Sajber (ne)bezbednost
Sajber bezbednost s jedne strane i zaštita privatnosti na internetu s druge strane jedan je od izazova u oblasti informacionog društva sa kojim će morati da se pozabavi što pre i Srbija kao deo globalnog sela u koje se svet pretvorio rapidnim razvojem informaciono-komunikacionih tehnologija. Koliko je sigurnost u sajber prostoru krhka pokazali su, između ostalog, i nedavni hakerski napadi na nuklearnu elektranu u Južnoj Koreji i kompaniju Soni, kao i primeri krađe miliona pasvorda korisnika servisa elektronske pošte Yahoo i Google, uz krađu identiteta, internet pedofiliju, zloupotrebu platnih kartica i druge radnje koje su već uobičajena pojava. U 2015. godini, prema procenama analitičara, dominantna sajber pretnja biće iznuda, što podrazumeva krađu podataka iz inficiranog kompjutera i njihovo zadržavanje radi naplate vraćanja vlasniku.
Temi sajber bezbednosti posvećen je poslednji ovogodišnji nastavak serijala o pravnom i zakonodavnom okviru za razvoj informacionog društva u Srbiji koji emisija “Digitalne ikone” Radio Beograda 2 realizuje s portalom SEEcult.org. O ključnim zakonima koje treba doneti, primeni postojeće regulative, i koracima koje treba preduzeti da bi se obezbedila sajber sigurnost kako za državne institucije, tako i za poslovni sektor, ali i za građane, govorili su viši savetnik u Ministarstvu trgovine, turizma i telekomunikacija Srbije Nebojša Vasiljević, šef odseka i glavni inspektor za internet u Ministarstvu unutrašnjih poslova Duško Sivčević, predavač na Fakultetu organizacionih nauka u Beogradu Svetlana Jovanović i koordinator obrazovnih programa u Diplo fondaciji Vladimir Radunović. Sagovornici se slažu da pre svega nedostaje strateški dokument o borbi protiv pretnji iz sajber prostora, kao i Zakon o informacionoj bezbednosti, te operativni mehanizam koji će obezbediti brzu reakciju na incidente. Izuzetno važnom smatraju i edukaciju, kako državnih organa, tako i najšire javnosti, a posebno dece.
S obzirom da je danas sa vrlo malo novca i znanja praktično moguće napasti i kritičnu infrastrukturu, kao što je nuklearna elektrana, neophodan je sistemski odgovor države, uz unapređenje svesti o opasnostima sajber kriminala i potrebi zaštite od njega. To podrazumeva, kako napominju stručnjaci, povezivanje i jačanje saradnje među svim sektorima društva i preuzimanje odgovornosti za sajber bezbednost, i to od individualnog do državnog nivoa, koji mora jačati i međunarodnu saradnju u toj oblasti.
Borba protiv sajber kriminala u Srbiji odvija se već nekoliko godina u okviru koji podrazumeva posebna odeljenja u MUP-u i Tužilaštvu, uz asistenciju sudstva koje bi trebalo dodatno edukovati. To je, međutim, kako primećuje Vasiljević, samo jedna stvar u celom mozaiku, a druga je odgovornost svih koji raspolažu nekim informacijama ili pružaju određene usluge od kojih zavisi funkcionisanje ljudi, poput banaka. Treći aspekt kada je u pitanju država je zaštita tajnih podataka.
“Jako je važno da postoji određena podela odgovornosti”, rekao je Vasiljević, napominjući i da je važno razumeti da se informaciona bezbednost se samo jednim delom može obuhvatiti zakonima. Stoga je neophodno da svako u okviru svog svakodnevnog sistema i rada primenjuje određene mere i dobre navike kako bi se zaštitio od pretnji iz sajber prostora.
Dok informaciona bezbednost podrazumeva sigurnost u sajber prostoru koja se može osigurati pravnim i tehničkim mehanizmima, privatnost je, kako ističe Svetlana Jovanović, “pravo da vas ostave na miru”, odnosno da “sami odlučite šta ćete uraditi sa podacima koje imate, na primer, na Fejsbuku ili sa podacima u nekom informacionom sistemu kojim država raspolaže ili obrađuje”.
Svetski trend pokazuje, prema njenim rečima, da ljudi imaju osećaj da su bezbedni u sajber prostoru i da imaju kontrolu nad tim šta se dešava sa njihovim podacima.
Srbija ima poseban Zakon o zaštiti podataka o ličnosti, za čiju primenu brine poverenik za slobodan pristup informacijama od javnog značaja, ali je izostalo nekoliko važnih podzakonskih akata koji je trebalo da isprate upravo neke specifične sfere koje se tiču sajber prostora. I sam zakon je, kako je navela Svetlana Jovanović, loše urađen, jer “ni na koji način zapravo ne reguliše pitanje interneta i upravo postupanja sa našim podacima na internetu”. “Čak je i poverenik dao novi model Zakona o zaštiti podataka o ličnosti”, pa se očekuju njegove izmene u narednom periodu.
Iako oblast informacione bezbednosti nije dobro pokrivena ni zakonski, ni institucionalno, određene delove te oblasti pokrivaju, uz Zakon o zaštiti podataka o ličnosti, i Zakon o tajnosti podataka, Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala, zatim Krivični zakon u delu koji se odnosi na sajber kriminal, Zakon o elektronskom potpisu, Uredba o posebnim merama zaštite tajnosti podataka u informaciono-telekomunikacionim sistemima, Strategija razvoja informacionog društva...
Nedostaje, međutim, kako je naveo Sivčević, odgovarajući strateški dokument za borbu protiv pretnji u sajber prostoru, kao i krovni zakon o informacionoj bezbednosti. Takođe, neophodni su timovi za brzo delovanje u toj oblasti.
Ono što MUP posebno interesuje je prepoznavanje na državnom nivou šta je to ključna kritična infrastruktura koju država mora da brani, jer je danas informaciona bezbednost integralni deo sistema bezbednosti MUP-a.
Dalji korak nakon osnovnog uređenja informacione bezbednosti stoga je utvrđivanje kritične infrastrukture, koja se mora braniti kako sa aspekta informacione bezbednosti, kao i sa aspekta klasične fizičke bezbednosti, smatra Vasiljević.
“Koncept kritične infrastrukture treba uvesti u pravni sistem. Suočavamo se sa mnogo novih koncepata koje moramo relativno brzo uvoditi u sistem kako bismo na pravi način mogli da definišemo sve obaveze, mere, radnje, institucije itd. i da bismo se na pravi način pripremali za sve veće izazove, jer mi na neki način spontano prenosimo svoj rad i život u virtuelnu sferu i prosto oslanjamo se na nju. Život je i dalje u realnosti, ali se oslanja na tu virtuelnu komunikaciju i na ono što se dešava u virtuelnom svetu i samim tim je i sve više i više izazova”, naveo je Vasiljević, dodajući da na to ukazuje i nedavni hakerski napad na Soni, kompaniju koja izuzetne resurse ulaže u zaštitu, ali joj nije prvi put da ima bezbednosni problem u vezi sa tehnologijom.
“Uložili su mnogo i opet se dešava, jer je pronađena pukotina u sistemu. To je izuzetno složen problem koji moramo sa svih strana da napadamo, i sa strane sistema, i edukacije pojedinaca i razumevanja”, naveo je Vasiljević.
Poseban problem je koncept privatnosti koji mnogi ljudi ne razumeju, smatrajući da “nemaju šta da kriju”.
Vasiljević smatra da problem rizika od toga da neko zna lične podatke treba razumeti u kontekstu prikupljanja mnogo podataka sa raznih strana. “Obično se sa jednim podatkom ne može ništa, ali ako neko previše zna o meni, mnogo se više povećava mogućnost lažnog predstavljanja, kao i drugih zloupotreba i problema”, dodao je Vasiljević.
I Svetlana Jovanović smatra da ključno pitanje u vezi sa zaštitom podataka predstavlja set podataka koje neko može da sazna o nekom drugom.
“Vrlo lako na Fejsbuku ljudi mogu analizom bašeg profila da otkriju vrlo lako veliki broj ličnih podataka o nama, a mi nismo ni svesni zapravo koje sve podatke ostavljamo o sebi... Ceo naš život sada jeste u sajber prostoru i pojedinci uopšte nisu toga svesni. A sa nekoliko koraka moguće je otkriti baš taj odlučujući skup podataka o ličnosti, koji vam zapravo otvara vrata i do broja kreditne kartice i do raznih drugih podataka koji bi trebalo da budu privatni”, navela je Svetlana Jovanović, konstatujući da ljudi, na žalost, ne vode dovoljno računa o tome.
Često se dešava da ljudi zapisuju svoje šifre, broj platne kartice i pin i druge podatke u mobilni telefon, a kada ga neko ukrade, pa još još sinhronizuje sa podacima sa Googla i telefonskog imenika, zna sve.
Među ključnim problemima stoga su neodgovorno ponašanje pojedinaca i nedovoljna edukacija.
“Ni decu u školi ne učimo na koji način da štite podatke o sebi, na primer kako da naprave šifru. To nikako ne treba da bude datum rođenja, ime kućnog ljubimca ili ime mame. Ljudi stave ime prve učiteljice za šifru, a učlanjeni su u grupu iz osnovne škole gde pišu sva imena nastavnika. Prosto je trivijalno doći do nekih šifara”, konstatovala je Svetlana Jovanović, koja preporučuje i redovno reinstaliranje operativnog sistema.
Edukacija stoga jeste ključna kada se priča o informacionoj bezbednosti, jer ona nije samo odgovor na inicident i pitanje šta država mora da uradi, već je izuzetno važna i prevencija.
Na pravnom nivou, prema mišljenju Radunovića, suština je objasniti odgovornost, koja je i među korisnicima, i u korporatvnom sektoru, i u tehničkoj, akademskoj zajednici, i u državnim organima.
Drugi neophodan nivo je operativni, jer iako zakon može da izdefiniše odgovornost, neophodno je pronaći mehanizme za odgovor na incidente i preventivu, a to se u svetu postiže formiranjem tzv. CERT-a (Computer emergency response teams) za brze reakcije – tela na nacionalnom nivou koje bi se bavilo koordinacijom protoka informacija, reakcija, strateškim planiranjem itd.
Treći nivo je edukacija, i to ne samo korisnika, već i ljudi koji donose odluke – i u državnim institucijama, i u korporativnom sektoru.
Četvrti važan stub borbe protiv sajber kriminala bila bi međunarodna saradnja, jer vrlo retko postoje incidenti i kriminalni akti na lokalnom nivou.
“Čak i ako je kriminalac u Srbiji, oni koriste mogućnosti koje internet daje da budu anonimni i praktično ih je jako teško ispratiti, naći trag izvršenja kriminalnog akta, osim ako postoji saradnja među državama – policije i istražnih organa”, naveo je Radunović, ističicući da je međunarodna saradnja jako jažna i na praktičnom, i na pravnom nivou, a postoji veliki broj međunarodnih institucija koje se ozbiljno bave tom problematikom. U tom smislu je i diplomatski nivo izuzetno važan.
I u MUP-u smatraju da je međunarodna saradnja neophodna, između ostalog i zbog pretnji terorizma koji, kako je naveo Sivčević, danas i “počiva na društvenim mrežama”.
“Sva komunikacija i dogovaranje se dešavaju kroz društvene mreže. Nema više telegrafa, telefona… Sve se to dešava pod nekim virtuelnim enitetima koji nešto dogovaraju. Da li smo mi ugroženi nekim terorističkim pretnjama, ja sad ne znam, ali svakako moramo da mislimo o tome i da to pratimo. A ako pratimo, to mora da se poveže sa nekim fizičkim entitetom da bi se mapirale, targetirale i sprečile takve stvari. Vrlo je bitno urediti i ovu oblast zakonski, jer nema vremena – sve se dešva i inače mnogo brzo i reakcije bi morale da budu mnogo brže, a nas zakon sprečava da tako radimo”, naveo je Sivčević, koji stoga smatra da bi pravna regulativa morala da bude mnogo brža.
Poseban problem je kako napraviti balans između borbe protiv pretnji iz sajber prostora i zaštite privatnosti.
“Činjenica je da je teško boriti se protiv pretnji iz sajber prostora, a da na neki način ne ujete u sferu privatnsti. Ako hoćete da pratite neki virutuelni identitet koji je izvor neke pretnje, vi morate da ga povežete sa nekim fizičkim entitetom. Da biste to mogli, morate da imate nalog Tužilaštva, a da li će on stići na vreme, to je pitanje…”, naveo je šef odseka za internet u MUP-u, koji ne pripada Odeljenju za borbu protiv visokotehnološkog kriminala, već se uglavnom bavi operativnim poslovima.
Budući da su bezbednost i privatnost dva pola koja se sudaraju, Svetlana Jovanović smatra da to jeste osetljivo pitanje upravo za organe gonjenja i MUP, ali i da domaće zakonodavstvo to nije loše uredilo, posebno novim Zakonikom o krivičnom postupku, kojim je uvedena tzv. tužilačka istraga koja je “u priličnoj meri ubrzala samu proceduru”.
“Tužilaštvo za visokotehnološki kriminal odlično sarađuje sa posebnim Odeljenjem u MPU-u i to je zaista uigrana ekipa gde st u roku od nekoliko minuta stvari dešavaju – tužilac je obavešten o nekom incidentu u sajber prostoru, odmah se piše nalog i MUP radi operativne poslove”, navela je ona, dodajući da je drugo pitanje šta uraditi kada se desi nešto na internetu i na koji način je moguće sprečiti dalju štetu, posebno ako su veliki sistemi u pitanju, recimo upad u sistem banke.
Jedan od problema u tom smislu je i to što je na delu Zakon o informacionom sistemu iz 1996. godine, koji uređuje način korišćenja baza podataka i određenih registara u državi i javnom sektoru, kao i način postupanja sa tim elektronskim podacima, a odavno je prevaziđen.
Uz napomenu da je u pogledu nadzora nad komunikacijom neophodan i nalog suda, i Vasiljević smatra da će u daljem periodu biti izazov kako da se napravi dobar balans zaštite ličnih podataka pojedinaca i mehanizama borbe protiv ugrožavanja bezbednosti.
U informacionoj bezbednosti, međutim, ne može postojati nešto što je ekvivalent vatrogascima, naveo je Vasiljević: “Priroda tehnologije je takva da svako u svom dvorištu mora da ima one koji mogu da reaguju, a ne da čeka da dođu vatrogasci da gase požar”.
U tom smislu se dolazi do još jedne bitne stvari, a to je kompetentnost.
“Tehnologija stalno zahteva na svim nivoima sve veću kompetentnost. I ti koji će da reaguju i određene digitalne kompetencije svakog pojedinca koje će da omoguće da razumeju kako koriste tehnologiju, i svaka od tih novih institucija o kojima govorimo zapravo zahteva još kompetentnije ljude. Tu dolazimo do generalne priče – kako u sistemu obezbediti da kompetentni ljudi dođu, budu motivisani za rad, ali to je jedan mnogo širi problem”, dodao je Vasiljević.
Prema mišljenju Radunovića, suština je da se na generalnom planu obezbedi da se strateški, operativni, pa čak i pravni okvir rade u multiakterskom okruženju – da u ceo proces, počev od pravljenja zakona i osmišljavanja strategije i CERT-a, budu ozbiljno uključeni akteri iz industrije, korporativnog sektora, nevladinog sektora, ekspertskih grupa, akademske zajednice, tehničke zajednice…
Takva praksa je, kako je istakla Svetlana Jovanović, i do sada dala najbolje rezultate, jer su mnogi novi zakoni i doneti zahvaljujući radu mešovitih timova, u kojima svako iz svog ugla može da sagleda problematiku.
Problem je, međutim, u procedurama nakon usvajanja zakona.
“Zakoni su krovni dokumenti, a mnogo su važnije zapravo podzkonski akti, određeni pravilnici i urebe, koji moraju biti doneti odmah po donošenju zakona, i to je ono gde smo mi uvek tanki i što nam uvek nedostaje”, rekla je Svetlana Jovanović, ukazujući da bez toga dolazi do različitog tumačenja određenih zakona i njihove neadekvatne primene.
Kao poseban problem, ona vidi i nedovoljno kompetentno sudstvo, za razliku od policije i tužilaštva koji imaju stručnjake za visokotehnološki kriminal.
“Predstavnici MUP-a i Tužilaštva prolaze razne obuke, ali svaki taj predmet može da dođe do bilo kog sudije bilo kog suda u Srbiji. Pitanje je kompetencije samog suda u toj oblasti”, rekla je Svetlana Jovanović, navodeći kao primer presude u vezi sa pedofilijom, koje često sadrže neprimereno male kazne – uslovne ili po par meseci zatvora.
Stoga je, prema njenim rečima, osim potrebe hitnog donošenja Zakona o informacionoj bezbednosti i ostalih mehanizama, neophodna i edukacija ljudi u državnim institucijama, a posebno u sudstvu, koji su “najslabija karika u tom smislu u sistemu”.
Neophodna je i edukacija dece, i to od osnovne škole, jer se u tom uzrastu i stiču navike ponašanja u sajber prostoru.
“Treba analizirati programe i videi šta se radi na časovima informatike, jer to nije samo rad i igranje na računaru, nego zapravo etika i ponašanje u sajber prostoru. Takvi predmeti ne postoje. Dete danas, kada dođe u prvi razred, već nekoliko godina koristi neki uređaj (tablet, mobilni, kompjuter…), i već tada treba da počne ozbiljna edukacija o tome na koji način treba da koristi nove tehnologije i kako da se ponaša u sajber prostoru”, dodala je Svetlana Jovanović, zauzimajući se za izmenu obrazovnih programa.
Vasiljević takođe smatra da je, osim zakonodavnog nivoa i operacionalizacije posla kroz određene organizacione strukture, potrebno povećanje kompetencije ljudi u oblasti informacione bezbednosti, jer bez toga “ceo sistem pada”.
Neophodno je, kako je dodao, unaprediti i sposobnost apsorpcije kompetentnih ljudi od strane i službeničkog sistema u državi i kompanija, jer se nastavlja trend odlaska najkompetentnijih ljudi iz zemlje. Sistem stoga mora da motiviše profesionalce da rade za njega – da osmisli način kako da privuče i zadrži ljude koji su dovoljno kompetentni.
Vesna Milosavljević / SEEcult.org
Serijal o pravnom i zakonodavnom okviru za razvoj informacionog društva, koji realizuju emisija "Digitalne ikone" autorke Tamare Vučenović i portal SEEcult.org, obuhvata tokom 2014. godine temate o Poglavlju 10 u procesu pregovaranja sa EU, e-upravi, e-komunikacijama i telekomunikacijama, sajber pravu, kulturi, autorskom pravu i digitalizaciji, e-poslovanju i e-bezbednosti i privatnosti.
Emisiju o informacionoj bezbednosti moguće je preslušati OVDE.
Prvu emisiju u serijalu o informacionom društvu, posvećenu opštem pravnom i regulatornom okviru, moguće je preslušati OVDE (mp3). Emisija o Poglavlju 10 nalazi se OVDE (mp3), o e-upravi je OVDE (mp3), o elektronskim komunikacijama i telekomunikacijama nalazi se OVDE (mp3), o sajber kriminalu - OVDE (mp3), o autorskom pravu - OVDE, a o e-poslovanju OVDE.
Izradu ove publikacije je finansijski podržala Ambasada Kralјevine Norveške u Beogradu. Sadržaj ove publikacije je isklјučiva odgovornost izdavača i ni na koji način ne odražava stavove Ambasade Kralјevine Norveške