Category: Blog

  • Auto zaključavate. A naziv domena?

    Piše: Predrag Milićević, Fondacija “Registar nacionalnog internet domena Srbije” (RNIDS)

    Ugledati nečiju zastavu ili logo hakerske grupe na naslovnoj strani vlastitog sajta jeste vrlo neprijatno, ali nije pogubno po biznis. Osim toga, odmah se vidi i brzo se uklanja. Mnogo je gore ako je sajt napadnut a da se to ne vidi.

    Кad vam „ukradu“ naziv domena, ukrali su vam korisnike

    Кoliko god veb sajt bio obezbeđen sa svih strana, po pitanju transakcija i sigurnosti podataka, prečesto se zaboravlja naziv domena na kome taj sajt „stoji“. Naziv domena ukazuje na server na kome se nalazi vebsajt i server preko koga ide elektronska pošta. „Кrađom“ kompanijskog naziva domena hakeri preusmeravaju internet korisnike na servere koji su pod njihovom kontrolom i onda mogu da pristupe porukama vaše poslovne e-pošte (čime ugrožavaju poslovanje firme), kao i da na svoje sajtove preusmere vaše korisnike (čime ugrožavaju njihove podatke). Hakovan naziv domena može ozbiljno da ugrozi kredibilitet vlasnika sajta i naruši teško stečeno poverenje, i poslovnih partnera i korisnika.

    „Ukradeni“ domen je prilično lako vratiti uz pomoć ovlašćenog registra kod kog je naziv domena registrovan, ali mogu proći meseci pre nego što se krađa otkrije, a u međuvremenu hakeri mogu doći do mnoštva osetljivih poslovnih informacija i privatnih podataka.

    Bolje sprečiti nego lečiti

    RNIDS je obezbedio tri različita načina zaštite naziva naših nacionalnih domena .rs i .srb, od kojih prva dva ne naplaćuje. Prva vrsta zaštite je „Siguran režim“ (Secure Mode), koji ne dozvoljava da se promena bilo kog kritičnog podatka o nazivu domena izvrši bez posebnog odobrenja njegovog korisnika. Ovaj tip zaštite korisnik najčešće može sam da aktivira. „Zaključavanje na strani klijenta“ (Client Side Lock) podrazumeva zabranu izmena svih podataka o nazivu domena osim produženja registracije, a za unošenje promena neophodna je dozvola ovlašćenog registra kod kog je naziv domena registrovan. „Zaključavanje na strani registra“ (Registry Lock) je najviši nivo zaštite koji za svaku izmenu u vezi sa podacima o nazivu domena predviđa dodatnu proveru autentičnosti zahteva od strane RNIDS-a.

    Uostalom, ako automobil zaključavate, zašto ne biste i naziv domena? Cena jednog automobila jeste veća od cene jednog naziva internet domena, ali ne i njegova vrednost, jer na nazivu domena se bazira čitavo internet poslovanje vaše firme. Ophodite se prema nazivu domena kao prema važnom poslovnom resursu, jer on to i jeste. On malo košta, ali puno vredi.

    Izbegnite „greške u koracima“

    Nazivom domena raspolaže onaj na koga je naziv registrovan (registrant), bez obzira na to ko je vlasnik veb-sajta na tom nazivu domena. Stoga je sasvim moguće da vaš sajt nestane sa interneta ako je na tuđem nazivu domena, i njegov registrant odluči da ga preusmeri ili deaktivira. Zato naziv domena ne treba da bude registrovan na ime nekog od zaposlenih u firmi, niti na veb agenciju koja je pravila sajt pa registrovala i naziv domena, već isključivo na vašu firmu, jer to je vaš poslovni resurs.

    Svom nazivu domena treba redovno da obnavljate registraciju, jer se on ne registruje „zauvek“, već na određeni period. Redovnim obnavljanjem taj vremenski period može da bude praktično neograničen. Međutim, ako registracija istekne, i vaš naziv domena registruje neko drugi, na njemu se mogu naći razni nepoželjni sadržaji – od neistinitih, preko falsifikovanih, do pornografskih. Ako pretraživači i internet korisnici taj naziv domena i dalje vide kao vaš, to se može negativno odraziti na vaše poslovanje.

  • Predrag Groza: Šta su podaci o ličnosti, i kako smeju da se obrađuju

    Piše: Predrag Groza, partner u advokatskoj kancelariji Tomić Sinđelić Groza (TSG), član Savetodavnog odbora Inicijative za jačanje bezbednosti podataka

     

    Zaštita podataka o ličnosti je ustavom zajemčeno pravo, te svako fizičko lice ima pravo da bude obavešteno o obradi podataka koji se na njega odnose, kao i pravo na delotvornu zaštitu u slučaju zloupotrebe tih podataka.

    Šta se smatra podatkom o ličnosti? Zakon o zaštiti podataka o ličnosti ne daje taksativnu listu, već postavlja standard po kojem je podatak o ličnosti zapravo svaki podatak na osnovu kojeg je identitet fizičkog lica određen ili odrediv. Dakle, svaka informacija na osnovu koje se može utvrditi, posredno ili neposredno, identitet fizičkog lica predstavlja podatak o ličnosti, pa tako pored „tradicionalnih“ podataka (poput imena i prezimena, fotografije) podatkom o ličnosti može se smatrati i IP adresa, lokacijski identifikatori, itd.

    Sistem zaštite podataka o ličnosti počiva na jasnim načelima koja svaki rukovalac (organ vlasti, javno preduzeće, kompanija…) mora da poštuje i primenjuje („odgovornost za postupanje“). Odgovornost za postupanje je univerzalno pravilo nezavisno od toga da li je reč o obradi podataka zaposlenih kod rukovaoca, podataka njegovih kupaca ili pak potencijalnih klijenata.

    Obrada podataka mora biti zakonita (postoji odgovarajući pravni osnov za obradu), transparentna (lice mora biti obavešteno o obradi), srazmernakonkretnoj svrsi obrade, ograničena samo na bitne i neophodne podatke (minimizacija podataka), u svakom trenutku tačna i ažurna, i na kraju sigurna i poverljiva (zaštićena adekvatnim merama).

    U pogledu zakonitosti obrade, pristanak lica je nekako ’’najpoznatiji’’ široj javnosti, možda zbog sveprisutnog direktnog marketinga koji često izlazi iz dozvoljenih okvira. Tako imamo situacije da se komercijalne transakcije (npr. apliciranje za potrošačke kredite) uslovljavaju pristajanjem na direktan marketing, koji zapravo nema puno veze sa primarnom i željenom transakcijom. Upravo zbog takvih zloupotreba, uslovi obrade podataka u svrhe direktnog marketinga su propisani posebnim zakonima – Zakonom o elektronskoj trgovini i Zakonom o oglašavanju – prema kojima je za obradu podataka u svrhe marketinga neophodan pristanak onoga ko prima oglasnu poruku. Dakle, „odsustvo pristanka“ je uvek prepreka za direktan marketing.

    Međutim, pristanak je samo jedan od ukupno šest osnova za zakonitu obradu (a dovoljan je samo jedan!). S tim u vezi, osnov može biti i poštovanje pravnih obaveza rukovaoca (npr. poslodavac je dužan da vodi zakonom propisane evidencije u oblasti rada), zatim izvršavanje ugovora zaključenog sa licem čiji se podaci obrađuju (npr. banka obrađuje podatke klijenta u svrhe realizacije ugovora o kreditu), a pod određenim uslovima osnov obrade može biti i legitiman interes rukovaoca ili trećeg lica.

    U slučaju da sumnjamo na neovlašćenu obradu ili zloupotrebu podataka o ličnosti, imamo određeni spektar prava prema konkretnom rukovaocu, i to: pravo na informacije o obradi, pravo na pristup podacima, pravo na ispravku ili dopunu podataka, pravo na zaborav (brisanje podataka), pravo na ograničenje obrade, itd. U slučaju da rukovalac ne postupi po opravdanom zahtevu u zakonskom roku, možemo se preko pritužbe obratiti Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti. Poverenik tada sprovodi postupak inspekcijskog nadzora radi utvrđivanja eventualne povrede, i može naložiti rukovaocu da postupi po zahtevu lica koje je uputilo pritužbu. Ostvarivanje ovih prava, po pravilu, ne kreira posebne troškove za lice koje se obraća rukovaocu odnosno Povereniku.

    Na kraju, u slučaju da je zloupotreba podataka prouzrokovala materijalnu ili nematerijalnu štetu licu čiji su podaci zloupotrebljeni, to lice ima pravo na naknadu štete koju ostvaruje u redovnom postupku pred nadležnim sudom.

    Izvor: edicija “Digitalizacija i sajber sigurnost”

  • Kad besplatno nije za džabe

    Ivana Radoičić, urednica u novosadskom Dnevniku, i jedna od osnivačica Kancelarije za kulturnu diplomatiju  

    U Evropskoj uniji je, u maju 2018. godine, na snagu stupila Opšta uredba o zaštiti podataka (GDPR) koja je podatke o ličnosti stavila pod zaštitu bez presedana. Srbija se potrudila da, makar u pravnom smislu, isprati ove promene i tako pokuša da uhvati korak s promenama koje je u poslovne i privatne odnose donela globalizacija kao posledica digitalizacije u internet eri.Otkako je počeo da se primenjuje u avgustu 2019, Zakon o zaštiti podataka o ličnosti doneo je priličan red u ovu oblast, ali se otpori, i to na svim nivoima, i dalje dešavaju. U čemu je problem?

    Pre svega, tekst našeg zakona u najvećoj meri predstavlja adaptirani prevod GDPR-a (General Data Protection Regulation), kao i tzv. Policijske direktive koja uređuje način na koji nadležni organi mogu da obrađuju podatke o ličnosti, kao i kad su u pitanju krivični postupci i pretnje nacionalnoj bezbednosti. Ipak Preambula GDPR-a nije u potpunosti preuzeta, a time ni njene odredbe kojima se ograničavaju prava na zaštitu podataka o ličnosti zarad drugih interesa koji su u određenom kontekstu važniji od interesa privatnosti. Pravo na zaštitu podataka svakako nije apsolutno pravo, a kako su neke društvene oblasti i socijalne grupe posebno osetljive, ovaj sklizak teren nije lako premrežiti ni u uređenijim zemljama od naše. Preambulom se pojašnjava dejstvo uredbe, preciziranjem vrste i načina zaštite koja se primenjuje na fizička lica, bez obzira na njihove godine, državljanstvo ili prebivalište, odnosno, ukazuje na to da se aktom ne obuhvataju obrade podataka o ličnosti koji se tiču pravnih lica, uključujući poslovno ime, formu i kontakt podatke. A šta kad toga nema?

    Onda dobijemo poprilično otvoren prostor za različite vrste manipulacija ili, u najboljem slučaju, meandriranje između dozvoljenog i moralno prihvatljivog. Ovime se obilato koriste kompanije koje podatke o ličnosti uspevaju da prikupe, pa čak i prodaju trećim licima, bez saglasnosti samog korisnika. Iako se, kada se govori o zloupotrebi podataka, najviše spominju društvene mreže, kompanije koriste sve ostale podatke koje građani, često bez svesti o tome šta rade, dele sa zainteresovanim stranama, što posledično dovodi do kontraefekta – umesto da vaš boravak na internetu bude optimizovan i usredsređen na vaše potrebe, osim negativnog uticaja na privatnost podataka, svakako ćete biti i predmet marketinških i prodajnih kampanja koje, ne samo da vas ne interesuju, već i oduzimaju vaše vreme i rezultuju sporijim pretraživanjem interneta, gubljenjem živaca i generalno, mržnjom prema prozorima s ponudama za sokovnike, koji su se pojavili kad ste tražili prirodan lek protiv gorušice.

    A kada dođe do zloupotrebe podataka, ona je najčešće – u marketinške svrhe. Tek kada građani dobiju telefonski poziv firme za koju nikada ranije nisu čuli, a koja im prodaje posteljinu, kućnu opremu ili nagradnu večeru u zamenu za set jastuka s peglom, ljudi shvate da su na neki, njima nerazumljiv način, postali središte zakulisnih igara, ne znajući ni kome da se obrate, ni kako da reše problem i spreče neželjene pozive ili SMS poruke i mejlove, ne znajući čak ni da li su uopšte žrtve. O političkim kampanjama da i ne govorimo.

    U ovom trenutku postoje dve adrese kojima se korisnik može obratiti kako bi rešio problem: Poverenik za informacije od javnog značaja koji može dati nalog za postupanje, i Sektor za visokotehnološki kriminal MUP-a Republike Srbije. Ipak, Poverenik bi trebalo da je poslednja stanica u liniji zaštite ličnih podataka – izuzetno je važno podizati svest, kako korisnika, tako i obrađivača podataka, o potrebi zaštite ličnih podataka građana.

    Najvažnija stvar je naučiti korisnike na to da kažu „ne“. Naravno da ne možemo očekivati da svaki građanin poznaje odredbe svih zakona koje država propisuje, ali jeste neophodno učiti ljude da se svaki podatak koji oni dobrovoljno daju na netu, može zloupotrebiti. Svedoci smo tome gotovo svaki dan, kad se u aferama koje niču gotovo iz sata u sat, koriste lični podaci s otvorenih naloga na društvenim mrežama. Građani treba da znaju da ništa što im se nudi besplatno u stvari nije za džabe. Fejsbuk, Instagram, Tviter, Tik-tok – mreže su koje vam nude svoj prostor da objavljujete misli, čestitate rođendane, kačite selfije i slike s letovanja, a svaki taj podatak ove firme koriste da bi zainteresovanim oglašivačima vas prodali kao deo ciljne grupe jer su u suštini oni vlasnici prostora koji ste vi pozajmili, u zamenu za otvorenost vaših podataka. Onog trenutka kad ste, bez čitanja sitnih slovaca u delu „odredbe ugovora“ kliknuli na „da“, prepustili ste pravim gazdama sve svoje željene i neželjene podatke, uključujući i lične poruke i slike. Da li će one, na zahtev nadležnih organa, jednog dana postati deo nekog dokaznog materijala, zavisi samo od vašeg ponašanja na javnom mestu kao što je internet. A tu se treba držati zlatnog pravila „pišem sve ono što bih inače pisao na tarabi“, jer nemate nikakvu kontrolu nad tim ko može da pročita i zloupotrebi.

    Kolačići

    Otkako je donet Zakon o zaštiti podataka o ličnosti, svest prosečnog korisnika najviše se zadržala na činjenici da mnogi sajtovi od njih traže da im dozvole upotrebu takozvanih “kolačića”. Oni, nažalost, nisu čokoladni s kokosom, već kratki tekstualni zapis koji veb stranica može da ostavi na hard disk posetioca stranice, a koji omogućava veb stranici da čuva određene informacije na računaru korisnika i da ih kasnije po potrebi ponovo preuzme. Kolačići se najčešće koriste za statistiku, njima stranica prati koliko često i šta najčešće otvarate , ali i na šta sve klikćete, šta pretražujete, koje sajtove posećujete i zašto. Pa kad vam sledeći put iskoči reklama za nove patike, budite sigurni da ste vi ili neko od vaših ukućana ranije pretraživali neku internet ponudu sportske opreme.

  • Zakon tek prvi korak

    Piše: Predrag Groza, advokat i partner u Advokatskoj kancelariji Tomić Sinđelić Groza (TSG)

    Zaštita podataka o ličnosti, svest o bezbednosnim rizicima i važnost poštovanja prava pojedinaca u ovoj oblasti, nisu više potpuna nepoznanica u Srbiji. O ovoj temi, koja je predugo bila skrajnuta pre svega iz razloga prevaziđenog zakonskog okvira, počelo je da se intenzivnije priča na ovim prostorima u vreme početka primene čuvene EU Opšte uredbe o zaštiti podataka, poznatije kao GDPR, te je tako i država Srbija – doduše sa određenim zakašnjenjem a opet na krilima strukturnih promena u Evropskoj uniji – donela novi zakon o zaštiti podataka o ličnosti.

    Taj novi zakon, čija je primena počela u avgustu 2019. godine, u velikoj meri je uvažio i prihvatio rešenja GDPR-a te sada, nakon gotovo godinu i po dana, možemo sumirati utiske i konstatovati da je još dosta posla pred svima nama. Ovo jednako važi za zakonodavni okvir i nadležne organe, ali i za privredne subjekte koji nesporno moraju poslovati uvažavajući nova pravila igre.

    U zakonodavnom delu, donošenje ovog Zakona je samo prvi korak. I dalje čekamo i osluškujemo kada ćemo dobiti savremenu Strategiju zaštite podataka o ličnosti, a takođe važan aspekt predstavlja i usklađivanje svih drugih domaćih propisa koji se dotiču obrade podataka o ličnosti, sa novim zakonskim okvirom. S druge strane, privredni subjekti nemaju mogućnost da čekaju idealne uslove i idealnu regulativu, jednostavno opšta digitalizacija poslovnih aktivnosti i nove tehnologije nameću nužnost da se o obradi podataka o ličnosti sistemski razmišlja kako bi se usvojile i implementirale adekvatne organizacione, tehničke i bezbednosne mere u cilju zaštite podataka o ličnosti.

    U tom smislu može se reći da su sektor finansijskih usluga i sektor osiguranja posebno izloženi s obzirom da, sa jedne strane, privredni subjekti u ovim sektorima užurbano (i sasvim opravdano) usvajaju digitalizaciju kao uslov njihove konkurentnosti na tržištu, a sa druge strane, prikupljaju i obrađuju lične podatke svojih klijenata u velikom obimu pa su time i njihove obaveze u pogledu obrade podataka o ličnosti brojnije i složenije.

    Zato smatram da Inicijativa za jačanje bezbednosti podataka nudi u pravom (ili bolje reći, poslednjem) trenutku mesto na kojem će se okupljati relevantni sagovornici iz različitih oblasti (finansije, informacione tehnologije…) i na kojem će svi zainteresovani subjekti imati priliku da razmenjuju vlastita iskustva, izazove i dileme iz ugla njihovog poslovanja ili ekspertize.

  • Zaštiti se rečima

    Gordana Bekčić, Security Communications

    Kompanije u Srbiji dugo su verovale da se hakerski napadi na unutrašnje sisteme događaju nekom drugom. A onda je svet, i to onaj dipvebovski, zakucao i na naša vrata.

    I dok IT stručnjaci u velikim i malim firmama traže bekap kopije, čiste servere i pišu uzbuđene mejlove provajderima, a njihovi direktori otvaraju nove žiro račune dok se stvari na ovaj ili onaj način izglade, zadatak PR službe je da pravilno proceni težinu situacije i reaguje u skladu s procenom. A da bi se to desilo, potrebno je uraditi nekoliko stvari.

    Prema važećem zakonodavnom okviru svaka kompanija koja ima više od stotinu zaposlenih, dužna je da izradi Akt o proceni rizika u zaštiti lica, imovine i poslovanja, među kojima su i IT podaci jedan od obasveznih segmenata. Ovaj akt izrađuju stručnjaci nezavisne firme, odnosno, eksterni licencirani konsultanti. Svako ko je bio u prilici da radi na takvim dokumentima, zna koliko je bitno da neko sa strane sagleda i kaže da li je u kompaniji pametno imati server pored kompleta rezervnih ključeva ili neobučene radnike koji službene kompjutere koriste za onlajn igranje igrica, neshvatajući da time nenamerno ugrožavaju bezbednost poslovanja i širomotvaraju vrata za „curenje“ svih poslovnih tajni.

    Strateški pristup komunikacijama pretpostavlja proaktivan pristup u sagledavanju svih mogućih kriznih situacija i planiranje postupanja kada se kriza dogodi. Jedna od ključnih preporuka je kreiranje tima koji će upravljati krizom ako ose ona u kompaniji dogodi i izgradnja kapaciteta tog tima za situacije koje mogu da se dogode.

    Krizni tim po pravilu čini menadžment kompanije, tehnički sekretari ili šefovi kabineta, IT stručnjaci i sektor PR-a, odnosno, komunikacija. Pored obuke u rešavanju kriznih konflikata, jedan od važnih zadataka je i predupređivanje mogućih loših ishoda kroz vežbe. A među njima je i hakerski ili sajber napad, spolja ili iznutra.

    Kako će kompanija reagovati u komunikaciji sa korisnicima, kupcima, klijentima, najviše zavisi od njene pripremljenosti, spremnosti da brzo popravi situaciju, ali i od broja i vrste korisnika i vrste napada. U suštini, težina napada uslovljava i težinu odgovora na situaciju, te se interni problemi, u kojima je, recimo, radnik pokupio virus, rešavaju brzo i bez obaveštavanja klijenata, onog trenutka kada se ustanovi da vitalni podaci nisu ugroženi. Međutim, ako je u pitanju teži napad, počevši od krađe podataka do rensomvera, odgovor mora biti hitan i tačan i pre svega – javan.

    Zlatno pravilo svake krizne komunikacije je da moraš biti prvi na sceni jer onda određuješ i scenu i glumce i scenario. Dakle, krizni tim mora da ima unapred spremljena scenarija vezana za takve događaje i da odredi ko će u kojoj situaciji izaći sa saopštenjem pred medije. Predstavnik PR službe poslaće saopštenje u slučaju ransomvera ili fišinga poslatog s njihovom lažnom adresom, ali ako se dese ozbiljne krađe ili čak smrtni slučajevi, na scenu mora da stupa rukovodstvo.

    U ovakvoj situaciji negativne primere lošeg reagovanja čelnika kompanija i PR službe, izbegavanja odgovora i neadekvatne reakcije na kriznu situaciju nije teško naći. Teže je naći one dobre, a nije da ih nema.

    Novosadska JKP Informatika pre nekoliko meseci blokirana je uz pomoć rensomvera. Njihova PR služba odmah je reagovala, saopštenjem prema svim medijima podjednako, da podaci korisnika ni na koji način nisu ugroženi, da sarađuju s Odeljenjem za visokotehnološki kriminal i da će o svakom narednom potezu obaveštavati korisnike, što su i učinili. Ovakvo ponašanje, iako dolazi od javnog preduzeća koje kao da je izašlo iz „Državnog posla“, ulilo je poverenje u kompaniju, novinarima su pružene sve informacije, čime se sprečilo spekulisanje i nagađanje, a praćenje razvoja događaja prema korisnicima pokazalo je poštovanje prema njima i opravdalo ugled Informatike koja, kao javno preduzeće, svakako ne bi propala, za razliku od privatnih kompanija, koje su od tog ishoda u mnogo većem riziku. S druge strane, izlazak PR službe, a ne direktora pred mikrofon i kamere, posredno je značio da nema mesta panici i da sve ostale službe rade uobičajenim tempom, ako već ne i načinom.

    Budi prvi i govori istinu – dve su mantre za svaku kriznu komunikaciju. Svako ublažavanje stanja ili izbegavanje istine, da budemo blagi, može dovesti do pogoršanja krize jer su sve oči uprte u kompaniju, pa istina može lako da ispliva. Ne treba zaboraviti ni to da su ljudi, iako obučeni da o takvim stvarima ne govore javno, društvene mreže i dalje doživljavaju kao mesto za privatno ćaskanje, što novinari odlično znaju i tu nalaze izvore za „curenje informacija“.  Zato su obuke u kriznim komunikacijama, i to obe strane – i PR službe, ali i zaposlenih, veoma važne, kako bi se smanjio rizik od sajber napada, ali i neodgovaruće reagovanje na njih. Jer,  ko zna kakva nas IT nevolja sutra može zadesiti.

    A ako se pitate šta se tačno desilo s podacima građana koji su korisnici novosadskog JKP Informatika, da li su bili samo zaključani ili ukradeni, da li je plaćena ucena ili su uhvatili hakere, odgovor nećete dobiti, iz sigurnosnih razloga. Drugim rečima, takve stvari se ne mogu komunicirati i to ne možete ni da očekujete od kompanije koja je napadnuta. Ovi podaci suviše su osetljivi, a za opštu sigurnost dovoljna je potvrda od čelnika i institucija koje su na sebe preuzele rešavanje slučaja, da su vaši podaci na sigurnom. A kad je u pitanju eventualni otkup, “razmene dobara” vrlo se retko dešavaju. Odeljenje za visokotehnološki kriminal preuzima sve na sebe čim se kontaktira, a jedno od pravila je da se otkup nikada ne plaća. Posredne dokaze o tome da JKP Informatika nije platila otkup, nalazimo u činjenicama da su tih dana zatvorili virtuelni šalter, podigli ga odmah potom potpuno bez podataka o ranijim plaćenim računima, prvi naredni račun stigao je sa zakašnjenjem, a otvoreni su za uplatu drugi tekući računi. I to je trajalo sve dok sistem nije uspostavljen, a radilo se u fazama. Tek je račun za decembar mesec stigao s pozivom na prvobitni tekući račun. To je dovoljno snažan indikator da su odbili plaćanje otkupa i u međuvremenu sanirali štetu.

  • Jedan dan života

    Piše: Zlatko Petrović, pomoćnik Generalnog sekretara Službe Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti

    U poslednjih nekoliko meseci preživeli smo mnogo teških trenutaka zbog korona virusa, koji nezaustavljivo i bez pardona uzima svoj danak. Svaki dan počinje vestima sa crnom statistikom, gde saznajemo koliko je ljudi umrlo juče, pa to poredimo sa jučerašnjom brojkom, prekjučerašnjom … Čitamo šta je o virusu rekao dobitnik Nobelove nagrade, nadrilekar iz Italije, lekar iz Nemačke, monah sa Tibeta i vrač iz plemena Sijuksa.

    Vakcina je tu, samo što nije, ali još nije ispitana, iako je već u primeni, ali to nije dokazano, stiže u novembru najkasnije, biće besplatna, a možda i neće (tvrde Kinezi, dok Amerikanci demantuju, a Rusi mudro ćute – javlja žuta štampa). Teoretičari zavere o “zlatnoj milijardi” i 5G mreži zamenili su mahnite tipove koji su svojevremeno na gradskim trgovima vrištali: “Kraj je blizu, pokajte se!”.

    Sve ove “vesti iz nesvesti” (da citiram čika Ršuma) gutamo kao i vesti o estradi i sportu, jer je smrt nešto što se uvek dešava drugima, a nikada nama. Međutim, stvar se iz osnova menja kada saznamo da je jedna od tih preminulih osoba neko iz naše familije ili naš prijatelj, koji nije bio ni star ni bolestan. U tom trenutku shvatite da sledeći možete biti i vi, te da je đavo odneo šalu. Tada sledi čuvenih pet faza: poricanje, ljutnja, pregovaranje, depresija i prihvatanje.

    Svako od nas za života ostavi nekakav trag iza sebe – neko dobar i svetao, a neko loš i smrdljiv. Takve tragove za sobom ostavljamo u delima, koja ostaju zabeležena u sećanjima naših bližnjih, dokumentima, knjigama, arhivima ili na bespućima interneta. Tek kada sećanja izblede, pa vas zaborave – umire se po drugi put (da parafraziram Dušana Kovačevića).

    Svako od nas ima ponešto zbog čega se kaje, pa bi najradije to nešto izbrisao iz svoje životne priče. Ako se to nešto još nalazi na internetu – tek onda ste u problemu. Zamislite da vaša deca ili unuci jednoga dana, pretražujući internet, naiđu na vaš kompromitujući snimak ili saznaju da ste za sitne pare pisali gadosti kao bot u političkoj stranci. Tada biste još brže umrli po drugi put.

    Svi ti digitalni tragovi koje ostavljate za sobom predstavljaju vaše podatke o ličnosti. Nova evropska regulativa u ovoj oblasti (GDPR) ima osnovnu intenciju da vrati građanima kontrolu nad njihovim ličnim podacima, prvenstveno onima koji su na internetu. Iz ovog razloga se promovišu prava poput prenosivosti podataka (data portability) i prava na zaborav (right to be forgotten).

    Međutim, ovu kontrolu građani mogu imati samo dok su živi, jer se GDPR ne primjenjuje na podatke o ličnosti preminulih osoba, dok države članice mogu predvideti pravila u vezi s obradom njihovih podataka o ličnosti. Ako se podaci o ličnosti obrađuju u svrhe arhiviranja, GDPR bi se takođe trebao primenjivati na takvu obradu, imajući u vidu da se GDPR ne bi trebao primenjivati na podatke o ličnosti preminulih osoba. Ako se podaci o ličnosti obrađuju u svrhe istorijskog istraživanja, GDPR bi se trebao primenjivati i na takvu obradu. To bi takođe trebalo obuhvatati istorijsko istraživanje i istraživanje u genealoške svrhe, imajući u vidu da se GDPR ne bi trebao primenjivati na preminule osobe. Sve ovo piše u preambuli GDPR (recitali 27, 158 i 160).

    Novi srpski Zakon o zaštiti podataka o ličnosti donet je u cilju usklađivanja sa GDPR, što je naša međunarodno prihvaćena obaveza. Međutim, tvorci zakona u potpunosti su zanemarili preambulu GDPR, pa se u tekstu zakona preminula lica uopšte ne pominju. Iz ovog razloga se zakon mora tumačiti u skladu sa jasnom intencijom tvoraca GDPR, tj. da se ne primenjuje na podatke o ličnosti preminulih osoba, iako one u zakonu nisu eksplicitno izuzete od primene.

    Međutim, pitanje je da li će ga svi tumačiti na isti način, jer nisu svi upoznati sa kontekstom i genezom zakona, niti sa preambulom GDPR, a i uvek će se naći neko da kao argument potegne notornu činjenicu da GDPR i njegova preambula nisu izvor prava u našoj zemlji. Prema starom Zakonu o zaštiti podataka o ličnosti, koji se primenjivao do pre godinu dana, pristanak za obradu podataka o licu koje je umrlo mogli su dati supružnik, deca sa navršenih 15 godina života, roditelji, braća i sestre, odnosno zakonski naslednik ili lice koje je za to odredio umrli. Isti zakon je propisivao da je zahtev za ostvarivanje prava mogao podneti zakonski naslednik umrlog lica. Takođe, ovaj zakon je propisivao i režim čuvanja i korišćenja podataka u slučaju smrti lica.

    Imajući u vidu da se prava po novom Zakonu o zaštiti podataka o ličnosti mogu ostvarivati u postupku pred Poverenikom i u parničnom postupku, nije nemoguće da će neki sud rešavati u parnici koja se tiče podataka preminulog lica, iako njegov zakonski naslednik ne bi za isto trebao da ima aktivnu legitimaciju.

    Prema prošlogodišnjem istraživanju Oksfordskog internet instituta, predviđa se da će do 2100. godine biti najmanje 4,9 milijardi preminulih korisnika Fejsbuka, ukoliko ova društvena mreža nastavi da se razvija kao i do sada. Ovo istraživanje nije moglo uzeti u obzir aktuelnu pandemiju, koja svakodnevno uvećava broj umrlih.

    Gde će završiti svi ovi podaci, ako se na njih ne odnose odredbe GDPR? Da li naša digitalna zaostavština postaje res nullius (ničija stvar), na raspolaganju velikim kompanijama, koje će je koristiti za potrebe razvijanja veštačke inteligencije? Mislite li da će naša država urediti ovu oblast u skorije vreme?

    Svako od nas bi voleo da ga unuci jednoga dana upamte po nečemu lepome i dobrome. Tu su rodoslovi, stare fotografije, pisma, razglednice, poneka uspomena, ali u budućnosti će tu biti i naši digitalni identiteti. Ako deda na internet postavlja koješta – možda će ga se unuci stideti jednoga dana, a njegovom profilu ne mogu pristupiti kako bi pobrisali sporne sadržaje, jer je pristupne kredencijale odneo u grob.

    Budite odgovorni prema svojim podacima, posebno u internetskom okruženju, jer će vas oni nadživeti. Ako ne vodite računa o njima – pitanje je da li ćete imati jedan dan života da obrišete sve ono po čemu ne biste želeli da vas pamte.

    Inspiracija za ovaj tekst je moje poznanstvo sa sjajnim profesorom Milanom Kukrikom, od kojeg sam mnogo naučio, a koji je voleo moje tekstove. Milan je preminuo pre godinu i po dana, ali Linkedin i dalje uredno šalje poruke nama živima da mu čestitamo godišnjicu rada, što mnogi iz neznanja i čine. Congrats Milan! Good job!

  • Socijalni inženjering: vuk u koži prijatelja

    Socijalni inženjering izgleda da je star koliko i ljudski rod, ali se pre pojave sajber kriminala zvao samo “prevara”. U digitalnom okruženju, rizici od ovih prevara pokriveni su polisom osiguranja od sajber rizika čija se ekspanzija može uskoro očekivati i u Srbiji

     

    Zamislite da se jednog jutra budite, otvarate kompjuter i gledate sopstveni vrlo autentičan, ali i vrlo kompromitujući snimak situacije u kojoj se nikad niste našli. Shvatate da je neko stručan mesecima pratio vaše objave, prikupljao informacije o Vašim interesovanjima i afinitetima, o tome šta interesuje Vaše prijatelje i one druge, a zatim napravio video gde glavni akter ima Vašu figuru, lice, glas i karakterističnu terminologiju, a sadržaj je takav da može da Vam potpuno upropasti karijeru i prijateljstva, ako se pojavi na društvenim mrežama.

    Ovaj scenario koji se zasniva na socijalnom inženjeringu moguć je, ali malo verovatan, osim ako ste neka baš mnogo popularna ličnost spremna da plati veliki iznos da bi sprečila širenje videa.

    Međutim, socijalni inženjering kao model za zloupotrebu ima veoma široku primenu u masovnim kampanjama gde su meta zaposleni u kompanijama – tu je rizik manji a verovatnoća za zaradu veća.

     

    Šta je socijalni inženjering?

    Ono što se vekovima zvalo “prevara”, gde nas prevarant tako vešto navede da mu sami rado damo ono što želi, pa često i da ponudimo više od toga – danas se popularno, a posebno u sajber prostoru, naziva socijalnim inženjeringom.

    Navođenje žrtve da nam dobrovoljno otkrije svoje ili tuđe podatke, da nas pusti u prostor u koji ne bi smela, da izvede neke protivzakonite operacije ili da nam da novac – osnovna je pretpostavka socijalnog inženjeringa. “Ssocijalni inženjeri” ozbiljno prate trendove, i u današnje vreme dominantno operišu u sajber prostoru, ali ne tako da napadaju sam sistem već da od osobe dobijaju informacije koje su im potrebne da u taj sistem uđu lagano. Oni se ne bave pretnjama, već često uspevaju da uspostave i prijateljski odnos sa žrtvom, pa ona uopšte nije svesna da je napadnuta – naprotiv, često se oseća srećnom i zadovoljnom jer misli da je nekome pomogla, ili da je uspešno odradila neki posao.

    Zloupotrebe su najčešće usmerene na preduzeća, odnosno na zaposlene koji se navode da odaju lozinke i podatke o zaposlenima i IT sistemu, ili da prekrše bezbednosne mere tako što bi obavili određenu uplatu, omogućili ulaz u prostorije, i slično.

    Jedna od najnovijih globalnih kampanja socijalnog inženjeringa “inspiraciju” je našla u još aktuelnoj pandemiji: računajući na ljudsku radoznalost, na nebrojeno adresa stizali su mejlovi sa “najnovijim informacijama o kovidu” – trebalo je samo otvoriti prilog ili otići na ponuđenu adresu i kompjuter bi već bivao zaražen. Na dnevnom nivou registrovane su hiljade internet domena koji sadrže “Sars-Cov-2”, ili “COVID 19”, a cilj hakera je bio da nas navedu da im omogućimo da ukradu podatke koji im mogu doneti materijalnu korist: brojeve kartica i bankovnih računa, ali i podatke za koje kasnije mogu tražiti otkupninu.

    Stručnjaci IT Klinike – domaćeg portala koji nas informiše o novim sajber pretnjama i načinima zaštite kažu da su hakeri koji se bave socijalnim inženjeringom uspešni upravo zato što koriste jedini element na koji se ne može instalirati bezbednosno rešenje – čoveka. “Često govorimo o ranjivosti softvera. Ljudski ekvivalent softverskoj ranjivosti su emocije. Posebno kada su suočeni sa zastrašujućim scenarijom, ljudi često reaguju impulsivno, a tek kasnije razmisle. Hakeri upravo na ovoj „ranjivosti“ zasnivaju tehnike socijalnog inženjeringa pomoću kojih izvode uspešne sajber napade”, kažu u IT Klinici.

     

    Da li smo i mi zanimljivo “tržište”?

    Tokom prva tri meseca pandemije, broj sajber napada zasnovan na socijalnom inženjeringu rastao je više od 300 odsto mesečno, pokazuju neke analize. Prelazak na rad od kuće doprineo je uspešnosti tih kampanja, jer je opala zaštita prelaskom na kućni wi-fi, a pod pritiskom situacije mnogima je opadala i pažnja. Međutim, napadi ovakvog tipa prisutni su i nezavisno od globalno aktuelne situacije, i očigledno su i dalje uspešni.

    “Na globalnom nivou, najzastupljeniji su spam mejlovi, a slede phishing i malver napadi. Ne postoji opšta statistika, ali više organizacija i kompanija prati phishing kampanje i objavljuje podatke na osnovu raspoloživih izvora – na osnovu toga se izvode podaci za svet odnosno regione, kao što su USA ili EMEA”, kaže za Svet osiguranja Vladimir Vučinić, direktor kompanije Net++ koja se bavi ICT bezbednošću, zaštitom podataka i upravljanjem računarskim mrežama i sistemima.

    Da je i naša zemlja na mapi “socijalnih inženjera” pokazuje sve veći broj kampanja koje su na srpskom jeziku. “Srbija je već nekoliko godina pod aktivnim kampanjama koje ciljaju upravo naše tržište. Prvi malver mejl na srpskom pojavio se 2016. godine i imitirao da je došao od PKS: u tekstu poruke govorilo se o izmenama Zakona o porezu na dohodak građana i pozivalo se na preuzimanje pdf fajla sa detaljnim uputsvima. Link u poruci bio je zapravo .exe fajl koji u sebi sadrži Remote Admin alat. Danas već svakodnevno pristižu mejlovi koji imitiraju da dolaze iz banaka i drugih institucija”, kaže Vučinić.

    Pre nekoliko meseci pažnju je izazvala phishing kampanja usmerena uglavnom ka penzionerima, gde im je navodno u vezi sa isplatom penzije SMS-om “u ime banke” tražen JMBG,  broj računa, PIN… Udruženje banaka Srbije javno je upozorilo građane da im se banka može obratiti preko tekstualne poruke, ali im nikada neće tražiti da na taj način šalju lične podatke.

    Vladimir Vučinić iz Net++ podseća da prijave sajber napada mogu da se podnesu Nacionalnom CERT-u ili MUP-u – Tužilaštvu za visokotehnološki kriminal. “Organizacije i preduzeća od značaja u smislu informacione bezbednosti su obavezne, prema odredbama Zakona o informacionoj bezbednosti, takođe da podnese izveštaje odgovarajućim telima u zavisnosti od toga o kakvom preduzeću ili organizaciji se radi, kao što recimo finansijske institucije u koje spadaju i osiguravajuće kuće cajber incidente prijavljuju Narodnoj banci Srbije”, kaže on.

     

    Prevara kao preteča socijalnog inženjeringa

    Mada se ovaj termin češće pojavljuje tek u digitalno doba, korišćenje obmane da bi se dobile neke informacije ili da bi se neka osoba navela da ostvari neku radnju postoji vekovima. Jedan od najpoznatijih prevaranata novijeg doba bio je Frenk Vilijam Abagnejl Džunior, po kojem je snimljen i hoivudski film “Uhvati me ako možeš”: on je uživao u vrlo luksuznom životu nekoliko godina zahvaljujući šarmu i moći ubeđivanja, ali i svojoj sposobnosti da savršeno falsifikuje dokumente. Već do svoje 21. godine, imao je više od osam različitih identiteta, a prva žrtva mu je bio sopstveni otac: kada je sa 15 godina našao honorarni posao, otac mu je dao svoju kreditnu karticu da bi putovao do posla. Frenk ju je upotrebio tako što je kupovao delove za auto, zatim ih prodao i tako došao do keša. Tokom života, ozbiljno je igrao na kartu poverenja pa se, osim trgovine čekovima, predstavljao i kao čuvar da bi uzimao novac od klijenata koji su iznajmljivali automobile na aerodromima, kao lekar i advokat, a jednom se čak predstavio i kao pilot da bi putovao besplatno. Kad je uhvaćen, osuđen je na 12 godina zatvora, ali je odslužio svega pet, a kasnije se zaposlio kao predavač na FBI akademiji!

    Neki se možda sećaju “nagradne igre” koja se pre petnaestak godina pojavila kod nas, koja se zvala “Kancelarija direktora nagrade” – na kućne adrese brojnih građana stizala su pisma u kojima je pisalo da su dobili vrlo skup auto, i da mogu da dođu da ga preuzmu u jednom od najboljih hotela u Beogradu određenog dana u navedeno vreme. Nešto sitnijim slovima, ispod je pisalo i objašnjenje: prethodno je potrebno za pedesetak evra pouzećem kupiti neke drangulije (plastični sat, komplet nožića…), što bi navodno bila “ulaznica” za izvlačenje nagrade – pomenutog automobila. Hotel, naravno, o “dodeli nagrade” ništa nije znao, uvoznik te marke automobila takođe, a na adresi na kojoj je bila registrovana firma “direktora nagrade” nalazila se prodavnica sportske opreme. A da je bilo puno onih koji su poverovali, potvrđeno je i u pomenutom hotelu gde se navedenog datuma okupio priličan broj obmanutih ljudi, a posebnu pažnju je izazvao jedan od “dobitnika” koji je u predstavništvo proizvođača automobila doneo pečeno prase, da časti!

    Bivalo je, naravno, i mnogo skupljih prevara, a ono što je karakteristično za “kvalitetne prevarante” jeste da prilično dobro poznaju ljudsku prirodu: u ovom konkretnom slučaju – da reč “nagrada” baca u senku davanje novca, da mnogi automatski veruju autoritetu pa makar bio i izmišljen, i da su iz radoznalosti spremni da učine i ono što se od njih eksplicitno ne traži.

     

    Kako se osigurati?

    Osiguranje od prevare u digitalnom svetu uzelo je zamah tek u poslednjih nekoliko godina, kad je ovaj rizik postao aktuelan. Sajber osiguranje obuhvata pokriće za štete koje nastanu bilo tehnološkim napadom na sistem, bilo uz pomoć socijanog inženjeringa – preko ljudi. “Ukoliko je kompanija zakonski odgovorna za fizičko lice – zaposlenog koji je aktivirao maliciozni softver, sajber osiguranje nadoknađuje troškove odštetnih zahteva koje je kompanija zakonski u obavezi da plati oštećenim licima – licima koja su pretrpela finansijsku štetu zbog povrede bezbednosti i privatnosti podataka”, kažu u kompaniji VIB koja se bavi posredovanjem u osiguranju.

    Kada dođe do štete izazvane socijalnim inženjeringom, polisa sajber osiguranja će nadoknaditi troškove angažovanja IT stručnjaka koji će utvrditi obim štete, uklanjanje zlonamernog virusa, mogućnost vraćanja podataka.

    Najveću opasnost predstavlja krađa podataka trećih lica ukoliko kompanija njima upravlja. Ova polisa obično pokriva angažovanje pravnih stručnjaka ukoliko se ugroze ti podaci, angažovanje savetnika za krizne situacije, troškove obaveštavanja lica čiji su podaci ugroženi, i druge troškove nastale u cilju očuvanja reputacije kompanije.

    Ako zaposleni nisu dobro obučeni kako da se čuvaju od ovakvih napada, pa “crv” uđe u kompanijski sistem, polisa sajber osiguranja trebalo bi da pokrije finansijske posledice odgovornosti zbog propusta u bezbednosnoj prevenciji, ali i da nadoknadi i iznose novčanih kazni propisanih od strane ovlašćenog državnog organa.

    Čest je slučaj da napadnuta kompanija ne upravlja podacima trećih lica, ali zato joj sajber “upadom” može biti blokirano poslovanje što izaziva poslovni gubitak, dok će istovremeno napadač tražiti novac za otkup ili deblokadu sistema. Polisa sajber osiguranja uglavnom pokriva i izgubljenu dobit ali i trošak iznude, pri čemu se za pregovore sa ucenjivačima obično angažuje posebna agencija, kako bi se izbegla mogućnost da i sam oštećeni učestvuje u prevari.

    U Srbiji se zasad samo jedna osiguravajuća kompanija bavi ovom vrstom rizika, ali kako stvari stoje, ovo će uskoro biti hit-polisa i kod nas – u svetu ovaj rizik pre samo nekoliko godina nije bio ni na listi prvih pet a sada, prema procenama Minhen Re, globalno tržišta sajber osiguranja vredi više od sedam milijardi dolara, i procenjuje se da će do 2025. dostići vrednost veću od 20 milijardi. Severna Amerika je i dalje najjače tržište vrednosti 5,3 milijarde dolara, a snažan rast se predviđa i u Aziji, kao i u Evropi gde je vrednost ovog tržišta sada oko milijardu dolara. Najveća potražnja, kažu, dolazi iz najugroženijih sektora: zdravstva, prerađivačke industrije, IT kompanija, finansijskog i sektora usluga, a ključni elementi osiguravajućeg pokrića su zaštita od prekida poslovanja i od krađe podataka.

    Ova oblast mogla bi da zaživi i kod nas, ako bi u pomoć osiguravajućim kompanijama pritekao IT sektor. A dok se to ne desi ostaje nam da otvorimo četvore oči, i da – makar kad su u pitanju prijateljstva preko mreža – pokušamo da emocije držimo što više po strani.

    Preuzeto iz novembarskog broja magazina Svet osiguranja (novembar 2020).

    Foto: Pixabay.com

     

  • Radoznalost je ubila mačku

    „Kad bi zaista postojao pakao, u njemu bi trebalo odvojiti posebno mesto za sajber kriminalce“, rekao je nedavno vlasnik jedne američke kompanije. I ma koliko zvučalo surovo, činjenica da su hakeri nedavno napali italijansku Agenciju za socijalno osiguranje preko koje su stizali zahtevi za socijalnu pomoć u kriznim okolnostima, i da su vlasti ovu web stranicu morali da zatvore – nimalo nije naivna. Sumnja se da je u pitanju hakerska banda koja to radi kako bi iznudila novac, što je mač sa dve oštrice: ukoliko se popusti zahtevima, na meti će biti i druge državne institucije. U suprotnom, mnogi mogu ostati bez neophodne finansijske podrške u najtežim okolnostima. Mete napada poslednjih par meseci su i Svetska zdravstvena organizacija, centri za testiranje vakcine, bolnice u velikim gradovima, što ukazuje na to da se ovi kriminalci zapravo igraju sa ljudskim životima.

    Zašto je rad od kuće posebno na meti hakera?

    Kompanije su naročito postale zanimljive sajber kriminalcima kada su se, usled vanrednog stanja, prebacile na režim rada od kuće. Procenjuje se da je na svetskom nivou, na početku ovog procesa, više od 40 odsto „krajnjih tački“ u lancima novog načina komunikacije bilo potpuno nezaštićeno: toliko zaposlenih je koristilo kućne računare za pristup u korporativnu mrežu, pa su kao takvi predstavljali ranjive karike u lancu bezbednosti za svoje poslodavce.

    Takođe, za razliku od kancelarijskog okruženja, gde IT menadžeri mogu da kontrolišu bezbednost svih mreža, dok radimo od kuće koristimo i kućni wifi koji obično ima slabije protokole, što hakerima omogućava lakši pristup saobraćaju mreže.

    Ono na šta sajber kriminalci zapravo najviše računaju u ovim slučajevima jeste – ljudska radoznalost. Zato i koriste ključne reči koje se poklapaju sa krizom, kako bi nas naveli da kliknemo na određeni link i tako u sistem pustimo „nevidljivo čudovište“.

    Dnevno se registruju hiljade internet domena koji sadrže Sars-Cov-2, ili COVID 19, a linkovi se šalju na nebrojeno adresa. Cilj hakera je da nas navedu da im – otvaranjem linka – omogućimo da ukradu podatke koji im mogu doneti materijalnu korist: brojeve kartica i bankovnih računa, ali i podatke za koje kasnije mogu tražiti otkupninu.

    Napadači ne samo da koriste lažne domene, već često šalju lažne poruke tvrdeći da su zdravstveni radnici, logističari i slično – sve u cilju da instaliraju zlonamerni softver koji bi zatim ukrao podatke radi finansijske koristi. Britanski nacionalni centar za sajber bezbednost još na početku pandemije upozoravao je da će se sa širenjem bolesti povećavati i broj napadača koji će želeti ovu situaciju da iskoriste. Nacionalni CERT Srbije redovno informiše građane koje su nove sajber opasnosti, i kako da se od njih zaštite.

    Javne platforme preko kojih se održavaju sastanci posebna su „hakerska poslastica“: broj dnevnih poseta samo jednoj od platformi, popularnom Zoom, sa deset miliona dnevno u decembru porastao je na 200 miliona u martu. Istovremeno, svakodnevno se pojavljuju stotine novih registrovanih domena koji sadrže reč „zoom“, i love žrtve na sledeći način: kad se zakaže sastanak u određeno vreme, zaposleni sa udaljene lokacije ispred svog kompjutera čekaju poziv da bi se uključili; mnogi ne primete da poziv stiže sa lažnog naloga, i kad ga prihvate – njihovo korisničko ime i lozinka već su ukradeni, što napadačima omogućava pristup korporativnim podacima.

    Kako prepoznati „simptome“ i sprečiti štetu?

    Sivan Tehila, osnivačica organizacije Cyber Ladies NYC, navodi četiri glavna „simptoma“ koji ukazuju da je kompjuter zaražen, i kaže da je u slučaju da se oni pojave neophodno što pre o tome obavestiti IT administratora u firmi kako bi umanjio rizik:

    – pojavljuju se programi koji nisu instalirani

    – računar se usporava

    – na ekranu se bez prethodne komande pojavljuju pop-up oglasi

    – gubi se kontrola miša i tastature

    Ona dodatno ukazuje na to da lozinke koje koristimo za pristup ne bi smele da budu jednostavne, jer su kao takve lake za „provaljivanje“. Još ako se jedna te ista koristi i za više platformi, to hakerima omogućava da za kratko vreme dobiju neovlašćeni pristup do više naloga.

    Sve iole ozbiljne firme imaju jasno definisane procedure kojih moraju da se pridržavaju svi zaposleni, i to pod pretnjom ozbiljnih kazni. Ovde, kažu, ne treba biti ni najmanje bolećiv, jer osim što firma može ostati bez sopstvenih resursa za rad i novca na računima, može doći i u situaciju da plati popriličnu kaznu zbog gubitka podataka o klijentima.

    Da ne bismo došli u veliki problem ni mi ni poslodavac, otvorimo četvore oči pre nego što otvorimo mejl. A pre svega, popričajmo sa sobom: da li zaista verujemo da smo baš mi „odabrani da dobijemo aplikaciju pomoću koje ćemo prepoznati zaraženu osobu u krugu od 200 metara“? Da li moramo „prvi da saznamo sve o vakcini koja je upravo pronađena“? I da li će svet propasti ako baš sada ne pogledamo kako izgleda slepi miš koji je zarazio planetu?

    Kažu da se od prevelike radoznalosti ne bi spasla čak ni mačka, sa svojih devet života.

    Preuzeto sa: http://sveoosiguranju.rs/sajber-rizici-tokom-pandemije-radoznalost-je-ubila-macku/

     

    Autor: Lela Saković