Category: Aktuelno

Broj incidenata u državnim i mas medijima prethodne godine bio je u porastu, a predviđanja su slična i za 2023. godinu, pokazuje istraživanje kompanije Kasperky. Bezbednosni operativni centri (SOC) iz ovih i drugih industrija će se verovatno suočiti sa više ponavljajućih ciljanih napada, kao i napada na lanac snabdevanja preko telekomunikacionih provajdera. Organizacije koje su ugrožene napadima ransomvera takođe mogu naići na uništavanje podataka. Sa druge strane, timovi SOC-a se suočavaju sa sve većim nedostatkom osoblja.

Uloga sajber-bezbednosti u velikim preduzećima značajno se povećava iz godine u godinu, te su bezbednosni operativni centri od velike važnosti za poslovanje.

Ponovljeni ciljani napadi aktera koje sponzoriše država

U 2022. godini, stručnjaci kompanije Kaspersky videli su da se prosečan broj incidenata u sektoru masovnih medija udvostručio, odnosno porastao sa 263 u 2021. na 561 u 2022. Tokom prošle godine desio se veliki broj napada na državni sistem, uključujući i onaj kada su hakeri prekinuli emitovanje Iranske državne televizije tokom protesta u zemlji. Mediji su takođe bili izloženi DDoS napadima, poput onih u Češkoj.

Pored vladinog sektora, gde je prosečan broj incidenata porastao za 36 odsto 2022. godine, masovni mediji su postali glavna meta sajber kriminalaca među 13 drugih analiziranih segmenata, uključujući industrijski, prehrambeni, razvojni, finansijski i drugi.

Rast će se nastaviti 2023. godine, uz ponavljanje ciljanih napada aktera koje sponzoriše država, koji će verovatno biti često primećeni. Iako je ovo uobičajeno relevantno za vladine organizacije, segment masovnih medija je sve više na meti tokom međunarodnih sukoba u kojima masovni mediji igraju neizbežno važnu ulogu.

„Veliki biznisi i vladine agencije oduvek su bile mete sajber kriminalaca i aktera koje sponzoriše država, ali geopolitičke turbulencije su povećale motivaciju napadača i oživele haktivizam, sa kojim se stručnjaci za sajber bezbednost nisu redovno susreli sve do 2022. Novi talas politički motivisanih napada je posebno relevantan za vladin sektor i sektor mas medija. Da biste efikasno zaštitili kompaniju, neophodno je primeniti sveobuhvatno otkrivanje pretnji i otklanjanje opasnosti koje se pružaju kroz usluge upravljanog otkrivanja i reagovanja“, rekao je Sergey Soldatov, šef bezbednosnog operativnog centra (SOC) kompanije Kaspersky.

Napadi na lanac snabdevanja preko telekomunikacionih provajdera

 U 2023. godini, počinioci bi mogli da udare i na lance snabdevanja tako što će više napadati telekomunikacione kompanije, a direktno se pogađaju kupci. Iako je u 2022. prosečan udeo incidenata ovog tipa bio nešto manji – 79 u 2021. na 10.000 nadgledanih sistema, u odnosu na otprilike 12 u 2022. – ove kompanije ostaju privlačne mete za sajber kriminalce.

Ransomvare uništavači; početni kompromisi putem javnih aplikacija

Tokom 2022. godine, kompanija Kasperksy je primetila novi trend ransomvare-a koji će se nastaviti i 2023. – akteri istih ne samo da će šifrovati podatke kompanija već će ih i uništavati. Ovo je relevantno za organizacije koje su izložene politički vođenim napadima. Još jedna pretnja koja čeka SOC je više napada putem javnih aplikacija.

Sa čime će se SOC suočiti interno?

U 2023. povećava se vrednost koju svaki član tima (čak i onaj koji nije kvalifikovan) donosi SOC-u. Razvijanje veština tima je dokazan način da se suprotstavite rastućoj količini pretnji. To znači da će obuka vezana za IR i bilo koji oblik SOC vežbi, i savetodavne simulacije napada biti od vitalnog značaja.

Sve veći broj incidenata i pretnji transformiše se u potrebu za predviđanjem napada i tehnika, podižući vrednost obaveštajnih podataka o pretnjama.

Da biste pročitali ceo izveštaj o izazovima SOC-a u 2023. godini, posetite Securelist.com. Ovaj izveštaj je deo Kaspersky Securiti Bulletin-a (KSB) – godišnje serije predviđanja i analitičkih izveštaja o ključnim promenama u svetu sajber bezbednosti. Kliknite ovde da pogledate ostale KSB komade.

Foto: Pixabay.com

Istraživači kompanije Kaspersky podelili su svoja predviđanja o trendovima sajber pretnji, a lista je iz godine u godinu sve veća. Jedna od glavnih pretnji svakako su sajber kriminalci koji koriste medije da ucenjuju organizacije, prijavljuju navodna curenja podataka i kupuju pristup prethodno kompromitovanim kompanijama na dark vebu. Ostale pretnje uključuju porast malver-as-a-service modela i napade preko cloud-a. Ovaj izveštaj je deo Kaspersky Securiti Bulletin-a (KSB) – godišnje serije predviđanja i analitičkih izveštaja o ključnim promenama u svetu sajber bezbednosti.

Hakerski napadi osim što nanose štetu pojedincima, štete korporacijama, pa čak mogu i da ugroze čitave zemlje, i to ne samo finansijski. Mediji rutinski izveštavaju o incidentima i kršenju podataka koji postaju javno dostupni na dark web-u. Ovo ugrožava ne samo ličnu privatnost, već i reputaciju kompanija. Kaspersky stručnjaci detektovali su pretnje koje će biti relevantne za velike biznise i državni sektor u narednoj godini.

Ucenjivanje: javne objave hakera sa odbrojavanjem do curenja podataka

Sajber-kriminalci su ranije direktno dolazili do žrtve, dok sada vest o narušavanju bezbednosti plasiraju na svojim blogovima, postavljajući tajmer za odbrojavanje do objavljivanja procurelih podataka. Ovaj mračni trend će se razvijati u 2023. jer ova taktika koristi sajber kriminalcima bez obzira da li žrtva plaća ili ne. Podaci se često prodaju na aukciji, a završna ponuda ponekad premašuje traženu otkupninu

Sajber-kriminalci objavljuju lažne vesti da bi poboljšali svoju reputaciju

Objave na blogovima o iznudi privlače pažnju medija, a bez obzira da li se hakerski napad zaista dogodio ili ne, izveštaj o curenju može naštetiti poslu. Ključ da ostanete bezbedni je da se ove poruke identifikuju na vreme i da se pokrene proces reagovanja sličan onom koji se koristi u incidentima u oblasti bezbednosti informacija.

Više curenja ličnih podataka, korporativna e-pošta u opasnosti

Stručnjaci očekuju da će se trend curenja ličnih podataka nastaviti i u 2023. godini. Ljudi često koriste poslovne adrese e-pošte za registraciju na sajtovima trećih strana, koji mogu biti izloženi curenju podataka. Kada osetljive informacije kao što su adrese e-pošte postanu javno dostupne, to može izazvati interesovanje sajber kriminalaca i pokrenuti diskusije o potencijalnim napadima na organizaciju na veb-sajtovima darkneta; dodatno, podaci se mogu koristiti za phishing i društveni inženjering.

 “Malver-as-a-service”, cloud napadi i kompromitovani podaci sa dark web-a

 Stručnjaci takođe očekuju da će napadi na ransomvare rasti upravo zbog porasta alata malver-as-a-service (MaaS). Složenost napada će se povećati, što znači da automatizovani sistemi neće biti dovoljni da obezbede potpunu bezbednost. Štaviše, cloud tehnologija će postati popularan način napada, jer digitalizacija sa sobom donosi povećane rizike za sajber bezbednost. Osim toga, sajber kriminalci će češće posećivati dark web stranice u 2023. da bi kupili pristup prethodno kompromitovanim organizacijama.

“Da bi se veliki biznis ili vladina agencija zaštitila od pretnji, neophodno je pratiti digitalni otisak organizacije. Važno je biti spreman da istražuje i reaguje na incidente, pošto nije uvek moguće zaustaviti napadače pre nego što prodru u perimetar. Međutim, sprečavanje razvoja napada i ograničavanje potencijalne štete je apsolutno izvodljiv zadatak”, rekla je Ana Pavlovskaja, analitičarka službi bezbednosti u kompaniji Kaspersky.

Da biste pročitali ceo izveštaj o bezbednosnim pretnjama preduzeća u 2023. godini, posetite Securelist.com. Ovaj izveštaj je deo Kaspersky Securiti Bulletin-a (KSB) – godišnje serije predviđanja i analitičkih izveštaja o ključnim promenama u svetu sajber bezbednosti.

Da bi zaštitili organizaciju od rastućih pretnji, istraživači kompanije Kaspersky preporučuju sprovođenje sledećih mera:

• Uvek ažurirajte softver na svim uređajima koje koristite kako biste sprečili napadače da se infiltriraju u vašu mrežu.

• Koristite najnovije informacije o pretnji da biste bili svesni stvarnih TTP-ova koje koriste akteri pretnji.

• Koristite Digital Footprint Intelligence da pomognete bezbednosnim analitičarima da istraže taktiku protivnika, da odmah otkriju potencijalne vektore napada koji su im dostupni i da u skladu sa tim prilagode svoju odbranu

• Ako se suočite sa incidentom, usluga Kaspersky Incident Response će vam pomoći da odgovorite i minimizirate posledice, posebno – da identifikujete kompromitovane čvorove i zaštitite infrastrukturu od sličnih napada u budućnosti.

Najnoviji Deloitte-ov izveštaj o održivosti za 2023. godinu: „Ubrzavanje zelene tranzicije“ otkriva da izvršni direktori klimatske promene smatraju glavnim prioritetom za svoje organizacije usred globalne neizvesnosti. Zamoljeni da rangiraju pitanja koja su najhitnija za njihove organizacije, mnogi izvršni direktori su klimatske promene rangirali kao jedno od tri najvažnija pitanja, ispred sedam drugih, uključujući inovacije, talente i izazove u lancu snabdevanja. Štaviše, 75% izvršnih direktora je reklo da su njihove organizacije povećale ulaganja u održivost tokom prošle godine, a skoro 20% ih je reklo da su „značajno“ povećali ulaganja.

Izveštaj takođe identifikuje ključne preporuke za organizacije koje će pomoći u zatvaranju jaza između društvenih aspiracija i učinka kako bi se ubrzao napredak ka ekonomiji sa niskim sadržajem ugljenika.

„U godini kontinuirane neizvesnosti, poremećaja i konkurentskih poslovnih izazova, lideri su klimatske promene svrstali među glavna pitanja“, kaže Miroslava Gaćeša, direktorka u Sektoru za upravljanje rizicima. „Put ka održivijoj budućnosti će potrajati, zahtevaće poslovna ulaganja, a pokretaće ga nove i inovativne tehnologije i kreativni pristupi. Obećavajuće je videti lidere kompanija koji održivost stavljaju kao prioritet i povećavaju svoje investicije kako bi prednjačili.”

 Optimizam i dalje postoji uprkos povećanoj zabrinutosti zbog klimatskih uticaja

Skoro svaki anketirani izvršni direktor rekao je da je njihova organizacija osetila uticaj klimatskih promena u protekloj godini. Izvršni direktori su naveli „nedostatak resursa/troškove resursa“ kao glavni problem koji već utiče na njihove kompanije (46%), dok je 45% istaklo „promenu obrazaca potrošnje ili preferencija u vezi sa klimatskim promenama“, a 43% je navelo „emisije iz regulative“ kao druge glavne probleme koji utiču na njihove kompanije. Pored toga, oko trećine rukovodilaca izjavilo je da klimatske promene negativno utiču na fizičko (37%) i mentalno (32%) zdravlje njihovih zaposlenih.

Pored uticaja na njihovo poslovanje, 82% rukovodilaca je reklo da su bili lično pogođeni klimatskim događajima u protekloj godini, pri čemu je ekstremna vrućina bila najčešći problem, a 62% je reklo da su zabrinuti zbog klimatskih promena gotovo sve vreme ili većinu vremena.

Uprkos ovim zabrinutostima, 78% lidera je „donekle” ili „ekstremno” optimistično da će svet preduzeti dovoljno koraka da izbegne najgore posledice klimatskih promena, a 84% se slaže/potpuno slaže da se globalni ekonomski rast može postići uz istovremeno postizanje ciljeva klimatskih promena.

„Naše istraživanje nam govori da izvršni direktori veruju da i njihove organizacije i globalna ekonomija mogu da nastave da rastu uz ispunjavanje klimatskih ciljeva i smanjenje emisija gasova staklene bašte“, navodi Gaćeša.

Ispunjavanje povećanih zahteva zainteresovanih strana

Deloitte-ova anketa otkriva da organizacije osećaju veliki pritisak da reaguju na klimatske promene od strane svih svojih grupa zainteresovanih strana (članova odbora i menadžmenta, regulatora i vlade, i potrošača i klijenata). Organizacije takođe osećaju pritisak svojih akcionara i investitora (66%), zaposlenih (64%) i civilnog društva (64%).

Aktivizam zaposlenih posebno podstiče povećanu akciju, pri čemu više od polovine izvršnih direktora kaže da je pritisak zaposlenih na klimatska pitanja doveo njihove organizacije do povećanja mera održivosti u protekloj godini; 24% je reklo da je aktivizam zaposlenih doveo do „značajnog“ povećanja. Regulativa je takođe uticajna: 65% izvršnih direktora je reklo da je promena regulatornog okruženja navela njihove organizacije da povećaju klimatske performanse u prošloj godini.

Mere za postizanje klimatskog efekta se nastavljaju, ali i izazovi

Organizacije preduzimaju akcije: 59% koristi više održivih materijala, 59% povećava energetsku efikasnost, 50% obučava zaposlene o klimatskim promenama, a 49% razvija nove proizvode ili usluge pogodne za klimu. Oni takođe pojačavaju napore da se prilagode klimatskim promenama: 43% pravi promene ili premešta objekte kako bi bili otporniji na klimatske promene; 40% kupuje osiguranje od ekstremnih klimatskih rizika; a 36% nudi finansijsku pomoć zaposlenima koji su bili pogođeni ekstremnim vremenskim uslovima.

Međutim, kao što smo videli prošle godine, manje je verovatno da će kompanije preduzeti radnje koje pokazuju da su ugradile klimatska razmatranja u svoje kulture i da imaju podršku i uticaj višeg rukovodstva da izvrše značajnu transformaciju. Na primer, 21% izvršnih direktora je navelo da njihove organizacije ne planiraju da povežu kompenzaciju rukovodiocima sa učinkom održivosti životne sredine, a 30% je reklo da ne planira da lobira kod vlade za klimatske inicijative.

Štaviše, kada su upitani koliko su određene grupe ozbiljne u pogledu rešavanja klimatskih promena, samo 29% izvršnih direktora je reklo da veruje da je privatni sektor „veoma” ozbiljan. Skoro četvrtina izvršnih direktora navela je da je teškoća u merenju uticaja njihovih organizacija na životnu sredinu glavna prepreka povećanju aktivnosti, a skoro jedna petina je kao prepreke navela troškove i fokus na kratkoročna pitanja.

Preporuke za ubrzanje zelene tranzicije

Deloitte-ovo istraživanje pokazuje da izvršni direktori zaista veruju da i njihove organizacije i globalna ekonomija mogu da nastave da rastu uz ispunjavanje klimatskih ciljeva i smanjenje emisije gasova staklene bašte. Dakle, kako oni mogu pomoći da se zatvori jaz između želje i učinka, probije barijera za veće akcije i počnnu da balansiraju kratkoročne troškove klimatskih inicijativa sa dugoročnim koristima?

Izveštaj nudi nekoliko preporuka koje će pomoći izvršnim direktorima da počnu, uključujući ugrađivanje klimatskih ciljeva u opštu strategiju i svrhu njihovog poslovanja, izgradnju poverenja preduzimanjem kredibilnih klimatskih akcija, osnaživanje odbora, podsticanje akcije zainteresovanih strana, ulaganje u današnje (i buduće) tehnologije i saradnju u cilju pokretanja promena na nivou sistema.

Nove tehnologije i različiti internet servisi koje svakodnevno koristimo često su predmet zloupotrebe sajber kriminalaca kojima je cilj da dođu u posed ličnih i finansijskih podataka. Jedan od takvih napada je višing (eng. voice phishing – vishing) – glasovni fišing u okviru koga prevarant napada žrtvu putem telefonskih poziva i servisa za internet komunikacije (na primer, Skype, Viber, Whatsapp).

U poslednje vreme učestali napadi ove vrste primećeni su u zemljama u okruženju. Imajući u vidu da bi uskoro mogli da postanu aktuelni i kod nas, stručnjaci Erste Banke savetuju da je potrebna povećana doza opreza, posebno u dolazećem prazničnom periodu kada nam je svima pažnja usmerena na lepše stvari. Zato je korisno da se već sada upoznamo sa nekim od tipičnih višing prevara koje su identifikovane u našem regionu.

Kako funkcionišu višing prevare?

Lažni bankar – Priča je obično kreirana oko problema u vezi sa računom klijenta, uglavnom u formi obaveštenja o zloupotrebi od strane bankara iz matične filijale (sa upozorenjem da klijent nikako ne ide do banke, već da bude spreman da će ga kontaktirati „novi“ ljudi). Klijent se obaveštava da je slučaj navodno pod policijskom istragom i da je neophodno tretirati ceo slučaj kao strogo poverljiv. Tu se završava prvi poziv. Drugi poziv je od lažnog policajca, koji potvrđuje prvi deo priče. Klijent biva ubeđen da je zbog poverljivosti policijske istrage veoma važno da ne otkriva svojoj banci podatke o istrazi, čime se sprečava da pozove kontakt centar ili da se raspita u filijali i tako proveri navode. Treći poziv je ponovo od lažnog bankara, koji se predstavlja kao član tima za bezbednost, a kao dokaz šalje lažirani lični dokument preko čet aplikacija. Tada se predlaže neko rešenje – u nekim slučajevima klijent se ubeđuje da podigne sav novac sa računa i prebaci ga na „privremeni račun” koji je u stvari napadač unapred pripremio. Zatim sledi instrukcija da se sačekaju dalje informacije. U svim scenarijima je korišćeno lažiranje telefonskog broja. Kada je klijent bio iz npr. Budimpešte, prikazivali su mu se brojevi filijale u Budimpešti i policijske stanice u Budimpešti. Sakupljanje podataka o klijentu koji je meta prevare obično počinje na društvenim mrežama Instagramu i Fejsbuku. Napadači preko društvenih mreža saznaju u kojoj su banci klijenti žrtve, čak i njihovu filijalu, pa prema tome kreiraju lažne brojeve telefona i lažiraju svoje profile tako da izgleda kao da su zaposleni baš tamo.

Lažni krediti – Ova prevara je već dugo prisutna na društvenim mrežama gde fizička lica i navodne finansijske institucije sa kojima sarađuju nude veoma povoljne kredite ili pozajmice. Žrtve su kontaktirane kroz komentare na društvenim mrežama uz uputstvo da se zahtev pošalje direktnim porukama putem čet aplikacija. Nakon niza poruka, žrtva ostaje uskraćena za novac koji je uplatila napadaču kao naknadu za navodnu obradu fiktivnog kredita. U poslednje vreme, zabeleženi su slučajevi ove prevare putem telefonskih poziva, uz lažiranje brojeva sa kojih dolazi poziv, tako da oni mogu biti dovedeni u vezu sa stvarnim finansijskim institucijama. Ukoliko se nađete u ovakvoj situaciji, imajte na umu da banke ne nude kredite na društvenim mrežama, niti se sa vama preko čet aplikacija dogovaraju da uplatite naknade za obradu kredita.

Tehnička podrška – Poziv započinje kao veoma hitna akcija podrške od softverskih kompanija ili IT podrške banke. Napadač traži odobrenje za pristup vašem računaru kako bi obavio neophodna podešavanja kroz neku od aplikacija za ovu namenu (npr. TeamViewer ili  AnyDesk). Navodno je potrebno izvršiti podešavanja na aplikaciji za internet bankarstvo. U nastavku, napadač preuzima upravljanje aktivnostima računara, a klijentu ostaje samo da isprati kako njegov novac odlazi sa računa.

Važno je zapamtiti da banka nikad neće tražiti pristup uređaju, niti će instalirati nešto na računaru ili telefonu klijenta. Ukoliko ovo dozvolite napadaču, on preuzima kontrolu nad  računarom i uzima sve podatke koji se tamo nalaze, uključujući i pristup računu u banci. Takođe, iz bezbednosnih razloga ne treba čuvati korisničko ime i šifru za pristup internet bankarstvu na računaru ili u okviru naloga za različite internet servise (npr. Google naloga).

Tokom 2022. prosečan DDoS napad je trajao 18,5 sati, skoro 40 puta duže u poređenju sa 2021, zaključili su stručnjaci kompanije Kaspersky.

DDoS su napadi koji imaju za cilj da preopterete ciljani sajt ogromnim istovremenim brojem zahteva i tako ga sruše.

Rat u Ukrajini stvorio je plodno tlo za sajber napade i stručnjaci su uočili porast DDoS aktivnosti tokom leta ove godine.

U najnovijoj analizi stručnjaci kompanije Kaspersky ocenili su da je ovu godinu obeležio vojni sukob u Ukrajini, koji je doneo neizvesnost.

„U danima i nedeljama koji su prethodili vojnom sukobu primećene su pojačane aktivnosti sajber napada i neki znaci vredni pažnje“, navodi se u saopštenju kompanije Kaspersky.

Onda je 24. februara usledio snažan talas pseudo-ransomware napada i wiper napada (malverom za brisanje podataka), koji su neselektivno ciljali ukrajinske entitete.

Neki su bili veoma sofisticirani, ali obim wiper i ransomvare napada brzo se smanjio nakon početnog talasa, navodi se u saopštenju.

„Evropljani koji se oslanjaju na ViaSat satelit suočili su se 24. februara sa velikim prekidima u pristupu internetu. Ovaj ‘sajber događaj’ počeo je rano ujutru, manje od dva sata nakon što je Ruska Federacija javno objavila početak ‘specijalne vojne operacije’ u Ukrajini. Sabotaža ViaSat-a još jednom pokazuje da su sajber napadi osnovne cigle u bedemima modernih oružanih sukoba i da mogu direktno podržati ključne prekretnice u vojnim operacijama“, piše u saopštenju te kompanije.

Izveštaj je deo Kaspersky Security Bulletin-a (KSB), koji svake godine analizira ključne promene u svetu sajber bezbednosti.

Kompanija Kaspersky je globalna sajber bezbednosna kompanija osnovana 1997. godine.

Više od 400 miliona korisnika zaštićeno je tehnologijom kompanije Kaspersky, dok preko 240.000 korporativnih klijenata koristi njihove usluge kako bi zaštitili svoje informacije, navodi se u saopštenju.

Foto: Pixabay

Iako su otklonjeni brojni nedostaci usvajanjem novog Zakona o zaštiti podataka o ličnosti u novembru 2018. Savet stranih investitora u Beloj knjizi 2022 ukazuje na segmente koji nisu unapređeni i u kojima su neophodna poboljšanja.  

Novi Zakon ne uređuje posebne oblike obrade podatka o ličnosti, kao što su video nadzor, obrada podataka o ličnosti zaposlenih i obrada u svrhu naučnih i istorijskih istraživanja, kao i u statističke svrhe. Nepostojanje propisa stvara pravnu nesigurnost za rukovaoce podacima, što će značajno otežati njihovu sposobnost poslovanja.

Formiranje radne grupe za izradu strategije za zaštitu podataka o ličnosti je samo mali korak u sprovođenju preko potrebnih koraka za rešavanje problema u ovoj oblasti. Važno pitanje je da li i u kojoj meri država ima nameru da promoviše vrednosti proklamovane novim Zakonom. Država bi, pored Poverenika, trebalo da uloži mnogo više napora u podizanje svesti lica na koja se podaci odnose o značaju gore navedenih vrednosti organizovanjem javnih debata ili javnih konferencija na kojima lica na koji se podaci odnose mogu saznati više o svojim pravima sadržanim u novom Zakonu.

Poverenik nije jedini državni organ koji ima obavezu da promoviše primenu novog Zakona. Osim toga, državni organi bi trebalo da ulože više napora u implementaciju novog Zakona. Nedostatak primene zakona od strane državnih organa stvara atmosferu da ni drugi subjekti na koje se odnosi novi Zakon ne bi trebalo da ga primenjuju. Uprkos zvaničnim upozorenjima Poverenika da većina rukovalaca nije imenovala lica za zaštitu podataka, mnogi od njih, koji imaju ovu obavezu, još uvek je nisu ispunili. U vezi sa primenom članova 41 i 50 Zakona koji se odnosi na implementaciju odgovarajućih tehničkih, kadrovskih i organizacionih mera, radi efikasnije primene i boljeg razumevanja ovih odredbi od strane privrede i javnog sektora smatramo da bi od strane Poverenika mogle da budu objavljene smernice, na osnovu najbolje evropske prakse, kako bi se olakšala primena ovih odredbi i na taj način unapredila bezbednost podataka.

Nedostatak u novom Zakonu u pogledu ovlašćenja Poverenika da donese standardne ugovorne klauzule kako bi se omogućio prenos rukovaocima koji se nalaze u zemljama koje ne obezbeđuju odgovarajuću zaštitu ličnih podataka, onemogućava prenos u ovim situacijama, odnosno omogućava prenos podataka o ličnosti bez odgovarajućih mera zaštite. Izjednačavanje instrumenta za prenos podataka na teritoriji Srbije i u države sa adekvatnom zaštitom podataka o ličnosti sa instrumentima za prenos u treće zemlje je neadekvatno. Ministarstvo pravde mora razmotriti sadržaj novih standardnih ugovornih klauzula prema GDPR-u za prenos podataka od rukovaoca ili obrađivača u EU/EEA rukovaocima ili obrađivačima sa sedištem izvan EU/EEA koje je Evropska komisija izdala 4. juna 2021. godine. Neophodno je intenzivirati aktivnosti na donošenju smernica od strane Poverenika kako bi se olakšala primena i tumačenje Zakona. Do zatvaranja ovog izdanja Bele knjige, Poverenik još nije iskoristio ovlašćenje da propiše uslove za izdavanje dozvola sertifikacionim telima. Osim toga, nejasnoće u članu 60 novog Zakona u pogledu akreditacije pravnog lica koje vrši nadzor nad primenom kodeksa postupanja i nadležnosti Poverenika onemogućavaju nadzor nad primenom kodeksa ponašanja. Savet očekuje da Vlada Republike Srbije, u kontekstu presude Evropskog suda pravde C-311/18, izmeni svoju Odluku o Listi država, deo njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnim organizacijama u kojima se smatra da je obezbeđen primenjeni nivo zaštite podataka o ličnosti i briše formulaciju: „Sjedinjene Države“ (ograničene na Privacy Shield.)

Šta treba unaprediti?

Omogućiti Povereniku bolje uslove rada, opremu i osoblje kako bi se osigurala efikasna primena novog Zakona.

 • Izvršiti usklađivanje svih zakona sa Zakonom o zaštiti podatka o ličnosti.

• Doneti/izmeniti zakone koji uređuju posebne oblike obrade podataka o ličnosti, poput video nadzora, obrade podataka o ličnosti zaposlenih i obrade u svrhu naučnih i istorijskih istraživanja i u statističke svrhe.

• Izmenama Zakona o zaštiti podataka o ličnosti potrebno je predvideti priznavanje važenja obavezujućih poslovnih pravila koje su odobrene od strane tela nadležnih za zaštitu podataka o ličnosti u EU i da se prizna važenje Ugovora o obradi podatka o ličnosti koje rukovalac zaključi sa obrađivačem iz inostranstva uz upotrebu standardnih ugovornih klauzula koje je objavila Evropska komisija. Na taj način bi pružio isti stepen zaštite i ne bi bilo negativnih posledica na zaštitu podataka o ličnosti građana Republike Srbije, imajući u vidu da bi rukovalac i dalje bio odgovoran prema domaćem Zakonu.

• Izmeniti član 65, stav 2, tačka 2 novog Zakona u skladu sa članom 46, stav 2, tačka c GDPR-a, presudom Evropskog suda (predmet C-311/18) i novim standardnim ugovornim klauzulama prema GDPR-u za prenos podataka od rukovalaca ili obrađivača u EU/EEA rukovaocima ili obrađivačima sa sedištem izvan EU/EEA koje je izdala Evropska komisija 4. juna 2021. godine, predviđajući mogućnost prenosa podataka o ličnosti od rukovaoca rukovaocu i rukovaoca obrađivaču registrovanim u trećim zemljama bez ovlašćenja Poverenika i na unutrašnjem tržištu na osnovu standardnih ugovornih klauzula koje je izradio Poverenik, na osnovu najbolje evropske prakse.

• Izmeniti član 77 novog Zakona i predvideti obavezu Poverenika da izradi standardne ugovorne klauzule za prenos podataka o ličnosti između zajedničkih rukovalaca, primenjujući najbolju evropsku praksu.

• Aktivnije donošenje smernica od strane Poverenika kako bi se olakšala primena i tumačenje Zakona.

• Doneti smernice o primeni članova 41. i 50. novog Zakona.

• Izmeniti Odluku o listi država, deo njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnim organizacijama u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti – brisanje formulacije „Sjedinjene Države (ograničeno na Privacy Shield)“.

• Doneti uslove za izdavanje dozvola sertifikacionim telima od strane Poverenika.

• Otkloniti nejasnoće iz člana 60. novog Zakona u pogledu nadležnosti nadležnih organa za akreditaciju pravnih lica koja nadgledaju sprovođenje kodeksa ponašanja.

Foto: Pixabay.com

Jačanje informacione bezbednosti i zaštite podataka građana, razvoj digitalne infrastrukture koja će podržati širenje elektronske uprave u Srbiji, kao i popularizacija i veće korišćenje elektronskih usluga, biće prioriteti Saveza za eUpravu u naredne dve godine, najavljeno je na današnjoj konstitutivnoj sednici novog saziva ovog radnog tela NALED-a.

“Kada je reč o informacionoj bezbednosti potrebno je unaprediti zakonski okvir u ovoj oblasti, jačati kapacitete državnih i lokalnih organa, kao i privrede koja upravlja informacionim sistemima, i povezati ih kako bismo imali jedan tim spreman za odbranu od sajber napada. Takođe, potrebno je da razvijamo ultra brzu komunikacionu mrežu, klaud, AI i IoT infrastrukturu koja će obezbediti podatke neophodne za stvaranje nove ekonomske vrednosti, ali i omogućimo da se postojeća infrastruktura, posebno u javnoj svojini, kao što je ona MUP-a, EPS-a ili Železnica adekvatno koristi i bude dostupna svim operaterima pod istim uslovima”, istakla je nova predsednica Saveza i direktorka korporativnih poslova u kompaniji CETIN Dragana Ilić.

Među prioritetima Saveza će se naći sprovođenje obuka za jačanje kapaciteta službenika javne uprave za razvoj i pružanje elektronskih usluga, jačanje informacione bezbednosti, kao i podrška resornim institucijama u unapređenju usluga kao što su ePečat, potpis u klaudu, eArhiviranje i dr.

Servisi Registra nacionalnog domena Srbije (RNIDS) našli su se juče pod opterećenjem zbog napada na infrastrukturu koju RNIDS koristi, saopštila je ova fondacija, piše Nova ekonomija.

„Rad servisa za registraciju domena je bio značajno otežan u periodu od 11 do 13:45 usled čega nisu mogli da budu obavljani poslovi registracije domena, WHOIS servis nije bio dostupan, a DNS zone nisu osvežavane“, piše u saopštenju.

RNIDS ističe da, uprkos napadima, „DNS servis RNIDS-a zadužen za nacionalne domene, tokom celog jučerašnjeg dana je radio bez prekida i korisnici koji su imali poteškoće prilikom pristupa sajtovima na .rs domenima nisu imali problem zbog napada na RNIDS-ov sistem“.

Infrastruktura kojom upravlja RNIDS (serveri, sajtovi itd.) konstantno su izloženi manje ili više intezivnim DDoS napadima, „svakog sekunda, 365 dana u godini“, navodi se u saopštenju.

„RNIDS nije izuzetak, niti usamljen u praksi odbrane od napada, jer identičan problem ima gotovo svaki svetski registar domena,“ dodaje se.

Nacionalni centar za prevenciju bezbednostih rizika u informaciono-komunikacionim sistemima (CERT) preduzeo je sve neophodne korake nakon što je juče došlo do otežanog rada DNS servisa u Srbiji, odgovoreno je Novoj ekonomiji.

„Nacionalni CERT u okviru svojih nadležnosti je preduzeo sve neophodne korake u cilju minimalnog uticaja na dostupnost servisa“, piše u pisanom odgovoru.

Uber je u petak saopštio da reaguje na incident iy oblasti sajber bezbednosti nakon što je haker očigledno provalio njegovu mrežu.

Njujork tajms je izvestio da je Uber u četvrtak otkrio kršenje i isključio nekoliko svojih internih komunikacionih i inženjerskih sistema dok je istraživao obim hakovanja.

Inženjer bezbednosti je rekao da je uljez pružio dokaze o dobijanju pristupa ključnim sistemima u službi za pozivanje vozila.

Međutim, nije bilo naznaka da je Uberov vozni park ili njegov rad pogođen, piše Euronews.

Mikica Ivošević, CTO kompanije Abstract, na svom Linkedin profilu objavio je da je „napadač pristupio internim sistemima i platformama kao što su AWS, Google Workspace, VMware vSphere/ESXi, Slack, HackerOne, SentinelOne. Vrlo je moguće da će ovo biti data breach sličan onome koji je doživeo Twitch, kad su napadači preuzeli skoro sve što je bilo u digitalnom obliku, od source code do faktura i sve to objavili“, napisao je Ivošević.

On je dalje opisao kako su napadači došli do internih sistema? Prenosimo post u celosti.

 Napadač je primenio #socialengineering, odnosno ceo jedan sat je slao push notifikacije za auth jednom od zaposlenih i na kraju preko WhatsApp-a kontaktirao zaposlenog predstavljajući se da je iz Uber IT sektora i da ako želi da prestane da dobija notifikacija, da mora da prihvati zahtev. Logično da čim pišem o ovome da je zaposleni prihvatio zahtev i da je napadač na taj način dobio prisutp VPN-u, odnosno Uber Intranet-u (*.corp.uber.com)

 Nakon toga je napadač skenirao čitav intranet, došao do nekih diskova koji su podeljeni u mreži, a gde su bile powershell skripte koje su sadržale username i password za admin nalog od Thycotic sistema (PAM – Privileged Access Management)

 Pristupom Thycotic sistemu napadač je preuzeo kredencijale od sistema kao što su AWS, GSuite, OneLogin, HackerOne, Slack, SentinelOne …

Neke zanimljivosti povezane sa ovim napadom, odnosno Uber-om

 Hakovan je Slack i GSuite, pa je na taj način baš otežana komunikacija između timova koji treba da reše problem koji je nastao.

 CEO Uber-a je u prethodnom periodu bio na ročištu vezano za to što je Uber pre više od 5 godina platio hakerima da ne objave da je došlo do data breach-a

 Napadač je frustriran na Uber zato što im je najveća nagrada u Bug Bounty programu 15.000$, a dok na Slack Enterprise troše 2.000.000$ godišnje. Zbog toga sam i spomenuo da je vrlo moguće da zbog njegove frustracije svi podaci postanu javno dostpuni.

 Hakovan je EDR (SentinelOne), a koji omogućava pristup svakom računaru (kroz shell) i koji ujedno služi da zaštiti računare i mrežu od malware-a i sličnih pretnji. Napadač je imao pristup toj platformi, tako da je vrlo moguće da su računari od svih zaposlenih kompromitovani

„Čini se da su ugrozili mnogo stvari“, rekao je i Sem Kari, inženjer u Yuga Labs-u koji je komunicirao sa hakerom.

To uključuje potpuni pristup cloudu koje hostuje Amazon i Google gde Uber čuva svoj izvorni kod i podatke o klijentima, rekao je on.

Kari je rekao da je razgovarao sa nekoliko zaposlenih u Uberu koji su rekli da „rade na tome da sve interno zaključaju“ kako bi ograničili pristup hakeru. To uključuje internu mrežu za razmenu poruka kompanije iz San Franciska, rekao je on.

Rekao je da nema naznaka da je haker napravio bilo kakvu štetu ili da je zainteresovan za bilo šta više od publiciteta. „Moj osećaj je da se čini da žele da privuku što više pažnje“.

Irski regulator za zaštitu privatnosti podataka izrekao je rekordnu kaznu od 405 miliona evra (402 miliona dolara) društvenoj mreži Instagram nakon istrage o njenom rukovanju podacima o deci, rekao je portparol te organizacije.

Instagram planira da uloži žalbu na kaznu, rekao je portparol matične kompanije Meta Platforms Inc (META.O), u saopštenju poslatom e-poštom.

Instagram je ažurirao svoja podešavanja pre više od godinu dana i od tada je objavio nove funkcije kako bi tinejdžeri bili bezbedni i njihove informacije bile privatne, rekao je portparol Mete.

Istraga, koja je počela 2020. godine, fokusirala se na korisnike dece između 13 i 17 godina kojima je bilo dozvoljeno da upravljaju poslovnim nalozima, što je omogućilo objavljivanje korisničkog broja telefona i/ili adrese e-pošte, piše Reuters.

Foto: Unsplash.com