Nikola STOJIĆ

1. mart 2022.

Na pitanje koji je to resurs koji je obeležio 20. vek, a pre svega, treću industrijsku revoluciju, odgovor većine biće: nafta. Resurs koji obeležava 21. vek u poslednje dve decenije jeste informacija. Kao i svake godine, 28. januara, obeležen je Data Privacy Day, kada se još jednom skreće pažnja na bezbednost podataka i opasnosti koje prete kompanijama i pojedincima. Terminološki, potrebno je razlikovati šta je podatak, a šta informacija. Podatak kao takav je skup neobrađenih činjenica koje ne daju nikakav zaključak. Ako kažemo 1984, Svet, kompjuter, Jugoslavija, to je samo prost skup podataka bez ikakvog značenja. Ukoliko se oni interpretiraju, dobijamo informaciju, te bi u ovom slučaju informacija bila da je Svet Kompjutera nastao 1984. godine u Jugoslaviji. Situacija u pogledu zakonske perspektive u našoj zemlji regulisana je na osnovu nekoliko zakona od kojih su najvažniji: Zakon o zaštiti podataka o ličnosti, Zakon o pravu na pristupu informacijama od javnog značaja, te Krivični zakon, određivanjem dela protiv računara i računarskih mreža. U zavisnosti od države i kontinenta, postoji različiti niz zakona i pravila koji utiču na zaštitu podataka. Kao i prethodnih godina, i ove godine analizirano je koje su to najveće pretnje po bezbednost i fizičkih i pravnih lica. Pojava kriptovaluta i blokčejna, generalno, predstavlja napredak ka decentralizaciji interneta, povećanju demokratičnosti i zaštiti privatnosti, s obzirom na samu osmišljenost. Evidentno je da je broj malicioznih programa koji uništavaju podatke danas u opadanju u odnosu na one koji te podatke koriste od prodaje do ucene.

Značaj privatnosti u 21. veku ne može se dovoljno istaći; nedostatak privatnosti jednak je novčaniku iz koga novac ispada kroz šuplje džepove pocepanih pantalona. Privatnost nije nikada do sada imala vidljivu monetarnu vrednost. No, da se razumemo, informacija je uvek bila zlata vredna i ona se plaćala, posebno kada su pitanju bili ratovi. U poslednjih hiljadu godina, ona je mogla da neku akciju olakša ili osujeti u odnosu na ono što je izvorno planirano. Uostalom, koliko je gradova, kao i Konstantinopolj, palo kada je jedan čovek otvorio vrata neprijatelju? Sa razvojem modernih država, plaćanje za informaciju je nestalo, jer se sam sistem državnog uređenja promenio, pre svega, formiranjem struktuiranih obaveštajnih agencija, a korupcija je bila i ostala ništa drugo nego trgovina uticajem. Jedini primer individualnog kopanja za informacijama bili su privatni detektivi, koji su plaćali i za informacije i za podatke kako bi došli do rešenja slučaja za koji su angažovani. U digitalnom dobu, svaki podatak i te kako ima svoju cenu. Ukoliko neko očita kreditnu karticu kroz lažni čitač, imaće dovoljnu količinu podataka da podiže novac sa kartice. No, ukoliko kupujete preko sajta, a sajt padne pod neku vrstu napada ili, još gore, posetite phishing sajt, neko ima dovoljno informacija da zna ko ste, koliko novca imate na računu i druge osetljive podatke.

Kako je danas veći deo života smešten na internetu, bezbednost browsera je stavka kojoj je potrebno posvetiti dodatnu pažnju kada je reč o podacima. Jedan od najvećih vidljivih bezbednosnih problema za svaki browser (koliko se god neki možda slagali ili ne), jeste integrisani menadžer lozinki. Lakoća korišćenja, mogućnost da ne moramo da pamtimo lozinke gde sve hendluje ugrađeni menadžer je korisna stvar, ali sve to, kada se podvuče crta, predstavlja bezbednosni problem. Kopiranjem podataka iz profila browsera, napadač vrlo lako dolazi do svih lozinki u samom browseru, uz pomoć maliciozne ekstenzije ili na neki drugi način. Korišćenje eksternih menadžera lozinki se podrazumeva ukoliko želimo da osiguramo bezbednost, što je, opet, stvar edukacije. Neko će se zapitati, zašto autor teksta stavlja fokus na pojedinca umesto na kompanije koje prikupljaju te podatke? Upravo taj pojedinac u nekom momentu biće ili je već deo neke kompanije. Bezbednosne navike i znanje koje je usvojio znatno mogu da utiču na to kako će se sama kompanija ophoditi prema zaštiti svoje infrastrukture i istovremeno prema zaštiti podataka drugih lica. U skladu sa standardizacijama ISO 27000 i 27001, potrebno je da kompanija sprovede procedure u okviru ovih i drugih standarda, kako bi se sprovela optimalna zaštita podataka i sprečilo curenje informacija. Standardizacija predstavlja jednu od osnova za funkcionisanje kompanija na tržištu, s obzirom na to da signalizira drugim korporacijama o ozbiljnosti kompanije i organizaciji. Enkripcija podataka koji se skladište u bazama je bitna kako bi se očuvao integritet baze i privatnost korisnika, čak i ako dođe do napada gde baza postane dostupna napadačima. Smatramo da je logično da se lozinke ne čuvaju u običnom tekstualnom formatu, već da su enkriptovane sa SHA256 ili drugim algoritmom. No, sudeći po slučaju Equifax, Ashley Madisson, bez obzira na usklađenost nekih od njih sa standardizacijama, mnogi podaci su čuvani suprotno bezbednosnim procedurama. Pored nedoslednosti kompanija, ovakvi slučajevi postavljaju i pitanje o radu revizora i osoba zaduženih za implementiranje bezbednosnih procedura, standarda. U momentu pisanja ovog teksta, infrastruktura A1 u Hrvatskoj je pretrpela napad, zbog čega je došlo do curenja preko 100 hiljada podataka korisnika koji sadrže ime i prezime, adresu prebivališta, JBMG i tarifu koju koriste. Hakeri ucenjuju da će objaviti podatke ukoliko im se ne isplati 150 eterijuma, odnosno, pola miliona dolara.

Jedna od pretnji takođe je i sve veći broj rootkitova i ransomwarea. Ransomware je u epizodi WannaCry pokazao kakvo je stanje sistema u raznim sektorima, pogotovo u javnom sektoru u svim zemljama. Koliko su kompanije spremne za ovakve slučajeve, videli smo na primeru Sonya, kada su pretrpeli napad severnokorejskih hakera. Sveobuhvatno govoreći, bezbednosni propusti su prisutni najviše zbog smanjenog ulaganja u infrastrukturu i zastarelih verzija softvera. Banke i mnoge POS sisteme i dalje pokreće Windows XP Embeded.

Pažnju je potrebno posvetiti i analitičkoj obradi podataka na društvenim mrežama i drugim sajtovima. Zanimljivo je da prema pisanju magazina Wired, da TikTok sa 14 od 13 kompanija, deli podatke svojih korisnika, čak i kada korisnici nisu pristali na slanje podataka. Gde sve odlaze podaci ostaje misterija, s obzirom na to da ih kompanija ByteDance deli, na prvom mestu, sa svojom matičnom kompanijom u Kini. Problem sa kineskim kompanijama predstavlja nedovoljno informacija o tome šta se dešava nakon što se podaci prebace u Kinu, na koji način se oni obrađuju i gde završavaju. Na osnovu kineskog Zakona o državnoj bezbednosti iz 1993. godine, članom 11, državi je dato pravo da vrši pregled svih sistema bilo pojedinaca ili pravnih lica, a članom 18 da država može da traži sve informacije ukoliko se utvrdi opasnost po bezbednost Narodne Republike Kine. Francuska je 10. februara, na osnovu odluke Nacionalnog Komiteta za informatiku i slobodu, odlučila da je korišćenje Google Analyticsa suprotno pravilima određenim u GDPR. U skladu sa GDPR, da bi se podaci izvezli van matične zemlje, potrebno je da postoji odluka o adekvatnosti; takva odluka donosi se nakon što se utvrdi da je nivo zaštite podataka u državi u kojoj bi se podaci izvezli na nivou čuvanja podataka koji postoji u matičnoj zemlji. Odluka Šrems II Evropskog suda Pravde iz 2020. godine, invalidirala je Privacy Shield na osnovu kog su podaci mogli da se izvoze u Sjedinjene Američke Države. U odluci se naglašava da postoji rizik od pristupa američkih tajnih službi podacima koje se izvoze iz matičnih zemalja, te da transfer podataka nije dovoljno obezbeđen. U SAD se trenutno vodi diskusija i glasanje o EARN IT aktu, koji predstavlja amandman na čuvenu sekciju 230, a čiji će ishod, ukoliko se usvoji, biti oslabljenje enkripcije pod pretpostavkom da se ona koristi radi prikrivanja kršenja zakona, što će dodatno oslabiti bezbednost podataka. Razlog za brigu o podacima na društvenim mrežama jeste u tome što se oni mogu iskoristiti za targetiranje pojedinaca i grupe pojedinaca, kako bi se vršio direktan politički ili bilo koji drugi uticaj. Količina podataka koje se obrađuju, informacije koje se danas mogu izvući, omogućili su razvoj analitike, data science, mašinskog učenja i veštačke inteligencije.

Za individualnog korisnika, bilo kakvo curenje podataka može da posluži u svrhu ucene potencijalnim hakerima, difamaciji ili čak napadom na njegov život. Jedan od modernih primera jeste „swapovanje”, odnosno, pozivanje policijskih specijalaca. Naime, premisa polazi da je široj publici, koja prati nekog streamera koji su najčešća meta ovog fenomena, dostupan podatak o tome gde mnogi od njih žive i na kojoj adresi. U početku bi pratioci naručili na njegovu adresu picu ili bi slali neke predmete kako bi videli njegovu reakciju. U nekom momentu, razvila se kultura swapovanja, gde su igrači međusobno zvali policiju prijavljujući da se u momentu poziva desilo ubistvo, silovanje ili bilo koje drugo krivično delo. Policajci bi zatim u SAD ili Britaniji došli u punoj ratnoj opremi, oborili igrača na zemlju i sve to dokle još uvek i dalje teče prenos uživo. U nekim situacijama, policija je upotrebila prekomernu silu što se završilo tragičnim ishodom. Lakoća pristupa podataka i njihova nedovoljna obezbeđenost, kao i slučajevi doxxinga uz pomoć Reddita, gde se vrlo često bez utemeljenih dokaza sprovodi lov na veštice, daju nam uvid u to šta je sve moguće sa podacima.

Kada se pogleda bezbednost podataka sa neke distance, jasno je da sve polazi od pojedinca koji je šraf u nekom velikom sistemu, ali ako je šraf rđav, cela konstrukcija se raspada. Veliki broj kompanija suočava se sa problemima zbog nemarnog ophođenja prema podacima dok je nekim kompanijama manipulacija i upravljanje podacima biznis model. Može se reći da je model koji usvajaju tabloidi za mnoge kompanije postao popularan; bez obzira na tužbe, ako je profit veći od kazne, posao se nastavlja. Pretnje odlaska kompanije sa nekog tržišta nikad se ne ostvare, više su stvar odnosa sa javnošću, nego stvarne namere. Ukoliko neko želi da ode, to će najaviti tiho, ali dokle god je profit iznad kazni, dokle god su one zanemarive, kompanije će nastaviti po starom. Uostalom, zar može neko naivno da pomisli da kompanije koje imaju ogromnu količinu podataka nemaju mogućnost da deluju u skladu sa tim podacima i da utiču na jednu zemlju kako bi dobili povoljniji tretman? Ako su banana kompanije držale Južnu Ameriku pod diktatorima kako bi održale dominaciju banana, svakako bi to učinili i globalni tehnološki džinovi.

Trenutni period u pogledu bezbednosti podataka i informacija i potencijalnih pretnji njihovom trgovinom predstavlja jedan od najzanimljivijih perioda u tehnološkoj istoriji. Iako Kineska izreka koja kaže, „Dao Bog da živiš u zanimljivim vremenima” savršeno oslikava dešavanja u poslednjih nekoliko godina. Nekada su jednostavna vremena sve što je potrebno da pojedinac živi bez stresa i da bude srećan.