Foto: iStock
“Vaša vlada je retardirana. Stanje vaše sajber sigurnosti je parodija”, pisalo je u anononimnom mejlu koji su mediji primili zajedno sa linkom na kojem se nalazilo 11 GB ličnih podataka nekoliko miliona bugarskih poreskih obveznika.
Još uvek neimenovani haker(i) pristupili su podacima bugarske Nacionalne agencije za prihode i prema pisanju medija na taj način došli u posed ličnih podataka poput imena, matičnih brojeva, adresa, kao i prihoda i poreza poreskih obveznika. Ministarstvo finansija dan kasnije demantovalo je ovo tvrdeći da se ne radi o “poverljiivim” podacima.
U mejlu koji je stigao bugarskim medijima, navedeno je da je ovo samo deo podataka od ukupno više od 20 GB kojima su uspeli da pristupe. U sredu ujutru policija je objavila da je uhapsila osumnjičenog za “najveći hakerski napad u bugarskoj e-istoriji”, a koraci koje će Bugarska preduzeti da bi predupredila ovakve napade još uvek nisu poznati.
Ovaj napad samo je jedan u nizu uspešnih hakerskih pokušaja kojih smo svedoci poslednjih decenija.
Ranije je, u aprilu ove godine, hiljade ličnih podataka procurelo sa servera Federalnog istražnog biroa (FBI) kada su otkrivena imena, radna mesta i adrese više od 23,000 ljudi, od kojih je oko 1,000 bilo zaposleno u FBI i pridružnicama. U oba slučaja motivi hakera nisu poznati, ali je očigledna njihova želja da budu shvaćeni ozbiiljno.
Ipak, kod zaštite onlajn ličnih podataka, opasnost se ne krije samo među hakerima i lošoj zaštiti servera već i u neodgovornom ponašanju onih koji tim podacima imaju pristup i njima raspolažu.
Tako je krajem 2014. godine Agencija za privatizaciju na svom sajtu objavila lične podatke više od 5 miliona srpskih građana sa pravom na besplatne akcije, zajedno sa preko 4,000 finansijskih dokumenata.
Iako je pristup ovim podacima trebalo da bude dostupan samo određenim ovlašćenim licima sa posebnog računara osiguranom sistemom lozinki, ovaj pristup bio je moguć svima, uključujući i sam Google.
Objavljena baza sadržala je imena i prezimena, imena roditelja, jedinstveni matični broj građana i status građanina u evidenciji nosilaca prava na besplatne akcije.
Link ka bazi kružio je na Tviteru, te je teško proceniti u koliko navrata su podaci preuzeti. Za ovaj propust niko nije odgovarao, a podaci se možda još uvek nalaze na “crnom tržištu”.
Neretko u medijima možemo da vidimo podatke koji bi trebalo da su zaštićeni i kojima bi pristup trebalo da ima samo ograničen broj ljudi i to u vrlo specifičnim slučajevima.
Iako je u Srbiji zloupotreba podataka o ličnosti okarakterisana kao prekršaj, ili u ozbiljnijim slučajevima krivično delo, to i dalje ne sprečava medije, pripadnike državnih organa i političkih elita da tim podacima manipulišu u političke i druge svrhe.
U nastavku teksta videćemo koje su moguće posledice objavljivanja ovakvih podataka, kao i šta bi države, ali i privatne kompanije mogle da urade da podatke zaštite.
Pandorina kutija
Koliko puta vam se desilo da vas pozovu želeći da sa vama urade anketu o vašoj banci, pitaju da li ste izašlii na izbore, stranci za koju glasate, omekšivaču koji koristite ili jastucima na kojima spavate, a da ne možete da se setite da ste ikada baš toj agenciji/kompaniji/partiji ostavili broj?
Iako naizgled bezazlena anketa, podaci koje otkrivate postaju oruđe u tuđim rukama za koje ne možete ni da zamislite na koji način će biti korišćeni i čuvani.
Mislite da nemate šta da krijete? Razmislite još jednom.
Zamislite samo da neko poseduje vaš broj telefona, ime i prezime i datum rođenja – ukoliko ne koristite dvostruku verifikaciju, tamo gde je ona moguća, postoji mnogo različitih platformi kojima bi neko mogao da pristupi samo sa ovim podacima.
Uz ove podatke i vaš JMBG, neko bi lako mogao da aktvira ilii stopira određene usluge, a da toga postanete svesni kada i ako vam stigne račun.
Koliko ste samo puta ostavili svoj JMBG da biste se registrovali kao korisnik određenih usluga, a da niste pitali zbog čega je ta informacija potrebna i kako će je koristiti?
Recimo da vi nenamerno, usled hakerskog napada ili nepažnje državnih organa, otkrijete svoj JMBG, koji bi neko mogao da iskoristi da pretražuje druge javne baze čime bi stekao uvid u to u kom biračkom spisku se nalazite, vašu adresu, registar neplaćenih novčanih kazni, podatke o firmama i mnoge druge informacije.
Ovo bi za posledicu moglo imati čak i krađu identiteta.
Od maja 2018. godine počela je primena Opšte regulative o zaštiti podataka o ličnosti, to jest General Data Protection Regulation (GDPR), koja propisuje način korišćenja podataka o ličnosti građana EU.
U Srbiji je novi Zakon o zaštiti podataka o ličnosti stupio na snagu u novembru 2018. godine, ali je njegova primena odložena za još devet meseci. Zakon je usvojen i pored kritika Poverenika za zaštitu podataka o ličnosti, organizacija civilnog društva i Evropske komisije koja ga je nazvala nerazumljivim i komplikovanim.
Ipak, dobra strana ovog Zakona je neophodnost nedvosmislenog pristanka građana na obradu podataka o ličnosti, a kompanije su dužne da građanima detaljno objasne na koji način će te podatke obrađivati. Takođe, svi državni organi moraće da imaju osobu koja je zadužena za zaštitu podataka o građanima. Da li će i na koji način ovo unaprediti zaštitu podataka građana, tek ćemo videti.
Decentralizacija privatnosti
Javne i privatne organizacije, uglavnom vrlo centralizovne, svakodnevno prikupljaju ogromne količine ličnih i osetljivih informacija, koje danas postaju najvrednija imovina.
Građani za to vreme imaju jako malo ili nimalo kontrole nad procesom čuvanja tih podataka i daljim korišćenjem. Niz je primera koji pokazuju kakve sve zloupotrebe se dešavaju kada treća strana dospe u posed ovih podataka, a da pojedinci toga nisu ni svesni.
Potencijalno rešenje je implementacija decentralizovanih sistema kojima bi se isključilo prisustvo treće strane, a korisnici sami kontrolisali svoje podatke.
Jedna od sve češće pominjanih alternativa trenutnom sistemu skladištenja i korišćenja podataka je i tehnologija blokčejn.
Mnogi kripto-entuzijasti, ali i stručnjaci u različitim oblastima, vide upravo ovu tehnologiju kao rešenje za probleme u zaštiti privatnosti. To je navelo mnoge banke da istraže mogućnosti korišćenja blokčejna u finansijskom sistemu, kao i pojedine vlade.
Iako vrlo skeptična po pitanju samih kriptovaluta, Rusija je među zemljama koje su prve prigrlile tehnologiju na kojoj se one zasnivaju.
U junu ove godine ruske institucije potpisale su sporazum sa danskim transportnim gigantom Maersk kojim je dogovoreno pokretanje TradeLens – blokčejn platforme za dostavu. To bi predstavljalo digitalizaciju transportne operacije koja je do sada bila zasnovana na papiru.
Ranije je Novosibirski institut za softverske sisteme (NIPS, deo državnog Rostec-a) predstavio plan za razvoj blokčejna u Rusiji. Dokument omogućava upotrebu ove tehnologije u finansijskim uslugama, industriji, transportu i javnoj upravi, a predložena je upotreba u svim državnim informacionim sistemima, uključujući i glasanje na opštinskom nivou i kontrolu budžetske potrošnje.
Među prvim primerima uspešne primene blokčejna, je i uvođenje ovog sistema u lancu snabdevanja američkog trgovinskog lanca Walmart, razvijen u saradnji sa kompanijom IBM i Tsinghua univerzitetom. Walmart je započeo korišćenje IBM Food Trust Solution, kojim se radi bolje kontrole namirnica od farme do polica supermarketa prati put proizvoda.
Prošle godine je za najbolji srpski startap proglašena kompanija Blinking koju su osnovali profesori Univerziteta u Beogradu, a koja se koja se bavi razvojem softverskih proizvoda primenom blokčejn tehnologije i bezbednosnih rešenja baziranih na biometrijskim podacima, stvarajuci rešenja za upravljanje digitalnim identitetom i zaštitu ličnih podataka.
Ova kompanija potpisala je nekoliko međunarodnih pilot projekata koji bi u bliskoj mogućnosti mogli da transformišu finansijski sistem kakav poznajemo.
Efektnija zaštita podataka i prelazak na sigurnije decentralizovane sisteme predstavlja izazov za budućnost, a vlade i kompanije moraće aktivnije da se uključe i uhvate korak sa ubrzanim razvojem tehnologije da bi tu sigurnost i obezbedile.
*Stavovi izneti u ovom tekstu ne predstavljaju stavove Balkanske istraživačke mreže (BIRN)