Monitoring, Vesti
Dipfejkovi, izborne tenzije i udari na kritičnu infrastrukturu
U periodu od januara do kraja marta 2024. zabeleženo je ukupno 46 slučajeva povreda digitalnih prava u Srbiji, što je duplo više slučajeva nego prethodne godine u istom periodu. Većina slučajeva (33) odnosi se ponovo na uznemiravanja, pretnje i pritiske usmerene na novinare i medijske kuće, u kojima su najčešći napadači građani (16), a u nekolicini slučajeva organi vlasti i javne ličnosti. Ukupno je zabeleženo devet sajber incidenata, od kojih se pet dogodilo u januaru. U ovom tromesečnom periodu dokumentovano je četiri povrede +privatnosti i zaštite podataka o ličnosti, sa elementom neovlašćenog deljenja ličnih fotografija. Uočen je i porast broja slučajeva sa elementima rodno zasnovanog nasilja, pa je u prvom tromesečju zabeleženo čak 17 slučajeva, od kojih se sedam odnosilo na diskriminaciju i govor mržnje, pet na ugrožavanje sigurnosti (najčešće pretnje smrću), po dva slučaja ugrožavanja reputacije i povrede privatnosti, kao i jedan slučaj ograničavanja slobode izražavanja.
Postizborna kriza
Izbori u decembru, koji su ostali na margini izveštavanja onlajn medija, izazvali su društvene potrese, pre svega u pogledu brojnih neregularnosti koje su uočili i zabeležili domaći i međunarodni posmatrači. Organizacija CRTA sprovela je detaljnu analizu izbornog procesa i našla se na meti raznih kritičara iz redova vladajuće partije. Ana Brnabić, predsednica beogradskog odbora SNS, premijerka u tehničkom mandatu i aktuelna predsednica Skupštine, napala je na društvenoj mreži X ovu organizaciju, uz optužbe da radi za opoziciju. Tvrdnju programskog direktora CRTA Raše Nedeljkova da je pred izbore jedna osoba bila prijavljena na 10 biračkih mesta a nepunih mesec dana kasnije samo na jedno, Brnabić je okarakterisala kao “bezočne laži”. Napadima se pridružio i Vladimir Đukanović, advokat i narodni poslanik SNS koji je na X izneo stav da bi članove CRTA trebalo “pohapsiti”, jer navodno obmanjuju i uznemiruju javnost, a samu organizaciju zabraniti kao “lobističku”.
Međunarodne reakcije na decembarske izbore u Srbiji stizale su i tokom februara, pre svega Rezolucijom Evropskog parlamenta kojom se Evropska komisija poziva da u Srbiju pošalje ekspertsku misiju, a kasnije i finalnim izveštajem posmatračke misije ODIHR. Televizija N1 je nezvanično objavila izvode iz izveštaja, nakon čega su usledile manipulacije prorežimskih medija. Brojni mediji naklonjeni vladajućoj struji poput Kurira, Večernjih novosti i B92 ocenili su izveštaj ODIHR na svojim portalima kao “dosadan” i “birokratski” dokument. Iako su u izveštaju konstatovani mnogi problemi u vezi sa izbornim procesom, prorežimski mediji su tvrdili da je ODIHR potvrdio regularnost izbora. Novinari N1 često se nalaze na meti uvreda i pretnji, pa su tako i u januaru na mejl adresu redakcije primili pretnje nasiljem uz komentare koji su ih karakterisali kao “srbomrsce”. Tokom 2023. godine formirano je šest predmeta u kojima su novinari N1 bili na meti napada i za sada nijedan slučaj nije dobio epilog, niti je utvrđeno ko je slao pretnje.
Privatnost na udaru
Slučaj koji se u januaru nakratko našao u žiži javnosti ticao se dipfejkova u dve osnovne škole na Novom Beogradu. Naime, učenici su kreirali eksplicitne dipfejk sadržaje sa likovima devojčica iz njihovih škola, kao i njihovih nastavnica. Prema izveštajima medija, zahvaljujući roditeljima devojčica policija je uspela da uđe u trag 13-godišnjacima koji su generisali sadržaj i zloupotrebljavali fotografije. Dodatni problem bio je to što su eksplicitni sadržaji deljeni putem čet aplikacija poput Vajbera, zajedno sa imenima i brojevima telefona targetiranih devojčica i žena, što je tim sadržajima potencijalno omogućilo pristup neograničenom broj osoba za dalju zloupotrebu.
Podsetimo, prošle godine se nekoliko devojaka iz beogradskog naselja Batajnica našlo na meti osobe koja je kreirala njihove seksualno eksplicitne dipfejk sadržaje. Policija je privela osumnjičenog nakon višegodišnjeg kontinuiranog uznemiravanja. Čini se da su ovi incidenti uticali na veći interes javnosti za rizike kojima su izložene žene i devojke, a naročito deca, te podstakli debatu o bezbednosti dece na internetu i onlajn pristupu eksplicitnim sadržajima. Alati koji mogu da generišu uverljive eksplicitne sadržaje, a kojih je sve više, u globalnim okvirima stvaraju izazove ne samo po privatnost i integritet ličnosti, već i za utvrđivanje odgovornosti, naročito kada je reč o maloletnim osobama koje ne mogu krivično da odgovaraju.
Još jedna povreda onlajn privatnosti zabeležena je u slučaju deljenja fotografija ljudi afričkog porekla bez njihovog pristanka putem Instagrama, što je pokrenulo brojne rasističke komentare. Platforma “Pametno i bezbedno”, pod okriljem Ministarstva informisanja i telekomunikacija, uputila je u komentaru upozorenje administratoru spornog naloga da se takvim objavama podstiču rasizam i govor mržnje. Iako se nalog predstavljao kao “satiričan”, ugašen je krajem januara zajedno sa povezanim nalozima, verovatno zbog velikog broja prijava kompaniji Meta.
Dva uzastopna DDoS napada na portal SOinfo
Lokalni medij u Somboru bio je na meti DDoS napada, o čemu su obavestili javnost da je zbog napada pristup sajtu otežan ili onemogućen. Prema njihovim saznanjima, u roku od sat-dva upućeno je preko 35 miliona zahteva sa različitih IP adresa. Pošto je prvi DDoS napad na sajt SOinfo portala uspešno ublažen, nekoliko dana kasnije usledio je još jedan napad na sajt. I nakon ovog napada rad sajta je normalizovan. Slučaj je prijavljen nadležnim organima. Posledice ovih napada mogu uključivati smanjenje poverenja u lokalne medije, ograničavanje pristupa informacijama i smanjenje pluralizma medijskog prostora. Takođe, napadi na medijske institucije mogu imati negativan uticaj na demokratske procese i vladavinu prava u društvu, stvarajući atmosferu straha i autocenzure među novinarima i medijskim profesionalcima.
Objavljivanje kompromitovanih podataka EPS-a od strane ransomver grupe Qilin izazvalo je ozbiljnu zabrinutost u javnosti. Ransomver grupa Qilin koja je preuzela odgovornost za sajber napad na EPS, objavila je kompromitovane podatke od 34 gigabajta na svom sajtu. Najavili su da sledi objava i drugog dela EPS-ove baze podataka. Link za skidanje tih podataka delio se po X platformi. Incident predstavlja ozbiljan napad na infrastrukturu od nacionalnog značaja, dok istovremeno stavlja u opasnost privatnost i bezbednost građana. Posledice ovog napada mogu biti značajne, budući da EPS kao vitalna infrastruktura može biti izložen riziku od daljih napada, dok bi građani čije su lične informacije ugrožene mogli biti žrtve finansijskih gubitaka i zloupotrebe identiteta.
Javnost i incidenti u EPS-u
Tokom 2023. istraživači okupljeni oko foruma Bezbedan Balkan podelili su saznanja o kompromitovanim resursima u IKT sistemu EPS-a. Incident je potvrđen u decembru u zvaničnom saopštenju preduzeća. O incidentu se pisalo i govorilo u medijima i na društvеnim mrežama krajem prošle i početkom ove godine, a nakon saopštenja EPS-a krajem januara 2024. da je deo sistema namenjen korisnicima uspostаvljen, daljih zvaničnih informacija nema. Razumljivo je da je opšta, stručna i akademska javnost zainteresovana da sazna šta se dogodilo, šta su učinili EPS i nadležni državni organi, da li je utvrđena nečija odgovornost, a naročito da li su i koji podaci “procureli”, te da li postoji opasnost od njihove zloupotrebe.
EPS, kao operator IKT sistema od posebnog značaja u smislu Zakona o informacionoj bezbednosti (ZIB), dužan je da ispunjava obaveze u prevenciji i upravljanju rizicima i obaveze u slučaju nastupanja incidenta (čl. 6a) – između ostalog, da preduzme mere zaštite; donese akt o bezbednosti IKT sistema; najmanje jednom godišnje vrši proveru usklađenosti primenjenih mera zaštite s aktom o bezbednosti; uredi odnos s trećim licima, ukoliko im poverava aktivnosti u vezi s IKT sistemom; dostavi obaveštenje o incidentu koji značajno ugrožava informacionu bezbednost IKT sistema. Za nepostupanje po ovim obavezama, predviđene su kaznene odredbe (čl. 30 i 31).
Incident je ispunio uslov značajnog uticaja na narušavanje informacione bezbednosti, pa je EPS bio dužan da obaveštenje o incidentu, obaveštenje o događajima u vezi s incidentom i završni izveštaj o incidentu dostavi Ministarstvu ili Nacionalnom CERT-u. ZIB utvrđuje koji koraci se preduzimaju po obaveštenju o incidentu, a postupak je bliže uređen Pravilnikom. Organi koji su o incidentu obavešteni postupaju u granicama nadležnosti utvrđene u ZIB i drugim propisima, pri čemu je izričito propisano da su dužni da obezbede zaštitu podataka o incidentima u skladu sa propisima i koriste ih isključivo u svrhu za koju su pribavljeni.
U pogledu obaveštavanja javnosti, ZIB nije predvideo takvu obavezu za operatora. Ako je incident od interesa za javnost, predviđena je mogućnost da Ministarstvo objavi informaciju, nakon savetovanja s operatorom. Bliža pravila sadržana su u Pravilniku, kojim je propisano da, po izvršenoj proceni, Ministarstvo može da obavesti javnost o incidentu, ili da saglasnost Nacionalnom CERT-u, ako se radi o incidentu nivoa opasnosti “visokˮ ili “srednjiˮ. Koje će se informacije, u kom obimu i sa kim deliti u konkretnom slučaju zavisi od TLP oznake incidenta. U ovom slučaju, incident je označen srednjim nivoom opasnosti, pa je javnost obaveštena o incidentu, međutim, s obzirom na to da je određen oznakom TLP:AMBER+STRICT, deljenje potencijalno osetljivih informacija bilo je ograničeno.
Kao rukovalac podacima o ličnosti, u smislu Zakona o zaštiti podataka o ličnosti (ZZPL), EPS je dužan, između ostalog, da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obezbedio da se obrada vrši u skladu sa zakonom, i mogao to da predoči, te da preispituje i ažurira mere, ako je to neophodno (čl. 41); preduzme odgovarajuće mere zaštite (čl. 42). Za nepostupanje po ovim obavezama, predviđene su kaznene odredbe (čl. 95).
U smislu ZZPL, rukovalac je dužan da dokumentuje svaku povredu podataka o ličnosti, a o povredi koja može da proizvede rizik po prava i slobode fizičkih lica, obaveštava Poverenika. Dužnost obaveštavanja lica na koje se podaci odnose (čl. 53) postoji samo u pogledu povreda koje mogu da proizvedu visok rizik po prava i slobode fizičkih lica, no i u tom slučaju ZZPL predviđa mogućnost neobaveštavanja (st. 3). Ukoliko rukovalac ne obavesti lice, Poverenik mu nalaže da to učini, ako proceni da se radi o povredi potencijalno visokog rizika, a nisu bili ispunjeni uslovi za neobaveštavanje.
Inspekcijskim nadzorom proverava se da li je EPS postupio u skladu sa ZIB (inspektor za informacionu bezbednost, prema ovlašćenjima iz ZIB i Zakona o inspekcijskom nadzoru (ZIN), odnosno u skladu sa ZZPL (Poverenik, prema ovlašćenjima iz ZZPL i ZIN). Pored preventivnih i korektivnih mera koje se mogu naložiti prilikom inspekcijskog nadzora, postoji mogućnost određivanja mera za zaštitu prava trećih lica (čl. 29 ZIN). Pored inspekcijskih, Poverenik ima i druga, značajna ovlašćenja na osnovu ZZPL.
Polazeći od poznatih okolnosti koji ukazuju na postojanje osnova sumnje da je incident povezan s izvršenjem krivičnog dela koja se goni po službenoj dužnosti, verovatno je o događaju obavešteno Tužilaštvo za visokotehnološki kriminal. Zakonik o krivičnom postupku ne sadrži pravilo o dostavljanju podataka o tome da li je podneta krivična prijava, ko ju je podneo, šta sadrži, koje su radnje i mere preduzete po prijemu prijave, niti o tome da li se vodi istraga protiv nepoznatog učinioca (podatak o tome da li se protiv nekog lica vodi istraga javni tužilac dostavlja samo sudu, drugom javnom tužiocu ili policiji, na njihov zahtev, a okrivljenom i njegovom braniocu i oštećenom pod određenim uslovima). U Zakonu o javnom tužilaštvu predviđeno je da javno tužilaštvo može da obavesti javnost o pojedinom predmetu, u granicama ovlašćenja i u skladu s interesom postupka, poštujući pretpostavku nevinosti i vodeći računa o zaštiti podataka o ličnosti, privatnosti i dostojanstva učesnika u postupku. Bliži uslovi propisani su u Pravilniku o upravi u javnim tužilaštvima, po kom javni tužilac to čini samo u slučaju da smatra da javnost treba da bude upoznata i pod uslovom da se obaveštavanjem ne nanosi šteta interesima postupka niti se ugrožava privatnost učesnika u postupku, na način koji neće dovesti do odavanja tajnih podataka, vodeći računa o interesima morala, javnog poretka, nacionalne bezbednosti, zaštiti maloletnih lica, privatnog života i nacionalnim osećanjima (čl. 67).
Nesporno je da javnost ima opravdan interes da zna: a) da li je EPS preduzeo sve što je mogao da spreči ovaj incident i kako je postupljeno nakon incidenta; b) da li je vršen inspekcijski nadzor, šta je utvrđeno, da li su i koje mere određene u slučaju eventualno utvrđenih nepravilnosti; c) da li su i koje mere i radnje preduzete radi otkrivanja krivičnog dela i učinioca. Sve ovo su nesumnjivo informacije od javnog značaja u smislu Zakona o slobodnom pristupu informacijama od javnog značaja, no, treba imati u vidu mogućnost organa vlasti da tražiocu informacija uskrati, odnosno ograniči ostvarivanje pristupa. Srećom, u zakonu je predviđen kontrolni mehanizam.
Dr Milana Pisarić je docent na Pravnom fakultetu u Novom Sadu, Univerzitet u Novom Sadu. Predmet njenog naučnog i stručnog interesovanja su posebno visokotehnološki kriminal, digitalna istraga i elektronski dokazi, digitalni nadzor i privatnost.
Montirani snimci i pretnje novinarkama
Nakon njenog gostovanja na Festivalu “Rebedu” u Dubrovniku, predsednici Nezavisnog društva novinara Vojvodine (NDNV) i novinarki portala Nova.rs Ani Lalić Hegediš upućene su pretnje smrću i silovanjem. NDNV je pretnje prijavilo Tužilaštvu za visokotehnološki kriminal.
Nakon Ane Lalić, programski urednik NDNV i univerzitetski profesor Dinko Gruhonjić takođe se našao na meti napada i pretnji smrću njemu i njegovoj porodici preko društvenih mreža. Upućene pretnje sadržale su i uvrede Gruhonjiiću na nacionalnoj osnovi. Ovi napadi su pokrenuti pošto se na društvenoj mreži X pojavio montirani snimak Gruhonjića sa istog festivala u Dubrovniku, ali prošle godine.
Početkom godine zabeležena je i ozbiljna pretnja novinarskoj slobodi istraživanja i izveštavanja. Napad je na novinarku Ivanu Milosavljević iz Centra za istraživačko novinarstvo Srbije (CINS) pokrenut nakon što je objavila istraživački rad o unutrašnjem radu SNS kol centara tokom predizborne kampanje u decembru prošle godine. Naime, tokom tog perioda, novinarka je zabeležila sedam pokušaja neovlašćenog pristupa svom Instagram nalogu. Napadač ili napadači nisu identifikovani. Nezavisno udruženje novinara Srbije (NUNS) podnelo je prijavu Posebnom tužilaštvu za visokotehnološki kriminal radi daljeg istraživanja ovog slučaja. Potencijalne posledice ovakvih napada uključuju ograničavanje slobode izražavanja, zastrašivanje novinara i smanjenje poverenja u onlajn platforme.
Evrovizija i napadi na Prajd info centar
Na Božić je nepoznati napadač vandalizovao izlog Prajd info centra koji se nalazi u centru Beograda. Nakon što je organizacija objavila fotografije na svojim društvenim mrežama o tome šta se dogodilo, objava je brzo preplavljena komentarima koji su nudili podršku počiniocu, pored već uobičajenih homofobnih i diskriminatornih uvreda. Centar je često meta ovakvih napada, ali do sada niko od počinioca nije pronađen.
Ispod objave sa slikom pevača Filarija, koji je na Pesmi za Evroviziju učestvovao u kostimu sa suknjom i pevao o dualnosti muško-ženske energije u okviru svake osobe, na X-u su se pojavili osude kao i duboko homofobni komentari koji su sadržali ekstremne pretnje fizičkim nasiljem. Neki komentari su bili direktno upućeni Filariju, dok su u drugima korisnici objašnjavali kako bi se ophodili prema svojoj deci ako bi “pokazala takve sklonosti”. Pevačica Anđela Ignjatović Breskvica takođe se našla na meti seksističkih komentara na društvenoj mreži X nakon svog nastupa na Pesmi za Evroviziju. Breskvica je kritikovana zbog izbora kostima i upoređivane su slike sa njenih prethodnih nastupa u kojima nije imala narodnu nošnju koju je nosila na sceni. Slični komentari pojavili su se i nakon finalne večeri, kada je Breskvica osvojila drugo mesto i zatim okačila snimak sebe kako uz slavlje peva pesmu.
Mila Bajić je glavna istraživačica SHARE Fondacije sa fokusom na odnos novih medija, tehnologije i privatnosti.
Čitaj još: