Category: Blog

  • Kako da sprečimo digitalne prevare i krađu podataka i novca?

    Kada je Lazarus Group, severnokorejska hakerska grupa pod kontrolom države, ukrala 625 miliona dolara digitalnih tokena početkom 2022. godine od Ronin network, to je bio najveći sajber napad u istoriji decentralizovanih finansija (DeFi) i druga najveća kripto krađa svih vremena. Kako su hakeri našli put do Ronin mreže? Jednostavno. Preko lažnih oglasa za posao na LinkedIn-u. Naime, jedan kandidat je prijavljujući se na lažne atraktivne poslove, jednim klikom na pdf. dokument inicirao lanac infekcija koji je otvorio vrata hakerima za napad.

    Prema rečima bivšeg eksperta iz Američke agencije za nacionalnu bezbednost iznetih u „Fraud Magazine“, oko 7.000 zaposlenih hakera sa punim radnim vremenom radi za Vladu Severne Koreje. Ovi i slični primeri pokazuju da smo predmet napada hiljada hakera širom sveta 24/7. Digitalne prevare nisu jedan pokušaj jednog hakera, nego konstantna serija pokušaja velike grupe ljudi sve dok ne nađu prolaz za napad. Kompanije ulažu velike napore u sisteme odbrane od ovakvih napada. Zašto? Zato što su štete milionske i nesagledive.

    Prevare u digitalnim transakcijama

    Kroz NextGeneration EU fondove, putem instrumenata oporavka privreda EU RRF (Recovery and Resilience Facility) u zemlje EU će se uliti oko 800 milijardi evra. Najveći deo tih sredstava otići će u sfere digitalne agende i održivog zelenog poslovanja. Zato EU sa pravom insistira na uvođenju robustnog sistema protiv prevara, kako bi se osiguralo da korisnici takvih sredstava kao i oni koji odlučuju o raspodeli tih sredstava imaju mehanizme zaštite i preventive da novac poreskih obveznika ne bude plen prevaranata. S obzirom na to da je Srbija na putu ka EU, svakako će biti obveznik sprovođenja ovakvih mera.

    Sistem zaštite od digitalnih prevara, kao i svaki sistem zaštite, da bi bio efikasan, ne treba da bude samo slovo na papiru već mnogo više od toga. Efikasan sistem protiv prevara podrazumeva sistem politika, procedura, matrica kontrolnih aktivnosti, instaliranih alata i programa i tim eksperata spremnih da trče maraton i odolevaju napadima hakera. Takav sistem treba da pruži prevenciju, obezbedi rano otkrivanje, korektivne mere i kasnije procesuiranje slučajeva.

    Tehnološka i analitička sredstva tzv. alati koji se koriste u borbi protiv prevara omogućavaju lakšu identifikaciju potencijalnih slučajeva prevare, bržu analizu podataka u vezi sa konkretnim prevarama, upravljanje slučajevima koji zahtevaju pažnju, pripremu dokumentacije o svim preduzetim radnjama i generisanje periodičnih izveštaja.  Sistemi praćenja i uzbunjivanja naročito treba da budu implementirani kod svih kompanija i organizacija koje se bave digitalnim plaćanjima i kripto valutama.

    Hakeri mogu skoro sve!

    Lazarus Group je našla rupu u Ronin protokolu koja je hakerima omogućila upotrebu kompromitovanih privatnih ključeva (kodova/šifara) putem kojih su neovlašćeno povlačili kripto valute. Pored ovog najvećeg primera, svedoci smo svakodnevnih neautorizovanih pristupa podacima i krađa ličnih ili poverljivih podataka. Sajber napadi su uzroci neplaniranih prekida usluga i/ili funkcija na neprihvatljivo dug period. Maliciozni softveri mogu da dovedu do potpunog onemogućavanja pristupa podacima. Napadi hakera mogu da prouzrokuju štete hardvera i softvera do te mere da oni postanu neupotrebljivi. Namerne izmene podataka koje dovode do loših informacija i grešaka u sadržaju su takođe vrlo česte.

    Da bismo se odupreli sajber rizicima, moramo da podignemo svest o:

    *bezbednosnim merama korišćenja sigurnih sajtova

    *dvofaktornim autentifikacijama

    *deljenju minimuma ličnih podataka

    *upotrebi sigurnih aplikacija

    *korišćenju sertifikovanih procesora plaćanja

    *testiranih antivirusnih softvera

    *redovnoj promeni kredencijalnih podataka, kao i o redovnom ažuriranju sistema mrežne bezbednosti

    *i najvažnije: da budemo u toku sa najnovijim trendovima u prevarama digitalnog plaćanja.

    Ukoliko koristimo kripto valute, potrebno je da dizajniramo procese i modele upravljanja za slučajeve korišćenja blokčejna; izvršimo testiranje kontrolnog okvira za blokčejn i digitalna sredstva i procenimo pouzdanost blokčejna uz pomoć napredne tehnologije revizije bloka. Pored navedenog, treba da obezbedimo uvid u predložena, postojeća i nova pravila i gledišta koja su izdala regulatorna tela relevantna za kompanije koje koriste blokčejn digitalna sredstva kao i da porocenimo postojeće računovodstvene politike kompanije, interne kontrole, resurse, okvire za izveštavanje i tehnologiju. Pored KYC (Know you client) treba da implementiramo i adekvatan KYT (Know your transaction) sistem i vršimo proaktivan monitoring transakcija, njihovog porekla i daljeg kretanja.

    Da bismo bili sigurni u svoje sisteme uspostavljenih kontrola, poželjno je da periodično angažujemo nezavisna lica sa ciljem provera da li na efikasan način upravljamo finansijama i tokovima novca, bezbednošću podataka i sistemima koji utiču na usluge od poverenja.

    Samo sa efikasno uspostavljenim sistemima zaštite čiju efikasnost redovno testiraju nezavisni stručnjaci, možemo da održavamo kondiciju za maraton odbrane od visokoobučenih hakera.

     

  • Od igre „SimCity“ do boljih gradova u stvarnosti

    Kao dete, uživao sam igrajući “SimCity”, popularnu video igru o izgradnji i upravljanju gradom. Iako su pre više od 30 godina igra i grafika na mom kompjuteru bili veoma jednostavni, igra je bila revolucionarna. Donela je koncept simulacije u kojoj nekoliko realističnih, dobro definisanih pravila određuje šta se dešava sa likovima i objektima u virtuelnom gradu.

    Ova početna sklonost prema simulacijama pratila me je i nakon tinejdžerskih godina. Kasnije, tokom naučne karijere, koristio sam kompjuterske simulacije da dizajniram instrumente za dijagnostiku snopa protona najkompleksnije mašine koju je čovečanstvo ikada napravilo – Velikog hadronskog sudarača u CERN-u.

    Simulacije se danas više ne koriste samo za zabavu, već aktivno oblikuju inovacije i svet oko nas.

    Uspon digitalnih blizanaca

    Neke od ovih simulacija, ukoliko su dovoljno sofisticirane, mogu postati digitalni blizanci – virtuelni modeli još nepostojećih ili postojećih proizvoda, sistema ili procesa u stvarnom svetu. Budući da ih koriste međunarodne kompanije i javne uprave širom sveta, simulirani i virtuelni svetovi imaju potencijal da transformišu naše živote.

    Nvidia, kompanija najpoznatija po proizvodnji grafičkih kartica, koristi svoju Omniverse platformu za izgradnju Zemlje-2 (Earth-2). To je ogromna simulacija Zemljinog klimatskog sistema, koja može da predvidi kakva će biti klima u različitim regionima sveta decenijama unapred. Cilj ove platforme je da omogući razvoj najboljih strategija za ublažavanje uticaja klimatskih promena i prilagođavanje na njih, i da podstakne na akciju tako što će nam realnije prikazati budućnost.

    Slično tome, BMW, veliki nemački proizvođač automobila, “gradi” simulaciju fabrike, pre fizičke izgradnje. Ove simulacije pružaju uvid u veoma složene, nepredvidive sisteme u realnom vremenu i pomažu da se izbegnu skupe greške ili katastrofe.

    Prema izveštaju kompanije Accenture – Tech Trends 2022, očekuje se da će globalno tržište digitalnih blizanaca porasti sa 3,21 milijarde dolara u 2020. na 184,5 milijardi dolara do 2030. godine. Takođe, digitalni blizanci počinju da se koriste u javnom sektoru, a posebno u urbanizmu – baš kao što su predvidele igre SimCity i Sims.

    “SimCity” postaje realnost

    Analitičari predviđaju da će uskoro svaki veliki grad na planeti imati svog digitalnog blizanca u virtuelnom svetu, što će drastično promeniti način na koji upravljamo saobraćajem, sistemima javnog prevoza, potrošnjom električne energije i mnogim drugim stvarima. Neki procenjuju da će do 2025. postojati čak 500 urbanih digitalnih blizanaca. To će imati veliki uticaj na privredu. Nedavni izveštaj Svetskog ekonomskog foruma prognozira da će globalno tržište digitalnih gradova blizanaca dostići vrednost od skoro 50 milijardi dolara do 2026. godine. ABI Research, globalna tehnološka konsultantska kompanija, procenila je da bi se korišćenjem digitalnih blizanaca gradova za efikasnije urbano planiranje do 2030. moglo uštedeti 280 milijardi dolara.

    Kao pokretači razvoja, gradovi su prirodna sredina za inovacije i stoga su savršeni poligoni za testiranje toga kako simulacije mogu da pomognu u pristupanju različitim izazovima vezanim za dostizanje Ciljeva održivog razvoja, poput izgradnje održivih gradova i zajednica (COR 11), podsticanja inovacija u industrijski i infrastrukturi (COR 9), preduzimanja akcije za klimu (COR 13), kao i uspostavljanja partnerstava za ostvarivanje ciljeva (COR 17).

    Priručnik UNDP-a o pametnim urbanim inovacijama već je istakao korišćenje digitalnog blizanca u Singapuru kao primer dobre prakse u 2021. godini. Singapurski 3D virtuelni model omogućava vrlo precizne simulacije novih razvojnih projekata. Ovaj digitalni blizanac se koristi za planiranje biciklističkih staza i parkinga, uzimajući u obzir mnoge faktore kao što su prepreke na putu, senke drveća, okolni objekti, saobraćajne veze i druge bezbednosne parametre. Model je takođe veoma koristan za dugoročno planiranje. Kako se Singapur suočava sa starenjem populacije, biće mu potrebne velike promene u infrastrukturi, a različiti akteri mogu već sada da rade zajedno u virtuelnom svetu kako bi osmislili i testirali nova rešenja.

    Glavni grad Estonije, Talin, planira da pomoću digitalnog blizanca poveća učešće javnosti u urbanističkom planiranju i da prati potrošnju energije. Seul u Republici Koreji ih koristi da predvidi pravac i smer vetra i utiče na urbanističke planove tako da se smanji širenje šumskih požara, efekat toplotnih ostrva (mesta u urbanim područjima sa višim temperaturama) i širenje fine prašine.

    Simulacije treba da budu u službi dobrobiti ljudi

    Šta nas još čeka u budućnosti? Da li je to simulacija čitavih društava i testiranje ekonomskih  politika u virtuelnim svetovima, pre nego što ih primenimo u stvarnosti? Međutim, stvaranje složenijih i ambicioznijih digitalnih replika otvara pitanja o privatnosti i sajber bezbednosti.

    Mnogi od ovih digitalnih blizanaca rade zahvaljujući mnoštvu senzora koji prate podatke i kretanje u stvarnom svetu. Uzmimo, na primer, radnike u fabrikama sa virtuelnim modelima – digitalnim blizancima, čiji se svaki pokret može pratiti. Takođe, haker digitalnog blizanca mogao bi da stekne zastrašujuće precizno znanje o tome kako funkcioniše neki sistem i gde su mu slabe tačke. Rizik se povećava ako građani nisu svesni koji se podaci o njima prikupljaju, ili ako je u pitanju upravljanje ključnim infrastrukturnim sistemima kao što su energija, grejanje ili vodosnabdevanje.

    Digitalni blizanci, poput metaverzuma, imaju uticaj i na životnu sredinu, jer su skladištenje i obrada velikih količina podataka procesi koji troše dosta energije.

    Takođe, ove tehnologije mogu biti izazovne za implementaciju. Čak i najosnovniji digitalni blizanci zahtevaju uspostavljanje mnoštva elemenata: sposobnost prikupljanja podataka urbanih “Internet of Things” mreža, kao i protokole vezane za upravljanje podacima, kompatibilnost sistema, brzu obradu podataka, obezbeđivanje kvaliteta podataka, bezbednost i privatnost.

    Svi ovi izazovi zahtevaju pristupe od vrha na dole (npr. uspostavljanje centara za koordinaciju i upravljanje svim podacima) i pristupe odozdo na gore (npr. šta građani i drugi ključni akteri misle da je najvažnije modelirati), a svi scenariji primene treba da krenu od potreba čoveka i da imaju u vidu dobrobit ljudi.

    Konačno, početni razvoj digitalnih blizanaca gradova može biti skup i složen. Veliki deo početnih investicija obično dolazi iz javnog sektora, dok privatne kompanije ostaju po strani prvih nekoliko godina dok ne pronađu isplativu računicu za ulaganje. Iako država i javni sektor mogu da budu ti koji u početku investiraju, oni bi trebalo da angažuju sve zainteresovane strane, posebno privatni sektor, kako bi osigurali standardizaciju i kompatibilnost digitalnih blizanaca sa budućim stvarnim i potencijalnim korisnicima.

    Alat za održivu budućnost

    Digitalni blizanci, posebno u urbanim sredinama, nude značajne prednosti i mogućnosti za inovacije. Prisećajući se, još jednom, svog prvog susreta sa simulacijom grada, u igri “SimCity”, shvatio sam da su mi se naročito dopale dve stvari: nema dobitnika ni gubitnika, i za sve postoji rešenje.

    Svestan sam da digitalni blizanci stvarnih gradova nikada neće moći savršeno da predstave stvarnost i da će uvek biti grešaka, poput onih koje vidite kada pokrenete simulaciju grada na nekom starom kompjuteru. Život, kao što znamo, ima veliku varijabilnost, pun je neizvesnosti i nejasnoća i stoga se ne može savršeno simulirati, niti modeli mogu poslužiti kao savršeni vodiči koji daju savršene uvide za donošenje odluka i definisanje politika.

    Međutim, verujem da, korišćenjem preciznog mapiranja, integracije i stalne interakcije između virtuelnih i fizičkih gradova, praćenja različitih parametara u realnom vremenu, kao i njihove sposobnosti za predviđanje različitih scenarija, digitalni blizanci gradova mogu da nam pruže inovativna rešenja za održivu budućnost. Takođe verujem da, kao i u igrici, u gradovima budućnosti neće biti gubitnika i da će naša urbana sredina postati održivija, praktičnija i inkluzivnija.

    *Blog je prvobitno objavljen na sajtu UNDP Srbija: https://www.undp.org/sr/serbia/blog/od-igre-simcity-do-boljih-gradova-u-stvarnosti, a prenosimo ga uz saglasnost autora.

  • Da li znate šta od podataka dajete kad kliknete da prihvatate politiku privatnosti?

    Pre par godina mala kompanija iz Ajove, SAD, je dodala obaveštenje u okviru svoje politike privatnosti nudeći nagradu od 1000 američkih dolara bilo kome ko ih kontaktira. Posle gotovo šest meseci i preko 3000 novih korisnika primili su prvi poziv. Istraživanja su pokazala da više od 96 odsto svih korisnika Interneta nikad nije pročitalo ni jednu politiku privatnosti. S druge strane nakon najave o izmenama u politici privatnosti prošle godine, WhatsApp je izgubio više od 90 miliona korisnika za manje od tri meseca.

    Na prvi pogled moglo bi se zaključiti da je korisnicima interneta zaista stalo do svoje online privatnosti, ali su previše lenji da čitaju politike privatnosti. Ovakav stav je ipak pogrešan. Politike privatnosti su dokumenti koji u proseku imaju više od 2500 reči, napisane kompleksnim pravnim jezikom. New York Times je sproveo eksperiment u kom su pročitali politike privatnosti od 150 najpoznatijih aplikacija na Internetu. Čitajuci politike privatnosti, sumirali su svoje iskustvo kao “nerazumljivu katastrofu”. Da biste razumeli današnje politike privatnosti ispostavilo se da vam je neophodna minimum pravna diploma. Upravo iz tih razloga korisnici retko i čitaju same politike privatnosti. Jer i da ih procitaju, najverovatnije neće razumeti sve detalje o tome kako se skupljaju i koriste njihovi podaci.

    Da bi rešili ovaj problem, INVT startup iz Novog Sada je napravio Pro Se aplikaciju. Pro Se aplikacija automatski čita i analizira politike privatnosti i na krajnje jednostavan način daje uvid korisniku u glavne odrednice date politike privatnosti. Pro Se daje korisnicima odgovore na pitanja ko sakuplja njihove podatke, koji podaci se sakupljaju, u koju svrhu, koliko dugo se čuvaju podaci, da li korisnici imaju pravo da pristupe svojim podacima, da menjaju i brišu podatke, koje sigurnosne mere su primenjene za čuvanje njihovih podataka i još mnogo toga, bez potrebe da čitaju sam dokument. Korisnici Pro Se aplikacije mogu kreirati svoj profil privatnosti i koristeći aplikaciju uvek će znati ukoliko određena politika privatnosti nije u skladu sa njihovim profilom privatnosti.

    Prilikom razvoja aplikacije INVT kompanija je angažovala eminentne stručnjake iz domena zaštite privatnosti i korisničkog iskustva (UX) sa kojima su zajedno radili sa ciljem da kreiraju jedinstveno iskustvo za krajnje korisnike. Pro Se složene aspekte politike privatnosti prezentuje korisnicima na jednostavan i informativan nacin. Na taj način korisnici dobijaju potrebne informacije kako bi mogli da donesu odluku da li će zaista prihvatiti politiku privatnosti mobilne aplikacije koju su upravo instalirali ili će potražiti alternativu koja bolje štiti njihovu privatnost.

    Pro Se se bazira na metodama veštačke intelignecije, tačnije na takozvanim natural language processing modelima koji su sposobni da iz teksta izvuku informacije na sličan način kao i ljudi kada čitaju dati tekst. Koristeći ove tehnologije, aplikacija analizira i klasifikuje tekst politike privatnosti i izvlači samo informacije koje su od značaja za krajnjeg korisnika. Pouzdanost ovih tehnologija je visoka i omogućava tačnost analize od 80 do 95 posto.

    Više informacija o Pro Se rešenju možete naći na:https://prose.biz 

    Zainteresovani korisnici mogu iskoristiti promo kod beriskprotected kako bi besplatno dobili pristup premijum funkcionalnostima aplikacije na godinu dana.

    Pro Se aplikaciju možete preuzeti sa sledećih linkova:

    iOS App Store:https://apps.apple.com/us/app/pro-se-digital-legal-assistant/id1570105728

    Android Play Store:https://play.google.com/store/apps/details?id=com.invt.prose

     

  • Zašto je HSE važan za kompanije

    Piše: Nenad Stanojevski, konsultant za interne komunikacije Safety-Communication

    Ako stavim sve na ništa, a ništa je moj broj… otprilike tako nešto kaže Rade Šerbedžija u jednoj svojoj pesmi, ako me sećanje dobro služi. 

    ‒ Ako stavim sve na nulu, a nula je moj broj… Moja strategija, moj cilj, moja politika… ‒ reći će vam neki posvećeni HSE strateg i menadžer. Kada govorimo o HSE-u nula je vrednost, zacrtani cilj kojem težimo, strateški pravac. Nula smrtnih slučajeva, nula povreda sa invaliditetom, nula havarija i ekoloških incidenata… Manje je više, nula je sve.

    Pa šta je to, zaboga, HSE?

    Pitanje je na mestu, jer mnogima je HSE još uvek nepoznanica. HSE je oblast rada uglavnom zastupljena u kompanijama iz tzv. rizične industrije, odnosno one u kojima postoje visoko rizične aktivnosti, koje mogu da ugroze zaposlene, ali i širu okolinu i zajednicu. Setimo se samo namenske industrije i nekoliko eksplozija i ozbiljnih incidenata koji su se desili poslednjih godina. Nažalost, i sa smrtnim ishodima.

    Rizici postoje u svim segmentima života i HSE bi trebalo da bude zastupljen svuda. Ako deca u školi ne uče da se drže za gelendere, da ne trče niz stepenice ili gledaju u telefon kada prelaze ulicu, koliko njih će pasti i povrediti se ili, ne daj bože, poginuti.

    Nismo ni svesni na kojim sve banalnim mestima i situacijama dolazi do povređivanja… A sve to vuče odlazak kod lekara, pregled, lečenje, bolovanje, operacije… Troškovi, troškovi, troškovi. Za pojedinca, za preduzeće, za državu. Sve to može da se izbegne, ili makar smanji, kada bi se podigla svest kod ljudi koliko je važno voditi računa o ličnoj bezbednosti, pa samim tim i bezbednosti na radu. E, zato je važna HSE komunikacija.

    Jedan uspešni menadžer iz Rusije sa kojim sam sarađivao, svoju percepciju HSE-a i koliko mu je bezbednost važna u životu, opisao mi je na sledeći način: Kad idem kod nekog prvi put u goste, ili kada neko slavi useljenje u novi stan, ja uvek kao poklon nosim protivpožarni aparat. Zašto? Sam ga sigurno nećeš kupiti, a ako ti, ipak, nekad bude zatrebao, ovaj moj poklon će ti možda spasiti život, a kuću i stan sačuvati. I ne samo to, na taj način budim svest kod ljudi da o bezbednosti treba da razmišljaju i kod kuće, tačnije svuda i uvek. Kad kose travu, kad stanu na merdevine… Možda će me neko gledati kao čudaka ili ludaka, ali jednog dana će mi biti zahvalan na tome. Budi siguran.“

    I u pravu je. Iskreno, da li imate PP aparat u stanu? U kolima verovatno, ako ste putovali u inostranstvo, jer je u mnogim državama deo obavezne opreme u automobilu. I to je jedini razlog zbog kog ga kupujemo, zar ne? Agencija za bezbednost saobraćaja često kroz svoje edukativne aktivnosti pruža mogućnost doživljaja udesa preko simulatora sudara. Da li ste to nekada probali? Pa probajte. Podesiš brzinu od 40km/h, sediš u auto-sedištu, imaš vezan pojas i bam! Direktan udarac. Nakon toga više nikada nećeš pomisliti da brzina od 40 na sat nije opasna i da ne može da ugrozi druge. Možda ne bi bilo loše da to bude sastavni deo obuke vozača, jer će sigurno pozitivno uticati na smanjenje agresivne vožnje.

    Dakle, šta ono beše HSE? Health, Safety, Environment – zdravlje, bezbednost, životna sredina, tj. briga o bezbednosti na radu, zdravlju zaposlenih i zaštiti okoline i životne sredine.

    Znate šta će vam o HSE-u reći ljudi iz drugih sektora u kompaniji?

    Da je to gomila pravila, procedura, dokumenata, birokratije, birokratije, birokratije. I svi ti materijali sadrže MORAŠ ovo, NE SMEŠ ono, ZABRANJENO je to i to… I niko to ne voli. I dosadno im je, zaista. Ali, ne mora da bude tako. Zato im je potrebna komunikaciona podrška. Da se sve to sažvaće, preradi, pojednostavi, uobliči, učini zanimljivijim, približi ljudima.

    Svake godine u svetu oko dva miliona zaposlenih izgubi život od povreda na radu ili od posledica profesionalnih oboljenja. Zdrav, bezbedan, sposoban, spreman i motivisan zaposleni nije samo individualni cilj, već i cilj svake kompanije. On je produktivan i donosi novac poslodavcu.

    Zbog toga je veoma važno da se kroz komunikaciju stalno radi na podizanju svesti kod zaposlenih o važnosti bezbednosti na radu, smanjenju povreda i očuvanju zdravlja i života ljudi.

    Vrlo je verovatno da će neki kreativan i zanimljivo urađen poster postavljen na ulazu u radionicu koji ukazuje na važnost nošenja zaštitnih naočara, rukavica i šlema dopreti do svesti zaposlenih i navesti ih da se tako i ponašaju tokom rada. Tu su, naravno, i digitalni mediji i drugi komunikacioni kanali pri ruci. Cilj je uvek isti, da HSE bude sastavni deo svih procesa unutar organizacije – HSE kultura je deo korporativne kulture, HSE vrednosti su i korporativne vrednosti.

    Zašto je HSE važan za nas? Koji su naši HSE ciljevi? Koje su naše odgovornosti i obaveze? Odgovore na ova pitanja moraju znati svi menadžeri u kompaniji, a isto tako i poslednji zaposleni na terenu. Dobra komunikacija je pravi put da se do tog cilja stigne.

    Suština svega je da ljudi budu svesni rizika kom su izloženi, shvate da procedure i pravila postoje s razlogom i da se moraju poštovati i primenjivati. Takođe, treba da obrate pažnju, posmatraju stvari oko sebe, prijave potencijalnu opasnost, ako je primete i zaustave nebezbednu aktivnost.

    Mislimo Safety. Pričamo Safety. Radimo Safety!

    Suština je da se na kraju dana živi i zdravi vratimo kući!

    Dosta za početak, više naredni put.

    Napomena: Kolumna je prethodno objavljena u januarskom broju časopisa Svet osiguranja

  • Bezbedni i povoljnije osigurani

    Piše: prof. dr Igor Franc, CEO&osnivač Secitsecurity

     

    Bezbednosnu proveru je važno raditi, pre svega, preventivno da bi se utvrdilo trenutno stanje sistema, a u cilju da se spreči curenje osetljivih podataka i eventualno zloupotreba nekih servisa. Pored ovoga postoje brojni razlozi zašto je važno da kompanije iz svih privrednih grana, pa i finansijskog sektora, urade proveru:

    –                  Utvrditi koliko je sistem siguran i da li postoje ranjivosti koje se spolja mogu iskoristiti;

    –                  Utvrditi da li organizacija ima svu potrebnu dokumentaciju koja se odnosi na informacionu bezbednost i koju Zakon propisuje (Akt o informacionoj bezbednosti i vezani dokumenti);

    –                  Utvrditi trenutno staje računarske mreže i saznati kako je unaprediti;

    –                  Utvrditi trenutno stanje računarskih konfiguracija i šta se tu može unaprediti;

    –                  Utvrditi šta trenutno organizacija poseduje od antimalver i ostalih sigurnosnih rešenje i napraviti plan unapređenja i uvođenja potrebnih rešenja;

    –                  Utvrditi da li postoji način da informacije procure van organizacije (data leak);

    –                  Utvrditi da li se pravilno radi sa korisnički nalozima;

    –                  Dobiti grubu sliku šta valja, a šta treba unapediti i na koji način.

     

    A šta je zapravo procena bezbednosti sistema kompanije?

    Provera nivoa bezbednosti (security assesment) predstavlja proces procene sigurnosti informacionog sistema ili mreže kroz proveru postojanja ranjivosti na sistemima i servisima koji su sastavni deo infrastrukture. Pored ovoga sastoji se i od provere dokumentacije, ali i konfiguracije vitalnih sistema i servisa. Takođe se kroz upitnike kojima se u direktnom radu sa zaposlenim odgovornim za održavanje gore pomenutih sistema i servisa mogu detektovati ranjivosti povezane sa načinom rada i aktivnostima (zapravo na ovaj način se utvrđuje kako se stvari u praksi rade, a ne kako je napisano u nekom dokumentu, a misli se pre svega na pravilnik ili proceduru).

    Kako teče proces procene bezbednosti?

    Proces podrazumeva detaljnu analizu slabosti i ranjivosti koje proističu iz neodgovarajuće sistemske konfiguracije, poznatog ili nepoznatog hardvera ili softverskih delova, ili operativnih, procesnih ili tehničkih nedostataka. Ova analiza se izvodi iz pozicije različitih uloga u sistemu poput potencijalnog napadača, rukovodioca, sagovornika i može uključiti i eksploataciju sigurnosnih nedostataka i ranjivosti.

    Koja se metodologija koristi za proveru bezbednosti?

    U procesu provere mogu se koristiti različite metodologije. Metodologija provere nivoa bezbednosti koju sprovodi SECIT Security Consulting je sastavljena iz 6 osnovnih koraka:

    –                  Pregled dokumentacije – pregled i provera kompletne dokumentacije koja se odnosi na poslovne procese koji mogu imati uticaj na bezbednost informacionog sistema klijenta.

    –                  Provera postojanja ranjivosti na sistemima – skeniranje ranjivosti interno i eksterno dostupnih sistema.

    –                  Provera konfiguracije uređaja i servisa – obuhvata procenu servisa i aplikacija otkrivenih na sistemu klijenta. Cilj ovog koraka je prikupljanje informacija o aktivnim servisima i aplikacijama na sistemu klijenta, kao i konfiguraciji uređaja koji se koriste.

    –                  Pregled uspostavljenih kontrola – pregled svih automatizovanih kontrola i kontrolnih mehanizama koji su uspostavljeni na sistemima unutar infrastrukture kijenta, a koji prikazuju upozorenja ili formiraju izveštaje o događajima i aktivnostima, kao i provera manuelnih kontrola koje pokreću i koriste zaposleni u sektoru informacione bezbednosti.

    –                  Dokumentovanje rezultata – formiranje izveštaja o pronađenim ranjivostima, nedostacima u dokumentaciji, konfiguraciji ili samim poslovnim procesima i kontrolama. Cilj ovog procesa je dokumentovanje nalaza i predstavljanje predloga za unapređenje kojima bi se smanjio nivo rizika koji može biti ostvaren usled primećenih propusta.

    Kako izgleda izveštaj procene bezbednosti?

    Svi rezultati analiza i testiranje se prezentuju vlasniku informacionog sistema. Najbolji efekat ovog pristupa postiže se sinergijom rezultata i informacija dobijenih iz analize, sa jedne strane i procenom potencijalnih posledica na organizaciju uz tehničke i proceduralne mere za smanjenje rizika, sa druge strane. Krajnji rezultat provere nivoa bezbednosti je pisani izveštaj. Izveštaj može biti standardizovan po različitim metodologijama, a izveštaj SECIT Security Consulting-a je sastavljen prema ISO27001 ili COBIT metodologiji i sadrži:

    –                  opis testiranog sistema,

    –                  rezultate skeniranja mreže, servisa i aplikacija klijenta,

    –                  sigurnosne nedostatke koji su otkriveni,

    –                  nivo ostvarenog neovlašćenog pristupa,

    –                  predloge za otklanjanje otkrivenih sigurnosnih nedostataka, kao i

    –                  opšte preporuke koje bi mogle povećati sigurnost informacionog sistema klijenta.

    Sam izveštaj je struktuiran tako da se sastoji iz tri dela:

    –                  deo Nalazi sadrži sve nalaze sa detaljno opisanim rizicima (ovo podrazumeva i nivo rizika koji može biti nizak, srednji, visok ili kritičan) i predloženim merama za unapređenje, odnosno uklanjanje ili ublažavanje rizika

    –                  deo Kontrole čine predlozi za formiranje novih manuelnih i automatskih kontrola kojima bi se postigao veći nivo praćenja informacione bezbednosti

    –                  deo Dokumenta sadrži predloge za formiranje novih dokumenata koji ne postoje, a bilo bi dobro da ih kompanija poseduje, ili unapređenje postojećih dokumenata.

    Šta je sajber osiguranje?

    Sajber osiguranje predstavlja inovaciju na domaćem tržištu osiguranja iako je u svetu već neko vreme u upotrebi. Porast sajber rizika u poslednjih desetak godina uslovio je i pojavu novih sredstava pokrića i zaštite u slučaju nastanka štete. Rizici su brojni, a ono što je bitno istaći je da se rezici ne ograničavaju samo na kompanije koje su usko specijalizovane za pružanje usluga u IT sektoru, već je potencijalnih kompanija mnogo više. Ako razmišljate o tome kome je potrebno sajber osiguranje danas, svaka kompanija koja koristi Internet ili cloud tehnologiju za traženje, pohranjivanje i deljenje podataka, potencijalno je u riziku od sajber incidenata, te je stoga i važno na vreme se osigurati.

    Bitno je napomenuti da poenta sajber osiguranja nije da odmah reši sva pitanja vezana za sajber bezbednost jer ne može da spreči da se sajber napad desi. Polisa sajber osiguranja služi da pomogne u minimiziranju posledica „remećenja“ poslovanja tokom sajber incidenata i posledica koje nastanu kasnije, kao i potencijalno pokrivanje finansijskih troškova neophodnih da se tim stručnjaka intenzivnije pozabavi napadom i  omogući što brži oporavak sistema.

    Cena polise sajber osiguranja zavisi od niza različitih faktora, uključujući obim poslovanja i godišnje prihode. Tu su i ostali faktori koji mogu da uključuju industriju u kojoj organizacija posluje i vezana je za vrstu podataka kojima se poslovanje obično bavi, kao i ukupne bezbednosti mrežne infrastrukture.

    Da li je moguće povezati bezbednosnu proveru sa sajber osiguranjem?

    Odgovor je nesumnjivo da se može povezati sa izdavanjem polise sajber osiguranja i to na dva načina:

    1. Ukoliko kompanija ima izvršenu bezbednosnu proveru od strane firme koja se time profesionalno bavi moglo bi se razmotriti da se na osnovu izveštaja koji postoji koriguje cena same polise.
    2. Firme koje se bave IT bezbednošću u nekim slučajevima mogu pružiti uslugu praćenja sistema 24/7 kroz njihov SOC centar (Security Operation Center) i kod takvih kompanija koje koriste ovakve usluge profesionalaca bi se mogla razmotriti korekcija cene polise.

    Izvor: tekst je prvobitno objavljen u časopisu Svet osiguranja, broj 10

  • Internet-kolačići: kako obrađuju lične podatke, i šta o tome kaže Zakon?

    Piše: Petar Mijatović, advokat, Mijatović Law Office

    Upotreba internet kolačića na veb-sajtovima je uobičajena praksa, kako u Srbiji, tako i na globalnom planu. Da bi se razumeli osnovni principi pravilne upotrebe internet kolačića, potrebno je znati odgovore na sledeća 3 pitanja:

    • šta su to internet kolačići i koja je njihova svrha?
    • koja je uloga kompanija/vlasnika veb-sajtova prilikom korišćenja internet kolačića?
    • na koji način se lični podaci mogu obrađivati putem internet kolačića sa aspekta propisa Republike Srbije?

    Šta su to internet kolačići i koja je njihova svrha?

    Velikom broju ljudi je već poznata osnovna uloga kolačića ali nije na odmet istu ponovo podvući – u pitanju su male tekstualne datoteke koje se nalaze na veb-sajtovima i koje se smeštaju na uređaju posetioca veb-sajta, kako u cilju omogućavanja normalne funkcionalnosti korišćenja veb-sajtova, u kojim slučajevima se kolačići privremeno zadržavaju na uređaju posetilaca, tako i, mnogo češće, sa svrhom daljeg praćenja ponašanja posetilaca veb-sajtova i njihovog profilisanja u cilju kreiranja korisničkog profila i pružanja adekvatne marketinške ponude.

    Koja je uloga kompanija/vlasnika veb-sajtova u korišćenju kolačića?

    Iako veliki broj internet alata i „kolačića“ zaista funkcioniše po automatizovanim i ne toliko jasnim podešavanjima, to ne može biti izgovor i oslobođenje od odgovornosti za vlasnike veb-sajtova koji koriste takvu podršku u slučaju nezakonite obrade ličnih podataka

    Vlasnici veb-sajtova koji koriste kolačiće imaju status rukovaoca prilikom obrade ličnih podataka posetilaca i punu odgovornost u slučaju nezakonite obrade.

    U slučaju korišćenja alata koji imaju mogućnost praćenja aktivnosti posetilaca, kompanije moraju da vode računa da za takvu obradu imaju adekvatan pravni osnov

    Ovo posebno imajući u vidu da Google, Facebook i druge tech kompanije u svojim uslovima i ugovorima sebi stavljaju striktno status obrađivača prilikom obrade podataka korišćenjem njihovih alata i svu odgovornost prevaljuju na vlasnike veb-sajtova, iako neretko i ove kompanije utiču na određivanje svrhe i načina obrade podataka, što implicira da i oni imaju status rukovaoca u takvim situacijama.

    Na koji način se lični podaci mogu obrađivati putem internet kolačića sa aspekta propisa Republike Srbije?

    Prema dosadašnjoj praksi EU država članica, a shodno odredbama GDPR-a i ePrivacy direktive, za kolačiće koji obrađuju IP adresu posetilaca a koji su neophodni za normalno funkcionisanje veb-sajtova, legitimni interes rukovalaca/vlasnika veb-sajtova predstavlja zakonski osnov za obradu ličnih podatka, dok je za sve druge kolačiće, uključujući i one koji se koriste za potrebe praćenje posetilaca na drugim veb stranicama/društvenim mrežama u komercijalne svrhe, neophodan eksplicitni (opt-in) pristanak posetilaca veb-sajta.

    U Republici Srbiji upotreba kolačića je nešto drugačije regulisana. Naime, članom 126. stav 3 Zakona o elektronskim komunikacijama propisano je da je korišćenje elektronskih komunikacionih mreža i usluga radi čuvanja ili pristupanja podacima pohranjenim u terminalnoj opremi pretplatnika ili korisnika dozvoljeno pod uslovom da je pretplatniku ili korisniku dato jasno i potpuno obaveštenje o svrsi prikupljanja i obrade podataka, u skladu sa zakonom kojim se uređuje zaštita podataka o ličnosti, kao i da mu je pružena prilika da takvu obradu odbije.

    To praktično znači da trenutno važeći domaći propisi predviđaju tzv. opt-out posetilaca veb-sajtova za obradu podataka putem kolačića, gde je rukovalac/vlasnik veb-sajta dužan da pre početka upotrebe kolačića posetiocu veb-sajta pruži obaveštenje u vezi sa obradom ličnih podataka i mogućnost da odbije takvu obradu, a ukoliko posetilac veb-sajta nastavi sa korišćenjem veb-sajta bez odbijanja korišćenja kolačića, vlasnik veb-sajta će imati mogućnost obrade podataka korisnika (IP adrese) putem kolačića i njihovo praćenje u onlajn okruženju.

    Ovo zakonsko rešenje bi svakako trebalo da bude predmet izmena i usklađivanja sa Zakonom o zaštiti podataka o ličnosti kao krovnim propisom koji reguliše obradu ličnih podataka, tako da bi za korišćenje kolačića u cilju praćenja ponašanja posetilaca veb-sajtova trebalo predvideti izričiti pristanak.

    Da li će i kada doći do tih izmena, ostaje da se vidi.

     

  • Kako zakoni regulišu obradu podataka o ličnosti u svrhu direktnog marketinga

    Piše: Advokat Dragan Milić 

    Stupanjem na snagu novog Zakona o zaštiti podataka o ličnosti (u daljem tekstu: ZZPL), koji je usklađen sa evropskom Opštom uredbom o zaštiti podataka o ličnosti – GDPR, jedna od nedoumica u pogledu primene novih pravila bila je i ona koja se tiče direktnog marketinga, odnosno obrade podataka o ličnosti u tu svrhu.

    S obzirom da ZZPL ne reguliše eksplicitno direktni marketing, već se dejstvo njegovih opštih odredbi proteže i na ovu sferu poslovanja, ostaje nam da odgovore na pitanja zakonitosti obrade podataka u svrhe oglašavanja crpimo ili tumačeći opšta pravila ZZPL-a ili sledeći postojeća rešenja nekog od lex specialis zakona.

    Povodom utvrđivanja zakonitosti odnosno valjanog pravnog osnova za obradu u svrhe direktnog oglašavanja, prvo pitanje koje se nameće je da li je za obradu i predmetnu svrhu neophodno pribaviti prethodni pristanak lica kome se oglasna poruka šalje, ili se oglašivač ipak može pozvati i na legitimni interes kao osnov obrade u slučaju da takav pristanak nije pribavio.

    Iako su GDPR i ZZPL u velikoj meri kompatibilni, kada je direktno oglašavanje u pitanju, njihova rešenja se razlikuju. A glavni razlog za postojanje tih razlika je propust našeg zakonodavca da u ZZPL uvrsti i rešenja Preambule GDPR-a koja je sastavni deo Opšte uredbe i u velikoj meri pomaže kod njenog tumačenja. Dakle iako nije pomenut eksplicitno u delu uredbe gde je regulisano načelo zakonitosti, direktno oglašavanje je jedan od primera primene legitimnog interesa kao osnova obrade koji su ponuđeni upravo Preambulom.

    S druge strane iako naš ZZPL ne propisuje direktno primenu ovog osnova u svrhe direktnog marketinga kao što se to čini GDPR-om, on ga svakako ne zabranjuje i stavlja ga u opšti kontekst primene ostalih pravnih normi tog akta.

    Međutim, ako nastavimo dalje da analiziramo direktni marketing u okviru pozitivnog prava Republike Srbije, možemo zaključiti da su odredbe pojedinih zakona po tom pitanju u koliziji. Naime, Zakon o oglašavanju za direktno oglašavanje prema fizičkim licima zahteva njihovu prethodnu saglasnost[1].  A ukoliko tako formulisanu pravnu normu uporedimo sa definicijom iz istog zakona koja oglašavanje određuje prilično široko, kao predstavljanje u bilo kom obliku u vezi sa poslovanjem odnosno profesionalnom ili poslovnom delatnošću, radi podsticanja prodaje robe i usluga, prodaje nepokretnosti, kao i prenosa prava i obaveza[2] , možemo zaključiti da većina slučajeva obrade podataka u svrhu direktnog marketinga potpada pod pravilo o obaveznoj saglasnosti.  Dakle, s obzirom da Zakon o oglašavanju ima status specijalnog zakona u odnosu na ZZPL kada je oglašavanje u pitanju, obrada podataka o ličnosti u svrhe direktnog marketinga po osnovu legitimnog interesa pod velikim je znakom pitanja. Кada je kolizija pravnih normi u srpskom pravu u pitanju, važno je i skrenuti pažnju da je ZZPL-om propisano da će odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, biti usklađene sa odredbama ovog zakona do kraja 2020. godine, što se nije desilo do propisanog roka. Dakle, ostaje nam da sačekamo da ta obaveza zakonodavca bude ispunjena, odnosno da eventualno rešenje povodom direktnog oglašavanja iz Zakona o oglašavanju bude usklađeno sa ZZPL[3].

    Slična je situacija i u opštim aktima Evropske unije, gde takođe postoji određena, istina manja kolizija normi po ovom pitanju. Naime, osim GDPR-a kao opšteg zakona na tu oblast primenjuje i tzv. E-Privacy direktiva[4]  takođe kao lex specialis i detaljnije razrađuje oglašavanje putem elektronske pošte i SMS poruka. Pomenuta Direktiva obradu podataka koja podrazumeva slanje elektronske pošte u svrhe direktnog marketinga, takođe uslovljava prethodno pribavljenim pristankom[5].  Ovo rešenje je donekle ublaženo, već sledećim stavom istog člana koji nudi tzv. soft opt-in rešenje koje podrazumeva mogućnost slanja imejlova potencijalnim zainteresovanim licima, u situacijama gde se njihova zainteresovanost i takva vrsta obrade podataka može očekivati prema redovnom toku stvari[6].  Pomenutu Direktivu bi uskoro trebalo da zameni E-Privacy uredba koja će svojom direktnom primenom, kao hijerarhijski viši akt, doprineti da ovo pitanje bude regulisano na jedinstven način unutar EU. Očekuje se da će E-Privacy uredba[7] detaljnije rešiti pitanje direktnog oglašavanja, kao i da će između ostalog postojeće soft opt-in rešenje proširiti i na celokupnu elektronsku komunikaciju.

    Striktnim tumačenjem slova zakona u Republici Srbiji iz svega iznetog možemo zaključiti da je za obradu podataka o ličnosti u svrhe direktnog oglašavanja ipak neophodno prethodno pribaviti pristanak lica čiji se podatak obrađuje.

    Međutim, ako pristupimo tumačenju fleksibilnije, i nastavimo da analiziramo odredbe ZZPL-a posebno onaj deo koji govori o pravu na prigovor odnosno obavezu obustave obrade u svrhe direktnog oglašavanja nakon što se izjavi prigovor, indirektno možemo zaključiti da namera zakonodavca nije bila da ZZPL direktno oglašavanje veže isključivo za pristanak kao osnov.

    Naime, po ZZPL-u lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja, uključujući i profilisanje, u meri u kojoj je ono povezano sa direktnim oglašavanjem. Ako lice na koje se podaci odnose podnese prigovor na obradu za potrebe direktnog oglašavanja, podaci o ličnosti ne mogu se dalje obrađivati u takve svrhe[8].

    Zakonodavac je ovakvom formulacijom s jedne strane indirektno potvrdio mogućnost primene instituta legitimnog interesa u svrhe direktnog oglašavanja. S druge strane, ovom odredbom ZZPL-a svrha direktnog marketinga je izgubila na snazi i zakonodavac u njoj ne vidi dovoljan stepen neophodnosti da bi se u slučaju protivljenja pojedinca uopšte i postavilo pitanje njene opravdanosti.

    S obzirom na neusklađenost zakonskih rešenja u Republici Srbiji, ostaje nam da odgovor na pitanje osnovanosti obrade podataka u svrhe direktnog marketinga tražimo u domenu tumačenja odredbi i hijerarhiji propisa. U svakom slučaju da bi bili sigurni u zakonitost obrade koju nameravamo dva vršimo, svakako je predlog da se pre bilo kakvog vida direktnog oglašavanja postaramo da imamo pribavljen valjan pristanak lica kome se obrađamo. S druge strane, u slučaju izraženih legitimnih interesa rukovaoca, trećeg lica ili šire javnosti, a ako nad tim interesima ne pretežu interesi lica na koga se podatak odnosi, odnosno nema rizika po njegovu privatnost, posebno ukoliko u odnosima rukovaoca i tog lica postojali raniji poslovni odnosi ili se osnovano može očekivati da lice očekuje takvu obradu, zakonodavac ostavlja mogućnost primene legitimnog interesa kao osnova. Da li se ta zakonska odreba može analogno primeniti i na direktno oglašavanje za sada je stvar tumačenja, a dok se zakonski propisi Republike Srbije ne usaglase, svakako je preporuka da se rukovaoci drže prethodno pribavljenog pristanka kao osnova obrade.

     

    [1] Zakon o oglašavanju (“Sl. Glasnik RS, br.6/2016 i 52/2019 – dr. zakon), čl. 62

     

    [2] Ibid. Čl. 2, stav 1, tačka 1

     

    [3] Zakon o zaštiti podataka o ličnosti (“Sl. Glasnik RS”, br. 87/2018), čl. 100

     

    [4] Directive on privacy and electronic communications,2002/58/EC

     

    [5] Ibid. čl. 13, stav 1

     

    [6] Ibid. čl. 13, stav 2

     

    [7] Proposal for a Regulation of the European Parliament and of the Council on Privacy and Electronic Communications, Brussels, 10.1.2017, COM(2017) 10 final, 2017/0003(COD): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52017PC0010 (11.06.2020.)

     

    [8] Ibid, čl. 37, stav 2 i 3

     

  • Šta donosi DORA – Zakon o operativnoj digitalnoj otpornosti?

    Piše: Goran Kunjadić, ekspert za sajber bezbednost, kriptografiju i upravljanje obradom podataka o ličnosti  

    Nakon donošenja GDPR (General Data Protection Regulation) direktive koja se prevashodno bavi zaštitom podataka o ličnosti 2016. godine, sa njenom primenom se počelo 2018. godine. Bilo je procenjeno da su dve godine neophodne za pripremu neophodne infrastrukture za primenu regulative.

    Nakon toga je uočeno da ICT infrastruktura finansijskih institucija predstavlja jedan od vitalnih delova ekonomije, pogotovo imajući u vidu digitalizaciju svih oblasti ljudske delatnosti. S tim u vezi, 2020. godine donet je Zakon o operativnoj digitalnoj otpornosti – Digital Operational Resilience Act ili popularno – DORA.

    Zakon u uvodnom delu pojašnjava pojam digitalnih finansija koje su uveliko zaživele, kao i rizike koje digitalizacija finansijskih sistema donosi. Istovremeno su pojašnjeni i postulati kripto valuta koje nezadrživo napreduju i zauzimaju sve veći deo finansijskog tržišta, kao i nesporna uloga FinTech kompanija. Bilo je neophodno uskladiti Zakon sa važećom regulativom, pre svega sa direktivama Networks and Information Systems (NIS) i European Critical Infrastructure (ECI) a imajući u vidu ulogu Evropske nadzorne vlasti – European Supervisory Authorities (ESA).

    U narednom delu DORA razmatraju se zakonski osnovi za donošenje Zakona. Uzeti su u obzir zakonski osnovi same EU koje države članice moraju da primenjuju u svojim lokalnim zakonodavstvima.

    Nakon toga su razmatrana načela upravljanja ICT rizicima u okviru koga su date osnovne organizacione postavke, a zatim su definisani protokoli i alati koji se mogu koristiti u ovu svrhu. Ipak, s obzirom na to da se informaciona tehnologija izuzetno brzo razvija te da su kako protokoli tako i alati podložni promenama – možda Zakon nije baš najbolje mesto za njihovo propisivanje. Posebna pažnja je posvećena identifikaciji, zatim zaštiti, prevenciji i odgovoru na sajber napade. Na kraju ovog poglavlja sagledane su mogućnosti sanacije eventualno nastale štete. Prilikom razmatranja sanacije štete definisane su politike i načini izrade rezervnih kopija koje se mogu upotrebiti u slučaju da dođe do oštećenja ili brisanja podataka. Prilikom neovlašćenog otuđenja podataka, na žalost, sanacija štete nije moguća.

    Upravljanje ICT incidentima podrazumeva upravljanje, klasifikaciju i izveštavanje nadležnih institucija kao što je CERT (Computer Emergency Response Team) bilo da se radi o nacionalnom nivou ili nivou finansijskih institucija. Između ostalog funkcija CERT-a je distribucija informacija o sajber opasnostima zainteresovanim stranama kako bi se izbegli napadi koji su prethodno otkriveni u drugim entitetima.

    Posebno poglavlje je posvećeno testiranju bezbednosti ICT sistema pre svega metodom Penetration Testig što je regulisano PTes standardom. Pen Test je već duže vreme uobičajen i propisan način provere otpornosti sistema na sajber napade.

    Naročita pažnja je obraćena na odgovornost trećih strana koje učestvuju u radu ICT sistema, misli se pre svega na vendore i provajdere, i sagledan je njihov deo odgovornosti u slučaju napada na sistem. Definisana je i uloga nadzora kritičnih ICT partnera.

    DORA je de facto ozvaničila procedure i principe koji se već koriste u cilju odbrane ICT sistema, što je svakako korak u dobrom smeru. Ipak, treba imati na umu da je inicijativa na strani napadača a da zvanični akti zapravo predstavljaju odgovor na već poznate napade. U tom smislu bi vredelo razmisliti o načinima sprovođenja ofanzivne bezbednosti kao i donošenju akata koji bi propisivali osnovne smernice delovanja u smislu promovisanja ofanzivnih načina odbrane ICT sistema.

  • Uporedo razvijati i biznis i IT sistem

    Piše: Miroslav Savanović, konsultant u oblasti digitalne transformacije, i član Savetodavnog odbora Inicijative za jačanje bezbednosti podataka

    Kada preduzeće iz grupe MSP odluči – ili ga prilike na tržištu poput ovih u vreme pandemije – nateraju da počne da razmišlja kako da preživi ili čak unapredi svoje poslovanje, trebalo bi da napravi sveobuhvatno sagledavanje poslovanja, rizika i izazova koji mu prete, da ponderiše njihov uticaj, analizira poslovne procese i sopstveni informacioni sistem – ako ga uopšte ima. Zatim, da segmentira i analizira svoje kupce i njihove potrebe, kao i svoje dobavljače, i  komunikaciju s njima. Dalje, da preispita načine upravljanja u preduzeću, analizira i pripremi svoje zaposlene, utvrdi na koga od njih se može osloniti u novoj realnosti koja zahteva novi pristup u angažovanju menadžera i zaposlenih koji mogu da osmisle i sprovedu disrupciju (raskrstiti sa starom praksom koja više ne funkcioniše, smisliti novi proizvod, uslugu, distribuciju, odustati od starih modela koji više ne funkcionišu).

    Sve ovo treba staviti „na papir“, postaviti vremenski određene ciljeve, definisati mere, napraviti strategiju i operativni plan sprovođenja. Sve to nije nimalo lako. Oni koji to sve ne mogu sami, mogu pronaći konsultanta za digitalnu transformaciju, a dosta informacija dostupno je i besplatno preko različitih fondova i stimulacija koje daje Vlada. Ovo je samo deo onoga što čini digitalnu transformaciju.

    Ukoliko Vaše preduzeće nema informacioni sistem, trebalo bi intenzivno da radite na tome da ga uvedete, i to prvo onaj segment koji se odnosi na odnose s kupcima, prodaju i povećanje prihoda, a to je CRM (Customer Relations Management), a tek nakon toga ERP (Enterprise Resource Planning) koji će omogućiti da se optimizuju unutrašnji procesi i smanje troškovi.

    Da bi bilo koji aplikativni sistem funkcionisao, treba mu neka IT infrastruktura na kojoj će se te aplikacije izvršavati. Kod definisanja bilo kojeg IT sistema mora se voditi računa o potrebnoj procesorskoj snazi, memorijskom prostoru za bazu podataka, redundanciji, bekapima, sigurnosti podataka naročito, neprekinutom poslovanju i drugim performansama IT sistema. O svemu ovom brine dobar arhitekta sistema. Teško je sva znanja potrebna za kvalitetno funkcionisanje IT sistema smestiti u jednog čoveka, pa je najbolje angažovati kvalitetnu IT kompaniju koja će naći rešenje primereno potrebama i rizicima poslovanja MSP, bilo da je to izbor sopstvene IT infrastrukture ili cloud rešenja koje se sve više nameće kao budućnost zajedno s uslugama tipa IaaS, PaaS, SaaS, DaaS, FaaS.

    Sve navedeno treba održavati, usavršavati pa i obnavljati ako se radi o sopstvenoj IT infrastrukturi. Čitav IT sistem treba da bude u funkciji biznisa koji podržava. Ako biznis ima nove zahteve, IT sistem mora da ima sposobnost i resurse da ga prati. Mnoge kompanije starog kova koje su imale stabilne tradicionalne biznise nisu menjale IT sisteme desetinama godina. Danas to više nije moguće jer se sve ubrzalo i digitalna transformacija podrazumeva brže odzive na turbulencije, vanredne situacije i zahteve tržišta, češće promene poslovnih modela, proizvoda i usluga, promene aplikacija koje ih prate, obradu sve većeg broja podataka itd. Trendove u IT-u ne treba pratiti radi samih trendova već u meri u kojoj ti novi trendovi pogoduju razvoju biznisa kojim se preduzeće bavi.

    U takvoj situaciji jedno MSP bi trebalo da ima bar jednog IT stručnjaka u samom preduzeću i ozbiljnu IT kompaniju kao partnera koja će mu pružati potrebnu podršku. A može to biti i eksterno angažovan IT stručnjak.

    Koliki su godišnji troškovi IT funkcije koja je u dobroj meri nosilac digitalne transformacije poslovanja? Teško je dati takvu procenu, ali u zavisnosti od industrijske oblasti u kojoj preduzeće radi, nivoa informatizacije i stvarno provedene digitalne transformacije, taj procenat se prema različitim izvorima kreće u rasponu 3-10 odsto od godišnjeg prometa.

     

  • Izazovi u zaštiti podataka o ličnosti prilikom video-identifikacije klijenta

    Piše: Zlatko Petrović, pomoćnik Generalnog sekretara Službe Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti

    U Srbiji je mogućnost video-identifikacije uvedena Zakonom o sprečavanju pranja novca i finansiranja terorizma, kojim je propisano da obveznik takvu vrstu provere identiteta sprovodi uz pristanak lica čiji se identitet utvrđuje i proverava, kao i da je dužan da čuva video-zvučni zapis koji je nastao u toku tog postupka.

    U skladu sa ovim ovlašćenjem iz istog Zakona, Narodna banka Srbije donela je Odluku o uslovima i načinu utvrđivanja i provere identiteta fizičkog lica korišćenjem sredstava elektronske komunikacije sa vrlo detaljnim upustvima.

    Razmatranjem navedenog zakonskog rešenja, kao i Odluke NBS, inicira se niz pitanja koja se tiču zaštite podataka o ličnosti. Posebno je važna zakonska obaveza propisana Zakonom o zaštiti podataka o ličnosti da odredbe posebnih zakona kojima se uređuje obrada podataka o ličnosti moraju biti u skladu sa ovim zakonom. Rok za usklađivanje tih zakona sa ZZPL istekao je završetkom 2020. godine, a usklađivanje ovog, kao ni drugih zakona nije izvršeno.

    Video-identifikacija nosi nove rizike

    Utvrđivanje i provera identiteta lica na navedeni način predstavlja jednu od radnji i mera poznavanja i praćenja stranke, u svrhu sprečavanja pranja novca i finansiranja terorizma. Ovako regulisana obrada podataka o ličnosti, u skladu sa ZZPL, predstavlja obradu u posebne svrhe, koju mogu obavljati samo tzv. nadležni organi, i to: a) organi vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj i nacionalnoj bezbednosti; b) pravno lice koje je za obavljanje ovih poslova ovlašćeno zakonom.

    Ovakvo zakonsko rešenje izaziva nedoumice, jer je bez razrade preuzeto iz Direktive EU 680/16 (tzv. Law Enforcement Directive), u postupku usklađivanja ZZPL sa evropskim propisima u ovoj oblasti (što je potvrdila i Evropska komisija u svojoj Studiji iz jula 2019. godine). Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti je još oktobra 2019. godine podneo inicijativu Ministarstvu pravde za pokretanje postupka za autentično tumačenje ove zakonske odredbe, po kojoj do danas nije odgovoreno.

    Iz ovog razloga, obrada podataka obveznika Zakona o sprečavanju pranja novca i finansiranja terorizma (ZSPNFT), u svrhe ispunjavanja obaveza iz istog Zakona, spada u poseban režim obrade podataka o ličnosti. Takva obrada je zakonita samo ako je neophodna za obavljanje poslova nadležnih organa i ako je propisana zakonom, kojim se određuju najmanje ciljevi obrade, podaci o ličnosti koji se obrađuju i svrhe obrade. Ova okolnost proizvodi i niz drugih obaveza rukovalaca koji obrađuju podatke u posebne svrhe, u skladu sa ZZPL.

    Video-identifikacija, te čuvanje video-zvučnih zapisa, predstavlja kvalitativno novu obradu podataka o ličnosti, koja, zbog upotrebe novih informacionih tehnologija, nosi nove rizike.

    Neophodna izričita saglasnost stranke

    Odlukom NBS uređuju se neophodni organizacioni, kadrovski i tehnički uslovi obrade, što jeste opšta obaveza rukovaoca po ZZPL i preduslov poštovanja načela „integriteta i poverljivosti“ podataka o ličnosti. Odluka propisuje da je obveznik „dužan da pre otpočinjanja postupka video-identifikacije pribavi izričitu saglasnost stranke na ceo postupak video-identifikacije, a naročito na snimanje slike i zvuka i čuvanje snimljenog materijala (video-zvučnog zapisa) u skladu sa zakonom“. Saglasnost mora biti snimljena, a zaposleni je dužan da stranku prethodno obavesti o obavezi pribavljanja saglasnosti i o tome da će se i davanje te saglasnosti video i zvučno snimati. Međutim, s obzirom na to da se video-identifikacija lica obavlja u posebne svrhe, potrebno je razmotriti pravnu prirodu ove saglasnosti. Pored činjenice da ZSPNFT ne poznaje saglasnost, već pristanak lica čiji se identitet utvrđuje, treba imati na umu da je u pitanju izvršavanje zakonske obaveze, te uslove zakonitosti obrade podataka u posebne svrhe, u skladu sa odredbama ZZPL.

    U skladu sa Odlukom NBS, prilikom utvrđivanja identiteta stranke, zaposleni kroz razgovor sa strankom „procenjuje da li su odgovori stranke na postavljena pitanja ubedljivi, smisleni i dosledni“, što inicira pitanje primene člana 10. ZZPL, koji propisuje da je nadležni organ dužan da, u meri u kojoj je to moguće, podatke o ličnosti koji su zasnovani isključivo na činjeničnom stanju jasno izdvoji od podataka o ličnosti koji su zasnovani na ličnoj oceni.

    Takođe, Odluka NBS propisuje obavezu obveznika koji već poseduje određene podatke o stranci, da njegov zaposleni upoređuje te podatke s podacima koje je pribavio u toku postupka video-identifikacije. U skladu sa Odlukom Poverenika o listi vrsta radnji obrade podataka o ličnosti za koje se mora izvršiti procena uticaja na zaštitu podataka o ličnosti i tražiti mišljenje Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, postoji obaveza rukovaoca da izradi ovaj dokument pre nego što započne sa obradom podataka o ličnosti ukrštanjem, povezivanjem ili proverom podudarnosti iz više izvora, što je ovde slučaj.

    Odluka NBS propisuje da je obveznik u određenim slučajevima dužan da pribavi kopije službenih isprava, kao što je saobraćajna dozvola, rešenje o utvrđivanju poreza na imovinu, kao i računa za telefon ili komunalne usluge, što otvara pitanje normativnog uređenja ovakve obrade podataka, kao i mogućnosti obrade podataka o drugim licima, a što dalje inicira obaveze iz člana 24. ZZPL, koje se tiču transparentnosti obrade.

    Nadalje, postavlja se pitanje bezbednosti softvera koji obveznici koriste za ove potrebe, kao i načina skladištenja podataka o ličnosti, zabeleženih u ovim video-zapisima, kako bi se očuvali integritet i poverljivost istih podataka.

    Najzad, Odluka NBS poznaje i poveravanje poslova video-identifikacije trećem licu, koje na ovaj način postaje obrađivač podataka, što podrazumeva niz obaveza rukovaoca povodom izbora obrađivača, te uređivanja njihovog međusobnog odnosa.

    Izvesno je da će obavljanje transakcija i uspostavljanje poslovnog odnosa, koje uključuje video-identifikaciju, sve više dobijati na značaju u budućnosti. Međutim, izazovi koje nosi ovakav vid obrade podataka o ličnosti bez sumnje su brojni i povlače rizike, koji se mogu ostvariti i dovesti do povrede podataka o ličnosti, ako se inicijalno ne sagledaju i ne preduzmu mere za upravljanje njima. Takođe, normativni aspekt ove delikatne obrade mora biti jasan i nedvosmislen, kako bi građani u punoj meri mogli da ostvare svoje pravo na zaštitu podataka o ličnosti.