ZAVEDANJE UPORABNIKOV O ZASEBNOSTI IN VARNOSTI … · iii Zavedanje uporabnikov o zasebnosti in varnosti oblačnih storitev Ključne besede: varnost, zasebnost, oblačne storitve,

UNIVERZA V MARIBORU

FAKULTETA ZA ELEKTROTEHNIKO,

RAČUNALNIŠTVO IN INFORMATIKO

Dejan Tojnko

ZAVEDANJE UPORABNIKOV O ZASEBNOSTI IN VARNOSTI OBLAČNIH STORITEV

Diplomsko delo

Maribor, september 2016

ZAVEDANJE UPORABNIKOV O ZASEBNOSTI IN

VARNOSTI OBLAČNIH STORITEV

Diplomsko delo

Študent: Dejan Tojnko

Študijski program: Visokošolski študijski program,

Informatika in tehnologije komuniciranja

Smer: Tehnologije multimedijskega komuniciranja

Mentor: doc. dr. Boštjan Šumak, univ. dipl. inž. rač. in inf.

i

ii

Zahvala

Ob zaključku diplomskega dela, se

iskreno zahvaljujem vsem sodelujočim v

raziskavi in vsem, ki so omogočili

izdelavo diplomskega dela. Posebna

zahvala gre doc. dr. Boštjanu Šumaku, ki

me je vodil od začetka do konca in

staršema, ki sta mi študij omogočila, ter

celotni družini za podporo.

iii

Zavedanje uporabnikov o zasebnosti in varnosti oblačnih

storitev

Ključne besede: varnost, zasebnost, oblačne storitve, uporabnik, eksperiment, anketa,

varovanje podatkov

UDK: 004.658(043.2)

Povzetek

Varnost in zasebnost podatkov, je v današnjem času zelo pomembna, saj se informacije o

ljudeh zbirajo na vsakem koraku na vsakem koraku. Naloga skrbnikov podatkov je, da

podatke zaščitijo in tako varujejo zasebnost, naloga ljudi pa je, da z svojimi podatki

ravnajo odgovorno in so seznanjeni komu jih predajajo. V prvem delu diplomskega dela

smo teoretično opisali, kaj pomeni varnost in zasebnost podatkov in kako se zagotavlja. V

drugem delu, pa smo izvedli raziskavo z pomočjo eksperimenta, ki je vključeval napravo

za sledenje očem in anketni vprašalnik. V tretjem delu naloge smo predstavili rezultate

raziskave in podali nekaj predlogov. Rezultati raziskave so pokazali, da uporabniki ne

zaupajo v oblačne storitve, kar je lahko posledica tega, da so zelo slabo seznanjeni z

varnostjo in varovanjem zasebnosti v tovrstnih storitvah. Uporabnik prav tako ne pozna

svojih pravic in se ne seznani z pogoji uporabe, čeprav jih ponudniki jasno predstavijo. Na

splošno je zavedanje o varnosti in zasebnosti zelo nizko. Ugotovili smo, da raziskava pri

kateri potrebujemo več kandidatov in posebno opreme še zdaleč ni preprosta za izvedbo

in zahteva veliko priprav in načrtovanja.

iv

Users` awareness of privacy and security risks of cloud

services

Keywords: security, privacy, cloud services, user, experiment, survey, data security and

privacy

UDK: 004.658(043.2)

Abstract

Data privacy and security is very important nowadays, because information about people

are getting collected on every step. Job of data handlers is to establish good security in

order to maintain data privacy and peoples job is to be responsible and aware with whom

their data is being shared. First part of thesis contains theory about data security and

privacy and how to achieve them. In the second part, we conducted a research which

contains experiment including eye tracking device and survey. In third part of thesis we

presented research results and wrote some proposal ideas. Experiment results showed,

that users don’t trust in cloud services, which may be due to the fact that they're very

poorly informed about privacy and security in such services. Users also don't know their

rights and are not familiar with terms of use, although providers present them clearly. In

general, awareness of security and privacy is very low. We found that the research where

we need more than a few candidates and special equipment is not easy and requires a lot

of preparation and planning.

v

KAZALO

1 UVOD ........................................................................................................................ 1

1.1 Predstavitev problemskega področja ................................................................. 1

1.2 Name naloge ......................................................................................................... 3

1.3 Cilji ........................................................................................................................ 3

1.4 Teze diplomskega dela ........................................................................................ 4

1.5 Predpostavke in omejitve .................................................................................... 4

1.6 Motivacija .............................................................................................................. 5

2 OBLAČNE STORITVE .............................................................................................. 8

2.1 Vrste storitev ...................................................................................................... 10

2.2 Zagotavljanje varnosti in zasebnosti v Evropi ................................................. 11

2.3 Varnost v oblačnih storitvah ............................................................................. 12

2.3.1 Uporaba gesel .................................................................................................. 12

2.3.2 Tehnike izbiranja močnega gesla ...................................................................... 12

2.3.3 Odsvetovane tehnike izbire gesla ..................................................................... 12

2.3.4 Zaščita na mobilnih napravah ........................................................................... 13

2.3.5 Varovanje v primeru da uporabnik zahteva zaklep mobilne aplikacije, v spletni

storitve Cubby ............................................................................................................. 14

2.3.6 Šifriranje podatkov v spletni storitvi Cubby ........................................................ 14

2.3.7 Dvostopenjsko preverjanje ................................................................................ 15

2.3.8 Varnostni certifikati ........................................................................................... 15

2.3.9 Fizična zasnova prostorov ................................................................................ 16

2.4 Zasebnost v oblačnih storitvah ......................................................................... 16

2.5 Nevarnosti storitev v oblaku ............................................................................. 17

2.6 Uporabniški vidiki varnosti in zasebnosti ........................................................ 21

vi

2.7 Način uporabe storitev ...................................................................................... 23

3 INFORMACIJSKA VARNOST ................................................................................. 24

3.1 Varnost podatkov ............................................................................................... 24

3.2 Informacijska zasebnost .................................................................................... 25

4 STORITVE IN APLIKACIJE UPORABLJENE V RAZISKAVI ................................. 26

4.1 Cubby oblačna storitev ...................................................................................... 26

4.2 Google dokumenti .............................................................................................. 26

4.3 Morae .................................................................................................................. 27

4.3.1 Morae Recorder ............................................................................................... 27

4.3.2 Morae Observer ................................................................................................ 28

4.3.3 Morae Manager ................................................................................................ 28

5 NAČRT EKSPERIMENTA ....................................................................................... 29

5.1 Ozadje problema ................................................................................................ 29

5.2 Cilj in naloga eksperimenta ............................................................................... 29

5.3 Objekt opazovanja.............................................................................................. 29

5.4 Kontekst .............................................................................................................. 30

5.5 Profil sodelujočih ............................................................................................... 30

5.6 Inštrumenti eksperimenta .................................................................................. 30

5.7 Navodila eksperimenta ...................................................................................... 31

5.8 Navodila za vodje eksperimenta ....................................................................... 32

5.9 Merilni inštrumenti ............................................................................................. 32

5.9.1 Naprava za sledenje očem ............................................................................... 32

5.10 Spremljanje aktivnosti uporabnika ................................................................... 34

vii

6 IZVEDBA IN REZULTATI EKSPERIMENTA ........................................................... 35

6.1 Predstavitev izvedbe eksperimenta .................................................................. 35

6.2 Predstavitev rezultatov ...................................................................................... 40

7 SKLEP .................................................................................................................... 53

7.1 Sklepi .................................................................................................................. 53

7.2 Predlogi ............................................................................................................... 55

7.3 Omejitve raziskave in rezultatov ter posplošitev ............................................. 56

7.4 Nadaljnje raziskovalno delo .............................................................................. 57

8 VIRI ......................................................................................................................... 58

viii

KAZALO SLIK

SLIKA 6.1: OPREMA ZA SPREMLJANJE POGLEDA ................................................................. 35

SLIKA 6.2: NAPRAVA EYEGUIDE NAMEŠČENA NA GLAVI ....................................................... 36

SLIKA 6.3: NAPRAVA EYEGUIDE MED KALIBRACIJO ............................................................. 36

SLIKA 6.4: ZAZNAVANJE TOČK NA EKRANU .......................................................................... 37

SLIKA 6.5: POJAVLJANJE KROGOV ZA KALIBRACIJO ............................................................. 37

SLIKA 6.6: REZULTAT NAPAČNE KALIBRACIJE ...................................................................... 38

SLIKA 6.7: REZULTAT PRAVILNE KALIBRACIJE ..................................................................... 38

SLIKA 6.8: TOPLOTNI ZEMLJEVID ........................................................................................ 39

SLIKA 6.9: ZASLONSKA SLIKA POSNETKA IZ MORAE ............................................................. 40

KAZALO TABEL

TABELA 2.1: GROŽNJE IN POJAVLJANJE DOGODKA .............................................................. 22

TABELA 2.2: RAZLOGI IN POJAVLJANJE RAZLOGOV .............................................................. 22

TABELA 2.3: STRATEGIJA IN POJAVLJANJE STRATEGIJ ......................................................... 22

KAZALO GRAFOV

GRAF 1.1: UPORABA OBLAČNIH STORITEV MED POSAMEZNIKOV ............................................. 2

GRAF 1.2: UPORABA OBLAČNIH STORITEV MED PODJETJI ...................................................... 2

GRAF 1.3: RAZLOGI ZA NEUPORABO MED POSAMEZNIKI ......................................................... 6

GRAF 1.4 TEŽAVE PRI UPORABI OBLAČNIH STORITEV ............................................................ 7

GRAF 6.1: POVPREČEN ČAS, DEJANJ PRI IZVEDBI NALOGE ................................................... 41

GRAF 6.2: POVPREČEN ČAS DEJANJ PRI IZVEDBI NALOG PRI STORITVI CUBBY ....................... 42

GRAF 6.3: ČAS IZVEDBE PREGLEDA POGOJEV UPORABE ...................................................... 42

GRAF 6.4: ČAS PREGLEDA PREDSTAVITVE NAMIZNE APLIKACIJE ........................................... 43

GRAF 6.5: POVPREČEN ČAS VSEH TOČK, KI SMO JIH OPAZOVALI .......................................... 44

GRAF 6.6: BRISANJE DATOTEK OB PREKINITVI POVEZAVE Z RAČUNOM, REZULTAT MOŠKIH ..... 45

GRAF 6.7: BRISANJE DATOTEK OB PREKINITVI POVEZAVE Z RAČUNOM, REZULTAT ŽENSKE ..... 45

GRAF 6.8: REZULTAT PRVEGA VPRAŠANJA ANKETE ............................................................. 46

GRAF 6.9: REZULTAT DRUGEGA VPRAŠANJA ANKETE .......................................................... 47

GRAF 6.10: REZULTAT TRETJEGA VPRAŠANJA ANKETE ........................................................ 47

GRAF 6.11: REZULTAT ČETRTEGA VPRAŠANJA ANKETE ....................................................... 48

GRAF 6.12: REZULTAT PETEGA VPRAŠANJA ANKETE ........................................................... 49

GRAF 6.13: REZULTAT ŠESTEGA VPRAŠANJA ANKETE ......................................................... 49

ix

GRAF 6.14: REZULTAT SEDMEGA VPRAŠANJA ANKETE ........................................................ 50

GRAF 6.15: REZULTAT OSMEGA VPRAŠANJA ANKETE .......................................................... 51

GRAF 6.16: REZULTAT DEVETEGA VPRAŠANJA ANKETE ....................................................... 52

x

UPORABLJENE OKRAJŠAVE

Saas - Software as a service – programska oprema kot storitev

IaaS - Infrastructure as a Service – infrastruktura kot storitev

PaaS - Platform as a Service – platforma kot storitev

CRM – customer relation management - upravljanje odnosov s strankami

AES - advanced encryption standard – napredni šifrirni standard

EU – European Union – Evropska unija

DoS – Denial of Service – zavrnitev storitve

Zavedanje uporabnikov o zasebnosti in varnosti v oblačnih storitvah

1 UVOD

1.1 Predstavitev problemskega področja

Varnost in zasebnost sta koncepta, ki spremljata človeka na različnih področjih življenja.

Mnogokrat ta dva koncepta ljudje jemljejo kot samoumevna, vendar tako v realnem svetu

kot virtualnem oziroma v svetu podatkov in informacijske tehnologije varnost, še posebej

pa zasebnost nista sama po sebi zagotovljena. Vrste informaciji kot so zdravstvo, finance,

osebni podatki, slike in posnetki, razne kartoteke ali dokumenti, so lahko zelo občutljivi za

posameznika in si verjetno vsak želi, da ostanejo privatni ali na voljo pooblaščenim

osebam. Zaradi hitrega razvoja informacijskih tehnologij in še večje količine podatkov, ki

se zbirajo, je zagotavljanje varnosti in zasebnosti vedno večji problem. Varnost in

zasebnost sta dva ločena koncepta, vendar sta tesno povezana. Zlasti v informacijskih

sistemih, saj sistem brez varnosti in varnostnih politik ne more zagotoviti zasebnosti.

Sistem mora biti zavarovan pred vdori in nepooblaščenimi dostopi, da lahko zagotovi

zasebnost podatkov. Ponudniki storitev na spletu in na splošno vsa podjetja, ki upravljajo

z podatki, ki so bolj ali manj pomembni morajo zagotavljati varnost, kar vključuje fizično

varovanje strojne opreme in programsko varovanje podatkov. Glede na občutljivost

podatkov morajo upravitelji zagotavljati določene protokole, ki jih določajo certifikati in

standardi, kateri so razdeljeni glede na občutljivost in vrsto podatkov. Vprašanja

zagotavljanja varnosti in zasebnosti pa nista vedno naloga oskrbovalcev podatkov, vendar

tudi naloga uporabnikov, da se zaščitijo z gesli in drugimi načini verifikacije, ter pazljivo

ravnajo z osebnimi podatki.

V zadnjih nekaj letih so vse bolj pogosto uporabljane, tako imenovane oblačne storitve, ki

običajno delujejo preko spleta. Poznamo javne in privatne oblačne storitve. Privatni oblaki

naj bi bili bolj varni saj omogočajo dostop le določenim uporabnikom. Oblačne storitve

postajajo vedno bolj priljubljene zaradi nizkih stroškov, saj omogočajo zaračunavanje

glede na potrebe. Posameznikom pa omogoča dostop, shranjevanje, deljenje datotek iz

različnih naprav in katerekoli lokacije, uporabnik potrebuje le internetni dostop.


2

Kot je razvidno iz Graf 1.1, ki je izrisan z podatki pridobljeni s strani organizacije Eurostat,

se uporaba oblačnih storitev pri privatnih uporabnikih iz leta v leto dviguje.

Graf 1.1: Uporaba oblačnih storitev med posameznikov

Vir:[5] Eurostat, posodobljeno: 7.1.2016

Spodnji Graf 1.2 prikazuje odstotek podjetji z 10 ali več zaposlenimi, ki uporabljajo

oblačne storitve. Tudi tukaj vidimo da se uporaba povečuje.

Graf 1.2: Uporaba oblačnih storitev med podjetji

Vir:[6] Eurostat, posodobljeno: 17.5.2016


3

Tovrstne storitve prinašajo veliko prednosti, vendar poleg vseh pozitivnih strani prinašajo

tudi veliko vprašanj varnosti in zasebnosti podatkov, ki jih podjetja ali posamezniki

shranjujejo, delijo, obdelujejo. Večina ponudnikov storitev zagotavlja visoko stopnjo

varnosti in varuje svojega uporabnika, vendar se težava lahko pojavi pri uporabnikih

samih, saj morda niso dovolj pozorni kam shranjujejo podatki, kdo ima dostop do njih, kdo

jih lahko spreminja, kakšne so njihove pravice ob izgubi podatkov, s čem se strinjajo pri

registraciji in kje so njihovi podatki sploh shranjeni. Z preučevanjem literature, izvedbe

eksperimenta in ankete bomo poskušali ugotoviti kakšna je stopnja zavedanja glede

varnosti in zasebnosti v oblačnih storitvah pri posameznih uporabnikih.

1.2 Name naloge

Namen naloge je, da raziščemo kakšna je stopnja zavedanja zasebnih uporabnikov ob

uporabi oblačnih storitev o varnosti. Analiza in prikaz rezultatov, bo pokazal na kaj so

uporabniki pozorni pri uporabi, ali namenijo pozornost varnosti in zasebnosti ob uporabi.

Prav tako je namen uporabnike ozavestiti, da varno in razumno ravnajo z svojimi podatki.

1.3 Cilji

Cilj diplomskega dela je odgovoriti na naslednja raziskovalna vprašanja:

RV1: Ali uporabniki zaupajo ponudnikom oblačnih storitev?

RV2: Ali se uporabnik seznani s pogoji uporabe, kako so varovani njegovi podatki in kako

je poskrbljeno za zasebnost podatkov?

RV3: Ali ponudniki obveščajo uporabnike o tem kako varujejo podatke?

RV4: Ali se uporabnik zaveda kakšne so njegove pravice ob izgubi podatkov in kako se

lahko sooči z težavo?

RV5: Se uporabnik seznani ali določi kakšne pravice ima uporabnik, ki je z njim delil

datoteko, nad to datoteko?


4

1.4 Teze diplomskega dela

H1: Uporabniki imajo zaupanje v oblačne storitve

H2: Uporabniki se ne seznanijo kako je poskrbljeno za varnost in zasebnost njihovih

podatkov ali pa prestavitev le preletijo

H3: Uporabniki ne preberejo pogojev uporabe ali pa jih le preletijo

H4: Ponudnik obveščajo uporabnike o tem kako deluje njihov sistem

H5: Uporabnik se ne zaveda kakšne so njegove pravice ob izgubi podatkov, vendar bi

poiskal morebitno rešitev.

H6: Uporabnik je seznanjen in izbere osnovno pravico nad datoteko(branje, pisanje,

komentiranje), ampak ne preveri dodatnih možnosti.

1.5 Predpostavke in omejitve

V eksperiment ne bomo vključili vseh starostnih in osebnostnih skupin uporabnikov.

Uporabnik bo izvedel nalogo po navodilih in ne bo preizkušal vseh funkcionalnosti storitve,

tekom eksperimenta bo uporabnik ustvaril datoteko, jo shranil, delil, izvozil in uporabil

namizno aplikacijo. Uporabljena bo le spletna storitev in namizna aplikacija, ne glede na

to da ponudniki ponujajo tudi mobilne programe za storitev.

Pri izvedbi naloge bomo spremljali, na kaj se uporabnik osredotoča med postopkom in ali

preverja kakšne so dodatne funkcije, nastavitve, varnostne nastavitve, možnosti deljenja

datotek, dodajanje in odstranjevanje naprav povezanih z računom. V raziskavi bomo

uporabili informacije in statistične podatke, ki so prosto dostopni na spletu in statistične

podatke, ki jih bomo pridobili z analizo eksperimenta. Pri predstavitvi oblačnih storitev

bomo predstavljali in opisovali le osnovne oblačne storitve, kot so shranjevanje in deljenje

in obdelava podatkov, zakup osnovne pisarniške programske opreme.


5

1.6 Motivacija

Motivacija za izvedbo eksperimenta je problematika varnosti in zasebnosti, podatkov v

oblačnih storitvah. Vse pogostejša uporaba, tako v zasebne kot v poslovne namene,

poleg vseh prednosti prinaša tudi slabosti, ki se večinoma odražajo v pomanjkanju

varnosti in zasebnosti podatkov. Ker pa so tovrstne storitve, že kar nekaj časa v uporabi,

so storitve ponudnikov že dodobra izpopolnjene tako kar se tiče funkcionalnosti kot

varovanja podatkov. Najšibkejši člen pri uporabi tako postaja uporabnik sam, saj so

uporabniki velikokrat zelo slabo ozaveščeni glede uporabe oblačnih storitev in deljenje

svojih osebnih podatkov nasploh.

Po poročanju organizacije Gartner so predvidevanja glede oblačnih storitev naslednja[22]:

Skozi leto 2020, bo za 95% napak v varnosti pri oblačnih storitvah vzrok uporabnik

in ne ponudnik.

Do leta 2017 se bo število podjetji, ki imajo politiko o prepovedi shranjevanja

podatkov v javnih oblakih zmanjšalo na 5%.

Do leta 2017 bo 95% podjetji, ki ponujajo oblačne storitve in imajo letni dohodek

večji kot 500 milijonov dolarjev imelo uradno oceno varnosti .

Skozi leto 2018 in kasneje, se bo število javljenih napak v oblačnih storitvah še

vedno večalo vsako leto, vendar bo za le eno do dve napake kriva tehnologija in

prakse podjetja, ki ponuja storitve.


6

Naslednji podatki, ki so predstavljeni v grafih, prikazujejo statistiko uporabe oblačnih

storitev.

Spodnji Graf 1.3 prikazuje statistiko, kaj v posameznih državah podjetja odvrne od

uporabe oblačnih storitev.

Graf 1.3: Razlogi za neuporabo med posamezniki

Vir:[7] Eurostat: posodobljeno 1.7.2016


7

Graf 1.4 prikazuje v koliko procentih so se posamezniki v Evropi leta 2014 soočali z

težavami pri uporabi oblačnih storitev.

Graf 1.4 Težave pri uporabi oblačnih storitev

Vir:[8] Eurostat, posodobljeno 1.7.2016


8

2 OBLAČNE STORITVE

Oblačne storitve so zelo razširjena tehnologija, ki jo uporabljajo posamezniki, podjetja,

organizacije, itd. Osnovna funkcionalnost je namenjena shranjevanju datotek v oblak,

kateri omogoča dostop do datotek ne gleda na vrsto naprave ali lokacije, kjer se

uporabnik nahaja.

Dandanes se tehnologija uporablja v veliko bolj kompleksne namene, kot so na primer

celotno poslovanje podjetja, shranjevanje in sinhronizacija varnostnih kopij posameznih

uporabnikov iz vseh njegovih naprav, delo na projektih v skupinah, kar zagotavlja

ažurnost in dostopnost vsem članom skupine in podobno.

Storitve v večini zagotavljajo kompatibilnost z različnimi napravami(mobilni telefon,

računalnik, tablica) in različnimi platformami(Windows, Linux, Mac OS, Android, os).

Uporaba tovrstnih storitev je v zadnjih letih visoko v porastu in prav tako se pričakuje tudi

v bližnji prihodnosti. Zaradi množične uporabe, se ponudniki storitev trudijo zagotoviti

brezhibno varnost in zasebnost podatkov, ki jih uporabniki shranjujejo v oblak. Kljub temu

da večina ponudnikov zagotavlja ustrezno varnost podatkov, se pojavljajo težave, pri

katerih uporabniki izgubljajo podatke, pride do nepooblaščenih dostopov, izpadov dostopa

do podatkov, neažurno posodabljanje podatkov. Večina zasebnih uporabnikov, ki storitve

uporabljajo zgolj za shranjevanje ali deljenje podatkov, se ne zavedajo in se ne

obremenjujejo z varnostjo in zasebnostjo njihovih podatkov, dokler ne pride do težav. Za

to je pomembno, da se vsak preden karkoli shranjuje ali deli v oblaku zaveda, kakšne

podatke shranjuje, z kakšnim namenom in ali lahko zaupa ponudniku. Problematično je

zlasti deljenje podatkov, saj ne moremo vedeti kakšen namen ima uporabnik z katerim

podatke delimo, to lahko nadzorujemo z tem, da se prepričamo, z kom podatke delimo in

kakšne pravice ima nad temi datotekami.


9

Za računalništvo v oblaku obstaja več razlag in definiciji, najbolj uporabljena in splošno

sprejeta je definicija Ameriškega inštituta NIST(National Institute of Standards and

Technology) [15]:

»Računalništvo v oblaku je model, ki omogoča dostop na zahtevo, do deljenih nastavljivih

računalniških virov, kot so omrežje, strežniki, podatkovne shrambe, aplikacij in storitev, ki

so lahko na voljo uporabniku z minimalno interakcijo ponudnika.«[15]

Definicija organizacije Gartner pravi:

»Računalništvo v oblaku je stil računalništva, pri katerem so masivno razširljivi viri

informacijskih tehnologij in ponujeni kot storitev preko internetnih tehnologij več

odjemalcem.» [9]

Podjetje IDC, ki se ukvarja z analizami in raziskavami na področju informacijskih

tehnologij, podaja definicijo za oblačne storitve in računalništvo v oblaku.

Oblačne storitve:

»So produkti, storitve in rešitve za zasebne in poslovne uporabnike, ki so ponujene preko

interneta v realnem času.« [12]

Računalništvo v oblaku:

»Računalništvo v oblaku je nastajajoč model, ki vpliva na razvoj informacijskih tehnologij,

načina razporejanja in dostavljanja, ter omogoča dostop do produktov, storitev in rešitev v

realnem času preko interneta.« [12]


10

2.1 Vrste storitev

Oblačne storitve se delijo na tri osnovne koncepte:

SaaS(Software as a Service)

Oblika storitev v oblaku, ki ponuja licenčno programsko opremo, do katere uporabnik

dostopa običajno preko spletnega brskalnika. Najpogosteje uporabljena programska

oprema je namenjena urejanju besedil, komunikaciji, programi za upravljanje podatkovnih

baz, programi za upravljanje z projekti, razvojni programi, CRM(Customer relationship

management) program za komunikacijo z strankami. [2]

IaaS(Infrastrcture as a Service)

Oblika storitev v oblaku pri kateri ponudnik ponuja računalniško infrastrukturo, kot so

strežniki, podatkovno shrambo, internetno povezavo in operacijske sisteme, kot storitve

na zahtevo. Ta vrsta oblačnih storitev omogoča uporabniku najema toliko virov, kot jih

potrebuje in s tem zmanjša stroške nakupov strežnikov in ostale opreme.

Prednosti so dinamično spreminjanje virov, cenovno ugodno, omogoča velik izkoristek

strojne opreme. [2]

Paas(Platform as a service)

Podobna oblika storitve v oblaku, kot SaaS, vendar ne ponuja končne namenske

programske opreme. PaaS ponuja platformo ali okolje, ki omogoča razvijalcem razvoj

aplikacij in storitev preko spleta. Prednost za razvijalce je, da imajo dostop, do okolja

enostavno preko spleta.

Omogoča delo več uporabnikov na projektih, varno shranjene podatke, omogoča

dinamično uporabo virov, nadzor in spremljanje napredka dela. [2]


11

2.2 Zagotavljanje varnosti in zasebnosti v Evropi

Varnost omrežji in informacijskih sistemov v evropski uniji določa direktiva o ukrepih za

visoko raven varnosti omrežij in informacijskih sistemov v Uniji, ki je bila nazadnje

posodobljena dne 6.julija.2016 in računalništvo v oblaku opredeli takole:

»Storitve računalništva v oblaku zajemajo raznolike dejavnosti, ki jih je mogoče

zagotavljati po različnih modelih. V tej direktivi izraz „storitve računalništva v oblaku“

zajema storitve, ki omogočajo dostop do prožnega in po obsegu prilagodljivega nabora

deljivih računalniških virov. Ti „računalniški viri“ obsegajo vire, kot so omrežja, strežniki ali

druga infrastruktura, shranjevanje, aplikacije in storitve. Izraz „prožen“ se nanaša na

računalniške vire, ki jih ponudnik storitev v oblaku prilagodljivo dodeljuje, ne glede na

geografsko lokacijo virov, da bi se tako lahko odzvali na spremembe v povpraševanju.

Izraz „prilagodljiv nabor“ opisuje take računalniške vire, ki se zagotavljajo in sproščajo

glede na povpraševanje, da bi se tako število razpoložljivih virov hitro povečalo ali

zmanjšalo odvisno od delovne obremenitve. Izraz „deljiv“ opisuje take računalniške vire, ki

se zagotavljajo več uporabnikom, ki si delijo isti dostop do storitve, vendar se obdelava za

vsakega uporabnika opravi ločeno, čeprav storitev opravlja ista elektronska oprema.«[4]

Direktiva določa obveznost, da morajo vse države članice sprejeti nacionalne varnostne

strategije za varnost omrežij in informacijskih sistem. Prav tako direktiva vzpostavlja

skupino za sodelovanje, ki bi omogočala in zagotovila lažje strateško sodelovanje za

izmenjavo informacij med državami članicami in bi okrepila zaupanje med njimi, ter mrežo

skupin CSIRT(Computer security incident response team), ki bi prispevala h okrepitvi

zaupanja med državami članicami ter spodbudila hitro in učinkovito operativno

sodelovanje. Določa varnostne zahteve in zahteve glede priglasitve za izvajalce bistvenih

storitev in za ponudnike digitalnih storitev. [4]


12

2.3 Varnost v oblačnih storitvah

2.3.1 Uporaba gesel

Določanje gesla pri uporabi oblačnih storitev je zelo pomemben korak pri ustvarjanju

uporabniškega računa. Običajno ponudniki ob registraciji ponujajo več stopenjski

indikator, ki prikazuje kako močno geslo je uporabnik izbral. Pomembno je, da uporabnik

izbere geslo, ki si ga bo zapomnil in, hkrati ne preveč enostavno. Močno geslo mora biti

sestavljeno iz minimalno 8 znakov, ki jih izberemo z spodaj naštetimi tehnikami.

Zahtevnost gesla je zalo pomembna saj ob morebitnem napadu, napadalcu otežuje

ugotavljanje zaporedja znakov uporabnikovega gesla. Če vštejemo da je možno uporabiti

vse znake in da je geslo osem mestno dobimo 645 bilijonov kombinaciji.[10]

2.3.2 Tehnike izbiranja močnega gesla

Osnovni ukrep, ki a lahko uporabnik naredi, da zaščiti svoj uporabniški račun pri uporabi

oblačne storitve ali katerekoli druge spletne aplikacije je, tako da izbere močno geslo.

Osnovno priporočilo je, da se geslo izbere iz črk abecede v kombinaciji z številkami, pri

črkah lahko izberemo kombinacijo velikih in malih črk. Za naprednejša gesla in boljšo

zaščito je priporočljiva uporaba simbolov, pri katerih se odsvetuje uporaba presledkov. Za

naprednejša gesla, ki še močneje varujejo vaše geslo pred morebitnim poskusom

dešifriranja, se priporoča uporaba besednih zvez, iz katerih uporabimo le samoglasnike ali

pa jih napačno črkujemo. Kot zelo učinkovito se izkaže uporaba nejasnih besed, ki

uporabniku nekaj pomenijo in si jih zlahka zapomni. To vključuje uporabo neobičajnih

znakov v uporabniku poznanih izrazih, zapis niza dveh besed, ki se ne povezujeta, izbira

besede z napačnim črkovanjem, uporaba kratic za uporabniku znane izraze, logična

zamenjava znakov, črke z besedami ali črke z simboli, izbira simbolov za ločevanje

besed. [10]

2.3.3 Odsvetovane tehnike izbire gesla

Pri izbiri gesla je potrebno poleg upoštevanja pravil dobre prakse za zapis močnega

gesla, dobro poznati tudi nekatere priporočila , kaj ne uporabiti v geslu. Strogo

odsvetovana je uporaba svojega imena ali priimka v kakršnikoli obliki, prav tako

kakršnekoli osebne številke, kot so: davčna številka, številka osebne izkaznice, bančnega

računa in podobno. Ker je lahko geslo tarča napada, ki skuša uganiti geslo se odsvetuje


13

uporaba delov uporabniškega imena, znanih imen ali priimkov, zapis gesla z manj kot 6

črkami. Pred napadom z tehniko socialnega inženiringa, se geslo obvaruje, tako, da

uporabni ne izbira gesla, ki vsebujejo imena prijateljev, sorodnikov, hišnih ljubljenčkov,

telefonske številke, naslova, rojstnega datuma, obletnic in podobno. Zaradi tako

imenovanih »brute-force« napadov, ki delujejo tako, da poskušajo ugotoviti geslo z

poskušanje vnosa različnih nizov, je odsvetovana uporaba znanih kratic, geografskih

imen, imen izdelkov, znanih oseb ali likov, tehničnih izrazov, izbira samo numeričnih

znakov, uporaba le ene besede pred katero je ali ji sledi številka.[10]

2.3.4 Zaščita na mobilnih napravah

Mobilne naprave predstavljajo dodatne izzive pri zagotavljanju varnosti, saj imajo do

mobilnih naprav za razliko od računalnikov fizično dostop veliko več ljudi, uporabniki jih

puščajo na različnih mestih in velikokrat nimajo ustrezno vzpostavljene zaščite.

Osnovna zaščita z katero lahko zaščitimo mobilno napravo je, da nastavimo geslo za

odklepanje telefona, to lahko storimo, tako da nastavimo numerično PIN kodo, geslo,

biometrično prepoznavo prstnega odtisa ali obraza. [24]

Pri uporabi spletnih aplikaciji je priporočljivo, da si uporabnik vzpostavi dvostopenjsko

preverjanje pristnosti, kjer uporabnik na mobilno aplikacijo ali tekstovno sporočilo prejme

geslo z katerim se vpiše v spletno aplikacijo. Tako se uporabnik veliko bolj zaščiti in

zmanjša možnost vdora v njegov spletni račun. [24]

Zelo pomembno za varnost pri mobilnih napravah je prav tako posodabljanje mobilne

naprave, kot vseh nameščenih aplikaciji, s tem uporabnik zmanjša tveganje, da bi

napadalec izkoristil morebitne varnostne luknje v aplikacijah ali operacijskem sistemu

telefona. Priporočljivo je, da je mobilna naprava nastavljena na samodejno

posodabljanje.[24]


14

2.3.5 Varovanje v primeru da uporabnik zahteva zaklep mobilne aplikacije, v spletni

storitve Cubby

V primeru, da uporabnik zahteva blokado mobilne aplikacije, lahko izvede tako imenovan

»lockout«, kar pomeni da zaklene svoj račun pred mobilno aplikacijo katera je povezana z

njegovim računom. Ko uporabnik zahteva to storitev, se ob naslednji zahtevi mobilne

aplikacije za podatke izbrišejo vsi podatki, iz mobilne naprave, ki so bili povezani z

računom, aplikacija pa se ponastavi. [1]

2.3.6 Šifriranje podatkov v spletni storitvi Cubby

Uporabniški podatki, ki so preneseni v oblak, so šifrirani z AES-256 simetričnim

algoritmom. Storitev ustvari unikaten ključ, ki je naključno generiran za vsako naloženo

datoteko. Ključi so shranjeni v podatkovni bazi poleg drugih lastnosti storitve. Pri vpisu

uporabnika v storitev se iz baze prenese ključ z katerim se šifrirajo in dešifrirajo podatki.

Storitev omogoča dodaten sloj varovanja in sicer to zagotovi tako, da aktivira funkcijo

»Cubby Locks«, katera zaklene uporabniške podatke na tak način, da so dostopni samo

uporabniku. Funkcija deluje tako, da se podatki šifrirajo na podlagi uporabniškega imena

in gesla, kar pomeni da, dostopa do podatkov nima niti ponudnik storitve. Varnost in

zaupanje za uporabniške podatke zagotavlja kriptografsko ogrodje. Vsak uporabnik, ki

uporablja datoteke zaklenjene z omenjeno funkcijo ima svoj sistemsko generiran

simetrični ključ imenovan USK(user symmetric key), ki je šifriran z uporabniškim geslom in

shranjen z AES-256 šifriranjem v podatkovno bazo. Za vsako zaklenjeno datoteko

obstaja 4096-bitni RSA ključ imenovan URK(user RSA key), ki vsebuje dva ključa,

privatnega in zasebnega. Privatni del ključa je šifriran z prej omenjenim USK ključem in

AES-256 šifriranjem. Javni ključ pa je shranjen kot golo besedilo. USK in URK ključa sta

unikatna za vsak uporabniško račun posebej. Uporaba asimetričnega šifriranje pomeni, da

karkoli šifrirano z javnim ključem, je lahko dešifrirano le z privatnim ključem in obratno.[1]


15

2.3.7 Dvostopenjsko preverjanje

Dvostopenjska verifikacija omogoča povečanje varnosti. V primeru, da nekdo ugotovi

uporabnikovo geslo lahko neomejeno dostopa do podatkov v oblaku. Če pa ima uporabnik

omogočeno dvostopenjsko verifikacijo, najprej vpiše geslo računa, nato pa na elektronski

naslov ali telefon dobi dodatno unikatno geslo z katerim se prijavi v svoj račun. [1]

2.3.8 Varnostni certifikati

HIPPA(Health Insurance Portability and Accountability)

HIPPA je akt, ki določa varnost občutljivih podatkov pacientov. Vsako podjetje, ki upravlja

z podatki o zdravju uporabnikov mora imeti varnost usklajeno po standardih, ki jih določa

HIPPA[1]

PCI(Payment Card Industry)

PCI je akt, ko določa varnostne standarde, kateri varujejo podatke, ki se prenašajo med

spletnimi plačili z kreditnimi karticami. Strežniki zagotavljajo 256-bitno SSL šifriranje, ki ga

uporabljajo nekatere bančne kartice z katerimi je mogoče plačevati preko spleta, kot so

MasterCard, Visa, American Express. Akt prav tako zahteva dvostopenjsko verifikacijo in

druge striktne politike delovanje sistema, ki se jih mora ponudnik zagotavljati. [1]

FIPS(Federal Information Processing Standards)

FIPS je akt, ki določa standarde za kriptografske module, katere uporablja ponudnik za

procesiranje podatkov. Določa, kakšne varnostne sisteme mora ponudnik zagotavljati pri

uporabi kriptografskih modulov, da ne pride do izgube celovitosti ali izgube zaupnosti

informacij. [25]


16

2.3.9 Fizična zasnova prostorov

Podatkovni centri so zasnovani tako, da nimajo oken. Varnostni sistem, zagotavlja

neprekinjeno dobavo električne energije v ozadju pa je v stanju pripravljenosti električni

generator.[19]

Vse površine podatkovnih centrov, so nadzorovane z pomočjo varnostnih kamer, prav

tako so pod nadzorom vse dostopne točke, preko katerih je mogoče vstopati do

strežnikov. Nadzor poteka tudi z pomočjo zaznavanja kontaktov na ključavnicah, detektor

lomljenja stekla, detektorji premikanja, nadzor nepooblaščenih vstopov.[19]

Nepooblaščene vstope preprečujejo tri ravni zaščite dostopa. Prva stopnja za vstop v

varnostno kletko je branje geometrije roke, za dostop do notranjih varnostnih kletk so

potrebni ključi od ključavnice. V primeru, da se strežniki nahajajo v prostorih kjer so

nameščeni strežniki, več kot enega ponudnika storitev je za vstop potrebno koda, ki se

vpiše v številčnico, ki ima lastno napajanje. Vse dostopi so shranjeni v dnevnikih, katere si

lahko uporabnik storitev(stranka) prenese in pregleda.[19]

2.4 Zasebnost v oblačnih storitvah

Politika podjetja za varovanje podatkov

Ponudnik LogMeIn podatkov uporabnikov v storitvi Cubby.com ne prenaša tretjim

osebam, razen, ko to zahteva zakon ali je to potrebno za zagotavljanje varnosti

uporabnikov, zaposlenih in drugih. Cubby omogoča dodatno zaščito občutljivih podatkov,

ki se nahajajo v uporabnikovem oblaku, z dodatno verifikacijo.[1]

Orodja na voljo uporabniku za nadzor podatkov

Beleženje aktivnosti omogoča nadzor nad aktivnostmi uporabnikov, pripomore k nadzoru

ob izgubi ali nepooblaščenem spreminjanju ali dostopu do podatkov. Iz zabeleženih

dogodkov je razvidno kateri podatki se delijo, kako in s kom. V primeru kršitve lahko

administrator filtrira dogodke glede na zaposlenega in preveri njegova dejanja. [1]


17

Zabeleženi so naslednji dogodki: kdaj je bila datoteka deljena, je uporabnik sprejel

ponudbo za deljenje datoteke ali ne, kdaj je datoteka izbrisana, kdaj je datoteka dokončno

izbrisana iz oblaka ponudnika, so arhivirane verzije datoteke izbrisane iz oblaka, kdaj

uporabnik preneha uporabljati deljeno datoteko, kdaj so ustvarjene javne hiperpovezave.

kdaj je datoteka sinhronizirana z napravo, kdaj je bilo aktivirano in zaključeno brisanje

podatkov iz naprave, kdaj je naprava odstranjena iz oblaka.

Lastnik, vodja računa podjetja lahko vidi podatke vseh uporabnikov na tem računu, če ti

niso posebej zaklenjeni s strani člana te skupine.

Vodja računa ima možnost izvesti akcijo, ki izbriše člana njegove skupine in izbriše vse

njegove z vseh naprav, ki jih ta uporablja ali obdrži uporabniški račun in izbriše le podatke

z določene naprave.

Funkcija je zelo uporabna v podjetjih. Če zaposleni izgubi, mu ukradejo napravo ali

zapusti podjetje lahko vodja prekliče njegov račun, mu izbriše podatke iz oblaka in vseh

naprav. Funkcijo lahko po potrebi izvede tudi uporabnik sam, vendar samo za svoj račun

in svoje podatke.

2.5 Nevarnosti storitev v oblaku

Organizacija Cloud security Alliance je določilo devet največjih groženj računalništva v

oblaku:

Kršitev varnostnih protokolov

Kraja zaupnih podatkov je velika težava podjetji, saj lahko v premeru da pridejo podatki v

roke konkurence izgubijo prednost pred ostalimi in izgubijo intelektualno lastnino. Kraje

podatkov se dogaja že od časa preden so se pojavili računalniki. Uporaba oblačnih

storitev je še povečala stopnjo zaskrbljenosti glede varnosti in zasebnosti podatkov, saj

podjetje zaupa svoje podatke ponudniku, za katerega ne vedo natančno kako varuje

podatke.[23]

Problematika iztekanja podatkov se rešuje z šifriranjem podatkov, kar ustvari nov

problem, saj lahko izgubimo ključ za dešifriranje podatkov in ostanem brez podatkov. Za

to je še vedno priporočljivo hraniti varnostne kopije na varnih lokacijah, ki niso povezane z

spletom. Tako je možno omejiti večjo izgubo ali iztekanje pomembnih in zaupnih

informacij.[23]


18

Izguba podatkov

Do izgube podatkov v oblaku lahko pride iz več razlogov to so: razni napadi, nenamerno

izbrisani podatki s strani ponudnika ali uporabnika, fizične poškodbe objektov kje so

shranjeni podatki(požari, potresi, poplave). Vse to so lahko razlogi za izgubo podatkov v

primeru da ponudnik nima urejenih ustreznih tehnologij za varnostno kopiranje podatkov.

Izguba podatkov pa ni vedno krivda ponudnika storitev, vendar je lahko krivda tudi

samega uporabnika v primeru, da ta šifrira podatke in izgubi ključ za dešifriranje ali sam

ne namenoma izbriše podatke.[23]

Ponudnik je po zakonih EU dolžan obvestiti uporabnike ob vsaki izgubi ali iztekanju

podatkov za katere je odgovoren ponudnik.[23]

Kraja računov ali vdor v promet storitve

Oblačne storitve so zelo občutljive na tako imenovane »phishing« napade, to je napad v

katerem se napadalec izdaja za legitimno osebo iz podjetja in poskuša pridobiti podatke

uporabnika, z katerimi se lahko prijavi v storitev in v njegovem imenu upravlja z podatki.

Tovrstni napadi se rešujejo z dvostopenjskimi verifikacijami in izobraževanjem

uporabnikov.[23]

Nevarnosti v uporabniških vmesnikih in aplikacijah

Ponudniki oblačnih storitev ponujajo razno programsko opremo, ki jo uporabniki

uporabljajo za upravljanje z podatki, nadzor in uporabo storitev. Varnost in dostopnost do

oblaka je odvisna od teh vmesnikov in aplikacij. Verifikacija, nadzor nad dostopom,

šifriranje in nadzorovanje dogodkov so osnovni varnostni ukrepi, katere morajo vmesniki

in aplikacije vsebovati da lahko zagotavljajo varnost pred namernimi in nenamernimi

akcijami, ki bi lahko ogrozile podatke.[23]

Ponudniki in tretje osebe velikokrat razvijajo dodatne vmesnike, ki ponujajo dodatne

funkcije, kar pa prinese nove varnostne pomanjkljivosti.[23]


19

Napad DoS (Denial of Service)

DoS napad prepreči uporabniku dostop, do storitev in podatkov v oblaku. Napad deluje

tako, da napadalec obremeni strojno opremo(procesor, pomnilnik, diskovno shrambo) in

povezavo ponudnika kar povzroči počasno delovanje sistema ali celo odpoved delovanja,

kar onemogoči uporabnikom dostop. Tovrstni napadi so zelo popularni saj lahko z malo

truda in znanja napadalec doseže velik učinek. Običajno napadalci izkoriščajo varnostne

luknje v spletnih strežnikih, podatkovnih bazah ali drugih delih sistema, ki sestavljajo

oblak. [23]

Zlonamerni ljudje z dostopom(zaposleni, bivši zaposleni)

Zlonamerni zaposleni ali bivši zaposleni imajo dostope do kritičnih podatkov in predelov

sistema. Ob neprimerni politiki v sistemu(verifikacija, onemogočanje računov bivšega

zaposlenega, omejevanje dostopov raznim zunanjim izvajalcem), lahko pride do

izkoriščanja položaja, kar lahko vodi do velikih težav v sistemu ali izgube oz. izhajanje

podatkov. [23]

Zloraba oblačnih storitev

Oblačne storitve so zelo dobra rešitev za mala in velika podjetja, saj je najem veliko

cenejši. Nakupa takšne informacijske infrastrukture, kot ga lahko podjetja najamejo, si

večina podjetji in organizaciji nebi mogla privoščiti. Zato je najem procesorskih,

podatkovnih, pomnilniških in drugih virov idealna rešitev. [23]

Pojavljajo pa se tudi najemniki storitev, ki te vire izkoriščajo zlonamerno. Na primer

napadalec, ki se loti dešifriranja, bi z svojo strojno opremo potreboval lahko potreboval

leta, da bi prišel do rezultatov, če pa najame dovolj virov od ponudnika oblačnih storitev,

lahko pride do rezultatov nekaj minutah. Prav tako lahko napadalci vire ponudnika

uporabijo za DoS(Denial of Service) napade ali širjenje škodljive programske opreme.

Tovrstne zlorabe so težava ponudnikov, saj po navadi ne prizadenejo uporabnikov.

Ponudnik pa se mora soočiti s tem kako prepoznati takšne uporabnike, ki zlorabljajo

njihove storitve in kako jim to preprečiti. [23]


20

Zavedanje, kaj prinaša prehod in uporaba oblačnih storitev

Oblačne storitve prinašajo zmanjšanje stroškov, učinkovitejše izkoriščanje strojne opreme

in boljšo varnost sistema. Pri vseh teh prednostih pa se pojavijo tudi težave, ko se

podjetje ali organizacijo odloči za prehod na oblačne storitve se mora zavedati tudi

slabosti in razumeti celoten obseg prehoda na novo tehnologijo.

Najemniki storitev morajo dobro vedeti kakšne so njihove potrebe in pametno sestaviti

pogodbo z ponudnikom, ki mora zagotavljati varnost, zanesljivost, zasebnost, določati

odgovornosti, nadzor. [23]

Podjetja se morajo zavedati, da prenašajo morebitne sisteme, ki so delovali na internem

omrežju v oblak, da ne bodo imeli popolne kontrole nad sistemom, da njihovi razvijalci

morda niso seznanjeni z tehnologijami, ki jih uporablja uporabnik oblačnih storitev.

Najemniki storitev, ki že imajo vzpostavljen določen sistem, morajo temeljito raziskati in

pretehtati svoje možnosti pri prehodu v oblak in ali je to za njih najboljša izbira. [23]

Ranljivosti pri deljenih tehnologijah

Ponudniki storitev ponujajo vel različnih vrst oblačnih storitev, tri osnovne vrste so:

IaaS(Infrastructure as a Service), PaaS(Platform as a Service), SaaS(Software as

Service). Grožnja obstaja, ker si vse vrste delijo vire sistema, kar pomeni, da če v eni vrsti

oblačne storitve pride do varnostne luknje so lahko ogroženi podatki v vseh vrstah oz.

storitvah ponudnika. Pomembno je da ima ponudnik dober nadzor nad vsemi svojimi

storitvami in da v primeru kakršne koli napake pravilno ravna in zavaruje podatke

uporabnikov. [23]


21

2.6 Uporabniški vidiki varnosti in zasebnosti

Raziskava Avstralske univerze za računalništvo in matematiko, po izvedbi raziskave kako

uporabniki gledajo na varnost in zasebnost oblačnih storitev ugotavlja, da ne glede na vse

prednosti na koncu o odločitvi za uporabo odloča ali uporabnik zaupa v storitev ali ne.

Rezultati so pokazali, da se veliko uporabnikov ne zaveda potencialnih nevarnosti in tudi,

če se jih zavedajo, se pred njimi ne zanjo obvarovati.[20]

Anketiranci so med različnimi vprašanji od prednosti, slabostih in nevarnostih izpostavili

naslednje varnostne koncepte:[20]

Glavne varnostne grožnje – nezaupanje in pri shranjevanju podatkov v oblak. Negativne

izkušnje z zlorabo podatkov. Težave z selitvijo podatkov v oblak.[20]

Vzroki za grožnje – razlogi za nezaupanje v oblačne storitve za shranjevanje datotek.

Nezadovoljstvo z obstoječimi orodji za varovanje podatkov in politiko odkrivanja napak, ter

obveščanja o morebitnih varnostnih napakah.[20]

Strategija izogibanja grožnjam – opraviti potrebne korake pred migracijo podatkov v

oblak. Nezadovoljstvo uporabnikov z pogoji uporabe storitev. Nejasnost glede tega, kdo je

odgovoren za podatke v oblaku.[20]

Prestavljeni podatki predstavljajo uporabniške vidike varnosti in zasebnosti pri uporabi

računalništva v oblaku. Naštete koncepte so vsakega posebej razdelili na bolj podrobne

grožnje, vzroke in strategije, ki so jih sodelujoči izpostavili in določili njihov procent, ki

predstavlja, kako pomemben se zdi sodelujočemu. [20]


22

Grožnje in odstotek pojavljanja so prestavljeni v Tabela 2.1.

Tabela 2.1: Grožnje in pojavljanje dogodka

Glavne varnostne grožnje Pojavljanje dogodka

Kršitev varnosti podatkov 95%

Izguba podatkov 85%

Nedostopnost podatkov 72%

Nadzor nad podatki s strani tretje osebe 69%

Privatnost podatkov 45%

Vir: [20]

Razlogi in odstotek pojavljanja so predstavljeni v Tabela 2.2.

Tabela 2.2: Razlogi in pojavljanje razlogov

Možno vzroki za varnostne grožnje Pojavljanje vzroka

Zlonamerni zaposleni ali ljudje z dostopom 100%

Pomanjkanje varnostnih orodji 89%

Pomanjkanje znanja o oblačnem okolju 75%

Pomanjkanje transparentnosti 69%

Slab nabor vmesnikov 69%

Neučinkovito napisani pogoji uporabe 50%

Vir: [20]

Strategija in odstotek so predstavljeni v Tabela 2.3.

Tabela 2.3: Strategija in pojavljanje strategij

Strategije za izogibanje grožnjam Pojavljanje strategije

Ocena tveganja in načrt za zmanjšanje škode 75%

Obnovitev po kršitvi vernosti in rezervni načrt 72%

Šifriranje podatkov 85%

Pogodba o uporabi storitve 55%

Vir: [20]


23

2.7 Način uporabe storitev

Dostop preko brskalnika

Večina ponudnikov ponuja dostop do aplikacije preko spletnega brskalnika, preko

katerega uporabnik prenaša in deli datoteke ali uporablja druge funkcije, ki jih ponuja

ponudnik storitev.

Dostop preko namizne aplikacije

Namizne aplikacije oblačnih storitev običajno omogočajo upravljanje z podatki, nastavitve

sinhronizacije, se integrirajo v sistem operacijskega sistema, kateri kasneje v svojih

menijih ponuja dodajanje datotek v oblak.

Dostop preko mobilne aplikacije

Ponudniki običajno ponujajo mobilne aplikacije za več vrst mobilnih operacijskih sistemov,

da zajamejo čim več uporabnikov. Mobilne aplikacije ponujajo dodajanje, pregled,

sinhronizacijo z kamero, elektronskimi sporočili, ali drugimi podatki, ki jih ustvarja mobilna

naprava. Običajno ponujajo funkcijo, za dodatno zaščito z geslom ali prstnim odtisom,

zaradi dostopnosti naprave.


24

3 INFORMACIJSKA VARNOST

V Evropski uniji za zaščito podatkov deluje neodvisna organizacija EDPS(European data

protection supervisor), ki zagotavlja, da institucije in drugi organi ravnajo z podatki po

pravilih, ki so bili sprejeti 18.december.2000 v Evropskem parlamentu in tako ščiti osebne

podatke posameznikov. Sodelujejo tudi pri sprejemanju novih zakonov in svetujejo

institucijam in drugim organom v evropski uniji. Osnovni nameni organizacije so nadzor,

svetovanje in sodelovanje. [21]

3.1 Varnost podatkov

Varnost podatkov je širok pojem in zajema različna področja računalništva, kot tudi

fizičnega varovanja opreme s katero se obdelujejo in shranjujejo podatki.

»Informacijska varnost je obsežno področje, ki zahteva timski pristop in z njim širok nabor

strokovnjakov različnih strok. Področje preseneti z eksponentno rastjo znanja, ki izjemno

hitro zastari, kar je posledica interdisciplinarnega pristopa in velike težnje po odkrivanju

novega.«[11]

Islovar varnost podatkov razlaga, kot stanje, pri katerem je zagotovljena zaupnost,

neokrnjenost in razpoložljivost podatkov, informacijsko varnost pa kot varnost podatkov in

informacijskih sistemov pred zlorabo in uničenjem.

Varnost podatkov se nanaša na varnostne ukrepe, ki preprečujejo nepooblaščene

dostope, do računalnikov, podatkovnih baz in spletnih strani. Varnost podatkov je prav

tako povezana z preprečevanjem, da bi prišlo do zlorabe ali spreminjanja podatkov.

Pojem je znan tudi kot informacijska varnost ali računalniška varnost. [3]

Univerzalna in klasična definicija informacijske varnosti je zelo jedrnata in preprosta, saj

po NIST-u (2013)

»informacijska varnost pomeni zaščito informacij in informacijskih sistemov pred

neavtoriziranim dostopom, uporabo, razkritjem, onemogočanjem ali uničenjem, z

namenom zagotoviti njihovo zaupnost, celovitost in dostopnost«.[3]


25

Tudi organizacija ISO/IEC proces varovanja informacij opredeljuje kot ohranjanje

zaupnosti, celovitosti in razpoložljivosti informacij kakor tudi zagotavljanje drugih lastnosti,

kot so verodostojnost, odgovornost, neovrgljivost in zanesljivost.[14]

Varnost in zasebnost podatkov, sta izraza, ki sta povezana vendar nimata enakega

pomena. Razlaga je zelo preprosta, potrebno je implementirati varnostne sisteme, da bi

zagotovili zasebnost. Z drugimi besedami, potrebno je uporabiti varnost, da pridobimo

zasebno, varnost je dejanje katerega rezultat je zasebnost ali varnost je strategija katere

izid je zasebnost.[18]

Če povzamemo; podjetje mora imeti aktivno vključeno strategijo za zagotavljanje varnosti

in zasebnosti.

3.2 Informacijska zasebnost

Informacijska privatnost podatkov, se nanaša privatnost osebnih podatkov, ki so shranjeni

na računalniških sistemih. Razlog za vzdrževanje privatnosti podatkov, je

najpomembnejše zaradi osebnih podatkov, kot so zdravstveni podatki, finančni podatki,

kazenske kartoteke, politične evidence, poslovni podatki in podatki spletnih strani.[13]


26

4 STORITVE IN APLIKACIJE UPORABLJENE V RAZISKAVI

4.1 Cubby oblačna storitev

Cubby je oblačna storitev, ki omogoča shranjevanje, spreminjanje in deljenje podatkov.

Storitev je dostopna tako preko brskalnika, kot tudi preko aplikacije, ki je na voljo za

operacijske sisteme Windows, ter mobilna operacijska sistema Android in iOS.

Programska rešitev je bila razvita pod okriljem podjetja LogMeIn, ki se primarno ukvarja z

razvojem programske opreme za varno oddaljeno povezovanje, kar omogoča, da se lahko

uporabnik varno poveže z oddaljenim računalnikom ne glede na to, kje se nahaja.

Ponudnik za osnovno rabo, kar predstavlja shranjevanje deljenje in spreminjanje podatkov

nudi brezplačno uporabo. Napredne funkcije, kot so sinhronizacija, zapisovanje

dnevnikov, dodajanje novih uporabnikov, določevanje politike pravic, funkcija za brisanje

podatkov iz naprav katerim administrator odstrani pravice za dostop in pa povečanje

prostora za shranjevanje podatkov, za te funkcionalnosti pa ponudnik zaračunava

mesečno naročnino.

4.2 Google dokumenti

Podjetje Google je ponudnik storitve Google dokumenti, katera omogoča ustvarjanje,

spreminjanje in shranjevanje dokumentov, kot so tekstovni dokumenti, preglednice,

predstavitve, tabele in obrazci. V storitev se uporabnik vpiše z Googlovim računom, ki je

enak tistemu za uporabo storitve Gmail in drugih, ki jih ponuja Google. Prednost storitve je

v tem da je brezplačna, datoteke lahko delimo z drugimi uporabniki, prav tako lahko

drugim uporabnikom dodelimo pravice za spreminjanje, kar omogoča skupinsko delo na

daljavo. Vse spremembe se sproti shranjujejo, kar zmanjšuje možnost izgube podatkov.

Datoteke lahko urejamo tudi, če nimamo dostopa do interneta, kar pomeni, da se

spremembe shranijo, ko se povežemo na splet. Urejanje datotek brez internetne

povezave omogoča Googlov produkt GoogleDrive, ki je oblačna storitev, ki ponuja

shranjevanje spreminjanje, deljenje podatkov in sinhronizacijo.


27

4.3 Morae

Morae je programska oprema, namenjena preizkušanju programske opreme in spletnih

strani. Omogoča merjenje uporabnosti in razkrivanje šibkih točk, kar omogoča hitro in

učinkovito izboljšanje programske opreme ali spletnih strani.

Programska oprema je sestavljena iz treh komponent, to so Morae Recorder, Morae

Observer in Morae Manager.

4.3.1 Morae Recorder

Morae Recorder je ena od treh komponent, ki sestavljajo programsko opremo. Program

omogoča zajemanje slike iz kamere, zaslonske slike, zvoka, premika miške, klike na

miško in tipkovnico, potek izvedbe opravil uporabnika, beleži razne podatke, kot so: čas

uporabe določenega programa, kaj uporabnik išče v spletnih brskalnikih, katere programe

uporablja, ter ostale prametre. [16]

V programski opremi je možno nastaviti ali bo program snemal zaslonsko sliko, sliko

kamere ali oboje. Nastavitve lahko shranimo in jih uporabimo za več snemanj.

Za lažje spremljanje posnetkov, lahko nastavimo naloge, katere uporabnik izvaja, te

naloge spremljevalec eksperimenta dodaja v video, med tem ko spremlja sodelujočega v

eksperimentu in ob tem določi oceno izvedbe(primer: slabo, srednje, odlično). Prav tako je

možno dodajanje dogodkov, kot so razne napake, pomoč uporabniku, komentarji

opazovalca in podobno. Po opravljeni nalogi eksperimenta, lahko v programu dodamo

anketo, ta se prikaže po končanem snemanju, ko jo sodelujoči izpolni je zaključil z svojo

nalogo v eksperimentu. [16]


28

4.3.2 Morae Observer

Observer je del programske opreme Morae, ki omogoča opazovanje sodelujočega v

eksperimentu v realnem času enemu ali več opazovalcem. Poleg opazovanja omogoča

vstavljanje komentarjev in ocenjevanje izvedbe nalog. Za povezavo z opazovanim

namizjem je potrebno vnesti naslov ali ime opazovanega računalnika. Po končanem

opazovanju se vstavljeni komentarji in ocene združijo z projektom v Recorder-ju. Kar

omogoča lažji pregled in analizo v Morae Manager-ju. [16]

4.3.3 Morae Manager

Funkcije programa so: pregled obstoječe študije, ustvarjanje označb in zapiskov s katerimi

se označujejo potek dela sodelujočega, ocenjevanje poteka dela sodelujočega v

eksperimentu in zapisovanje opomb, izdelava grafov iz zbranih podatkov.

Poleg osnovnih, že naštetih funkcij Observer omogoča popravljanje in dodajanje opomb,

ocenjevanje, analiza podatkov, ustvarjanje grafov. Za predstavitev podatkov program

omogoča izvoz v Excel ali drug program za predstavitev števil. Z funkcijo storyboard,

lahko poljubno iz zajetega videa odrežemo odseke, jih komentiramo in ocenimo in jih nato

predstavimo v Word-ovem dokumentu. [16]


29

5 NAČRT EKSPERIMENTA

5.1 Ozadje problema

Uporaba oblačnih storitev je med zasebnimi in poslovnimi uporabniki vsako leto bolj

priljubljena. Zaradi množične uporabe in velikega pretoka podatkov, postaja vprašanje

varnosti in zasebnosti podatkov vedno bolj aktualno. V Raziskavi se bomo osredotočili na

oblačne storitve namenjene zasebnim uporabnikom.

5.2 Cilj in naloga eksperimenta

Naloge eksperimenta vključujejo, ugotavljanje pomanjkljivosti obveščanja uporabnika o

varnosti in zasebnosti in ugotavljanje zavednosti uporabnika o varnosti in zasebnosti

podatkov, pri uporabi oblačnih storitev

Cilj eksperimenta je zbrati podatke, s pomočjo naprave za sledenje očem in anketnega

vprašalnika, ter jih analizirati. Pridobljeni rezultati so pokazatelj kakšna je stopnja

zavednosti uporabnikov o varnosti in zasebnosti podatkov med uporabo oblačnih storitev.

5.3 Objekt opazovanja

V eksperimentu se osredotočimo na uporabnika, ki uporablja oblačne storitve za osebne

namene, kar vključuje shranjevanje, deljenje, sinhronizacijo podatkov in enostavnejša

urejanja datotek. Analizirali smo, na kaj je uporabnik pozoren med uporabo, čemu nameni

več časa pri registraciji in ali je varnost in zasebnost pri uporabi nasploh njegova skrb.


30

5.4 Kontekst

Eksperiment vključuje spletne oblačne storitve, katere so dostopne preko namizne

aplikacije ali spletnega brskalnika.

Sodelujoči v eksperimentu so računalniško pismeni ljudje z delnimi izkušnjami pri uporabi

oblačnih storitev.

Problematika na katero se osredotočamo je varnost in zasebnost podatkov v oblaku, kar

je splošen problem ne samo oblačnih storitev ampak na splošno pri uporabi spleta.

Varnost in zasebnost je problematika, ki je aktualna v preteklosti, sedanjosti in bo

najverjetneje, zaradi okoriščanja z zbiranjem in krajo podatkov tudi v prihodnosti.

5.5 Profil sodelujočih

V eksperimentu je sodelovalo 7 moških in 5 žensk. Vsi sodelujoči so odrasle, računalniško

pismene osebe, ki razumejo angleško. Starost sodelujočih je od 19 do 27 let.

5.6 Inštrumenti eksperimenta

Pri izvedbi eksperimenta smo uporabili programsko orodje Morae, ki je namensko orodje

za analizo uporabe programske opreme in ga je mogoče uporabljati v povezavi z strojno

opremo za sledenje očem. Naprava za sledenje očem je glavni pripomoček z katerim smo

analizirali uporabnikove aktivnosti med izvajanjem nalog eksperimenta.


31

5.7 Navodila eksperimenta

1. V brskalniku odprite spletno stran na naslovu www.docs.google.com

2. Vpišite se z vašim računom ali si ga ustvarite na novo.

3. Ustvarite novo tekstovno datoteko z imenom ime_priimek.

4. V ustvarjeno tekstovno datoteko zapišite ime, priimek, telefon, naslov in elektronski

naslov.

5. Ustvarjenemu tekstovnemu dokumentu ustrezno nastavite pravice deljenja in ga delite

z uporabniškim računom [email protected].

6. Ustvarjen dokument prenesite na namizje v formatu pdf(File>Download As>PDF

Document(.pdf).

7. Izpišite se iz storitve.

8. V brskalniku odprite spletno stran na naslovu www.cubby.com

9. Razglejte se po spletni strani ponudnika in se registrirajte v spletno storitev.

10. V spletni storitvi ob že obstoječi mapi ustvarite novo z svojim imenom in priimkom.

11. Iz namizja prenesite svojo shranjeno datoteko z imenom ime_priimek.pdf v mapo, ki

ste jo ustvarili v oblačni storitvi Cubby.

12. Celotno mapo v spletni storitvi z imenom ime_primek delite z naslovom

[email protected]

13. Vpišite se v aplikacijo Cubby nameščeno na računalniku. Sinhronizirajte novo

ustvarjeno mapo z imenom vašega imena in priimka, na namizje. Na namizju se pojavi

mapa z vašim imenom in priimkom v njej pa je datoteka z vašimi osebnimi podatki

ustvarjena v Googlovih dokumentih, ki ste jo shranili v prvem delu naloge.

14. Vrnite se v spletno aplikacijo in v meniju uporabnika poiščite vrstico »Devices«, tukaj

je spisek naprav, ki so povezane z vašim računom. Ker ste z nalogo zaključili odstranite

aplikacijo na računalniku iz povezave z vašim računom.

15. Izpišite se iz spletne storitve.


32

5.8 Navodila za vodje eksperimenta

Vodja spremlja sodelujočega v eksperimentu, opazuje ali ima kakšne tehnične težave z

izvedbo in pomaga pri morebitnih težavah. Vzdržuje red v prostoru kje se eksperiment

izvaja, da ne prihaja do nepotrebnih vplivov, ki bi lahko spremenili rezultate eksperimenta.

Zagotavlja delovanje računalnika, naprave za sledenje očem, potrebne programske

opreme in delovanje internetne povezave

5.9 Merilni inštrumenti

5.9.1 Naprava za sledenje očem

Z napravo za sledenje očem spremljamo točke pogleda pri registraciji, deljenju datotek,

prekinjanju povezav z računom. Merimo koliko časa je uporabnik, namenil branju pogojev

pri registraciji(v primeru da je odprl povezavo) in prestavitvi storitve, med registracijo.

Spremljamo koliko časa in kaj je uporabnik opazoval pri predstavitvi varnosti(v primeru da

je odprl povezavo v meniju). Sledimo na kaj je uporabnik najbolj pozoren med izvajanjem

naloge na strani ponudnika, ko se izpisuje iz storitve in pri deljenju tekstovne datoteke na

strani www.docs.google.com z pomočjo toplotnega zemljevida.


33

Anketa

V sklopu raziskave, smo po eksperimentu izvedli anketo. Anketo izpolnjujejo sodelujoči,

po izvedbi eksperimenta. Na vprašanja se odgovarja na računalniku in sicer v sklopu

programske opreme Morae, katera omogoča tudi predstavitev rezultatov.

Z rezultati ankete smo natančneje določili sklepe o zavedanju uporabnikov o varnosti in

zasebnosti.

Anketna vprašanja:

1. Ali pri izbiri oblačnih storitev bolj zaupate ponudnikom, ki so bolj znani na tem in drugih

področjih informatike(npr. Google Drive, DropBox, Apple iCloud)?

2. Imate pomisleke glede varnosti in zasebnosti podatkov, ko shranjujete podatke v

oblak?

3. Ali vas pri uporabi oblačnih storitev zanima, kje fizično so shranjeni vaši podatki?

4. Ali poznate svoje pravice v primeru, da ponudnik oblačnih storitev izgubi, zlorabi vaše

podatke?

5. Bi v oblak shranjevali osebne podatke in podatke, ki so za vas zelo pomembni(osebne

finance, osebne fotografije, posnetki,...)?

6. Ste pri uporabi oblačnih storitev že kdaj naleteli na težave?

7. Bi kateremu od ponudnikov storitev v oblaku zaupali varnostno kopiranje vseh vaših

naprav storitev, ki jih uporabljate(mobitel, prenosnik, tablica, TV, bančništvo, socialna

omrežja, elektronska pošta, slike, video)?

8. Ali veste kakšne vse pravice ima uporabnik z katerim ste delili datoteko na storitvi

www.google.docs.com nad deljeno datoteko?

9. Ste imeli kakšne pomisleke, glede tega, da ste morali v datoteko zapisati osebne

podatke in jih deliti?


34

5.10 Spremljanje aktivnosti uporabnika

Spremljanje možnosti pri prijavi, ali hoče uporabnik ostati prijavljen ali ne.

Spremljanje ali je uporabnik pregledoval opis varnosti storitve, ki ga ponuja ponudnik.

Spremljanje kaj uporabnik izbere na predelu kjer ga ponudnik sprašuje ali mu lahko pošilja

in ga obvešča po elektronski pošti

Spremljanje ali uporabnik preveri v spletni storitvi ali je njegova datoteka dokončno

izbrisana, po izbrisu datoteke iz računalniške aplikacije

Spremljanje ali uporabnik preveri, če so za njim ostale kakšne datoteke, ko se izpiše iz

računalniške aplikacije(v tem primeru datoteka z osebnimi podatki, in ustvarjena mapa).


35

6 IZVEDBA IN REZULTATI EKSPERIMENTA

6.1 Predstavitev izvedbe eksperimenta

Za izvedbo raziskave smo uporabili računalnik, ekran, miško, tipkovnico, USB WiFi

vmesnik in napravo za sledenje očem imenovano EyeGuide, ki jo lahko vidite na Slika 6.1,

ter pripadajočo programsko opremo EyeGuide Visualize in Analyze. Za zajemanje

zaslonske slike smo uporabili tudi programsko opremo Morae Recorder, Morae Observer

in Morae Manager za urejanje posnetkov. Anketa je bila izvedena v sklopu programa

Morae.

Slika 6.1: Oprema za spremljanje pogleda


36

Na Slika 6.2 vidimo kako pravilno namestiti napravo za sledenje očem na glavo

sodelujočega, Slika 6.3 pa prikazuje. Začetek kalibracije, kje nastavimo lečo za

spremljanje očesa in usmerimo napravo in s tem glavo sodelujočega, tako da program

zajame okvir ekrana in ga pozicioniramo na sredino slike, ki jo zajema kamera na napravi.

Slika 6.2: Naprava EyeGuide nameščena na glavi

Slika 6.3: Naprava EyeGuide med kalibracijo


37

Slika 6.4 in Slika 6.5 prestavljata nadaljevanje kalibracije, leva Slika 6.4 zazna ekran in

poišče točke. Te točke se po nekaj sekundah začnejo prikazovati na ekranu, naloga

sodelujočega v eksperimentu je da pogled usmeri v sredino tega kroga, kot je prikazan na

Slika 6.4.

Slika 6.4: Zaznavanje točk na ekranu

Slika 6.5: Pojavljanje krogov za kalibracijo


38

Slika 6.6 prikazuje kalibrirano točko, ki ni pravilno zaznana, če se križa ne pokrivata na

točki programska oprema pogleda ne zaznava pravilno. Križec v sredini kroga je točka

kjer bi pogled moral biti zaznan, križec izven kroga pa je točka kjer ga bo zaradi

nezadostne kalibracije program zaznaval pogled.

Slika 6.6: Rezultat napačne kalibracije

Kot vidimo se na Slika 6.7 križca pokrivata, kar pomeni, da gre za pravilno kalibracijo.

Slika 6.7: Rezultat pravilne kalibracije

Zaradi tehničnih težav z programsko opremo naprave za sledenje očem EyeGuide, nam

ni uspelo prenesti vseh posnetkov iz naprave. Za analizo posnetkov smo uporabili 9

posnetkov iz naprave EyeGuide in 12 posnetkov iz programske opreme Morae, ter vseh

12 anket. Opravili smo natančen pregled vseh posnetkov in izluščili podatke, ki smo jih

potrebovali za rezultate raziskave. Rezultati in izsledki bodo predstavljeni v nadaljevanju.

Da bi dobili smiselne rezultate smo združili izsledke iz programske opreme EyeGuide in

Morae.


39

Slika 6.8 prikazuje toplotni zemljevid, katerega ustvari programska oprema iz podatkov, ki

jih prejme iz naprave za spremljanje pogleda. Z pomočjo tovrstne prezentacije podatkov,

lahko razberemo, kam je uporabnik usmerjal pogled med izvajanjem nalog in tako

ugotovimo na kak način je prišel do povezav na katere je klikal, kako dolgo je razmišljal ali

bo kliknil povezavo in na kaj je bil pozoren.

Slika 6.8: Toplotni zemljevid


40

Nekatere sodelujoče smo med izvedbo spremljali tudi preko spletne kamere, ki jo

programska oprema Morae združi z posnetkom, kot je prikazano na Slika 6.9.

Slika 6.9: Zaslonska slika posnetka iz Morae

6.2 Predstavitev rezultatov

Pri izvedbi smo bili še posebej pozorni na kaj se uporabnik koncentrira, pri delih nalog, ki

vključujejo elemente varnosti in zasebnosti. Prva opazovana točka naj bi tako bila prijava

in registracija v storitev Google Dokumenti, kjer so se vsi uporabniki vpisali že z

obstoječim računom, ker pri navadni prijavi v storitev ni posebnih točk katere bi vplivale na

uporabnikovo zavedanje o varnosti ali zasebnosti, tukaj nismo pridobili posebej zanimivih

rezultatov, razen tega, da so se vsi sodelujoči iz storitve po opravljenem delu tudi izpisali,

kar pomeni, da se zavedajo privatnosti računa do neke mere.

Naslednja naloga sodelujočega je bila, da ustvari novo tekstovno datoteko in v njo zapiše

osebne podatke. Vsi so podatke brez pomislekov vpisali, vendar po pregledu ankete smo

ugotovili, da so le trije od dvanajstih sodelujočih, na vprašanje ali so imeli pomisleke glede

vpisa osebnih podatkov odgovorili, da niso imeli pomislekov, trije so odgovorili, da so imeli

pomisleke, ostali pa so izbrali da niso imeli pomislekov, ker gre za raziskavo.

Delitev datoteke je bil naslednji korak, pri katerem smo opazovali, kakšna pozornost bo

namenjena nastavitvam deljenja datoteke. Sodelujoči po večini niso polagali pozornosti na


41

dodatne nastavitve, kliknila in pregledala dodatne nastavitve sta samo dva dodelujoča,

njun povprečni čas dejanj je prikazan v Graf 6.1. Samo eden od dveh pa je po pregledu

dejansko spremenil nastavitve.

Graf 6.1: Povprečen čas, dejanj pri izvedbi naloge

Z deljenjem in shranjevanjem datoteke, je bil končan prvi del nalog. V drugem delu nalog

se je sodelujoči vpisal v storitev Cubby. Čeprav gre za manj znano storitev, pa je

ponudnik storitve LogMeIn, ki se izkaže, da ponuja tudi nekaj drugih storitev, na katere so

štirje od sodelujočih že prijavljeni. Kot smo ugotovili iz posnetkov večina od njih ni bila

pozorna na pogoje uporabe storitve. Med vsemi sodelujočimi, ki so si ustvarili račun na tej

storitvi je samo ena sodelujoča odprla in preleta pogoje uporabe storitve.


42

Naslednja točka na katero smo bili pozorni je pregled predstavitve varnosti in funkcij

storitve. Samo štirje od sodelujočih so si vzeli čas za pregled predstavitve ali varnosti.

Povprečni časi v Graf 6.2 dokazujejo, da če uporabnik pregleda spletno stran ponudnika,

si ne vzame veliko časa in jo le preleti.

Graf 6.2: Povprečen čas dejanj pri izvedbi nalog pri storitvi Cubby

Samo ena sodelujoča, pri registraciji odprla in pregledala pogoje uporabe. V Graf 6.3 je

časovno prikazano, kako je sodelujoča ob registraciji prišla do pogojev uporabe in koliko

časa je porabila za pregled.

Graf 6.3: Čas izvedbe pregleda pogojev uporabe


43

Kot naslednja opazovana točka, je uporabnikov vpis v namizno aplikacijo. Med vpisom v

aplikacijo, se prikaže predstavitev v kateri so opisane osnovne funkcije. Tukaj nas je

zanimalo ali je uporabnik pozoren na predstavitev, saj če uporabnik ne pozna kako

aplikacije deluje ne more biti seznanjen z privatnostjo in varnostjo njegovih podatkov. Na

primer, če uporabnik ni seznanjen z sinhronizacijo med računom in vsemi napravami,

lahko pusti napravo prosto dostopno in tako lahko dostopajo tudi osebe katere nimajo

pravice do datotek, brez vednosti lastnika. V Graf 6.4 je predstavljeno koliko časa je

sodelujoči porabil za pregled predstavitve.

Graf 6.4: Čas pregleda predstavitve namizne aplikacije


44

V Graf 6.5 je prikazan povprečen čas vseh opazovanih točk v zaporedju, kot so jih

sodelujoči izvajali. V povprečje so vzeti, časi vseh, kar pomeni, da če kandidat na primer

ni pregledal varnostne nastavitve je bil njegov čas nič. Do sedaj predstavljeni grafi z

povprečnimi časi, pa prikazujejo povprečne čase dejanj, sodelujočih, ki so dejanja

dejansko izvedli. Kar pomeni, da smo na primer vzeli povprečje sodelujočih ki so

pregledali predstavitev varnosti in nismo šteli čase vseh sodelujočih.

Graf 6.5: Povprečen čas vseh točk, ki smo jih opazovali


45

Kot zadnja opazovana točka je brisanje povezave med napravo in spletnim računom na

storitvi Cubby. Storitev omogoča, da uporabnik prekine povezavo z napravo, kar vključuje

tudi namizno aplikacijo v katero se je sodelujoči med izvedbo vpisal. Graf 6.6 predstavlja

rezultate moških anketirancev, Graf 6.7 pa rezultate ženskih anketirank.

Graf 6.6: Brisanje datotek ob prekinitvi povezave z računom, rezultat moških

Graf 6.7: Brisanje datotek ob prekinitvi povezave z računom, rezultat ženske


46

Rezultati ankete

Rezultati ankete bodo predstavljeni v naslednjih grafih, za vseh 12 sodelujočih in ne bodo

deljeni po spolu.

1. Ali pri izbiri oblačnih storitev bolj zaupate ponudnikom, ki so bolj znani na tem in

drugih področjih informacijskih tehnologij(npr. Google Drive, DropBox, Apple

iCloud)?

Odgovori na prvo vprašanje, predstavljeni v Graf 6.8, so pokazali da sodelujoči v anketi po

veliki večini bolj zaupajo znanim ponudnikom oblačnih storitev. To potrjuje tudi podatek,

da so vsi sodelujoči že imeli ustvarjen uporabniški račun v storitvi Google Dokumentih v

storitvi Cubby pa le štirje.

Graf 6.8: Rezultat prvega vprašanja ankete


47

2. Imate pomisleke glede varnosti in zasebnosti podatkov, ko shranjujete podatke v

oblak?

Kot prikazuje Graf 6.9 večina sodelujočih ne zaupa v oblačne storitve, nekaj pa jih

tovrstnih storitev ne uporablja

Graf 6.9: Rezultat drugega vprašanja ankete

3. Ali vas pri uporabi oblačnih storitev zanima, kje fizično so shranjeni vaši podatki?

Graf 6.10 prikazuje da večina anketirancev ne zanima, kje so shranjeni njihovi podatki, kar

je lahko povezano s tem da zaupajo ponudnikom katerih storitve uporabljajo.

Graf 6.10: Rezultat tretjega vprašanja ankete


48

4. Ali poznate svoje pravice v primeru, da ponudnik oblačnih storitev izgubi, zlorabi

vaše podatke?

Iz Graf 6.11 je razvidno da večina sodelujočih, ki uporabljajo oblačne storitve nebi vedela

kako ukrepati v primeru, da pride do zlorabe ali izgube njihovih podatkov.

Graf 6.11: Rezultat četrtega vprašanja ankete


49

5. Bi v oblak shranjevali osebne podatke in podatke, ki so za vas zelo

pomembni(osebne finance, osebne fotografije, posnetki,...)?

Že rezultati prejšnjih grafov kažejo da manjšina sodelujočih, bolj zaupa oblačnim storitvam

kot ostali. Tako je tudi iz Graf 6.12 razvidno, da sodelujoči po večini nebi zaupali osebnih

in drugih pomembnih podatkov oblačni storitvi.

Graf 6.12: Rezultat petega vprašanja ankete

6. Ste pri uporabi oblačnih storitev že kdaj naleteli na težave?

Večina, ki uporablja oblačne storitve, kot je razvidno iz Graf 6.13 nima težav z uporabo.

Graf 6.13: Rezultat šestega vprašanja ankete


50

7. Bi kateremu od ponudnikov storitev v oblaku zaupali varnostno kopiranje vseh

vaših naprav storitev, ki jih uporabljate(mobitel, prenosnik, tablica, TV, bančništvo,

socialna omrežja, elektronska pošta, slike, video)?

V sedmem vprašanju smo spraševali podobno kot v petem, po Graf 6.14 vidimo, da so

rezultati zelo podobni. Predvidevamo, da uporabniki vseeno že koristijo nekatere oblačne

storitve, ki so naštete v vprašanju. Glede na to, da smo iz pregleda posnetkov ugotovili,

da imajo vsi sodelujoči že ustvarjen Googlov račun, predvidevamo, da uporabljajo isti

račun na mobilnih napravah, kar pomeni, da verjetno uporabljajo sinhronizacijo in s tem

kopiranje, stikov, slik in podobno v oblak.

Graf 6.14: Rezultat sedmega vprašanja ankete


51

8. Ali veste kakšne vse pravice ima uporabnik z katerim ste delili datoteko na storitvi

www.google.docs.com nad deljeno datoteko?

Večina sodelujočih, kot vidimo v Graf 6.15 ni vedela s kakšnimi pravicami je delila

datoteko. Glede na čas porabljen za pregled nastavitev je število pozitivnih odgovorov

precej visoko, razlog za to je verjetno, da so poznali le osnovno pravico, ki je pred

nastavljena. Niso pa prepoznali nastavitev, ki se nahajajo pod dodatnimi nastavitvami.

Graf 6.15: Rezultat osmega vprašanja ankete


52

9. Ste imeli kakšne pomisleke, glede tega, da ste morali v datoteko zapisati osebne

podatke in jih deliti?

Med raziskavo, ni nihče od sodelujočih izrazil zaskrbljenosti glede vpisa osebnih

podatkov. Iz Graf 6.16 je razvidno, da bi večina verjetno imela pomisleke, če nebi šlo za

raziskavo.

Graf 6.16: Rezultat devetega vprašanja ankete


53

7 SKLEP

V namen raziskave smo izvedli eksperiment in anketo. Prišli smo do rezultatov, ki kažejo

kakšno je zavedanje uporabnikov glede varnosti in zasebnosti v oblačne storitve in

kakšno je njihovo zaupanje v tovrstne storitve.

V nadaljevanju bodo predstavljeni sklepi glede na raziskovalna vprašanja in hipoteze, ki

smo jih postavili pred začetkom raziskave.

7.1 Sklepi

1. Ali uporabniki zaupajo ponudnikom oblačnih storitev?

Trdimo lahko, da uporabniki nimajo popolnega zaupanja v oblačne storitve, saj rezultati

ankete kažejo, da štirje od sodelujočih ne uporabljajo oblačnih storitev. Ostali sodelujoči,

pri več odgovorih v anketi odgovarjajo z nezaupanjem, čeprav večjih težav pri uporabi še

niso imeli. Rezultati ankete kažejo, da se uporabniki ne poznajo pravic in niso seznanjeni

z delovanje storitev, kar bi lahko bil razlog za nezaupanje. Z veliko večino pa so izbrali, da

bolj zaupajo bolj znanim ponudnikom oblačnih in drugih spletnih storitev.

Prvo hipotezo, ki trdi, da uporabniki zaupajo v oblačne storitve, lahko glede na pridobljene

podatke zavrnemo.

2. Ali se uporabnik seznani s pogoji uporabe, kako so varovani njegovi podatki in kako je

poskrbljeno za zasebnost podatkov?

Po pregledu posnetkov izvedbe nalog sodelujočih, sklepamo, da glede na čas, ki so ga

štirje kandidati od devetih namenili za pregled varnosti in funkcij storitve uporabnik ne

more vedeti kako ponudnik ravna z njihovimi podatki. Res je da gre za izvedbo

eksperimenta in da so bili sodelujoči v umetnem okolju. Kljub temu sklepamo, glede na

dejstva, da se uporabnik ne zaveda kje so shranjeni podatki in ne pozna svojih pravic, da

uporabnik tudi pri uporabi v naravnem okolju nebi pregledal predstavitev varnosti,

delovanja in pogojev uporabe.


54

Glede na rezultate, lahko prav tako trdimo, da se večina uporabnikov ne seznani z pogoji

uporabe, le eden od sodelujočih med petimi, ki niso imeli računa v storitvi Cubby odločil

za pregled pogojev uporabe.

Tukaj lahko potrdimo dve hipoteze, prva pravi da se uporabniki ne seznanijo s tem kako je

poskrbljeno za varnost in zasebnost njihovih podatkov ali pa predstavitev le preletijo.

Druga pa trdi uporabniki ne preberejo pogojev uporabe ali pa jih le preletijo. Obe hipoteze

pravilno predvidevata, da so uporabniki, ko pride do branja pogojev uporabe in drugih

predstavitev storitve zelo površni, čeprav se vsi pri registraciji strinjajo z napisanim.

3. Ali ponudniki obveščajo uporabnike o tem kako varujejo podatke?

Ponudniki, storitve katerih so bile uporabljene v raziskavi, imajo obširno in jasno

prestavljeno kako storitev deluje in kako je poskrbljeno za varnost. Pogoji uporabe so

jasno in lahko berljivo zapisani. Pri registraciji v Cubby uporabnik ni ravno primoran

prebrati ali vsaj preleteti pogojev uporabe, med tem ko storitev Google dokumenti pri

posodobitvi pogojev uporabe zahteva da uporabnik preleti besedilo in nato potrdi, da se

strinja z napisanim.

Potrdimo lahko hipotezo, da ponudniki obveščajo uporabnike o tem kako deluje njihov

sistem.

4. Ali se uporabnik zaveda kakšne so njegove pravice ob izgubi podatkov in kako se lahko

sooči z težavo?

Rezultati kažejo, da se uporabniki ne zavedajo svojih pravic, niti možnosti kako bi se

soočili s takšno težavo. Dva anketiranca sta odgovorila da poznata svoje pravice ob

morebitni izgubi ali zlorabi podatkov s strani ponudnika. Kot komentar je anketiranec, ki je

sicer odgovoril, da ne pozna pravic zapisal, da bi se odzval z tožbo.

Nepoznavanje pravic in možnosti za soočanje z takšno težavo, lahko povežemo z

rezultati, kateri kažejo, da uporabniki niso pripravljeni shranjevati svoje osebne podatke v

oblak.

Hipotezo ki pravi, da uporabnik ne pozna svojih pravic ob izgubi ali zlorabi podatkov,

vendar bi poiskal morebitno rešitev, lahko delno potrdimo. Glede na odgovore v anketi

vidimo, da se večina res ne zaveda pravic, ampak eden od sodelujočih je navedel kot

odziv tožbo, ki bi ob nesodelovanju ponudnika lahko bila rešitev.


55

5. Se uporabnik seznani ali določi kakšne pravice ima uporabnik, ki je z njim delil

datoteko, nad to datoteko?

Anketa je pokazala, da skoraj polovica uporabnikov pozna kakšne so pravice uporabnika

z katerim je delil datoteko, nad to datoteko, vendar je le eden od anketirancev zapisal za

kakšno pravico gre. Verjetno tudi ostali, ki so odgovorili z da poznajo, s kakšno osnovno

pravico so delili datoteko, saj je ta zapisana poleg polja za vnos naslova uporabnika z

katerim želimo deliti datoteko. Glede na to, da smo po pregledu posnetkov ugotovili, da

sta le dva kandidata odprla in pregledala dodatne nastavitve, sklepamo, da večina

uporabnikov ne pozna vseh pravic, ki jih dodeljuje nad datoteko.

Zadnja hipoteza pravi, da je uporabnik seznanjen in izbere osnovno pravico nad

datoteko(branje, pisanje, komentiranje), ampak ne preveri dodatnih možnosti. To hipotezo

lahko deloma potrdimo, čeprav osnovne pravice niso spreminjali, skoraj polovica

vprašanih ve kakšno pravico so dodelili. Trdimo pa lahko da se uporabnik ne seznani in

ne nastavlja dodatnih nastavitev za pravice, ki so prav tako zelo pomembne in dajejo

uporabniku z katerim delimo datoteko veliko možnosti za upravljanje.

7.2 Predlogi

Uporabniki, bi se morali bolj seznaniti, kako na splošno delujejo oblačne storitve, kako so

varovani njihovi podatki, tako fizično, programsko in zakonsko. Potrebno se je seznaniti z

pravicami in dolžnostmi uporabnika, nameniti več časa raziskovanju storitev, jih med sabo

primerjati po specifikacijah, varnosti, cenah, funkcijah in pregledati varnostna poročila, da

se lahko bolje odločamo.

Menim, da bi ozaveščanje ljudi kako ravnati z svojimi podatki v dobi digitalnih tehnologij,

ko povsod puščamo svoje podatke in boljše poznavanje tovrstnih storitev in tehnologij

dvignilo raven zaupanja in zmanjšalo zlorabe podatkov.

Ponudniki storitev, bi lahko v svojih predstavitvah predstavili tudi pravice uporabnikov v

primeru da pride ko kršitev varnosti in zasebnosti in s tem izkazali zaupanja in pokazali da

jamčijo za svoje storitvami.


56

Pravice uporabnika z katerim delimo datoteko, bi morala biti pred nastavljene na

najmanjše možne. Tako, da če lastnik datoteke posebej ne dodeli pravic, lahko uporabnik

samo pregleda datoteko. Tako bi zmanjšali možnosti, da lastnik deli datoteko z pravicami

za katere ni vedel. Po deljenju bi lahko lastnika, tudi obvestili s kakšnimi pravicami je delil

datoteko.

7.3 Omejitve raziskave in rezultatov ter posplošitev

Omejitve raziskave

Raziskava je bila omejena na sodelujoče starosti med 20 in 27 let. Vsi so računalniško

pismeni in razumejo angleško. Omejili smo se na zasebne uporabnike in storitve, kot so

shranjevanje, deljenje, brisanje, urejanje in sinhronizacija z namizno aplikacijo.

Uporabniki, so se zavedali da gre za raziskavo, kar je verjetno delno vplivalo na njihovo

izvedbo nalog in s tem na rezultate. V eksperimentu smo bili omejeni na spletno uporabo

in računalniško aplikacijo.

Posplošitev rezultatov

Menim, da lahko iz rezultatov zaključimo, da se zasebni uporabniki, pri uporabi oblačnih

storitev bolj koncentrirajo na funkcionalnost storitve, kot pa dejansko na to kako ponudnik

varuje in skrbi za njihove podatke. Kar je logično, saj verjetno večina zasebnih uporabnik

v oblak ne shranjuje občutljivih podatkov in jih ne deli z drugimi uporabniki. Kot pa lahko

razberemo iz ankete uporabniki, niso pripravljeni zaupati nobenemu ponudniku, da bi

skrbel za njihove zasebne oziroma občutljive podatke, kot so finance, zasebne fotografije,

posnetki, zdravstveni podatki in podobno. Posplošimo lahko, da uporabnik, ki uporablja

brezplačne storitve, v oblak shranjuje nepomembne podatke in ga varnost in zasebnost

ne zanimata, vendar storitvi ne zaupa. Predvidevamo pa lahko, da če bi uporabnik za

storitev plačal, bi verjetno hotel zagotovitev varnosti in zasebnosti podatkov in bi storitev

uporabljal za bolj zasebne in občutljive podatke.

Po podatkih raziskavah organizacije Eurostat je v Evropi leta 2014 za oblačne storitve

plačalo le 11% uporabnikov, kar pomeni, da velika večina uporablja brezplačne

storitve.[26] Če upoštevamo prejšnje sklepe in predvidevanja, lahko iz te statistike

posplošimo, da je zavednost za varnost in zasebnost v Evropi nizka.


57

7.4 Nadaljnje raziskovalno delo

Predstavljena raziskava prikazuje rezultate za zasebne uporabnike v določeni starostni

skupini. Za celovitejšo sliko na tem področju, bi bilo potrebno v raziskavo vključiti več

starostnih skupin, različnih spolov, uporabnike računalnikov in mobilnih naprav, zasebne

in poslovne uporabnike. Da bi ugotovili, kako dejansko uporabniki dojemajo in kako resno

jemljejo varnost in zasebnost, bi morali njihovo uporabo spremljati dlje časa v njihovih

naravnih okoljih, kar pomeni, da bi morali uporabnika spremljati prek oddaljenega

računalnik, med tem ko uporablja oblačne storitve doma, v službi ali na mobilnih

napravah. Takšna raziskava, bi predstavljala velik izziv, saj bi morali uporabnika spremljati

dlje časa na različnih napravah. vendar menim, da bi tako dobili realne podatke, za

zasebne in poslovne uporabnike, različnih starostnih skupin in za različne naprave.


58

8 VIRI

[1] A technical overview of Cubby’s secure, enterprise-grade infrastructure, 2014.

Dostopno na:

https://www.cubby.com/welcome/common/resources/Cubby_Security_Whitepaper.pdf

[15.7.2016]

[2] Ben Kepes, Understanding the Cloud Computing Stack: SaaS, PaaS, IaaS, 2016.

Dostopno na: https://support.rackspace.com/white-paper/understanding-the-cloud-

computing-stack-saas-paas-iaas/ [2.8.2016]

[3] Data Security. Dostopno na: https://www.techopedia.com/definition/26464/data-

security [15.8.2016]

[4] DIREKTIVA (EU) 2016/1148 EVROPSKEGA PARLAMENTA IN SVETA z dne 6. julija

2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji,

19.7.2016. Dostopno na: http://eur-lex.europa.eu/legal-

content/SL/TXT/PDF/?uri=CELEX:32016L1148&from=EN [19.8.2016]

[5] Eurostat, Use of cloud services,1.7.2016. Dostopno na:

http://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=isoc_cicci_use&lang=en

[25.7.2016]

[6] Eurostat, Use of cloud computing services, 17.6.2016. Dostopno na:

http://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=isoc_cicce_use&lang=en

[25.7.2016]

[7] Eurostat, Obstacles that limit/prevent the use of cloud computing services, 17.5.2016.

Dostopno na:

http://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=isoc_cicce_obs&lang=en

[25.7.2016]

[8] Eurostat, Problems experienced when using cloud services, 1.7.2016.Dostopno na:

http://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=isoc_cicci_pb&lang=en

[25.7.2016]

[9] Gartner Says Cloud Computing Will Be As Influential As E-business, 26.6.2008.

Dostopno na: http://www.gartner.com/newsroom/id/707508 [22.7.2016]

[10] How To Choose a Strong Password. Dostopno na:

http://www.bu.edu/infosec/howtos/how-to-choose-a-password/ [10.8.2016]

[11] Igor Bernik, Blaž Markelj, Sodobni aspekti informacijske varnosti, 2013. Dostopno na:

http://www.fvv.um.si/knjigarna/eknjige/pdf/Sodobni_aspekti_informacijske_varnosti.pdf

[25.7.2016]

https://www.cubby.com/welcome/common/resources/Cubby_Security_Whitepaper.pdf

https://support.rackspace.com/white-paper/understanding-the-cloud-computing-stack-saas-paas-iaas/

https://support.rackspace.com/white-paper/understanding-the-cloud-computing-stack-saas-paas-iaas/

https://www.techopedia.com/definition/26464/data-security

https://www.techopedia.com/definition/26464/data-security

http://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CELEX:32016L1148&from=EN

http://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CELEX:32016L1148&from=EN

http://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=isoc_cicci_use&lang=en

http://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=isoc_cicce_use&lang=en

http://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=isoc_cicce_obs&lang=en

http://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=isoc_cicci_pb&lang=en

http://www.gartner.com/newsroom/id/707508

http://www.bu.edu/infosec/howtos/how-to-choose-a-password/

http://www.fvv.um.si/knjigarna/eknjige/pdf/Sodobni_aspekti_informacijske_varnosti.pdf


59

[12] IDC CLOUD DEFINITIONS, 18.8.2013. Dostopno na:

https://cloudmania2013.com/2013/09/18/cloud-definitions-idc/ [20.7.2016]

[13] Information Privacy. Dostopno na:

https://www.techopedia.com/definition/10380/information-privacy [15.8.2016]

[14] Kaja Prislan, Igor Bernik, Trendi informacijske varnosti v sodobni organizaciji, 2014.

Dostopno na: http://www.dlib.si/details/URN:NBN:SI:DOC-JKAKMK5X/? [12.8.2016]

[15] Peter Mell, Timothey Grance, The NIST Definition of Cloud Computing, 9.2011.

Dostopno na:http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

[12.7.2016]

[16] Morae Software in the Usability Testing Lab. Dostopno na:

https://www.cmu.edu/dietrich/english/classroom_and_beyond/user-experience-lab/morae-

documentation.pdf [5.8.2016]

[17] Morae, 2007. Dostopno na:

http://download.techsmith.com/morae/docs/whitepapers/morae_datasheet.pdf [5.8.2016]

[18] Rebecca Harold, CISSP, CISA, FLMI, What Is The Difference Between Security and

Privacy?, 2002. Dostopno na:

http://www.privacyguidance.com/downloads/privacyandsecurity.pdf [15.7.2016]

[19] Sarah D. Scalet, How to build physical security into a data center, 31.3.2015.

Dostopno na: http://www.csoonline.com/article/2112402/physical-security/physical-

security-19-ways-to-build-physical-security-into-a-data-center.html [25.7.2016]

[20] Saira Syed, Quazi Mamun, Cloud Security from Users Point of View: A Pragmatic

Study with Thematic Analysis, 2014. Dostopno na:

https://www.researchgate.net/publication/277666757_Cloud_Security_from_Users_Point_

of_View_A_Pragmatic_Study_with_Thematic_Analysis [20.8.2016]

[21] THE EUROPEAN DATA PROTECTION SUPERVISOR (EDPS). Dostopno na:

https://secure.edps.europa.eu/EDPSWEB/edps/EDPS/Dataprotection/QA/QA1

[10.8.2016]

[22] Top Strategic Predictions for 2016 and Beyond: The Future Is a Digital Thing,

2.10.2015. Dostopno na: https://www.gartner.com/doc/3142020?srcId=1-3132930041

[22.7.2016].

[23] Top Threats Working Group, The Notorious Nine Cloud Computing Top Threats in

2013, 2013. Dostopno na:

https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cl

oud_Computing_Top_Threats_in_2013.pdf [5.8.2016]

https://cloudmania2013.com/2013/09/18/cloud-definitions-idc/

https://www.techopedia.com/definition/10380/information-privacy

http://www.dlib.si/details/URN:NBN:SI:DOC-JKAKMK5X/

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

https://www.cmu.edu/dietrich/english/classroom_and_beyond/user-experience-lab/morae-documentation.pdf

https://www.cmu.edu/dietrich/english/classroom_and_beyond/user-experience-lab/morae-documentation.pdf

http://download.techsmith.com/morae/docs/whitepapers/morae_datasheet.pdf

http://www.privacyguidance.com/downloads/privacyandsecurity.pdf

http://www.csoonline.com/article/2112402/physical-security/physical-security-19-ways-to-build-physical-security-into-a-data-center.html

http://www.csoonline.com/article/2112402/physical-security/physical-security-19-ways-to-build-physical-security-into-a-data-center.html

https://www.researchgate.net/publication/277666757_Cloud_Security_from_Users_Point_of_View_A_Pragmatic_Study_with_Thematic_Analysis

https://www.researchgate.net/publication/277666757_Cloud_Security_from_Users_Point_of_View_A_Pragmatic_Study_with_Thematic_Analysis

https://secure.edps.europa.eu/EDPSWEB/edps/EDPS/Dataprotection/QA/QA1

https://www.gartner.com/doc/3142020?srcId=1-3132930041

https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_Top_Threats_in_2013.pdf

https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_Top_Threats_in_2013.pdf


60

[24] Mobile Device Security. Dostopno na:

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/510736/Mo

bile_device_security_leaflet_240316_print.pdf [20.7.2016]

[25] SECURITY REQUIREMENTS FOR CRYPTOGRAPHIC MODULES, 25.5.2011.

Dostopno na: http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf [5.8.2016]

[26] Eurostat, One out of every five individuals in the EU28 used the cloud to save files,

16.12.2014. Dostopno na: http://ec.europa.eu/eurostat/documents/2995521/6343581/4-

16122014-BP-EN.pdf/b4f07b2a-5aee-4b91-b017-65bcb6d95daa [4.9.2016]

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/510736/Mobile_device_security_leaflet_240316_print.pdf

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/510736/Mobile_device_security_leaflet_240316_print.pdf

http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf

http://ec.europa.eu/eurostat/documents/2995521/6343581/4-16122014-BP-EN.pdf/b4f07b2a-5aee-4b91-b017-65bcb6d95daa

http://ec.europa.eu/eurostat/documents/2995521/6343581/4-16122014-BP-EN.pdf/b4f07b2a-5aee-4b91-b017-65bcb6d95daa

Documents

ZAVEDANJE UPORABNIKOV O ZASEBNOSTI IN VARNOSTI … · iii Zavedanje uporabnikov o zasebnosti in varnosti oblačnih storitev Ključne besede: varnost, zasebnost, oblačne storitve,