za parkovné, budou nyní spojené se jménem. Firmy tak mohou sledovat chování jednotlivých zákazníků," varoval Pospíšil.
Jedním z významných faktorů, který je brán v projektu v úvahu, je právě ochrana osobních údajů držitelů karet. Uvedené informace jsou na kartě zapsány v souladu s MIFARE Standard pro zajištění interoperability mezi různými systémy, zejména v oblasti dopravy, v souladu s jinými projekty čipových karet v ČR.
Služby jsou nadále poskytovány anonymně bez vazby na údaje o držiteli karty, pokud je vlastní služba nevyžaduje. Placení parkovného tedy není spojeno se jménem a není možné sledovat chování zákazníků. Informace o poskytovaných službách navíc nejsou a ani nebudou poskytovány žádným třetím stranám.
Údaje o jméně, pohlaví a datu narození držitele karty jsou dostupné prakticky každému, kdo zná komunikační rozhraní karet typu MIFARE. Pro útok ze vzdálenosti několika centimetrů lze použít zařízení běžně dostupná na internetu. Použité rádiové vlny bez problémů procházejí oděvem, koženými předměty, takže čtení je možné provádět nepozorovaně v davu tvořícím se běžně v prostředcích MHD, restauracích, klubech, atp.," upozornil kryptolog Rosa.
Toto je značné zjednodušení velmi teoretické možnosti přečtení informací uložených na kartě, které je v praxi naprosto nepravděpodobné.
U projektu opencard je bezpečnost dat i systému brána velmi zodpovědně, což dokládá i skutečnost, že je v současné době realizována studie bezpečnosti opencard. Na základě výstupů této studie může dojít k doplnění používaných technologií či bezpečnostních postupů tak, aby byla kontinuálně zajištěna maximální bezpečnost uživatelů služeb opencard.
V rámci zkušebního provozu jsou bezpečnostní parametry karet, aplikací i celého systému testovány tak, aby v rámci dalšího rozšiřování a provozu byla zajištěna maximální dostupná bezpečnost.
Konstruktivní diskusi mezi odborníky vítáme. Je však poněkud neobvyklé, aby byl odborníkem na kryptologii zveřejňován například způsob zabezpečení, jako tomu bylo v případě poskytnuté a zveřejněné informace o zabezpečení biometrických pasů. Udělování uvedené ceny i dalšími rysy připomíná spíše hledání senzací, než korektní snahu o ochranu soukromí občanů.
Jiří Wolf
Tiskový mluvčí MHMP
V Praze 12.6.2007