Ko brskate doma po spletu, vaš ponudnik internetnih storitev (ISP) vidi vsako povezavo, saj ves promet poteka prek njegovega omrežja. ISP torej vidi IP-naslov vašega računalnika in IP naslov spletnega strežnika, s katerim ste povezani, ter imena domen, do katerih dostopate. Pri šifriranih povezavah (HTTPS) ponudnik vidi le domeno (npr. primer.si) in čas dostopa, nikakor pa ne vsebine strani ali vnesenih podatkov[1]. Pri nezaščitenih povezavah (HTTP) pa ponudnik vidi celo celoten URL naslov in vsebino prenosa (na primer katere iskalne pojme ste vnesli)[2]. Prav tako ponudnik običajno vidi vse vaše DNS-poizvedbe – imena spletnih strani, ki jih brskalnik išče, saj te poizvedbe večinoma niso šifrirane[3]. (Če bi npr. spletno stran dosegli z Googlovim DNS-jem, bi ISP vseeno videl, katero domeno ste zahtevali[3].) Zaradi slednjega lahko ISP hitro zgradi sliko, katera spletna mesta ste obiskali, kolikokrat in kdaj.
Podatki, ki jih ISP zbere, so v zakonodaji obravnavani kot osebni podatki (naslov IP namreč lahko indirektno vodi do vas)[4]. V Sloveniji in EU GDPR zahteva, da se osebni podatki hranijo le tako dolgo, kot je nujno potrebno. Elektronski komunikacijski zakonik (ZEKom-2) izrecno določa, da je treba prometne podatke (vključno z dnevniki obiska) izbrisati ali anonimizirati, ko niso več potrebni za prenos komunikacije[5]. Operaterji jih smejo (brez zakonske obveznosti) obdržati najdlje do konca obračuna storitve, nato pa obvezno počistiti[5]. Starejša ureditev o obvezni hrambi podatkov (ZEKom-1) je bila že leta 2014 razveljavljena (ustavno sodišče je odredilo takojšnjo uničenje vseh zajetih podatkov)[6]. Za primerjavo, v ZDA ni splošne zvezne zakonodaje, ki bi ponudnike obvezala k hrambi prometnih podatkov – vodstvo EFF ugotavlja, da „v ZDA ni zakonov o obvezni hrambi podatkov“[7]. ISP-ji v ZDA torej lahko sami odločajo, kako dolgo hranijo dnevnike (večina jih ob tem ne sledi točnemu čuvanju večletnih podatkov).
Orodja in metode nadzora: ISP običajno beležijo podatke na svojih usmerjevalnikih in strežnikih. Tehnično bi lahko uporabili tudi globinsko analizo paketov (DPI) ali prepovedali dostop do določenih vsebin, vendar v praksi to domači ISP redko počne – razen če je zakonsko prisiljen. Pogosto vodijo le osnovne zapise (IP-naslove naročnikov, časovne žige povezav, DNS-zahteve). Ti podatki so na voljo npr. pri policiji ali drugih organih, če jih zahtevajo z ustreznim nalogom.
Delodajalec pri uporabi službenega računalnika
Ko na službenem računalniku (ali omrežju delodajalca) brskate po spletu, lahko delodajalec nadzoruje promet podobno kot ISP, pogosto pa ima še več možnosti. Upravljavec podjetniškega omrežja lahko vidi, katere domene obiskujete in koliko časa ste povezani, saj gre vaš promet skozi delodajalčevo mrežo. Če podjetje namesti lasten DNS strežnik ali proxy, beleži vse DNS-poizvedbe ali URL-je, ki jih brskalnik pošlje. V šifriranem prometu (HTTPS) pa brez dodatnih ukrepov vidijo le imena domen, torej katero spletno mesto obiskujete (na primer gmail.com), ne pa konkretnih strani ali podatkov, ki jih prenašate[1].
Napredni nadzor: Zelo pogosto imajo delodajalci v omrežju nameščene požarne zidove, proxy strežnike ali varnostno programsko opremo, ki lahko celo prestrežejo šifriran promet. Uporabijo torej tehniko »man-in-the-middle«: namestijo interni digitalni certifikat, tako da podjetniški proxy ali požarni zid dešifrira HTTPS promet, pregleda njegovo vsebino in ga znova šifrira – vse to je za vas neopazno[8]. Na tak način lahko vidi tudi točne strani in podatke, ki jih pošiljate, vključno s ključnimi besedami v iskalnikih ali vsebino elektronske pošte. Pogosto uporabljajo programe kot so Squid (spletni proxy), Palo Alto Networks ali Fortinet požarne zidove, ki podpirajo HTTPS-inspekcijo.
Shranjevanje podatkov: Tudi delodajalec mora upoštevati GDPR in lokalne zakone o zasebnosti. Osebne podatke zaposlenih (kar vključuje seznam spletnih strani, ki ste jih obiskali) sme obdelovati le, če je to zakonsko opredeljeno ali nujno zaradi delovnih potreb (npr. za zagotavljanje informacijske varnosti)[9]. Pri tem mora spoštovati načela sorazmernosti in preglednosti: delodajalec ne sme arbitrano beležiti vsega prometa. Po koncu razloga (na primer odpoved delovnega razmerja) je dolžan take podatke izbrisati[9]. Zakon o delovnih razmerjih in kolektivne pogodbe lahko prav tako omejujejo nadzor – v praksi pa je podjetje v večini držav EU (vključno s Slovenijo) lahko mirno beleži promet na svoji opremi, če so zaposleni o tem obveščeni. V ZDA pa velja načelo lastništva opreme: delodajalec na splošno lahko nadzoruje vse, kar se zgodi na službeni napravi ali omrežju (v večini primerov je za to dovolj, da zaposlene o nadzoru obvesti v politiki podjetja).
Orodja in metode nadzora: Delodajalci pogosto uporabljajo požarne zidove in strežnike proxy (npr. Squid, Blue Coat), ki beležijo spletne zahteve. Poleg DNS-logiranja in analize prometa lahko aktivirajo HTTPS-inspekcijo s svojim certifikatom[8]. Mnoge organizacije uporabljajo tudi sisteme za zaznavanje vdorov (IDS), analizo omrežnega prometa ali spremljanje omrežne pasovne širine, s katerimi nadzorujejo brskanje in blokirajo nezaželene vsebine (npr. družbena omrežja ali tvegan splet). Z nadzorom upravljalci vidijo veliko več, kot javni Wi-Fi: lahko spremljajo celo točne podatke, ki ste jih poslali, če to opravijo z namenskim prestrezanjem (MITM)[8].
Ponudniki javnih Wi-Fi omrežij (hoteli, kavarne, postaje…)
Javna brezžična omrežja delujejo podobno kot domači ISP, le da jih upravljajo ponudniki Wi-Fi ali gostitelji lokacij. Če se priklopite na javni Wi-Fi (npr. v kavarni ali hotelu), usmerjevalnik vašega omrežja zazna DNS-poizvedbe in naslov IP ciljnega strežnika, zato lahko vidi, do katerih domen dostopate. Če je povezava šifrirana (HTTPS), bo upravljavec videl le ime domene (npr. facebook.com) in podatke o trajanju povezave[10]; če povezava ni šifrirana (HTTP), lahko vidi tudi celotne URL-je in vsebino prenosa[11]. Prav tako beleži, koliko podatkov ste prenesli, ter identifikacijske podatke vaše naprave (IP in MAC naslov)[12]. Z drugimi besedami, zna videti, katero spletno mesto obiščete in koliko časa ste nanj priklopljeni, čeprav z visoko verjetnostjo ne pozna natančne vsebine, če uporabljate HTTPS[10].
Shranjevanje podatkov: Tudi ponudniki javnih omrežij morajo spoštovati GDPR. Če zbirajo osebne podatke (npr. za dostop do Wi-Fi zahtečejo prijavo z imenom in priimkom), jih lahko hranijo le za najkrajše potrebne obdobje in le za namene, za katere so dobili soglasje (npr. zagotavljanje omrežne varnosti ali računa). V Sloveniji za podjetja, ki ponujajo Wi-Fi, velja enako kot za ISP: prometne podatke je po prenehanju namena treba izbrisati[5]. Gostitelji javnega Wi-Fi običajno ne zasledujejo želenega brskanja uporabnikov več dni (ker to ni njihov namen), razen če to napravijo zaradi varnosti ali na zahtevo pravnih organov.
Primerjalna tabela: V spodnji tabeli povzema glavne razlike med tremi primerjanimi okolji.
| Vidno | ISP (doma) | Delodajalec (služba) | Javna Wi-Fi |
| IP in DNS | IP naslov naprave in IP cilja; vse domene preko DNS (ker DNS ni šifriran)[3]. | Enako kot ISP (običajno podjetniški DNS ali proxy beleži domene in URL-je). | IP naslov naprave in IP cilja; imena domen (DNS-poizvedbe, nešifrirane)[3]. |
| HTTPS promet | Le domena in čas dostopa (HTTPS je šifriran – ne vidi vsebine)[1]. | Domena in čas; če delodajalec izvaja HTTPS-inspekcijo (MITM) z lastnim certifikatom, vidi tudi vsebino. | Le domena in trajanje (HTTPS je šifriran)[13]; vsebina neznana brez MITM. |
| HTTP promet (nešifriran) | Celoten URL in vsebina (ni večina sodobnih strani). | Celoten URL in vsebina; delodajalec lahko zabeleži obiskane strani in poslano vsebino. | Celoten URL in vsebina (če javni Wi-Fi uporablja HTTP). |
| Shranjevanje podatkov | SI/EU: GDPR – osebni podatki (IP, logi) se hranijo le tako dolgo, kot je nujno (ZEKom-2: takojšnja anonimizacija/brisanje ko ni več potrebno)[5]. USA: brez zakonske obveznosti hrambe[7]; ponudniki pogosto brišejo loge po nekaj tednih. | SI/EU: GDPR in delovna zakonodaja – podatke zaposlenih smejo zbirati le za določen namen in jih po izpolnitvi cilja uničiti[9]. USA: običajno ni omejitev pri spremljanju službenih naprav (ustrezno naveden v pravilnikih). | SI/EU: GDPR – ne smejo zadrževati osebnih podatkov dlje od nujnega (npr. piškotki pod ZEKom-2)[5]. USA: nobenih posebnih pravil o hrambi. |
| Primeri nadzora (orodja) | Analiza DNS-logov, morebiten DPI; komunikacijski zahtevki po zakonu (CLOUD Act sodišče). | Podjetniški požarni zidovi/proxy (npr. Squid, Palo Alto) z logiranjem; MITM s certifikatom za HTTPS-inspekcijo[8]; IDS/antivirusni sistemi. | Usmerjevalnik z logiranjem, usmerjevalniška orodja (Wireshark, DD-WRT/OpenWRT)[14]; beleženje DNS-poizvedb na lokalnem DNS[15]. |
V grobem lahko torej rečemo, da tako ISP kot javni Wi-Fi vidita podobne podatke (naslove IP in domene), pri čemer šifrirani promet ostaja skrit do nivoja domen. Delodajalec pa z ustreznimi orodji lahko celo vidi šifrirano vsebino, če izvede man-in-the-middle prestrezanje. Pomembno: v EU zakonodaja (GDPR, ZEKom-2) določa stroge omejitve hrambe in obdelave teh podatkov[5][6]; v ZDA pa ni splošne obveznosti hrambe (a lahko nas spodbudi državni organ).
Vir in dodatno branje: Informacije temeljijo na standardnih tehničnih virih in pravnih izhodiščih. Med drugim smo uporabili pojasnila Norton (Symantec) o tem, kaj ISP vidi[1], vodnik IPAddressGuide o tem, kaj vidi lastnik Wi-Fi omrežja[10], ter pravne razlage o slovenski zakonodaji (zagonska odločitev ustavnega sodišča, ZEKom-2)[6][5]. Ta vir (IP naslovi so osebni podatki) zagotavlja podlago za razumevanje, zakaj GDPR velja tudi tu[4]. Ostali podatki o ZDA temeljijo na pravni analizi EFF[7] in strokovnih komentarjih.
[1] [2] [8] Who can see my search history, and how can I keep it private?
https://us.norton.com/blog/privacy-tips/who-can-see-my-search-history
[3] logging – What can my ISP see in their log files if I use Google DNS? – Information Security Stack Exchange
[4] Is an IP Address Personal Data? Privacy Implications – GDPR Local
[5] Data protection laws in Slovenia – Data Protection Laws of the World
https://www.dlapiperdataprotection.com/index.html?t=law&c=SI
[6] Storage of traffic data of users of electronic communications
https://cms.law/en/svn/publication/storage-of-traffic-data-of-users-of-electronic-communications
[7] United States Data Retention Laws — Internet Lawyer Blog — December 13, 2021
[9] Employee data protection in Slovenia – Lexology
https://www.lexology.com/library/detail.aspx?g=34513df3-5baf-4819-a6b7-78091a4f1371
[10] [11] [12] [13] [14] [15] Can WiFi Owners See Which Websites I Visit as I Use the WiFi?
Dejan Pogačnik – Network Security Analyst z več kot 30 leti izkušenj v telekomunikacijah in IT. Piše o omrežjih, protokolih in varnosti, pri čemer umetno inteligenco uporablja kot analitično orodje; zasebno je kolesar, fotograf in ljubitelj zgodovine.