Share Fondacija

SHARE Fondacija upozorava na poguban uticaj zloupotrebe tehnologija protiv kritičke javnosti u Srbiji

Dvoje pripadnika civilnog društva iz Beograda dobili su 30. oktobra upozorenje kompanije Apple da su potencijalne mete državno sponzorisanih tehničkih napada. Zahvaljujući dobroj saradnji sa organizacijama civilnog društva u Srbiji, oni su kontaktirali SHARE Fondaciju odmah po prijemu upozorenja i zatražili proveru navoda kako bi se utvrdilo da li su njihovi uređaji napadnuti nekim poznatim špijunskim softverom.

Pošto je tim SHARE Fondacije, u saradnji sa organizacijom Internews, dobio potvrdu od predstavnika kompanije Apple da su upozorenja autentična, mobilni uređaji su analizirani kako bi se utvrdilo da li na njima ima tragova infekcije špijunskim alatima (spyware), među kojima su najpoznatiji Pegasus i Predator. Za konačnu potvrdu, tim SHARE Fondacije se obratio međunarodnim organizacijama Access Now i Amnesty International, koje poseduju visoku ekspertizu u oblasti digitalne forenzike.

Na osnovu pregledanih podataka, ove dve respektabilne organizacije su potvrdile da su na oba mobilna uređaja pronađeni tragovi pokušaja napada koji se dogodio 16. avgusta ove godine. Obe ekspertske organizacije došle su do istih nalaza – da je u inicijalnoj fazi napad pokušan preko ranjivosti u HomeKit funkcionalnosti iPhone uređaja. Špijunski softver Pegasus je ranije dovođen u vezu sa više metoda napada na HomeKit ranjivosti, uključujući i PWNYOURHOME.

SHARE Fondacija upozorava da napadi špijunskim softverom na predstavnike kritičke javnosti imaju poguban uticaj po demokratiju i ljudska prava, naročito u predizbornom periodu. Upotreba špijunskih softvera je nezakonita i nespojiva sa demokratskim vrednostima.

Podsećamo da ove i slične alate za tehničke napade na mobilne uređaje koriste nedemokratski režimi širom sveta za špijunažu predstavnika opozicije, civilnog društva, nezavisnih medija, disidenata i drugih aktera koji nastupaju u javnom interesu. Ovakve aktivnosti ugrožavaju slobodu izražavanja i udruživanja, kao i pravo na privatnost i tajnost komunikacije garantovano domaćim i međunarodnim propisima.

SHARE Fondacija poziva predstavnike medija i civilnog društva koji su dobili istu sistemsku poruku od kompanije Apple da se jave fondaciji za proveru upozorenja. 

NAPOMENA: U skladu sa željama pripadnika civilnog društva koji su bili na meti napada, kao i sa bezbednosnim merama, SHARE Fondacija neće iznositi više detalja o ovom incidentu.

NAPOMENA 2: Deo teksta koji se odnosi na analizu uređaja i ranjivosti koje su ciljane je izmenjen 29. novembra 2023. u 12:32 radi preciznosti.

Čitaj još:

• Projekat Pegasus: šta se dogodilo i kako da se zaštitite
• Sve što ste hteli da znate: forenzika mejlova
• Encrochat: kad policija hakuje

Izbori bez podataka

Onlajn platforme u vlasništvu kompanije Meta i preimenovani Tviter značajno su promenili odnos prema transparentnosti podataka i šta se sa njih može tehničkim metodama prikupiti. “Zatvaranje” podataka naročito predstavlja problem kada je reč o praćenju izbornih kampanja na internetu, kao i drugih pojava poput informacionih poremećaja.

Zašto je sve teže istraživati izbore na društvenim mrežama → SHARE Fondacija

Gugl olakšao pravo na zaborav u Srbiji

U okviru tzv. prava na zaborav o kome smo već pisali, globalni gigant Gugl omogućio je da proces uklanjanja linkova ka zastarelim, nepotpunim i netačnim informacijama iz pretrage bude jednostavno dostupan i građanima Srbije. Neophodno je popuniti onlajn formular i što preciznije navesti koje podatke želite da uklonite iz rezultata pretrage.

Na koji način se obratiti Guglu → SHARE Fondacija

Nedovršena priča o kampanji 2022.

U susret novim vanrednim izborima koji će se održati 17. decembra, podsećamo vas na najvažnije nalaze iz internet kampanje za izbore održane u aprilu prošle godine. Vladajuća stranka je još jednom pokazala visok stepen koordinacije i mobilizacije aktivista, a prvi put smo mogli da vidimo koliko su politički akteri potrošili novca na sponzorisane objave na Fejsbuku.

Kako je izgledala onlajn kampanja za prošlogodišnje izbore → SHARE Fondacija

PLUS:

Koliko su transparentni AI modeli? → Center for Research on Foundation Models 

Gašenje interneta u pojasu Gaze → Access Now

Program Decentrale za naredni period → Decentrala Forum

Onlajn igra: možete li da “razbijete” algoritam? → AlgorithmWatch

Prvi izveštaji o transparentnosti prema Aktu o digitalnim uslugama (DSA) → European Commission

PRIJAVITE SE NA SHARE BILTEN

Kompanija Google je nedavno omogućila građanima Srbije da podnesu zahtev za uklanjanje sadržaja sa ličnim podacima iz rezultata pretrage na .rs domenu popularnog servisa. Obrazac zahteva na srpskom jeziku dostupan je ovde, a procedura je prilično jednostavna. Google se tako pridružio zasad još malobrojnoj grupi globalnih internet servisa koji omogućavaju da se “pravo na zaborav” ostvari i u Srbiji. Ako želite da ga iskoristite, u ovom tekstu vas sprovodimo kroz neophodne korake koje treba preduzeti. Takođe, možete se obratiti SHARE Fondaciji da to uradi za vas.

Za više detalja o pravu na zaborav, pogledajte prvi deo ovog serijala.

Kako do zaborava?

Pogledajmo, dakle, Obrazac zahteva za uklanjanje ličnih podataka. Podnosilac zahteva ga popunjava u svoje ime ili u ime svog klijenta, člana porodice ili prijatelja. Google zadržava pravo da traži punomoćje ili neki drugi dokaz o zastupanju. Direktno u zahtev se ubacuju svi linkovi koji vode do spornih tekstova ili audio-vizuelnih sadržaja u kojima se nalaze podaci o ličnosti koje želimo da uklonimo. Preporuka je da se jednim zahtevom obuhvati između 10 i 100 linkova, radi brže obrade. Potrebno je popuniti i polje u kome se navodi koji podaci su sporni i dati dodatno kratko objašnjenje zašto smatramo da podaci treba da budu uklonjeni. Nakon podnošenja ovog relativno jednostavnog obrasca, Google tim može da vam se obrati sa zahtevom za dodatno objašenjenje ili može da donese odluku bez daljeg odlaganja. Važno je da napomenemo da usvojen zahtev znači da sporni linkovi koji sadrže lične podatke više neće biti dostupni putem pretrage – ali ostaju na internetu. Dakle, uspešnim zahtevom će sa pretrage sajta www.google.rs biti uklonjeni linkovi koji sadrže sporne podatke o ličnosti. Međutim, promenom teritorije ili pretragom recimo www.google.com (ili nekog drugog nacionalnog google domena), linkovi će se i dalje prikazivati u rezultatima pretrage. Ukoliko Google odbije da ukloni tražene linkove, podnosilac zahteva može da se žali protiv ove odluke lokalnom telu za zaštitu podataka o ličnosti. 

Kriterijumi za brisanje

Pravo na zaborav u Srbiji regulisano je članom 30 Zakona o zaštiti podataka o ličnosti, koji  praktično identičan sadržaj tog prava preuzima iz GDPR-a. Ukratko, svako ko želi uklanjanje podataka koji se na njega odnose od onoga ko tim podacima upravlja, ima to pravo, pod uslovom da dokaže da su objavljene informacije neistinite, prikupljene nezakonito ili bez pristanka onoga na koga se odnose, ili da njihovo objavljivanje više nije neophodno. Uz to, ceni se i postojanje javnog interesa za opstanak objavljene informacije. Ovo u praksi znači da ukoliko se informacije odnose na javnu ličnost, postoji veći interes javnosti da bude upoznata a manji stepen zaštite privatnosti i obrnuto, ukoliko je u pitanju ličnost koja ni na koji način ne učestvuje u javnom životu, stepen interesovanja javnosti je manji, pa samim tim i javni interes. Javni interes se ceni i u odnosu na temu, kao i u odnosu na protek vremena. Na primer, smatra se da javnost može biti zainteresovana da zna informaciju o teškim krivičnim delima, jer tako nešto može imati uticaj na bezbednost većeg broja građana. Takođe, ukoliko su podaci objavljeni relativno skoro, postoji veći stepen verovatnoće da su oni i dalje relevantni za javnost. Protekom vremena generalno opada značaj informacije, pa samim tim i raste mogućnost za uspešno uklanjanje podataka.

Drugim rečima, ovo pravo nije apsolutno, već se prilikom njegovog ostvarivanja vodi računa o balansiranju između prava na privatnost i prava javnosti da bude obaveštena. Treba voditi računa da prilikom razmatranja zahteva iz Srbije, Google tim primenjuje iste kriterijume koje propisuje Zakon o zaštiti podataka o ličnosti.

Brisanje sa drugih servisa

U skladu za našim Zakonom o zaštiti podataka o ličnosti, zahtev za uklanjanje spornih ličnih podataka se podnosi rukovaocu podataka. Rukovalac podataka je svako ko je u posedu ovih podataka o ličnosti i njima upravlja. U praksi, to će najčešće biti mediji, internet portali (YouTube, društvene mreže) i internet pretraživači. Ukoliko su uslovi za brisanje ispunjeni, ovi rukovaoci su dužni da postupe po zahtevu bez odlaganja i uklone sporne podatke o ličnosti. U Srbiji je već bilo uspešnih primera ostvarivanja prava na zaborav na internetu. SHARE Fondacija je vodila slučaj brisanja YouTube kanala, što je bio prvi uspešan primer ostvarenog prava na zaborav u Srbiji. Kroz primenu GDPR-a u Evropskoj uniji, praksa prava na zaborav razvila se posebno u odnosu na podatke koji su dostupni preko internet pretraživača, pre svega preko Google pretraživača. Činjenica je da je Google uvođenjem standardizovanog zahteva značajno olakšao postupak zainteresovanim podnosiocima. Međutim, ovo ne treba da vas obeshrabri da zahtev podnesete i drugim rukovaocima. Ukoliko oni nemaju standardizovane obrasce, moguće je da podnesete zahtev u slobodnoj formi, tako što ćete naznačiti koje podatke o ličnosti želite da se uklone i obrazložiti zašto smatrate da postoje uslovi za njihovo uklanjanje.

Javite nam se ukoliko imate potrebu za uklanjanjem podataka o ličnosti sa Google pretraživača ili internet portala, a treba vam pomoć. Pravni tim SHARE Fondacije će razmotriti vaš slučaj i pružiti vam korisne savete ukoliko postoji osnov za pokretanje postupka.

Čitaj još:

• Kako nestati sa interneta: pravo na zaborav
• Internet ipak može da zaboravi: kako je izbrisan jedan YouTube kanal
• SHARE doveo Google u Srbiju

Uoči novih izbora i predizborne kampanje, koja deluje da će biti intenzivna koliko i kratka (6 nedelja), opet smo suočeni sa komplikovanom situacijom – kako istraživati kampanje na društvenim mrežama kada u svakom izbornom ciklusu imamo sve manji pristup podacima? Kakve su razlike u odnosu na prethone izborne cikluse i zašto se opseg dostupnih podataka stalno smanjuje?

Kako se prikupljaju podaci sa društvenih mreža?

Svaka društvena platforma trebalo bi da ima svoj API (Application Programming Interface), softver koji dopušta drugim uređajima da se povežu sa platformom i sa nje prikupljaju informacije i podatke. U slučaju istraživačkog posla, API-ji su ti koji nam omogućavaju da prikupimo podatke o tome koliko korisnika prati određene naloge, kako izgleda njihov odnos sa tim nalozima, koliko daleko određene poruke mogu da dosegnu na mrežama i na koji način se te poruke šire. Sve su to informacije koje nam dopuštaju da analiziramo zašto su društvene mreže toliko važne za savremenu komunikaciju. Pristup tim podacima ništa ne košta mreže ni kompanije u čijem su vlasništvu, a za uzvrat neverovatno mnogo daje istraživačkim, novinskim i akademskim timovima koji nastoje da analiziraju izborne cikluse i druge važne društvene događaje. Ipak, čini se da se u poslednje vreme sve više velikih kompanija odlučuje da ograniči pristup podacima sa svojih platformi, najčešće kroz ograničavanje svog API-ja. 

Iks i Meta – dva najznačajnija slučaja

Najveće iznenađenje bile su promene koje su uvedene na platformi Iks, ranije poznatoj kao Tviter. Nekad je to bila jedna od društvenih mreža koja je dopuštala najveći pristup svojim podacima, u odnosu broja korisnika i količine dostupnih podataka, i važila je za jednu od najtransparentnijih društvenih mreža. Nakon što je Elon Mask kupio Tviter, sklonio ga sa berze i prekrstio u kompaniju Iks, odlučio je da ta vrsta transparentnosti nije nešto što je važno održavati i polako ali sigurno počeo da podriva ceo sistem izveštavanja i pristupa koji je ova platforma godinama gradila. Tako je u jednom od svojih prvih poteza, Mask potpuno raspustio, a zatim ipak vratio ali u slabijem izdanju Savet za poverenje i bezbednost (Trust and Safety Council), koji je 2016. godine formiran da se bavi pitanjima kao što su govor mržnje, pretnje i širenje dezinformacija na platformi. Uspostavljanje Saveta bio je odgovor na američke izbore i Bregzit referendum 2016. godine, odnosno na rastući pritisak javnosti zbog uticaja društvenih mreža na demokratske procese. 

U martu 2023. godine, saopšteno je da su promenjena pravila pristupa Tviterovom (Iksovom) API-ju i da će najjeftiniji paket za pristup podacima sa platforme omogućiti prikupljanje 50 miliona tvitova (ili iksova, još nije razjašnjeno) po ceni od 42,000 dolara mesečno. Poređenja radi, Tviterov API je ranije bio besplatan za istraživače, dok je najskuplji premijum paket koji se nudio kompanijama sa 100-250 korisnika koštao nešto manje od 3000 dolara mesečno. 

Više nego desetostruko veća cena ukazuje na to da nije reč samo o promeni pravila, već o ozbiljnoj nameri da se spreči pristup podacima sa platforme. Sam Mask je rekao da je besplatni API bio zloupotrebljavan od strane “botova i manipulatora mišljenja” i da se na to mora staviti tačka. I stavio je tačku, na desetine ako ne i stotine istraživanja širom sveta, kojima je jedina namera bila da ukažu na društvene fenomene i informacione poremećaje, da skrenu pažnju na manipulacije u digitalnom prostoru i da mapiraju kako se uticaj širi mežama. Zaista je teško uopšte pobrojati koliko je važnih istraživanja nastalo iz analiziranja Tvitera, koji važi za politički najvažniju platformu i koja je ujedno i najkorišćenija mreža među novinarima. Mask je takođe podneo tužbu protiv Centra za suzibijanje digitalne mržnje (Center for Countering Digital Hate), koji se bavi dokumentovanjem incidenata i širenjem svesti o govoru mržnje, tvrdeći da su prikupljanjem podataka sa platforme prekršili zakon i da istraživanjem diskredituju platformu i rasteruju oglašivače. Zbog svega ovoga još je teže poverovati da u ovom slučaju Mask zaista brine o zloupotrebi podataka sa platforme, već da u stvari mnogo više brine o rezultatima koje ovakva istraživanja mogu da donesu i koliko bi ga transparetnost koštala. Jedno od prvih istraživanja nekoliko meseci nakon Maskovog preuzimanja Tvitera, pokazalo je da je govor mržnje eksponencijalno porastao na platformi. 

Analiza prošlogodišnjih izbora u Srbiji pokazala je da je uticaj i stepen organizovanja vlasti na Tviteru daleko veći nego kod opozicionih stranaka. Ovaj nalaz se poklapa sa podacima Internet observatorije Stenford Univerziteta o botovskim strukturama na srpskom Tviteru iz 2020. godine koje rade u korist vladajuće strukture na mrežama kroz amplifikaciju sadržaja i fabrikovanje podrške kako bi stvorili privid veće podrške vlastima u društvu. Takođe u analizi prošlogodišnjih izbora, jasno su uočeni obrasci neautentičnog ponašanja kada je u pitanju distribucija sadržaja. Naime, kada su određeni nalozi koji pripadaju visokim zvaničnicima Srpske napredne stranke delili određen sadržaj, hiljade naloga bi podelilo isti taj sadržaj direktno sa njihovog naloga. Ovo ukazuje na organizovane operacije deljenja koje za cilj imaju podizanje vidljivosti i angažmana sa datim sadržajem preko platforme. Nažalost, ove godine zbog promena u Iksovoj strukturi, nećemo imati mogućnosti da analiziramo predizbornu komunikaciju na Iksu i na taj način su nam zatvorena značajna vrata za uvid ne samo u predizbornu kampanju, već i uopšte u stanje političke komunikacije u zemlji.  

“Kreći se brzo i lomi stvari” bio je prvobitni slogan Fejsbuka dok je još bio nešto između bloga i fakultetske ideje i mnogo pre nego što je postao vrhovni komandant u ekonomiji pažnje. I brzo se kretao i lomio je Fejsbuk, toliko da se već godinama čini da ne može da se izvuče iz svih loših i problematičnih priča koje iskaču sličnom brzinom kao sada novi trendovi na Tiktoku. I dosta toga je zaista ostalo slomljeno u trci ove platforme da postane broj jedan – širenje lažnih vesti i dezinformacija, govor mržnje, ksenofobija, mizoginija, transfobija i homofobija, organizovane i individualne pretnje i napadi i još pregršt primera opasnih ponašanja koja, kada nisu dovoljno pod prismotrom, mogu da izazovu ozbiljne probleme u demokratskim, a još više u nedemokratskim društvima. Jer ono što smo sigurno shvatili u poslednjoj deceniji jeste da ono što se dešava u digitalnom prostoru retko kada tamo i ostane.  

Kada je u pitanju davanje pristupa istraživačima, Meta se ipak ne kreće tako brzo, iako bolje od brojnih drugih platformi. U prethodnim godinama kompanija je na nekoliko načina pokušala da pruži pristup podacima sa svojih platformi (Fejsbuk i Instagram), iako su njihove unutrašnje procedure i dalje dosta čvrsto zatvorene i nejasne. Što se tiče njihovog API-ja, Meta je uvek bila dosta zatvorenija od drugih kompanija i skoro jedva je davala pristup bilo kome spolja da se direktno povezuje na njihov program, pa je istraživanje Fejsbuka i Instagrama uvek išlo nekako izokola. Meta je 2016. kupila CrowdTangle, jedan od najkorišćenijih alata za istraživanje veza i uticaja na Metinim platformama, a zatim je ponuđen istraživačima za besplatno korišćenje. Danas doduše to više nije slučaj, pa alat ne dopušta novim korisnicima da se prijave, već je pristup svim opcijama za istraživanje sadržaja moguć samo onima koji su ranije bili registrovani. 

Nakon tog preokreta, SHARE Fondacija je pratila vanredne parlamentarne izbore 2016. i predsedničke izbore 2017. godine. Za tu analizu bio je dostupan najveći broj podataka – analizirane su interakcije zvaničnih stranica i naloga kandidata i političkih stranaka sa pratiocima i ostalim korisnicima, praćeno je koje objave su izazivale najveći stepen angažovanja kod korisnika, uz analizu odnosa između broja lajkova i komentara na objavama. Ova količina podataka omogućila je sveobuhvatno mapiranje digitalnog okruženja u kojem su se ovi izbori odigravali i dali jedan od prvih uvida u predizborni digitalni prostor u Srbiji. 

Ipak, potrebno je napomenuti da je Meta od 2020. godine uvrstila Srbiju, Crnu Goru i Severnu Makedoniju na spisak zemalja u kojima se zahteva određen standard transparentnosti kada je u pitanju političko oglašavanje. Ova pravila odnose se prvenstveno na sponzorisano oglašavanje na Fejsbuku i Instagramu i podrazumevaju da svi oglašivači i oglasi moraju da sadrže odeđene informacije kako bi mogli da budu verifikovani za oglašavanje na ovim platformama. Među najvažnijim izmenama je upravo uslov da svaki oglas mora da sadrži informacije o naručiocu, odnosno osobi ili stranici koja plaća oglas. Takođe je moguće videti i ko je sve video oglas, kao i demografske podatke o polu, starosnom dobu i lokaciji koja je oglasom targetirana. Svi ovi podaci su takođe dostupni u biblioteci reklama (Ads Library) i mogu se skinuti u čitljivom formatu i lako obraditi. 

Kako se to sve odražava na izbore?

Sledeća godina već se najavljuje kao godina velikih izbora, sa izbornim trkama zakazanim u preko 40 zemalja širom sveta, uključujući SAD, Indiju, Tajvan i Evropsku uniju. Važno je imati u vidu da se na tom spisku zemalja nalaze neke od najvećih i najvažnijih demokratija, onih koje aktivno učestvuju u kreiranju globalnog zakonodavnog okvira kada je u pitanju digitalni prostor. Evropski parlament je u poslednjih nekoliko godina aktivno radio na nekim od najvažnijih zakona koji se tiču uređivanja digitalnog prostora u Evropskoj uniji – akt o digitalnim servisima, akt o digitalnim tržištima i akt o veštačkoj inteligenciji. Takvi zakoni uglavnom onda služe kao šablon za druge zemlje i zbog toga je njihovo donošenje toliko i važno. Iz godine u godinu čitamo sve više izveštaja koji nas upozoravaju na uticaj koji društvene mreže imaju na demokratiju, na izborne procese, na javno mnjenje i na sveopšte stanje u društvu. Pandemija koronavirusa, rat u Ukrajini, rat između Izraela i Hamasa – sve su primeri tema koje su u poslednjih nekoliko godina polarizovale društveni diskurs i koje su doprinele podelama u društvu – onim vrstama podela koje se u predizbornim vremenima mogu iskorišćavati za konsolidovanje pristalica. 

Uticaj društvenih mreža na predizborne kampanje, poverenje u državne institucije i formiranje javnog mnjenja trenutno je jedno od najdinamičnijih polja istraživanja. Razlog za to su pravila koja se toliko često menjaju da ih ne možemo ni zvati pravilima, kao i nedostatak transparentnosti na svakom nivou, od kompanija preko državnih struktura pa sve do samih korisnika i građana. Postoji nekoliko ključnih karakteristika u kojima se ogleda moć koju društvene mreže imaju i koje mogu da pomognu u objašnjavanju njihovog uticaja na celokupno društvo danas.

Za početak, društvene mreže ujedno predstavljaju izvor, kanal ali i krajnju destinaciju za informacije. Za razliku od tradicionalnih medija, novi kanali komunikacije nemaju jednosmernu putanju koja podrazumeva linearno slanje informacije od izvora ka publici. U slučaju novih medija, u koje spadaju i društvene mreže, korisnici sami učestvuju u oblikovanju, slanju, širenju ali i interpretaciji vesti mnogo više nego što je to bio slučaj sa tradicionalnim medijima. Naravno, što je manje podataka dostupno sa društvenih mreža, mnogo je teže uočiti ove veze između raznih medija – kao na primer kako određeni nalozi koji za cilj imaju dezinformisanje javnosti, neretko dele vesti sa lažnih portala koji svoje vesti uglavnom i kroje na tim istim mrežama, i na taj način upadaju u začarani krug gde je teško odrediti odakle te dezinformacije tačno potiču.  

Pod dva, monopol koji je zauzeo digitalni prostor konačno dolazi na naplatu – nakon više od deset godina vrednog i marljivog rada, pet gigantskih tehnoloških kompanija uspelo je da postigne skoro potpunu kontrolu nad tržištem. Iako zvuči paradoksalno da čak pet kompanija ima monopol, tajna njihovog “uspeha” leži u tome što su linije njihove kontrole u većini slučajeva veoma jasno nacrtane: društvene mreže, instant komunikacija i prihodi od ekonomije pažnje pripadaju Meti, nekada poznatijoj kao Fejsbuk, dok brojni skandali i sporovi nisu ukazali na to da je možda vreme za novo ime; reklame i prihodi od takozvanog “nadzornog kapitalizma”, u kojem naši uređaji pre nas samih znaju šta želimo, pripadaju nikome drugom nego Guglu, čiji je prvobitni moto “ne budi zao” 2015. godine promenjen u “uradi pravu stvar”, zajedno i sa imenom kompanije koja od tada postaje poznata kao Alfabet. Ipak, trendu promene imena nije potpala preostala trećina velike petorke, u kojoj se Amazon i Majkrosoft bore za prvo mesto u ponudi digitalnih usluga, dok je Epl odavno broj jedan kada je u pitanju prodaja tehnoloških uređaja. Meta je kao vrhovni vođa društvene komunikacije na internetu već više puta bila kritikovana i ispitivana od strane najviših pravnih sudova i u Americi i u Evropi. Ali uprkos velikim otkrićima kao što su manipulacija sadržaja na svojim platformama, širenja govora mržnje i lažnih vesti do takvih razmera da je to dovelo do oflajn genocida – i stavljanje profita pre dobrobiti svojih korisnika, Meta je i dalje uspela da sačuva svoje globalno vođstvo.  

Treće – važno je napomenuti da je ovo retko jednostavan proces – prikupljanje i analiziranje podataka kroz nezvanične kanale uvek iziskuje ogromne resurse, bilo da su u pitanju znanja za korišćenje određenih programa ili posedovanje tehničke infrastrukture za prikupljanje podataka, do mentalnih i fizičkih kapaciteta samih istraživača koji ulažu živce i neretko jako puno svog vremena. I naravno, većina njih se neće žaliti jer je između ostalog to deo njihovog posla koji najviše cene i vole, kada mogu da ukažu društvu na načine na koje se vrše zloupotrebe i kako se na njih može reagovati, ali činjenica da su ovi podaci nešto što bi moglo u tri klika da se dobije posloženo jeste porazno kako za istraživače, tako i za same kompanije. 

Upravo zbog toga je važno da mi kao istraživači_ce imamo pristup podacima sa društvenih mreža, da bismo mogli da pratimo na koje sve načine demokratski procesi mogu da budu ugroženi ili zloupotrebljeni i da možemo da pozivamo na odgovornost one koji to rade. Uprkos preprekama, bilo namernim ili ne, istraživanje društvenih mreža nije nešto što će ikada postati nemoguće, jer ljudi koji rade u ovom polju svakodnevno nalaze načine da pristupe informacijama kroz nezvanične kanale i na taj način nastave borbu za informisanje javnosti, ukazivanje na probleme u društvu i jasnog iznošenja istine – čak i onda kada neko pokuša da put do te istine ograniči.

Mila Bajić je glavna istraživačica SHARE Fondacije sa fokusom na odnos novih medija, tehnologije i privatnosti.

Čitaj još:

• Od objave do obmane: šta nam govori Metin poslednji izveštaj?
• Predizborna onlajn kampanja 2022: Nedovršena priča
• Izbori 2022: Kampanja na Tviteru

Mesec digitalne bezbednosti

Oktobar je tradicionalno mesec posvećen edukaciji o digitalnoj bezbednosti. Uskoro kreće naša kampanja koja će kroz zagonetke pojasniti neke od najvažnijih pojmova iz ove oblasti, kao što su VPN, enkripcija ili menadžeri lozinki.

Pratite nas na Fejsbuku, Iksu i Instagramu tokom oktobra i proverite svoje znanje!

Saveti za procenu rizika

Kako se rizici u digitalnom okruženju konstantno menjaju, adekvatna i blagovremena procena rizika je od velikog značaja za informacionu bezbednost svake organizacije. Naš najnoviji blog pruža savete kako da efikasno sprovedete ove procese i zaštitite ključne digitalne resurse vaše organizacije od mogućih incidenata.

Koji su elementi procene rizika → SHARE Fondacija

Freedom on the Net 2023

Tim SHARE Fondacije je i ove godine u saradnji sa organizacijom Fridom haus pripremio izveštaj o stanju internet sloboda u Srbiji. Bodovano je stanje u tri ključne oblasti prema Fridom haus metodologiji: kvalitet pristupa internetu, ograničavanje sadržaja i kršenje prava korisnika.

Kako se Srbija kotira u globalnom kontekstu → Freedom House

PLUS:

“Predator Files”: Dubinska tehnička analiza Intellexa špijunskih alata → Amnesty International Security Lab

Verifikacija uzrasta ne može da zaštiti decu onlajn → European Digital Rights (EDRi)

Potencijalne implikacije Akta o slobodi medija EU → TechCrunch

Da li će Meta uvesti pretplatu za Fejsbuk i Instagram → NOYB

Sajber napad koštao lanac hotela 100 miliona dolara → The Record

PRIJAVITE SE NA SHARE BILTEN

Uvod

Sajber bezbednost je postala imperativ u modernom poslovnom okruženju, budući da su organizacije svih veličina i delatnosti često izložene raznim sajber pretnjama i rizicima. Kako se tehnologija razvija i digitalni prostor postaje sve prisutniji, sposobnost organizacija da adekvatno prepoznaju, procene i upravljaju sajber rizicima postaje ključni faktor njihovog dugoročnog uspeha.

U ovom tekstu proći će se kroz proces procene rizika i važnost stvaranja individualne matrice rizika prilagođene specifičnim potrebama organizacije. Razumevanje ovih koncepata omogućava organizacijama da bolje zaštite svoje digitalne resurse, identifikuju potencijalne pretnje i adekvatno smanje nivo rizika. 

Šta je sajber bezbednosni rizik?

Sajber bezbednosni rizici se odnose na gubitak poverljivosti, integriteta ili dostupnosti informacija, podataka ili informacionih (ili kontrolnih) sistema i odražavaju potencijalne negativne posledice na organizacione operacije (tj. misiju, funkcije, imidž ili reputaciju), imovinu, pojedince, druge organizacije i naciju.

Rizik sam po sebi ne mora biti ni pozitivan ni negativan. Rizik predstavlja mogućnosti / ranjivosti da neka potencijalna pretnja ugrozi neki resurs. Ta mogućnost predstavlja ustvari ranjivost organizacije: ako na primer zaposleni koriste slabe lozinke ili koriste slične lozinke za više naloga, to predstavlja ranjivost i postoji rizik da se lako otkriju lozinke i da napadač dobije pristup nalozima zaposlenog.

Rizik = Pretnja + Ranjivost + Uticaj (Vrednost imovine)

Organizacije svakodnevno upravljaju rizicima. Procena rizika sajber bezbednosti je proces identifikacije, analize i ocene rizika. Pomaže da se odredi koje su prakse, mere i procedure sajber bezbednosti adekvatne kao odgovor na  rizike sa kojima se suočava svaka organizacija, a da se dodatno ne izgube vreme, trud i resursi. Osim što poboljšava razumevanje bezbednosnih rizika i smanjuje nepovoljne poslovne ishode, tačna procena rizika osigurava i efikasno i efektivno raspoređivanje kapaciteta i preventivno reagovanje na rizik.

Ključni koraci procene rizika

Prvi korak jeste da se odrede digitalne vrednosti koje se žele zaštiti u organizaciji (na primer mejl nalozi, nalozi na društvenim mrežama, rezervne kopije podataka, uređaji, lokalna mreža, vebsajt organizacije), onda je potrebno prioritizovati te vrednosti na osnovu ozbiljnosti posledica koja bi nastale da se određena vrednost ugrozi i verovatnoće da ta vrednost bude ugrožena i potom je potrebno odrediti koje bi sve potencijalne pretnje mogle da ugroze digitalnu bezbednost organizacije i po potrebi konkretno svaku vrednost. 

Sledeći važni koraci jesu analiza svih do sada implementiran bezbednosnih mera i dobrih praksi u organizaciji kako bi se uočili nedostaci i potencijalne ranjivosti i kako bi se popravilo opšte preventivno reagovanje organizacije na rizike.

Matrica procene rizika

Matrice procene rizika su popularan alat za vizualizaciju rizika. Najčešća matrica je grafikon ili tabela koja preseca verovatnoću ostvarenja pretnje i ozbiljnost ili štetnost posledica. Zavisno od mesta gde se presecanje ove dve karakteristike rizika dogodi na osama, može se odrediti nivo rizika. Ovaj vizuelni alat omogućava organizacijama da analiziraju svoje rizike i prioritetizuju one koji zahtevaju hitno kontrolisanje i one koje mogu biti tolerisani.

Matrice rizika takođe pružaju trenutni pregled pretnji u određenom trenutku. Da bi se osigurala tačnost i adekvatnost matrice rizika, ovaj proces treba sprovoditi redovno, jednom godišnje ili kada postoji potreba za tim.

Matrica rizika odgovara na dva pitanja:

Koja je verovatnoća da će se ovi rizici dogoditi?

Kakve će biti posledice ovih rizika po organizaciju?

Važna pitanja

Procena rizika i pravljenje matrice rizika su subjektivne aktivnosti i zavise od trenutnog osećaja organizacije ili iskustava iz prošlosti, međutim postoje određena pitanja koja mogu pomoći da se što bolje odrede rizici. 

• Resursi koji treba da budu zaštićeni → identifikovati najranjivije resurse
• Identifikovati pretnje za svaki resurs → uzeti u obzir pretnje sa kojima ste se susreli u prošlosti
• Zašto mislite da je vaša organizacija bila ciljana ili bi mogla biti ciljana?
• Da li biste preduzeli mere protiv pretnje ili biste je zanemarili?
• Da li je taj rizik prihvatljiv za vašu organizaciju?
• Da li postoje mere (preventivne i reaktivne) koje se trenutno primenjuju u vašoj organizaciji u vezi sa digitalnom bezbednošću?
• Ko je odgovoran za sprovođenje ovih mera?
• Vremenski okvir za sprovođenje (kada biste reagovali)
• Kakvi su trenutni nedostaci digitalne bezbednosti vaše organizacije?

Nivo rizika

Nakon identifikacije svih mogućih rizika, sledeći korak je njihova analiza. Procena nivoa rizika označava procenu prihvatljivosti rizika po rad organizacije. 

Nivo Rizika = Verovatnoća + Ozbiljnost / Posledica

Tokom procesa kreiranja matrice rizika, potrebno je prioritizovati rizike, odnosno odrediti nivo rizika. 

Faktori koji se razmatraju prilikom prioritetizacije rizika uključuju:

• Potencijalni finansijski gubitak
• Izgubljeno vreme
• Ozbiljnost uticaja
• Dostupnost resursa za upravljanje rizikom

Analiza rizika pomaže organizacijama da razviju odgovore na ove rizike u zavisnosti od njihove ozbiljnosti i razumeju kako utiču na različite aspekte poslovanja.

Postoje sledeća 4 nivoa rizika:

• Ekstremni rizici (extreme)
• Veoma opasni rizici (high)
• Opasni rizici (medium)
• Minimalno opasni rizici (low)

Zavisno od nivoa rizika dalje se određuje način reagovanja i kontrolisanja ili umanjenja rizika.

Kako preventivno uticati na sajber bezbednosne rizike, odnosno kako se zaštititi?

Nakon detaljne analize rizika, rizici treba da budu rangirani po ozbiljnosti i zatim prioritetizovani. 

Rizici koji bi uzrokovali male ili nikakve neprijatnosti po svakodnevne aktivnosti organizacije predstavljaju minimalno opasne rizike i ne zahtevaju resurse da se njima upravlja, dok se rizici koji značajno utiču na rad i funkcionisanje organizacije smatraju ekstremno opasnim rizicima i zahtevaju posebno obraćanje pažnje na njih i korišćenje resursa da bi se ti rizici umanjili. 

Uobičajene strategije za ublažavanje rizika uključuju:

Kontrolisanje i smanjenje rizika – predstavlja strategiju gde je cilj da se uklane li smanje rizici, s tim da se treba imati u vidu da potpuno eliminisanje rizika nije moguće. Na šta se može uticati jeste na izvor rizika, eliminisanjem izvora rizika, može se ukloniti i potencijalni rizik. Smanjenje rizika se postiže primenom adekvatnih bezbednosnih mera i praksi. 

Stručna pomoć i konsultacije – predstavlja kontaktiranje eksterne IT podrške kako bi se efikasno reagovalo na identifikovane rizike. Ovo može uključiti i angažovanje eksternih konsultanata za procenu rizika i rešavanje bezbednosnih problema.

Implementacija dobrih bezbednih praksi – podrazumeva da se ustanove i sprovode bezbednosne politike i procedure u okviru organizacije kako bi se smanjili sajber incidenti. Takođe to podrazumeva i usklađenost sa sajber bezbednosnim standardima i regulativama. 

Edukacija zaposlenih i sticanje veština – ovo uključuje edukaciju zaposlenih o osnovnim konceptima rada i funkcionisanja informacionih sistema i sajber bezbednosti, kao što su prepoznavanje sajber pretnji, razumevanje rada računara i prepoznavanje potencijalno sumnjivih aktivnosti. Edukacija zaposlenih treba da obuhvati upoznavanje sa alatima za sajber bezbednost, kao što su antivirusni programi, firewall-ovi, password menadžeri, enkripcija i drugi alati i prakse koji pomažu u prevenciji rizika.

Redovno praćenje i analiza rizika – podrazumeva kontinuirano praćenje i analizu sajber prostora kako bi se brzo identifikovali novi rizici ili incidenti. Ovo uključuje i analizu trenutnog stanja u organizaciji i trenutnih potreba organizacije i poboljšavanje bezbednosnih strategija i procedura u skladu sa promenama. 

Podizanje nivoa kulture sajber bezbednosti – predstavlja promovisanje kulture sajber bezbednosti unutar organizacije, gde svaki zaposleni razume svoju ulogu u očuvanju bezbednosti i zna kako da reaguje u slučaju sajber rizika ili incidenata.

Ove strategije treba prilagoditi potrebama i mogućnostima vaše organizacije kako biste efikasno upravljali rizicima.

Proces upravljanja rizikom

Da sumiramo, postoji pet glavnih koraka u procesu upravljanja rizikom koje organizacije treba da prate:

Identifikacija potencijalnih rizika:

Ovaj korak podrazumeva prepoznavanje i dokumentovanje svih potencijalnih rizika sa kojima se organizacija može suočiti. To uključuje identifikaciju unutrašnjih i spoljašnjih faktora koji mogu uticati funkcionisanje organizacije. Ovom koraku treba da prethode identifikovanje i prioritizovanje digitalnih vrednosti i identifikovanje svih potencijalnih pretnji. 

Analiza rizika:

Nakon identifikacije rizika, organizacija treba da sprovede dublju analizu kako bi razumela njihovu verovatnoću i uticaj na poslovanje. U ovom koraku se kreira matrica rizika. 

Evaluacija rizika:

U ovom koraku, organizacija procenjuje nivoe rizika u skladu sa klasifikacijom u matrici. Rizici se obično klasifikuju kao ekstremni, visoki, umereni ili niski, što pomaže organizaciji da usmeri svoje resurse na najvažnije pretnje.

Tretiranje rizika:

Ovaj korak obuhvata donošenje odluka o tome kako će se postupiti sa identifikovanim rizicima. Postoje četiri osnovne strategije za upravljanje rizicima: prihvatanje (ako je rizik nizak ili se može prihvatiti), izbegavanje (ako je moguće), smanjenje (preduzimanjem preventivnih mera) i prenošenje rizika (npr. putem osiguranja). Organizacija treba da odabere odgovarajuću strategiju za svaki identifikovani rizik.

Redovno praćenje i pregled rizika:

Upravljanje rizikom nije statičan proces, već dinamičan. Organizacija treba neprestano da prati i pregleda rizike kako bi bila sigurna da su identifikovani rizici još uvek relevantni i da se nisu promenili. Takođe je važno pratiti i efikasnost primenjenih strategija za upravljanje rizicima i prilagoditi ih ako je potrebno u skladu sa promenama u organizaciji. 

Ovaj proces upravljanja rizikom pomaže organizacijama da bolje razumeju svoje izazove i pretnje, bolje se pripreme za njih i smanje potencijalne negativne uticaje na poslovanje.

Koristan alat za procenu rizika od sajber pretnji

RAWRR je open-source alat koji automatizuje sve navedene korake i kreira matricu rizika. Na jednostavan način mapira rizike i daje mogućnost generisanja izveštaja. U RAWRR možete da unesete sve vrednosti koje želite da zaštitite i uporedo sa tim unosite i sve potencijalne pretnje. Postoji opcija da se doda i deo o merama i praksama koje se do sada primenjuju u organizaciji, a pored toga i deo u kom možete da unesete sve nove mere i dobre prakse koje bi bile korisne za preventivno delovanje i umanjenje rizika. Dostupan je na nekoliko jezika i moguće ga je prevoditi i lokalizovati i na nove jezike.

Zaključak

Procena rizika pomaže identifikaciju ključnih digitalnih resursa koji bi mogli potencijalno biti ugroženi raznim pretnjama sajber bezbednosti. Omogućava organizacijama da planiraju odgovarajuće mere sajber bezbednosti i smanje šanse da se rizici ostvare. Međutim, nije uvek moguće potpuno eliminisati rizike.

Organizacije moraju kreirati individualne matrice rizika prema svojim poslovnim potrebama, i te matrice treba smatrati poverljivim.

Ninoslava Bodganović je ekspertkinja za sajber bezbednost u SHARE Fondaciji. Njeno polje delovanja su analiza stanja digitalne bezbednosti i izgradnja bezbednosnih mera i procedura u organizacijama za zaštitu od sajber napada, kao i pružanje pomoći u slučaju sajber incidenata.

Čitaj još:

• Sve što ste hteli da znate: forenzika mejlova
• Hakerspejsovi i zajednice u Srbiji
• Kako je Novi Sad otet i zaključan: studija slučaja ransomver napada

AI Master Class stipendije

Institut za veštačku inteligenciju Srbije i FON pokreću AI Master Class, prvi edukativni program o pravnim i etičkim izazovima regulacije veštačke inteligencije. Prijave su u toku, a za predstavnike civilnog društva, medija, naučno-istraživačke zajednice i srodnih sektora obezbeđene su stipendije.

Više informacija o programu → SHARE Fondacija

Ne smišljaj lozinke, generiši ih

Kvalitetne lozinke uopšte ne moraju da zadaju muke jer su nam dostupni menadžeri lozinki, koji u bezbednom formatu čuvaju sve vaše kredencijale. Potrebno je malo navikavanja, ali iskustvo pravljenja novog naloga ili ažuriranja postojećih lozinki je daleko pogodnije – i bezbednije.

Naučite kako da upravljate kredencijalima → SHARE Fondacija

Nova Strategija zaštite podataka o ličnosti

Vlada Srbije je krajem avgusta usvojila Strategiju zaštite podataka o ličnosti za period do 2030. godine. Osnovni cilj ovog ambicioznog dokumenta je poštovanje prava na zaštitu podataka o ličnosti u svim oblastima života, te je od ključnog značaja da što pre bude usvojen Akcioni plan za sprovođenje strategije.

Koji su ostali ciljevi strategije → SHARE Fondacija

PLUS:

Međunarodna organizacija za zaštitu medija pod DDoS napadima → International Press Institute (IPI)

UK: novi zakon ugrožava digitalne slobode → Electronic Frontier Foundation (EFF)

Ozbiljne implikacije Metaversa po privatnost → The Record

Prvi slučaj ruske novinarke špijunirane pomoću Pegasus-a → Meduza

Kako rade ChatGPT i slični AI modeli → Understanding AI

PRIJAVITE SE NA SHARE BILTEN

Vlada Republike Srbije usvojila je 25. avgusta 2023. godine Strategiju zaštite podataka o ličnosti za period od 2023. do 2030. Predstavnici SHARE Fondacije učestvovali su u radnoj grupi koja je pripremila tekst Strategije i sa zadovoljstvom možemo reći da smo, 13 godina nakon prve strategije u ovoj oblasti i pet godina nakon usvajanja novog Zakona o zaštiti podataka o ličnosti – dobili strateški dokument čiji je osnovni cilj definisan kao “Poštovanje prava na zaštitu podataka o ličnosti u svim oblastima života”. Na predlog SHARE Fondacije, osnovni pokazatelj da je ovaj cilj ispunjen biće odluka Evropske komisije da u Srbiji postoji adekvatna zaštita podataka o ličnosti. Ovakva odluka jeste u nadležnosti organa EU, ali podrazumeva rigoroznu proceduru i ispunjenje brojnih uslova kao što su vladavina prava, relevantni zakonski propisi, funkcionalni mehanizmi zaštite i nezavisni organi u ovoj oblasti. To znači da bi donošenju takve odluke moralo da prethodi značajno unapređenje zaštite podataka o ličnosti, od čega bi pre svega koristi imali građani, dok bi domaće kompanije profitirale jer bi bila olakšana saradnja sa kompanijama iz EU, s obzirom na to da se ne bi zahtevalo dodatno ispunjenje uslova za slobodan transfer podataka o ličnosti između Srbije i EU.

Imajući u vidu najznačajnije probleme i pitanja u ovoj oblasti, osnovni cilj Strategije dalje je razrađen kroz tri posebna cilja. 

Unapređeni funkcionalni mehanizmi zaštite podataka o ličnosti

Ispunjenje ovog cilja između ostalog podrazumeva izmenu zakondavnog okvira, a pre svega izmenu Zakona o zaštiti podataka o ličnosti kako bi se razjasnile nedovoljno jasne odredbe i mehanizmi koji ne postoje u domaćem pravnom sistemu. Značajno je da se na osnovu predloga SHARE Fondacije u Strategiji pominje mogućnost da Poverenik izriče upravne mere, što bi moglo dovesti do pooštravanja kaznene politike jer bi, umesto prekršajnih sudova, kazne izricao direktno Poverenik, a iznosi bi mogli biti viši od do sada propisanih maksimalnih 2 miliona dinara i ići u pravcu kazni propisanih GDPR-om (20 miliona evra ili 4% ostvarenih prihoda). 

Ostale predviđene mere odnose se na regionalne kancelarije Poverenika, povećanje broja specijalizovanih lica koja se bave zaštitom podataka, te broja rukovalaca koji su doneli interne akte u ovoj oblasti, kao i određivanje novih predstavnika stranih rukovalaca u Srbiji.

Unapređena svest o značaju zaštite podataka o ličnosti i načinima ostvarivanja prava

Ovaj cilj podrazumeva edukaciju rukovalaca i donosilaca odluka, te se predviđa usavršavanje zaposlenih u javnoj upravi u oblasti zaštite podataka o ličnosti kao i obrazovanje sudija i tužilaca. S druge strane, prepoznaje se i značaj svesti samih građana o njihovim pravima, te se predviđa uvođenje predmeta iz ove oblasti na različitim nivoima formalnog obrazovanja kao i edukacija nastavnika i profesora, ali i značaj različitih inicijativa, poput tribina, okruglih stolova i kampanja u ovoj oblasti.

Unapređen sistem zaštite podataka o ličnosti pri razvoju i primeni informaciono-komunikacionih tehnologija u procesima digitalizacije

Strategijom je prepoznat uticaj novih tehnologija na oblast zaštite ličnih podataka. Na predlog SHARE Fondacije, kao jedan od glavnih pokazatelja da država želi da uredi ovu oblast, predviđena je izrada Smernica za procenu uticaja obrade na zaštitu podataka o ličnosti kada su nove tehnologije u pitanju, kao i broj softverskih rešenja koja su razvijena na osnovu ovakve procene uticaja. Dalje se kao mere predviđaju uređenje automatizovane obrade genetičkih i biometrijskih podataka, te audio i video nadzora, posebne obuke za lica koja nadgledaju ovakve obrade, kao i povećanje broja zaposlenih u službi Poverenika koji se bave zaštitom podataka o ličnosti u domenu informaciono-komunikacionih tehnologija u procesima digitalizacije.

Za strateške dokumente se često kaže da su samo spisak lepih želja i stoga je od suštinske važnosti da što pre bude donet i Akcioni plan za sprovođenje Strategije, kao i da se za nju dodele odgovarajući resursi kako bi država potvrdila svoju nameru da ozbiljno unapredi oblast zaštite ličnih podataka. 

Čitaj još:

• Evropski parlament za zabranu biometrijskog nadzora u realnom vremenu
• Čekajući evropski zakon o AI
• Druga runda bitke protiv masovnog biometrijskog nadzora

Institut za veštačku inteligenciju Srbije i Fakultet organizacionih nauka ove jeseni u Novom Sadu i Beogradu organizuju prvi sveobuhvatni edukativni program (Master Class) o pravnim i etičkim izazovima regulisanja veštačke inteligencije. 

Prijave su otvorene na zvaničnom sajtu programa, a organizatori su obezbedili stipendije za predstavnike civilnog društva, medija, naučno-istraživačke zajednice i drugih srodnih sektora. Kandidati za stipendiju treba da prilože kratku radnu biografiju i kroz par rečenica izlože svoju motivaciju za učešće u programu. Rok za prijavu za stipendije je 29. septembar.

Više od 70 domaćih i međunarodnih stručnjaka će kroz interaktivna predavanja, radionice, studije slučaja, panel diskusije i druge programske aktivnosti polaznicima pomoći da razumeju globalne regulatorne trendove i prakse u vezi sa razvojem i upotrebom veštačke inteligencije, sa fokusom na Srbiju i Evropsku uniju.

AI Master Class je otvoren za sve koji žele da steknu znanje o uticaju veštačke inteligencije i njenim društvenim aspektima, kao i praktične veštine za efikasno upravljanje rizicima i izazovima. Program je osmišljen za polaznike raznolikih znanja i veština, bez obzira na individualne kompetencije i iskustvo. 

Čitaj još:

• Evropski parlament za zabranu biometrijskog nadzora u realnom vremenu
• Čekajući evropski zakon o AI
• Druga runda bitke protiv masovnog biometrijskog nadzora

Koliko puta ste se mučili da smislite lozinku koja će ispuniti sve uslove – mala i velika slova, brojevi, specijalni znakovi, dužina najmanje 10 karaktera? Gde čuvate sve lozinke i da li za svaki nalog smišljate posebnu? Lozinke spadaju među naše najosetljivije podatke, ali se mahom ne odnosimo tako prema njima. Jedan probijeni nalog dovoljan je da prouzrokuje ogromnu štetu i koristi se za druge napade, kao što je fišing.

Sa velikim brojem naloga kojima redovno pristupamo teško je smisliti i zapamtiti jedinstvene, kompleksne i duge lozinke i jednostavno ih promeniti po potrebi. Ljudi su skloni da koriste iste lozinke za više naloga, postavljaju jednostavne lozinke koje se odgovarajućim alatima mogu razbiti relativno brzo i koje retko prelaze minimalnu dužinu, što je često jednocifren broj karaktera. 

Kvalitetne lozinke uopšte ne moraju da zadaju muke jer su nam dostupni tzv. menadžeri lozinki – specijalizovani programi koji u bezbednom formatu čuvaju sve vaše kredencijale. Ti programi funkcionišu po principu glavne lozinke (master password) koju jedino treba da zapamtite ili je imate sačuvanu na bezbednom mestu jer ona otključava pristup svim ostalim kredencijalima. Takođe poseduju opciju generisanja kvalitetnih lozinki što znači da ne morate više da ih smišljate, kao i kopiranje/pejstovanje kredencijala da ne biste pogrešili prilikom ukucavanja. Još jedna korisna funkcionalnost menadžera lozinki je prepoznavanje i automatsko popunjavanje sačuvanih kredencijala (autofill) prilikom logovanja na naloge.

Potrebno je malo navikavanja, ali iskustvo pravljenja novog naloga ili ažuriranja postojećih lozinki je daleko pogodnije – i bezbednije – od pisanja po sveskama, pamćenja i vrtenja u krug istih (lako pogodivih) kombinacija karaktera. 

Neka od okruženja koja već koristite poseduju opcije upravljanja lozinkama, kao Apple keychain ili menadžeri lozinki u brauzerima, što vam može olakšati privikavanje na bezbednosnu praksu odgovornog rukovanja kredencijalima. Kasnije u tekstu ćemo predstaviti neka od popularnih i preporučenih rešenja.

Lozinke kao primarna meta

Jedna od glavnih meta malicioznih aktera su kredencijali – ako uspeju da pronađu i iskoriste ranjivost u IKT sistemu koja će im omogućiti da dođu do baza korisničkih imena, mejl adresa i lozinki, imaju otvoren put ka brojnim drugim resursima. Iako zakoni i standardi nalažu da se ovi podaci čuvaju u šifrovanoj formi, dešava se da su sačuvani u čistom tekstu, što je odlika izuzetnog nemara i predstavlja ogroman rizik. 

Pružaoci usluge menadžera lozinki se takođe mogu naći na meti napada – kompanija LastPass je krajem 2022. obelodanila bezbednosni incident u kome su napadači došli do enkriptovanih bazi lozinki korisnika, dok je u martu objavila detalje o novom napadu koji je targetirao kućni računar zaposlenog sa visoko privilegovanim pristupom korporativnom sistemu. 

Primeri menadžera lozinki

Napomena: predstavljeni menadžeri lozinki su odabrani isključivo na osnovu iskustva i javno dostupnih informacija.

KeePass

KeePass je besplatan menadžer lozinki otvorenog koda koji čuva vašu bazu lozinki u enkriptovanoj formi lokalno, tj. na hard disku računara. Poseduje brojne korisne funkcije, poput naprednog generatora lozinki prema zadatim parametrima, mogućnosti da se koristi portabilna verzija na USB fleš memoriji i podrške za dodatke (plug-ins) ako želite još funkcionalnosti. Na raspolaganju su dve verzije: 1.x je namenjena početnicima u svetu menadžera lozinki i onima koji žele da isprobaju aplikaciju, dok se 2.x preporučuje naprednijim i zahtevnijim korisnicima. Na bazi KeePass-a razvijeni su brojni drugi menadžeri lozinki kao KeePassXC ili mobilne varijante KeePassDX (Android) i KeePassium (iOS).    

Bitwarden

Jedna od najvećih prednosti Bitwarden menadžera lozinki u odnosu na lokalne varijante poput KeePass-a je to što je reč o cloud aplikaciji: vaša baza ili trezor lozinki se apdejtuje automatski i sinhronizovana je na svim uređajima na kojima ste ulogovani. Kredencijali se čuvaju uz primenu end-to-end enkripcije, što onemogućava da Bitwarden ima pristup vašem trezoru lozinki. Reč je o aplikaciji otvorenog koda koja se može koristiti besplatno, dok se dodatne pogodnosti naplaćuju. Važno je imati u vidu da Bitwarden pruža opciju implementacije aplikacije na organizacionom nivou, što je naročito povoljno za kompanije i organizacije kojima je neophodno da uspostave politike upotrebe lozinki. Ukoliko to žele, organizacije mogu same da hostuju Bitwarden instancu na njihovom serveru.

Proton Pass

Prinova u Proton porodici enkriptovanih proizvoda (mejl, VPN, kalendar itd) je Proton Pass, takođe softver otvorenog koda sa mnoštvom korisnih funkcija u okviru besplatnog naloga. Dostupan je kao dodatak za popularne brauzere (Firefox, Brave, Chrome, Edge) i mobilna aplikacija, a najavljene su i desktop verzije za popularne operativne sisteme. Korisna mogućnost je kreiranje mejl alijasa direktno u aplikaciji, čime štitite vašu pravu mejl adresu u slučaju curenja podataka i drugih bezbednosnih incidenata, o čemu smo već pisali. Proton Pass vam takođe omogućava da u okviru aplikacije čuvate enkriptovane beleške. 

Nemojte da vas mrzi

Kao što piše na početku teksta, potrebno je privikavanje na menadžere lozinki ali malo uloženog vremena i truda u velikoj meri podiže bezbednost na internetu. Kreiranje novih naloga i logovanje na postojeće će vam biti znatno olakšano. U zavisnosti od potreba i svakodnevnih navika, postoji više opcija za menadžment lozinki od kojih smo neke ponudili u ovom tekstu. Za kraj, podsećamo vas da na servisu Have I Been Pwned proverite da li su onlajn servisi koje koristite bili pogođeni incidentima i da ako jesu što pre promenite lozinku. Dobra prilika da se isproba i uvežba korišćenje menadžera lozinki.

Bojan Perkov je koordinator digitalnih politika SHARE Fondacije. Teme kojima se bavi su ljudska prava i slobode u tehnološkom kontekstu, digitalna bezbednost aktera u javnom interesu, kao i druga pitanja na preseku društva i tehnologije, kao što su zaobilaženje onlajn cenzure, zaštita podataka o ličnosti i uticaj nadzora na ljudska prava.

Čitaj još:

• Alijasi: sredstvo za čuvanje vašeg identiteta
• VPN: šta je to, čemu služi i gde nabaviti
• Kakva nam je digitalna higijena i kako je unaprediti