Ovako profesor informacione bezbednosti i predsednik OpenLink Grupe dr Miloš Jovanović komentariše sve učestalije pokušaje prevara koje su počele da nam zatrpavaju mobilne telefone. Dovoljno je da se uđe na link ka izmišljenoj kazni za parking ili da se onlajn rezerviše termin za izmišljenu registraciju kola i šteta je već učinjena.
„Putevi Srbije“ ponovo su skrenuli pažnju javnosti na još jedan krug SMS poruka koje sadrže prevare, a vezane su za automobile. Nedavno je ista prevara bila puštena u etar i mnogi su se na nju „opekli“.
Postoji li ikakav zakon?
Naš sagovornik objašnjava da u Srbiji postoji jasan pravni okvir koji štiti privatnost korisnika i reguliše obradu ličnih podataka. Kompanije koje poseduju podatke građana, uključujući operatore mobilne telefonije, imaju zakonsku obavezu da te podatke čuvaju i da ih ne dele trećim licima bez pravnog osnova ili saglasnosti korisnika.
Pored same organizacije, odgovornost postoji i na nivou rukovodstva i lica zaduženih za bezbednost informacionih sistema. U većim kompanijama tu ulogu najčešće ima direktor informacione bezbednosti, odnosno CISO, koji je odgovoran za uspostavljanje politika zaštite, upravljanje rizicima i primenu bezbednosnih mera u skladu sa zakonom i profesionalnim standardima. Ta funkcija nije formalna, već podrazumeva konkretnu odgovornost za bezbednost sistema i zaštitu podataka građana, kaže Jovanović za Sputnjik.
Ukoliko se utvrdi da nisu primenjene osnovne mere zaštite, da su poznati rizici ignorisani ili da nije reagovano na bezbednosna upozorenja, odgovornost može biti ne samo disciplinska ili materijalna, već i krivična, dodaje on. Zakon polazi od principa da lice koje je bilo dužno da organizuje i sprovede zaštitu podataka ne može da se pozove na neznanje ili nedostatak resursa kao opravdanje za propust.
Iz ovog razloga, kaže naš sagovornik, informaciona bezbednost danas nije više isključivo tehnička tema, već pitanje upravljanja rizicima i odgovornosti. Svako ko upravlja sistemom koji sadrži lične podatke mora biti svestan da propust u zaštiti može imati ozbiljne pravne i bezbednosne posledice, kako za organizaciju, tako i za odgovorna lica unutar nje.
Ko daje drugima naše brojeve telefona?
Jovanović objašnjava da u praksi najčešći uzrok „davanja“ privatnih brojeva telefona nije prodaja podataka od strane operatera, kako većina ljudi misli, već curenje tih istih podataka iz različitih informacionih sistema koji sadrže velike količine ličnih podataka građana. To mogu biti banke, kurirske službe, internet prodavnice, zdravstvene ustanove, telekomunikacione kompanije.
Imali smo u Srbiji više konkretnih bezbednosnih incidenata koji su bili široko medijski praćeni. Na primer, javnost je upoznata sa sajber napadima na velike sisteme, uključujući napad na Telekom Srbija i EPS, kao i sa incidentima u privatnom zdravstvenom sektoru, kao što je slučaj sa sistemom Medigroup pre nekoliko godina. Ti događaji su pokazali da ni veliki sistemi, pa ni sistemi od posebnog značaja za funkcionisanje društva, nisu imuni na sajber napade.
Kada dođe do upada u veliku bazu podataka, upozorava Jovanovići, posledice mogu biti dugoročne. Ukradeni podaci se vrlo brzo pojavljuju na ilegalnim platformama gde nastavljaju da cirkulišu godinama. Zbog toga građani često dobijaju poruke i mnogo vremena nakon što je neki incident već završen ili nestao iz fokusa javnosti.
Takođe, dodaje on, postoji i tehnička realnost da napadači ne moraju uvek da imaju konkretnu bazu podataka. Oni mogu da koriste automatizovane sisteme koji generišu brojeve telefona u serijama i šalju poruke u ogromnom obimu, oslanjajući se na verovatnoću da će neko reagovati.
„Putevi Srbije“ ponovo su skrenuli pažnju javnosti na još jedan krug SMS poruka koje sadrže prevare, a vezane su za automobile. Nedavno je ista prevara bila puštena u etar i mnogi su se na nju „opekli“.
© Sputnik / Grigoriй Sыsoev
/ Ima li zaštite od toga?
Apsolutna zaštita ne postoji, ali rizik može značajno da se smanji ako se poštuju osnovna pravila digitalne bezbednosti, tvrdi Jovanović. Najvažnije pravilo jeste da se ne reaguje impulsivno na poruke koje izazivaju strah ili osećaj hitnosti, kao što su navodne kazne, paketi ili pozivi iz institucija. U tim situacijama, kaže on, uvek treba proveriti informaciju direktno kod zvanične institucije ili kompanije, a ne preko linka iz poruke.
Takođe je važno koristiti dodatne mehanizme zaštite, ograničiti deljenje ličnih podataka na internetu i odmah prijaviti sumnjivu poruku operatoru ili nadležnim institucijama. Veliki broj prevara uspeva upravo zato što napadači računaju na brzu reakciju korisnika bez provere informacija.
Sajber napadi i zloupotrebe podataka više nisu izolovani tehnički incidenti, već sistemski izazov savremenog društva. U uslovima digitalizacije, podaci o građanima postaju jedan od najvrednijih resursa, i upravo zato njihova zaštita mora biti shvaćena kao pitanje bezbednosti građana, funkcionisanja privrede i stabilnosti države.
Ima li Srbija stručnjake koji bi se time pozabavili?
U zaštitu informacionih sistema i podataka u Srbiji se i dalje ne ulaže dovoljno sistemski i kontinuirano - a sajber bezbednost nije pitanje jednog projekta ili jedne institucije, već dugoročnog ulaganja u znanje, ljude i organizaciju, kaže naš sagovornik.
Realnost je da u zemlji postoji jednocifren broj ljudi koji oblast informacione bezbednosti razumeju sistemski, od tehničke arhitekture do upravljanja kriznim situacijama, i koji imaju kapacitet da u složenim bezbednosnim incidentima stvari vrate pod kontrolu. Zbog toga je neophodno da se ova oblast tretira kao pitanje nacionalne bezbednosti, jer bez ozbiljnih investicija u ljudske resurse i institucionalne kapacitete nijedan sistem, ma koliko tehnički razvijen bio, ne može dugoročno da obezbedi stabilnost, poverenje i zaštitu građana, zaključuje Jovanović.
Pogledajte i: