Blog

Zajímavosti a postřehy ze světa i z MoyaZone.

Strategie řízení digitální stopy pro jednotlivce i organizace

– Vytvořil/a

Olga Pincová

v kategorii

Tato konzultační hodina by se také klidně mohla jmenovat „Digitální stopa: Kompletní průvodce ochranou vašeho soukromí online i offline“. Vladimír Jeřábek z MHM computer a.s. nejen že jasně vysvětlil, jaké typy digitálních stop po sobě zanecháváme, ale především poskytl praktické návody, jak s digitální stopou pracovat.

Celé vysílání si můžete pustit na videu. Pod videem pak naleznete i naše zápisky pro ty, kdo nemají čas sledovat celé video.

Webinář neposkytuje návod, jak skrývat nelegální činnost, ale jak udržet sebe a své soukromí v bezpečí.

Vladimír Jeřábek je cyber security manager, CISO, expert na kybernetickou bezpečnost a řízení bezpečnostních strategií. Je to zkušený odborník v oblasti kybernetické bezpečnosti s více než 20 lety praxe v řízení bezpečnostních strategií, ochraně kritických systémů a implementaci bezpečnostních opatření ve státní i soukromé sféře. Má dlouholeté zkušenosti v bezpečnostní komunitě České republiky, kde se specializoval na ochranu informací, kybernetickou bezpečnost a kryptografii. Také se podílel se také na tvorbě významných bezpečnostních standardů ve spolupráci s NÚKIBem a Ministerstvem vnitra České republiky. V současnosti působí jako cyber security manager a CISO ve společnosti MHM Computer, kde se zaměřuje na strategické řízení kybernetické bezpečnosti, implementaci ISMS a školení.

Proč je digitální stopa důležitá?

Žijeme ve světě, kde generujeme obrovské množství dat každým okamžikem. Chytré telefony, webové stránky, platební systémy, bezpečnostní kamery – je téměř nemožné projít Prahou bez toho, abyste byli někde zachyceni. Tyto informace jsou sbírány, vyhodnocovány a používány k marketingu, profilování a bohužel i k manipulaci. Ztráta kontroly nad vašimi daty může znamenat ztrátu identity.

Co je digitální stopa?

Digitální stopa je vše, co o sobě zanecháváme ve světě nul a jedniček. Každé kliknutí na webovou stránku, každé přihlášení, zvednutí telefonu, použití chytrých hodinek nebo platební karty – to vše vytváří stopu.

Aktivní vs. pasivní digitální stopa

Aktivní digitální stopa vzniká vědomě:

  • Publikování a komentování na sociálních sítích
  • Vytváření postů
  • E-mailová komunikace
  • Telefonáty
  • Platba kartou

Pasivní digitální stopa vzniká bez našeho přímého vědomí:

  • Zaznamenávání IP adresy při načtení webu
  • Informace o zařízení
  • Polohová data
  • Telemetrie chování (pohyb myši, údery na klávesnici)
  • Historie vyhledávání
  • Metadata
  • Kamerový systém ve městě

Online vs. offline digitální stopa

Online stopa:

  • E-mailová komunikace
  • Surfování po internetu
  • Aktivity na sociálních sítích
  • Používání aplikací

Offline digitální stopa (ano, i ta existuje!):

  • Platba kartou
  • Pohyb zachycený bezpečnostní kamerou
  • Připojení k veřejné Wi-Fi síti

Skvěle to shrnuje následující obrázek:

Jak digitální stopa vzniká?

Sociální sítě

Když sdílíte fotografie a videa, často neuvědoměle poskytujete metadata – polohu, čas pořízení, informace o zařízení, tagy s informacemi o lidech na fotografii. Každý komentář, každý názor vytváří vaši historii.

E-mailová komunikace

Každý odeslaný e-mail obsahuje množství metadat nejen o vás a příjemci, ale i o čase odeslání, cestě přes servery – tedy i pravděpodobné místo, kde jste se v danou chvíli nacházeli.

Webové stránky

Při prohlížení webu se nezaznamenává jen to, co jste si prohlíželi, ale i jak ovládáte myš, jak používáte klávesnici, informace o vašem zařízení. Těchto informací může být až stovky.

Platební karty

Při každé transakci poskytovatel ukládá informace o čase, místě použití a výši platby. Bankovní systémy tato data používají k detekci podvodů, ale některé je také využívají k uživatelskému profilování.

Věrnostní karty

Myslíte si, že slevy z věrnostních karet jsou zadarmo? Nejsou. Firmy využívají nasbírané informace k marketingu a profilování a jsou schopny predikovat vaše další nákupy.

Cookies a sledovací skripty

Kolik z vás čte cookie lišty? Pro většinu se stalo automatické klikání na „Přijmout vše“ rituálem. Když cookies zakážete v nastavení prohlížeče, zjistíte, že některé aplikace nefungují nebo máte omezené možnosti.

Fingerprinting

Technologie dokáže identifikovat konkrétní zařízení podle prohlížeče, rozlišení obrazovky, instalovaných fontů a dalších parametrů – a to vše bez vašeho vědomí.

Fitness a zdravotní aplikace

Chytré hodinky a fitness aplikace sledují geolokaci. Když sdílíte své sportovní výkony a trasy na sociálních sítích, poskytujete aktivní i pasivní stopu současně.

Jaká jsou rizika?

1. Ztráta soukromí

Digitální stopa umožňuje ostatním získat přehled o vašich návycích, preferencích, místech pobytu i vztazích – často bez vašeho vědomí. Uživatelé většinou nemají kontrolu nad tím, jaké údaje jsou kde shromažďovány, kdo k nim má přístup a jak jsou využívány.

2. Profilování a manipulace

Na základě analyzovaných dat vznikají komplexní profily uživatelů používané pro cílení reklamy, ale i pro manipulaci. Nedávno bylo identifikováno asi tisíc účtů z Ruské federace, které měly ovlivňovat české volby.

3. Kybernetické útoky

Sofistikované útoky zaměřené na konkrétního jedince či firmu využívají informace z OSINTu – tedy informace, které vy sami vědomě či nevědomě sdílíte jako svou digitální stopu.

Spear-phishing – cílený phishing na míru Deepfake videa a hlasové klony – v minulém roce byl zneužit ředitel velkého pivovaru, nedávno náčelník Generálního štábu Karel Řehka. Hackerům a AI stačí fotografie a 10–15 sekund vašeho hlasu k vytvoření nerozeznatelného videa.

4. Reputační rizika

Internet nezapomíná. Starý příspěvek na sociálních sítích může být po letech vytažen a prezentován v jiném kontextu. Reputace je jedna z nejcitlivějších hodnot a těžko se napravuje.

5. Doxxing

Forma útoku, kdy někdo zveřejní vaše osobní data bez souhlasu: adresu, telefonní čísla, e-maily, místa pohybu. Tyto informace se používají k vydírání, zastrašování nebo „pro zábavu“. V praxi to může končit digitálním lynčem a kyberšikanou – často u dětí.

6. Stalking a sledování

Digitální stopa často obsahuje lokalizační údaje. Fitness aplikace jako Garmin umožňují sledovat vaše trasy. Žárlivý kolega nebo bývalý partner to může zneužít ke stalkingu.

7. Microtargeting

Algoritmy na základě vašich lajků, komentářů, nákupů a sledovaných témat vytvoří digitální psychologický profil. Na jeho základě jste ovlivňováni názory, dezinformacemi i sponzorovanými příspěvky. Výsledkem je informační bublina – slyšíte jen to, co někdo chce, abyste slyšeli.

8. Dopad na zaměstnání

Hlásíte se do zaměstnání? HR prochází sociální sítě. Nevhodná fotka z večírku může mít negativní dopad na vaše šance.

Právní ochrana

GDPR (od 2018)

Definuje osobní údaje, jejich zpracování a práva subjektů údajů.

Zákon o kybernetické bezpečnosti

Týká se organizací poskytujících regulované služby – ochrana digitální stopy se často ukrývá v oblasti auditních záznamů, logů a dohledatelnosti.

AI Act

Nový předpis EU zaměřený na systémy umělé inteligence. V ČR vzniká zákon o umělé inteligenci. Řeší, že AI by neměla provádět scoring a profilování prostřednictvím osobních údajů a digitální stopy.

Co je osobní údaj?

V kontextu digitální stopy: jméno, příjmení, e-mail, IP adresa, GPS poloha, MAC adresa, identifikátory Bluetooth, biometrie (otisk prstu, rozpoznávání obličeje, hlasu), způsob chůze (velmi přesný identifikátor!), historie vyhledávání, lajky.

Etická dilemata

Komfort vs. soukromí

Mnoho lidí dobrovolně vymění soukromí za pohodlí. Zapnou GPS, připojí se k jakékoliv Wi-Fi, poskytnou přístup k datům. Soukromí se stává novou měnou – platíme daty, například za slevy přes věrnostní karty.

Etika vs. legislativa

V USA se řeší, zda je legální aplikace Neon, která nahrává hovory jako zdroj pro trénink AI a nabízí odměny. Druhým aspektem ale je, zda je toto chování etické.

Souhlas

Kolik z vás opravdu čte cookie lišty? Stal se z toho rituál, ne informovaný právní úkon. Chybí kontext a znalost dopadů – 90 % uživatelů automaticky kliká „Souhlasím“.

Soukromí se stává novou měnou. Platíme daty – např. sleva přes věrnostní karty.

Digitální stopa se může stát nástrojem manipulace. Etika je zde významný faktor, více než legislativa.

Jak chránit digitální stopu – praktické tipy pro jednotlivce

1. Silná hesla

Heslo je často jediná věc, která stojí mezi vašimi daty a útočníkem.

Pravidla:

  • Dlouhé, silné a unikátní heslo
  • Nepoužívat stejné heslo na více místech
  • Nepoužívat triviální kombinace (jméno + datum narození)

Řešení: Použijte správce hesel (KeePass, 1Password, Bitwarden). Stačí jediné silné heslo do trezoru a každá služba má unikátní heslo.

2. Audit účtů + MFA

Kdy jste naposledy „uklízeli“ své digitální účty? Víte, kde všude máte účet?

Postup:

  • Projděte e-maily a vyhledejte „welcome“, „registration“, „confirm“
  • Zjistěte, které služby používáte
  • Nepoužívané účty smažte
  • U používaných změňte hesla a zapněte dvoufaktorové/multifaktorové ověřování. Používejte aplikace jako Authy, Google Authenticator, Microsoft Authenticator, ideálně s biometrikou (otisk, Face ID)

3. Oddělení identity

Dvě identity (pracovní a soukromá) jsou již málo.

Doporučujeme tři:

  1. Osobní e-mail a sociální sítě
  2. Nákupy, fóra, newslettery
  3. Jednorázová identita na registrace

Pozor na SSO: Přihlašování přes Google/Facebook/Apple je pohodlné, ale propojuje vše s jedním účtem napříč internetem.

4. Uvážlivé sdílení

Zlaté pravidlo: Co neřeknete, nemůže být zneužito.

Jednou zveřejněné už nikdy úplně nesmažete – internet nezapomíná. Čím méně sdílíte, tím lépe.

5. Šifrování komunikace

E-maily:

  • Běžné e-maily (Gmail, Seznam) nejsou end-to-end šifrované
  • Pro šifrovanou komunikaci: ProtonMail nebo Tutanota
  • Pro pokročilé: PGP (vhodné pro právníky, novináře, whistleblowery)

Hovory:

  • Signal nebo Threema (nejbezpečnější)
  • WhatsApp je sice šifrovaný, ale patří Metě (obavy z metadat)

Data:

  • VeraCrypt (osobní použití)
  • BitLocker (firemní prostředí)

6. VPN

VPN vytváří šifrovaný tunel a maskuje IP adresu a polohu.

Kdy použít:

  • Na veřejných Wi-Fi (hotely, letiště, kavárny)

Varování: Nepoužívejte „free“ VPN – platíte daty!

Ověřené služby:

  • Proton VPN
  • NordVPN

7. Tor Browser

Pro vyšší anonymitu použijte Tor Browser – směřuje provoz přes více uzlů. Pro běžné uživatele dostačující k výraznému ztížení sledování.

8. Anonymní e-maily a telefony

E-mail je klíč k vaší digitální existenci.

Pro anonymitu:

  • TempMail, SimpleLogin (jednorázové e-maily)
  • Virtuální telefonní čísla pro ověření SMS

9. Anonymní platby

Předplacené karty: Kupujte je v hotovosti – nejsou spojené se jménem ani adresou.

Kryptoměny:

  • Bitcoin není anonymní – transakce jsou veřejné
  • Pro vyšší soukromí: Monero nebo Zcash (nejsou veřejně trasované)

10. Specializované operační systémy

Pro maximální ochranu:

  • Tails – spouští se z USB, nezapisuje na disk, směruje provoz přes Tor
  • Whonix
  • Qubes OS

Po vypnutí Tails jsou data pryč.

11. Ochrana proti kamerám

Projít se Prahou bez záznamu prakticky nelze. Moderní kamery umožňují identifikaci podle obličeje i způsobu chůze.

Existují:

  • Brýle a reflexní prvky odrážející IR světlo
  • Speciální oblečení snižující přesnost detekce

Metody nejsou 100% účinné – AI se neustále zlepšuje.

12. Kontrola zařízení

Navigace a historie pohybu:

  • Moderní auta vás profilují
  • Mažte historii pravidelně
  • K datům mají přístup výrobci a servis

Mobilní aplikace:

  • Kontrolujte oprávnění
  • Nepovolujte přístupy, které nejsou nutné
  • Proč nákupní aplikace potřebuje přístup ke kontaktům, kameře a mikrofonu?

Ochrana pro organizace

Firmy jsou sběrateli i producenty digitálních stop zaměstnanců, zákazníků a partnerů. Musí přistupovat k ochraně strategicky, systematicky a transparentně.

GRC Framework (Governance, Risk & Compliance)

Data a digitální stopa jsou aktiva organizace a měla by být řízena stejně jako finance, kvalita nebo BOZP.

Klasifikace dat a řízení přístupu

Organizace musí vědět:

  • Jaká data má
  • Kdo je generuje
  • Kdo k nim má přístup
  • Jak jsou citlivá

Ochrana „by design“

Bezpečnost musí být začleněna už při návrhu systémů, ne dodatečně „dobastlena“.

Transparentnost sledování

Zaměstnancům i zákazníkům otevřeně sdělovat:

  • Co se monitoruje
  • Jak dlouho se uchovává
  • Kdo má přístup k záznamům

Technická opatření – čtyři základní vrstvy

  1. SIEM – sběr logů a událostí, detekce anomálií
  2. XDR – alternativa pro menší firmy
  3. DLP (Data Loss Prevention) – brání úniku citlivých informací
  4. IAM/PAM – řízení přístupových oprávnění a privilegovaných účtů

Vzdělávání

Tři vrstvy školení:

  1. Plošné pro všechny zaměstnance
  2. Specifické pro management
  3. Pro provozní/bezpečnostní role (admini, garanti aktiv)

Audit digitálních stop

Organizace musí:

  • Vědět, co skutečně zaznamenává
  • Vědět, kdo má přístup k archivům (a že jsou tyto archivy dostatečně zabezepčené)
  • Zajistit GDPR compliance

Co můžete udělat hned teď?

Digitální stopě se dnes nelze vyhnout. Asi neexistuje způsob, jak v 21. století žít a nezanechávat žádnou stopu – snad leda žít mimo civilizaci. To ale neznamená, že jsme bezmocní. Důležité je stopu pochopit, zmapovat a ovlivňovat. Co můžete udělat hned?

Pro jednotlivce:

  1. Změňte hesla – nepoužívejte jedno na více místech
  2. Zapněte MFA všude, kde je to možné
  3. Projděte si účty – ty nepotřebné smažte
  4. Zamyslete se nad sdílením – je nutné sdílet to, co sdílíte?

Pro organizace:

  1. Zaveďte politiky ochrany digitální stopy
  2. Vzdělávejte uživatele napříč všemi úrovněmi
  3. Provádějte pravidelný audit digitálních stop

Otázky z publika

Jak si jako laik mohu ověřit pravost videosprávy nebo hlasové zprávy?

Dnes je běžné, že vám volá někdo přes videohovor, ale na druhé straně není ta správná osoba – je tam výstup umělé inteligence. Existuje specifická aplikace řízená AI, kde pošlete druhé straně kód, který zajistí, že jí zavibruje telefon. Okem to nepoznáte, ale AI zjistí, zda se při zavibraci jemně rozklepe obraz. Pokud je to fake, k zatřesení nedojde a AI vyhodnotí podvod – to v online hovoru. U deepfake videí (např. na Facebooku) je to složité, musí se to zkoumat nástroji – pro laika je to prakticky nerozpoznatelné.

Je aplikace telegram šifrovaná? Sdílíme tam s rodinou fotky dětí.

Telegram je šifrovaný end-to-end. Osobně ho ale moc nedoporučuji. Měl vazby na Rusko, majitel utekl, proběhly transakce. Telegram často používají hackerské a nelegální skupiny. Proto ho moc nedoporučuji, i když šifrování má. Doporučuji spíše Signal.

Může nám s řízením digitální stopy nějak pomoci Úřad pro ochranu osobních údajů, nebo by musel nastat konkrétní konflikt, abychom se na něj obrátili?

ÚOOÚ má v gesci legislativní část – GDPR a navazující zákony. Digitální stopa spadá do ochrany osobních údajů. Pokud řešíte tuto oblast, úřad je schopen pomoci v rámci konzultací. Při incidentech máte povinnost hlásit úniky osobních údajů subjektů. Obrátit se můžete. Doporučuji s úřadem komunikovat terminologií „ochrana osobních údajů“, ne „digitální stopa“.

MoyaKybeon je nástroj pro řízení kybernetické bezpečnosti, který pomáhá organizacím splnit nároky plynoucí ze Zákona o kybernetické bezpečnosti nebo ISO certifikace. Nabízí funkce pro správu aktiv, hrozeb i zranitelností, analýzu rizik a mnoho dalších funkcionalit. Vyzkoušejte si 30denní demo zdarma.