Овако професор информационе безбедности и председник OpenLink Групе др Милош Јовановић коментарише све учесталије покушаје превара које су почеле да нам затрпавају мобилне телефоне. Довољно је да се уђе на линк ка измишљеној казни за паркинг или да се онлајн резервише термин за измишљену регистрацију кола и штета је већ учињена.
„Путеви Србије“ поново су скренули пажњу јавности на још један круг СМС порука које садрже преваре, а везане су за аутомобиле. Недавно је иста превара била пуштена у етар и многи су се на њу „опекли“.
Постоји ли икакав закон?
Наш саговорник објашњава да у Србији постоји јасан правни оквир који штити приватност корисника и регулише обраду личних података. Компаније које поседују податке грађана, укључујући операторе мобилне телефоније, имају законску обавезу да те податке чувају и да их не деле трећим лицима без правног основа или сагласности корисника.
Поред саме организације, одговорност постоји и на нивоу руководства и лица задужених за безбедност информационих система. У већим компанијама ту улогу најчешће има директор информационе безбедности, односно CISO, који је одговоран за успостављање политика заштите, управљање ризицима и примену безбедносних мера у складу са законом и професионалним стандардима. Та функција није формална, већ подразумева конкретну одговорност за безбедност система и заштиту података грађана, каже Јовановић за Спутњик.
Уколико се утврди да нису примењене основне мере заштите, да су познати ризици игнорисани или да није реаговано на безбедносна упозорења, одговорност може бити не само дисциплинска или материјална, већ и кривична, додаје он. Закон полази од принципа да лице које је било дужно да организује и спроведе заштиту података не може да се позове на незнање или недостатак ресурса као оправдање за пропуст.
Из овог разлога, каже наш саговорник, информациона безбедност данас није више искључиво техничка тема, већ питање управљања ризицима и одговорности. Свако ко управља системом који садржи личне податке мора бити свестан да пропуст у заштити може имати озбиљне правне и безбедносне последице, како за организацију, тако и за одговорна лица унутар ње.
Ко даје другима наше бројеве телефона?
Јовановић објашњава да у пракси најчешћи узрок „давања“ приватних бројева телефона није продаја података од стране оператера, како већина људи мисли, већ цурење тих истих података из различитих информационих система који садрже велике количине личних података грађана. То могу бити банке, курирске службе, интернет продавнице, здравствене установе, телекомуникационе компаније.
Имали смо у Србији више конкретних безбедносних инцидената који су били широко медијски праћени. На пример, јавност је упозната са сајбер нападима на велике системе, укључујући напад на Телеком Србија и ЕПС, као и са инцидентима у приватном здравственом сектору, као што је случај са системом Medigroup пре неколико година. Ти догађаји су показали да ни велики системи, па ни системи од посебног значаја за функционисање друштва, нису имуни на сајбер нападе.
Када дође до упада у велику базу података, упозорава Јовановићи, последице могу бити дугорочне. Украдени подаци се врло брзо појављују на илегалним платформама где настављају да циркулишу годинама. Због тога грађани често добијају поруке и много времена након што је неки инцидент већ завршен или нестао из фокуса јавности.
Такође, додаје он, постоји и техничка реалност да нападачи не морају увек да имају конкретну базу података. Они могу да користе аутоматизоване системе који генеришу бројеве телефона у серијама и шаљу поруке у огромном обиму, ослањајући се на вероватноћу да ће неко реаговати.
„Путеви Србије“ поново су скренули пажњу јавности на још један круг СМС порука које садрже преваре, а везане су за аутомобиле. Недавно је иста превара била пуштена у етар и многи су се на њу „опекли“.
© Sputnik / Григорий Сысоев
/ Има ли заштите од тога?
Апсолутна заштита не постоји, али ризик може значајно да се смањи ако се поштују основна правила дигиталне безбедности, тврди Јовановић. Најважније правило јесте да се не реагује импулсивно на поруке које изазивају страх или осећај хитности, као што су наводне казне, пакети или позиви из институција. У тим ситуацијама, каже он, увек треба проверити информацију директно код званичне институције или компаније, а не преко линка из поруке.
Такође је важно користити додатне механизме заштите, ограничити дељење личних података на интернету и одмах пријавити сумњиву поруку оператору или надлежним институцијама. Велики број превара успева управо зато што нападачи рачунају на брзу реакцију корисника без провере информација.
Сајбер напади и злоупотребе података више нису изоловани технички инциденти, већ системски изазов савременог друштва. У условима дигитализације, подаци о грађанима постају један од највреднијих ресурса, и управо зато њихова заштита мора бити схваћена као питање безбедности грађана, функционисања привреде и стабилности државе.
Има ли Србија стручњаке који би се тиме позабавили?
У заштиту информационих система и података у Србији се и даље не улаже довољно системски и континуирано - а сајбер безбедност није питање једног пројекта или једне институције, већ дугорочног улагања у знање, људе и организацију, каже наш саговорник.
Реалност је да у земљи постоји једноцифрен број људи који област информационе безбедности разумеју системски, од техничке архитектуре до управљања кризним ситуацијама, и који имају капацитет да у сложеним безбедносним инцидентима ствари врате под контролу. Због тога је неопходно да се ова област третира као питање националне безбедности, јер без озбиљних инвестиција у људске ресурсе и институционалне капацитете ниједан систем, ма колико технички развијен био, не може дугорочно да обезбеди стабилност, поверење и заштиту грађана, закључује Јовановић.
Погледајте и: