Srpski / Arhiva brojeva / PETI BROJ / MILAN NIKOLIĆ: Praktični aspekti zaštite privatnosti korisnika i bezbednosti elektronskih komunikacionih mreža i usluga u Srbiji
Praktični aspekti zaštite privatnosti korisnika i bezbednosti elektronskih komunikacionih mreža i usluga u Srbiji1
Milan Nikolić
SADRŽAJ
Ovaj rad predstavlja osvrt na najznačajnije aspekte zaštite privatnosti korisnika i bezbednosti elektronskih komunikacionih mreža i usluga, iz ugla telekomunikacionog operatora, njegovog razumevanja interesa korisnika i pozicije državnih organa, projektovane na stanje i perspektive razvoja informacionog društva u Srbiji. Bez ambicija da ponudi stroge definicije i sveobuhvatan model, rad se bavi ključnim problemima privatnosti i bezbednosti u sektoru, daje opšti prikaz njihovog rešavanja u Evropskoj uniji i aktuelnog stanja u Srbiji, sa namerom da društveno odgovornom i dobronamernom čitaocu ponudi nov ili bar malo drugačiji pogled na ova važna i kompleksna pitanja našeg svakodnevnog rada i života.
1. UVOD
Sve više zavisimo od informacionih i komunikacionih tehnologija (ICT). Sve više ličnih i osetljivih podataka prenosimo na lične komunikacione uređaje ili ih čuvamo na njima. Sve više informacija o sebi poveravamo na čuvanje onima koji nude različite ICT usluge. Iz tih razloga, elektronske komunikacije i ICT postaju jedna od najranjivijih tačaka zaštite privatnosti pojedinaca2. Da bi ispunili svoju ulogu, komunikacioni i informacioni sistemi treba uvek da budu pouzdani i na raspolaganju korisnicima, poverljivost informacija koje se prenose i čuvaju ne sme biti ugrožena, a korisnici moraju biti sigurni i u identitet pošiljaoca i u to da je primljena informacija identična poslatoj. Nemogućnost da se ispune ovi zahtevi umanjuje poverenje korisnika i njihovu spremnost da u punoj meri prihvate pogodnosti novih poslovnih modela podržanih naprednim informacionim i komunikacionim tehnologijama. Studija „Društveno-ekonomski uticaj Interneta u Srbiji“, koju je 2009. godine za Telenor izradila The Boston Consulting Group, uz ogradu „uzdržano“, prognozira da učešće privrednih aktivnosti baziranih na korišćenju Interneta u Srbiji može porasti sa sadašnjih 1,7% na 5,2% 2020. godine, da se ukupni poreski prihodi države iz tih aktivnosti mogu povećati do iznosa od 1,8% i da se do 2020. godine na osnovu toga može otvoriti 94.000 novih radnih mesta. Uz to, ne treba zanemariti ni podjednako bitnu društvenu korist od ovakvog trenda u oblastima kao što su obrazovanje, zdravstvena zaštita, ruralni i regionalni razvoj, emisija CO2 i drugim. Naravno, sve to pod uslovom da se Internet koristi u punom funkcionalnom i tehnološkom kapacitetui na način koji neće izazvati sumnje i rezerve kod korisnika. Naime, istraživanja sprovedena poslednjih godina3pokazuju da je između 70 i 80 odsto građana u zemljama EU i SAD ozbiljno zabrinuto za zaštitu svoje privatnosti i bezbednosti u elektronskim komunikacijama, do te mere da to znatno utiče na sektor elektronske trgovine. Štaviše, oko dve trećine anketiranih tvrdi da se iz tih razloga uzdržavaju od kupovine ili novčanih transakcija (mikroplaćanja) preko Interneta, strahujući od mogućnosti da bi mogli da postanu žrtve elektronske intruzije, krađe identiteta i zloupotrebe finansijskih ovlašćenja. Posledično, nezadovoljavajuća bezbednost i zaštita privatnosti ili čak samo utisak nedovoljne bezbednosti i zaštite privatnosti mogu da imaju ne samo negativan uticaj na pojedince, nego i znatne ekonomske i socijalne posledice po društvo u celini.
2. POJMOVNI OKVIR
Kada neko govori o privatnosti i bezbednosti, to čini iz ugla koji u znatnoj meri zavisi od njegove perceptualne i interesne pozicije. Zato se neretko ispostavlja da, koristeći se istim pojmovima, govorimo o različitim stvarima. Pojmovi kao što su privatnost, bezbednost, zaštita podataka o ličnosti i sigurnost informacija, u svakodnevnom govoru imaju širok spektar značenja, često se koriste kao sinonimi, a neretko su i predmet sporova različitih škola mišljenja po pitanjima definicija, međusobnog odnosa i hijerarhije. U ovom tekstu, sa motivom da se težište prenese na druge poruke, koristiće se okvirna značenja ovih pojmova koja najviše odgovaraju autoru, ali ne pretenduju da nužno budu i njihove stroge definicije.
U izvornom smislu, privatnost označava želju neke osobe da ne bude uznemiravana. U elektronskim komunikacijama uobičajeno je da se privatnost odnosi na prikupljanje, obradu i davanje informacija o korisniku trećim licima. Dobro je pobliže objasniti i pojam poverljivosti, koji podrazumeva poverenje u nekoga i veru u podelu neke tajne. Tajna zadržana za sebe je privatna, ali podeljena sa nekim drugim postaje poverljiva informacija. Poverljivost u elektronskim komunikacijama odnosi se podjednako na sadržaj i na podatke o obavljenoj komunikaciji, a u ovom slučaju poverenje se daje ostalim učesnicima u komunikaciji, ali i pružaocima usluge obrade i prenosa. Privatnost u elektronskim komunikacijama može se shvatiti kao sloboda od sistematskog posmatranja i beleženja aktivnosti i ličnih podataka, odnosno pravo pojedinaca da sami određuju kada, kako i u kojoj meri informacija o njihovim komunikacijama treba i može da bude dostupna drugima. Atributi privatnosti korisnika u tom kontekstu postaju anonimnost, sloboda od uznemiravanja, kontrola dostupnosti podataka o sebi i intima (sloboda od nadzora), a komponente privatnosti identitet, podaci o ličnosti, lokacija i kretanje, (meta)podaci o obavljenim komunikacijama i sadržaj komunikacija. Poverljivost može biti kompromitovana, odnosno privatnost korisnika može biti povređena s namerom, slučajno ili greškom, i to upadom u zonu privatnosti (pristupom, prikupljanjem i obradom), zloupotrebom (odavanjem ili delovanjem na osnovu dostupne informacije), presretanjem i uklapanjem informacija (profilisanjem). Iz svega navedenog, očigledno je da se pitanje privatnosti u elektronskim komunikacijama ne može odvojiti od pitanja zaštite podataka o ličnosti.
Termin bezbednost sam po sebi je neodređen i može da ima značenja koja obuhvataju: odsustvo neke opasnosti i pretnje, garanciju, osećaj sigurnosti, skup mera predostrožnosti i zaštite od kriminala, sabotaže i špijunaže, ali i organizacione oblike koje sve to treba da osiguraju. Stavljanje pojma bezbednosti u kontekst elektronskih komunikacija nimalo ne olakšava nedoumicu oko njegovog značenja. Bez ambicije da bude sveobuhvatan ili taksonomski prikaz bezbednosti i zaštite privatnosti korisnika elektronskih komunikacionih usluga, ovaj tekst će razmotriti tri aspekta od posebnog interesa za korisnike: izvorni, u smislu zaštite poverljivosti komunikacija i privatnosti korisnika usluga, prošireni, koji obuhvata prevare i kompjuterski kriminal, i implicitni - nadzor komunikacija za potrebe državnih organa. Pokazaće se da ne postoji jasno razgraničenje aspekata privatnosti korisnika, bezbednosti mreža, zaštite podataka o ličnosti i zaštite informacija u elektronskim komunikacijama, kao i da se oni ne mogu posmatrati van šireg konteksta.
2.1. Privatnost i bezbednost u izvornom značenju
Izvorno značenje bezbednosti u elektronskim komunikacionim mrežama se može najkraće definisati kao obezbeđivanje poverljivosti, integriteta, autentičnosti, raspoloživosti komunikacija, odgovornosti aktera i neporecivosti informacija koje se prenose. Očigledno je da je reč o svojevrsnom proširenju značenja poznate CIA triade (Confidentiality, Integrity and Availability), koja predstavlja kredo svih IT profesionalaca4. Okvir za ovakvu definiciju utvrđen je standardom ISO 7498-25 koji definiše pet osnovnih bezbednosnih servisa (autentifikacija, kontrola pristupa, poverljivost podataka, integritet podataka i neporecivost komunikacije) i osam mehanizama za implementaciju (kriptozaštita, digitalni potpis, kontrola pristupa, integritet paketa podataka koji se prenose, razmena kredencijala pri autentifikaciji, popunjavanje kodovanog signala u cilju maskiranja saobraćajnih obrazaca (traffic padding), kontrola usmeravanja saobraćaja (traffic routing) i beleženje-notarizacija). Ovako definisani servisi i mehanizmi razrađeni su kroz detaljne tehničke standarde i specifikacije, da bi praktično oživeli u sistemima i uređajima koji se danas koriste. Pored neutralne pozicije koju treba da zauzme svaki kvalitetan standard, korisnike će naravno objektivno više interesovati bezbednosne funkcije kao što su raspoloživost i pouzdanost usluge, privatnost i poverljivost ličnih podataka, anonimnost, mogućnost skrivanja od drugih korisnika ili operatora, mogućnost praćenja zlonamernih poziva, autentifikacija drugih učesnika, neporecivost transakcija, odredbe vezane za zakonom ovlašćen nadzor elektronskih komunikacija i druge bezbednosne zahteve državnih službi i slično. S druge strane, pružaoci usluga elektronskih komunikacija zainteresovani su najpre za kontrolisan pristup mrežnim resursima, odgovornost korisnika, ispravnost podataka koji se prenose, poverljivost i integritet signalizacionih poruka, neporecivost upotrebe i obračuna usluga, sprečavanje zloupotrebe resursa, usaglašenost sa zakonskim i regulatornim okvirom i drugo. Nesporno je međutim da je dobra implementacija funkcija bezbednosti osnovni interes ne samo korisnika, nego i proizvođača opreme, odnosno pružalaca usluga. Problem je što svaki bezbednosni mehanizam vremenom i napretkom ofanzivne tehnologije erodira i na kraju biva kompromitovan6. Na žalost, zahvaljujući raširenosti i mega dimenzijama elektronskih komunikacionih mreža, što opet rezultuje njihovom inercijom u odnosu na promene, napadači su uvek u prednosti i imaju na raspolaganju značajan vremenski prozor, od trenutka otkrivanja slabosti i kompromitacije sistema zaštite do trenutka otkrivanja napada i primene kontra-mera. Situaciju dodatno otežava i Internet, koji je postao idealan kanal za distribuciju informacija, znanja i alata za eksploataciju slabosti bezbednosnih mehanizama elektronskih komunikacionih mreža, usluga i uređaja. Posledica svega je da su elektronske komunikacije konstantno ugrožene i da borba između napadača i čuvara bezbednosti i integriteta mreža neprekidno traje i stalno poprima nove oblike i taktike međusobnog nadmudrivanja. Suština bezbednosti elektronskih komunikacija je u očekivanju korisnika da će sistem odoleti nasrtajima predvidivih napadača koji imaju predvidive potencijale i kapacitete za njegovo ugrožavanje. Naravno da je u praksi nemoguće obezbediti mrežu od svih mogućih napadača, koji imaju sva moguća sredstva i znanja, pa je bezbednost u suštini veština spoznaje stvarnih izvora pretnji, njihovih realnih mogućnosti i nalaženja kompromisa između vrednosti koje se štite i troškova zaštite tih vrednosti. Drugim rečima, ne postoji apsolutno bezbedan sistem elektronskih komunikacija, postoje samo slabije ili jače štićeni sistemi, što opet ima direktan uticaj i na cenu koju za to treba platiti.
2.2. Prevare u elektronskim komunikacijama
Pojam prevare (fraud) ima široko značenje i može se odnositi na bilo koji akt kojim se druga strana namerno dovodi u zabludu sa ciljem ostvarivanja nezaslužene ili nezakonite koristi. Prevare u elektronskim komunikacijama (telecommunications fraud) izvode se vezano za telekomunikacione usluge, usluge sa dodatom vrednošću, telekomunikacionu infrastrukturu ili sisteme za podršku pružanju tih usluga, iz zabave, prestiža, radi sticanja finansijske koristi ili iz drugih nečasnih ili kriminalnih pobuda.Žrtve prevare u elektronskim komunikacijama mogu biti operatori i korisnici. U prvom slučaju, počinioci prevare koriste proizvode i usluge bez namere da za to i plate operatoru, lišavajući ga na taj način legitimnog prihoda, a u drugom, proizvode i usluge koriste kako bi prevarili druge korisnike, pri čemu prevara može, ali ne mora, nužno i da nanese finansijski gubitak oštećenoj strani.
U stručnim krugovima poznato je više od 200 različitih metoda izvođenja prevare na štetu operatora. Uzimajući u obzir i činjenicu da je veoma često konkretan napad u stvari kombinacija dva ili više osnovnih metoda, ispostavlja se da je prostor za izvođenje ovih operacija izuzetno širok. Druga važna činjenica jeste to da je većina velikih operacija prekogranična i ima atribute kriminalne organizacije, tako da se, ako se u obzir uzmu štete koje nastaju, slobodno može govoriti o jednom vidu nenasilnog organizovanog kriminala. Prevara izvedena na štetu operatora u suštini povećava troškove njegovog poslovanja, jer direktno umanjuje prihode, ali indirektno šteti i državi jer umanjuje njene poreske prihode7. Problem sa utvrđivanjem stvarne visine gubitaka usled ovih prevara je dvojak: zbog izuzetno intenzivne poslovne aktivnosti operatora, komunikacione aktivnosti korisnika i stalnih promena u načinu izođenja operacija, dobar deo prevara ostaje neotkriven, a iz internih razloga i sami operatori često teže da svoje gubitke usled prevara zadrže za sebe. Na osnovu istraživanja koje je sprovelo udruženje za kontrolu prevara u telekomunikacijama (CFCA8), gubitak operatora po ovom osnovu za 2008. godinu na globalnom nivou procenjen je na između 72 i 80 milijardi USD, što odgovara udelu od 4,25 do 4,5% njihovog ukupnog prihoda.
U odnosu na prethodno istraživanje sprovedeno 2005. godine, kada je procena bila u okviru 54-60 milijardi USD, ovo ukazuje na rast gubitaka operatora usled prevarnih aktivnosti od 34% na globalnom nivou. S obzirom na visoku integrisanost Srbije u globalnu mrežu elektronskih komunikacija i skromne odbrambene kapacitete, nema razloga da verujemo da bi Srbija mogla biti pošteđena uticaja ovog trenda. Naprotiv, procenat gubitaka operatora i države verovatno je i veći od svetskog proseka.
U scenarijima prevare na štetu korisnika, elektronske komunikacije se koriste kao kanal za plasiranje glavnog napada, bez obzira na to da li su u pitanju individualni ili korporativni korisnici. Pri tom su glavni ciljevi počinilaca: zloupotreba komunikacionog servisa, krađa ličnih podataka (naročito identiteta i finansijskih podataka) i povreda privatnosti. Poznat je veći broj scenarija zloupotreba usluga koje nanose finansijsku štetu korisnicima u mrežama za prenos govora. Najpoznatiji, svakako ne i jedini, jesu razne varijante zloupotrebe mehanizma usluga sa povećanom tarifom (premium rate)9, propušteni pozivi sa nepoznatog broja (call-back scam)10, pecanje (phishing11, vhishing) i slični. Na ovim primerima dobro se vidi da telefonska i Internet mreža konvergiraju ne samo u oblasti tehnologije i usluga nego, nažalost, i kada je reč o tehnikama prevare korisnika. Sa intenzivnijim korišćenjem Interneta umnožavaju se razni vidovi onlajn prevara podržanih socijalnim inženjeringom (phishing), nezatraženim porukama (spam), zloćudnim programima (virusi, trojanci, botnets, spyware), povredama prava intelektualne svojine...
Pored osnovne namene elektronskih komunikacionih mreža, usluga i komunikacione opreme za prenos poruka i informacija, one nekim korisnicima služe da bi prikrili svoje aktivnosti (prisustvo, identitet, kretanje, podatke o kontaktima, sadržaj komunikacija), uznemiravali ili ucenjivali druge korisnike, krali, zloupotrebljavali ili preprodavali lične podatke, sistematski pratili ili beležili aktivnosti drugih korisnika ili, jednostavno, koristili usluge i infrastrukturu mreža kao tehničku logistiku u vršenju krivičnih dela, prekršaja ili drugih nečasnih radnji koje nemaju direktne veze sa elektronskim komunikacijama. Iako na taj način ne nanose neposrednu finansijsku štetu, ovakvi vidovi nenamenskog i zlonamernog korišćenja se mogu smestiti u širi kontekst prevara, ali isto tako i u neku od kategorija ugrožavanja bezbednosti informacija, povreda privatnosti ili zloupotrebe podataka o ličnosti, što samo dodatno ilustruje organsku povezanost ovih pojmova.
Kada je u pitanju eventualna obaveza i odgovornost operatora da zaštiti korisnike od prevara, treba napomenuti da su sami korisnici odgovorni za to kako koriste svoje uređaje i mrežne usluge. Međutim, i operatori koji drže do svog kredibiliteta i pozicije na tržištu ulažu velike napore da prevare na štetu korisnika svedu na najmanju moguću meru. Problem je u tome što su u korenu ovih prevara najčešće neznanje, nesmotrenost i nemar korisnika, neretko podložnost izazovima „kulture besplatnog“ i lake dobiti, pa čak i pohlepa samih korisnika, a ima slučajeva iza kojih stoji svesna namera da, u ulozi žrtve, navodno prevareni korisnik ostvari dobit za sebe. Mogućnosti operatora da spreče ovakve slučajeve ograničene su na stalno ili kampanjsko podizanje nivoa svesti i obaveštenosti korisnika o potencijalnim pretnjama i opasnostima. Iako je poslednjih godina u Srbiji bilo nekoliko kampanja informisanja javnosti, najčešće iniciranih konkretnim incidentima i ograničenih po obimu i trajanju, tek kroz sistematsku i koordiniranu akciju institucija države, svih značajnijih operatora i medija, moguće je očekivati značajnije efekte napora na prevenciji prevara u elektronskim komunikacijama.
2.3. Nadzor elektronskih komunikacija za potrebe države
Pravo na nepovredivost tajnosti pisama i drugih sredstava komuniciranja i pravo na zaštitu podataka o ličnosti garantovani su Ustavom Srbije kao osnovna ljudska prava i slobode. Odstupanja od načela nepovredivosti tajnosti elektronskih komunikacija dozvoljena su samo na određeno vreme i na osnovu odluke suda, ako su neophodna radi vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predviđen zakonom (Ustav RS, član 41). Takođe, zabranjena je i kažnjiva upotreba podataka o ličnosti izvan svrhe za koju su prikupljeni u skladu sa zakonom, osim za potrebe vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predviđen zakonom (Ustav RS, član 42). Kada govorimo o elektronskim komunikacijama, treba podsetiti da je Međunarodni sud za ljudska prava u Strazburu (ECHR), u slučaju Copland vs. the United Kingdom 2007. godine presudio da informacije vezane za vreme i dužinu telefonskog razgovora, a posebno izabrani brojevi sagovornika, predstavljaju „integralni deo telefonske komunikacije“. S obzirom na to da su presude ECHR obavezujuće za Republiku Srbiju, jasno je da načelo nepovredivosti tajnosti elektronskih komunikacija i u Srbiji treba primenjivati podjednako na sadržaj i podatke o obavljenim elektronskim komunikacijama.
Nesporno je da pravo na nepovredivost tajnosti elektronskih komunikacija nije apsolutno pravo, naročito ako se ima na umu da ih kriminalci i teroristi redovno koriste kao pomoćno sredstvo za ostvarivanje svojih ciljeva, bilo sa namerom da počine kriminalno delo ili da izbegnu otkrivanje. Zbog toga je efikasan nadzor elektronskih komunikacija od vitalnog značaja i za državne organe zadužene za otkrivanje i gonjenje počinilaca, ali i za građane. Naravno, pod uslovom da se nadzor primenjuje proporcionalno, u skladu sa legitimnim ciljevima i zakonom utvrđenim preduslovima, po pravilima koja su pravno obavezujuća, javno objavljena, predvidljiva, precizna, nedvosmislena, na način u kom je prostor za diskrecione odluke izvršne vlasti minimalan i jasno propisan, uz odgovarajuću zaštitu od zloupotreba i odgovarajuće metode nezavisnog nadzora12. S druge strane, državne službe, bez obzira da li je reč o službama za sprovođenje zakona ili tajnim službama, po svojoj internoj logici (koja nije specifična samo za Srbiju) ponekad preširoko tumače poverena ovlašćenja i stavljaju ono što doživljavaju kao „interes službe“ iznad prava pojedinaca, što u kombinaciji sa neodgovarajućim mehanizmima eksternog nadzora povećava rizik od povrede ljudskih prava i zloupotrebe državne moći. Zbog toga, demokratski organizovane zemlje neprekidno tragaju za odgovarajućim modelom uspostavljanja delikatne ravnoteže između prava društva da štiti svoje vrednosti i prava pojedinaca na privatnost13.
Operativno-istražne potrebe državnih službi koje sprovode zakonom ovlašćen nadzor elektronskih komunikacija, navedene po stepenu zadiranja u privatnost od lakšeg ka težem, odnose se na: identifikaciju korisnika, lične i ugovorne podatke o korisnicima, detaljne podatke o ostvarenim i pokušanim komunikacijama kao što su vreme, mesto, trajanje, drugi učesnici, korišćeni mrežni servisi i drugo (metering of calls), lociranje komunikacionih terminala u realnom vremenu (stealth ping), presretanje podataka o komunikacijama (statistički nadzor) i presretanje komunikacija u punom kapacitetu (podaci o komunikacijama i sadržaj govornih, negovornih i signalizacionih poruka).
U savremenim mrežama elektronskih komunikacija, efikasan nadzor elektronskih komunikacija teško je izvesti bez odgovarajuće infrastrukturne i operativne podrške operatora i pružalaca usluga. Naravno, pošto operatori nemaju nikakav komercijalni ili poslovni interes da za te potrebe dodatno investiraju u opremu (čija vrednost iznosi i do 10% vrednosti mrežnih elemenata), obaveze operatora da obezbede tehničke uslove i državnim organima omoguće nadzor utvrđuju se zakonom.
3. ZAINTERESOVANE STRANE
U kontekstu zaštite privatnosti i bezbednosti usluga, postavljenom u prethodnom odeljku, mogu se identifikovati interesne grupe korisnika, operatora, komercijalnog sektora i državnih organa. Svaka od ovih grupa ima određene interese, koji po pravilu nisu usaglašeni, a nije redak slučaj da su čak i interesi u okviru jedne grupe kontradiktorni.
Korisnici od elektronskog komunikacionog sistema očekuju pouzdanu, kvalitetnu i poverljivu uslugu, kao i to da njihovi lični podaci koje su poverili operatoru ostanu zaštićeni od svake nezakonite obrade. Uključujući se u mrežu, korisnici ugovorom ili implicitno prihvataju određena pravila ponašanja i postaju odgovorni za svoje postupke, prihvataju mere koje operator preduzima radi njihove zaštite kao korisnika14, ali i mere koja država može preduzeti radi zaštite društvene zajednice. Važno je naglasiti da pri svakom prikupljanju i obradi podataka za potrebe zaštite mreže, usluga i korisnika od strane operatora, dužna pažnja mora biti posvećena pitanju privatnosti. Ono mora biti strogo kontrolisano i ograničeno na jasno definisane legitimne svrhe. Pri tome, treba napomenuti da obračun i naplata usluga nije jedina legitimna svrha, kako se to neretko tumači.
Operatori se u ovom kontekstu mogu javiti u ulozi operatora telekomunikacionih mreža, pružalaca usluga pristupa telekomunikacionoj ili Internet mreži, pružalaca usluge pristupa multimedijalnim sadržajima, pružalaca usluga sa dodatnom vrednošću, pružalaca usluga infrastrukture (hardvera, komunikacija, aplikacija, pohranjivanja informacija) i drugim. Najčešće se jedan poslovni entitet javlja u nekoliko uloga, pa je u praksi teško odrediti jasne granice. Operatori imaju posebno izražen interes da obezbede zaštitu privatnosti korisnika i bezbednost usluga, pošto na taj način osvajaju bolju poziciju na tržištu, štite svoje materijalne i nematerijalne vrednosti, zadobijaju i čuvaju poverenje korisnika i ne izlažu se opasnosti da prekršajno i krivično odgovaraju. Osnova pružanja elektronskih komunikacionih usluga je u poverljivom upravljanju informacijama i podacima korisnika, pa je poverenje korisnika od ključnog značaja za sam posao. Gubitak poverenja korisnika, utemeljen na stvarnim incidentima ili samo na percipiranoj privatnosti bez zaštite, može u znatnoj meri da naškodi ugledu operatora i direktno se odrazi čak i na vrednost kompanije na berzi. Zbog toga su privatnost korisnika i bezbednost usluga iz ugla operatora bitni preduslovi za obavljanje osnovnog posla, a u krajnjem ishodu čak i komparativna prednost u odnosu na konkurenciju.
Komercijalni sektor ima brojne i različite interese u pogledu zaštite privatnosti korisnika i bezbednosti usluga, interese koji sve više dobijaju na značaju sa razvojem poslovnih aktivnosti u domenu Interneta i elektronskog poslovanja. S jedne strane, pogodnosti informacionog društva komercijalni sektor vidi kao priliku da, obrađujući informacije o potrošačima, pronikne u njihove potrebe, razvije nove marketinške strategije, nove proizvode, unapredi korisnički servis, poveća efikasnost svojih internih procesa i slično. I tu se otvara pitanje na koje nije lako odgovoriti: kada marketinške aktivnosti prerastaju u narušavanje privatnosti pojedinaca? Istovremeno, bezbedna ICT infrastruktura, bezbedne elektronske transakcije i zaštićeni lični podaci postaju ključni u opredeljivanju potencijalnih klijenata za stupanje u poslovni odnos sa nekom kompanijom. Sve intenzivnije uključivanje većeg broja partnera u poslovne procese (kroz oustsourcing usluga, cloud computing i slične poslovne modele) čini da se tradicionalni bezbednosni okvir IT gubi u sajber prostoru, što ne samo da usložnjava zadatak zaštite, nego i naglašava značaj najslabije karike u lancu, koji god učesnik to bio.
Pošto se poverenje pružalaca usluga sa dodatnom vrednošću zasniva na garancijama drugih učesnika u lancu da njihovi prihodi neće biti oštećeni prevarama ili povredama prava intelektualne svojine, globalni razvoj sektora elektronskih komunikacija počinje sve više da zavisi i od međusobnog poverenja svih strana u procesu i postavlja kao imperativ da svaki od njih preduzme sve razumne mere zaštite.
S druge strane, komercijalni sektor se javlja i kao poslodavac koji ima prirodan interes da kontoliše poslovne procese, a to lako može da se deformiše i u zloupotrebu privatnosti zaposlenih. Ako, na primer, poslodavac koji dozvoljava korišćenje kompanijskih komunikacionih sredstava i u privatne svrhe bez izričite saglasnosti zaposlenih prikuplja i analizira podatke o telefonskim komunikacijama ili kontroliše sadržinu elektronske pošte (radi navodne kontrole troškova, zaštite poslovanja ili slično), mogao bi se naći u ozbiljnom problemu zbog povrede privatnosti pojedinaca.
Državni organi, pored interesa da obezbede uslove za zakonit nadzor u oblasti bezbednosti elektronskih komunikacija i zaštite privatnosti imaju jasan zadatak da uravnoteže interese i odgovornosti građana, komercijalnog sektora, operatora i društvene zajednice. Donošenjem neophodnih propisa i obezbeđivanjem njihove primene, država treba da osigura najviši nivo bezbednosti i zaštite građana, ali istovremeno mora izbeći i preterano opterećivanje operatora i sputavanje komercijalnog sektora. Na prirodno pitanje gde povući granicu, EU u seriji strateških dokumenata eEurope daje odgovor da, koliko god je to moguće, tržište treba da odredi koji je nivo bezbednosti potreban korisnicima, za šta je opet neophodno da se utvrde dobri indikatori i jasni kriterijumi uspešnosti.
4. PRETNJE I RIZICI PO PRIVATNOST I BEZBEDNOST
Uprkos stalnom razvoju i napretku bezbednih tehnologija, u neprekidnoj trci sa napadačima u realnom životu i dalje postoje brojne slabosti (mobilni terminali, personalni računari, pristupne mreže, transportne mreže, signalizacioni kanali, interne ICT infrastrukture operatora i koroporativnih korisnika, baze podataka i druge komponente sistema). Dinamično poslovno okruženje i žestoka tržišna utakmica, mobilnost korisnika, konvergencija mobilnih terminala i personalnih kompjutera, razuđenost korporacija, novi poslovni modeli elektronskog poslovanja, jedinstven globalni virtuelni prostor i drugi spoljašnji faktori samo otežavaju poziciju branilaca mreža i digitalnih granica.
I dok je u percepciji javnosti izraženija zabrinutost zbog eventualne sistemske zloupotrebe tehnologije od strane države, pojedinci koji nisu umešani u kriminalne ili druge rizične operacije imaju mnogo više izgleda da im privatnost i bezbednost u elektronskim komunikacijama ugrozi ne tako spektakularan i respektabilan napadač, ali možda i sa težim posledicama. Potencijalne pretnje po privatnost korisnika i bezbednost usluga koje ne dolaze iz legitimnog državnog izvora brojne su i mogu biti oličene u pojedincima - hakerima, poslodavcima, privatnom bezbednosnom sektoru, konkurenciji, oportunom i organizovanom kriminalu, stranim obaveštajnim službama, teroristima i drugim eksternim izvorima. Tu su i interni izvori, poput osoba od poverenja, personala operatora i pružalaca usluga, partnera, isporučilaca opreme, državnih organa i drugih izvora koji imaju insajderski kapacitet i zloupotrebljavaju privilegovani pristup informacijama i tehničkim resursima mimo dozvoljene svrhe. Njihovi motivi mogu se kretati od zabave i borbe za prestiž, preko rasvetljavanja ličnih i poslovnih „dilema“, sticanja profita na nečastan ili nezakonit način, do lokalnih ili međunarodnih ekonomskih i političkih interesa.
Iz tog obilja slabosti i pretnji, kombinovanjem i sinergijom nastaju brojni rizici, od kojih su neki već spomenuti, a u ovom kontekstu vredi navesti još neke.
Društvene mreže (social networks) su transformisale Internet u moćan komunikacioni medijum i privukle milione korsnika, ali i otvorile nove opasnosti po njihovu privatnost i bezbednost. Ovo je izraženije u društvenim mrežama opšte namene (kao što je Facebook ili MySpace) i ako se korisnik uključuje s mobilnog terminala. Povrede privatnosti i ugrožavanje bezbednosti mogu poticati i od drugih učesnika u društvenoj mreži, trećih lica i samog pružaoca usluge društvene mreže, a najčešće su krađa identiteta, zloupotreba ili falsifikovanje podataka, odliv poslovnih informacija i ugrožavanje reputacije preduzeća, lociranje i praćenje korisnika, socijalni inženjering, lažno predstavljanje. Pored nabrojanih rizika, društvene mreže su idealan kanal za širenje zloćudnih programa.
Programski dodaci za špijuniranje (spyware) su aplikacije koje se instaliraju na personalni računar ili mobilni telefon, i bez vidljivih znakova prikupljaju i šalju informacije o komunikacijama i drugim aktivnostima korisnika. Ova vrsta zloćudnog softvera odavno se raširila na Internetu, a poslednjih godina, sa razvojem i publikovanjem arhitektura i otvaranjem programskih interfejsa, ozbiljno ugrožava i mobilne uređaje. Potencijalni korisnici špijunskog softvera mogu biti zabrinuti roditelji, ljubomorni supružnici ili partneri15, sumnjičavi poslodavci, industrijski špijuni, kriminalci i mnogi drugi. Na današnjem nivou razvoja mobilni spajver podržava tajnu krađu informacija sa uređaja, slanje SMS i MMS na račun žrtve, lociranje u realnom vremenu, uključivanje mikrofona i prisluškivanje prostora, presretanje svih (govornih i negovornih) komunikacija. Prognoze su sumorne, naročito za mobilni spajver: napadi su neizbežni i biće sve kompleksniji i virulentniji, sve više će pogađati korporativni sektor i sektor elektronskog poslovanja, korisnici će sve teže moći da se odbrane od njih, tako da ova pretnja, po svim skorašnjim procenama, ulazi među prvih 10 pretnji po bezbednost informacija u elektronskim komunikacijama.
Privatni bezbednosni sektor postaje sve veća pretnja po privatnost korisnika elektronskih komunikacionih usluga, bilo kao posrednik u prodaji i distribuciji dodaka za špijuniranje, bilo kao pružalac kompletne usluge špijuniranja. Snažna motivacija naručilaca i spremnost da ne prave pitanje oko cene, neznanje i neosvešćenost korisnika – potencijalnih meta, tehnološka ranjivost mreža i usluga, komercijalna dostupnost visokotehnološkog alata o kakvom su i ozbiljne državne službe do pre desetak godina mogle samo da maštaju, podložnost socijalnom inženjeringu, korupcija i druge ljudske slabosti, u kombinaciji sa zakonski neregulisanim i nekontrolisanim okruženjem, čine Srbiju povoljnim okruženjem za ovu vrstu delatnosti. Uostalom, dovoljno je samo pogledati oglasne stranice u štampi i na Internetu.
Organizovani sajber kriminal prepoznat je kao posebno ozbiljna pretnja po bezbednost informacija i elektronskih komunikacionih mreža. Svedoci smo nastajanja globalne podzemne ekonomije koja, iako kriminalna, funkcioniše po svim zakonitostima legalne ekonomije: ima prepoznatljiv poslovni model koji obuhvata nameru, sredstva, plan, ciljnu grupu, podelu uloga, infrastrukturu, mehanizme izvlačenja dobiti, posluje na principima ponude, tražnje i reputacije „privrednika“ na bazi potvrđenih uspeha, ali uvek sa primarnim ciljem: doći do novca i ne biti uhvaćen.
Kriminalne mreže, naročito one bazirane u istočnoevropskim zemljama, imaju svoje programerske i hakerske timove, paravan kompanije, ali i legitimne Internet provajdere koje koriste za izvođenje napada. Poslednjih godina se usmeravaju na male i srednje korporacije u SAD i evropskim zemljama, očigledno najosetljivije na napade iz sajber prostora. Cilj im je, po pravilu, krađa ličnih podataka i finansijskih ovlašćenja klijentele tih kompanija. Ove informacije se eksploatišu direktno ili se prodaju na kriminalnom tržištu. Pored ovoga, sve češći su i slučajevi proizvodnje i prodaje kompjuterskih virusa ili alata za njihov razvoj trećim licima, ili naručivanja određene vrste sajber napada na odabranu žrtvu, a sve to na komercijalnoj osnovi.
Sajber terorizam, sajber rat i bezbednost kritične infrastrukture16 postaju novi, sve značajniji elementi vojno-političkih doktrina mnogih zemalja. Od jednostavnih eksperimenata čiji cilj je bio samodokazivanje autora, sajber napadi su prerasli u kompleksne operacije koje se izvode radi profita ili iz političkih razloga. Napad u sajber prostoru je jeftin, poreciv i lako se prikriva. S druge strane, može da nanese ogromnu štetu žrtvama17. Tanka linija razdvajanja sajber kriminala, sajber terorizma i rata u sajber prostoru danas je potpuno izbledela; ima indicija da neke zemlje vide kriminalne i terorističke grupe kao korisne saveznike i da su već pokazale spremnost da tolerišu, ohrabruju, pa čak i usmeravaju pojedince i grupe da napadaju neprijateljske ciljeve. Sve veća zavisnost nacionalnih ekonomija i državne uprave od kritične ICT infrastrukture, njena uzajamna i prekogranična povezanost sa drugim infrastrukturama, u okruženju brojnih pretnji i rizika, kao imperativ nameću potrebu za sistematskim rešavanjem problema suprotstavljanja sajber napadima velikih razmera.
Operatori elektronskih komunikacionih mreža imaju obavezu da zaštite svoje ICT resurse, ali te mere svakako ne mogu biti dovoljne i za obezbeđivanje kompletne kritične infrastrukture zemlje od sajber napada. S druge strane, s obzirom da je dobar deo kritične infrastrukture u privatnom (korporativnom) vlasništvu i upravljanju, ni država sama za sebe ne može to da obezbedi, tako da je za to neophodno uspostaviti poseban vid saradnje između države i privatnog sektora. EU je još 2005. u svom programu i2010 za informaciono društvo naglasila potrebu za jačanjem bezbednosti ICT infrastrukture i usvojila strategiju za bezbedno informaciono društvo, koja je pojačala ulogu i odgovornost novoformirane Evropske agencije za bezbednost mreža i informacionih sistema (ENISA) i najavila reviziju regulatornog okvira za elektronske komunikacije i usluge usmerenu ka jačanju bezbednosti i integriteta komunikacionih mreža. U ovom trenutku u Srbiji se teško prepoznaje institucionalizovana aktivnost takve ili slične vrste, što ne znači da će zbog toga što zanemaruje potencijalnu pretnju Srbija biti i pošteđena velikih sajber napada. Bez svoje volje ili odluke, Srbija je već integrisana u globalnu mrežu i sa ovako poroznom, praktično nepostojećom digitalnom granicom, trenutno predstavlja laku metu.
5. EVROPSKI OKVIR I SITUACIJA U SRBIJI
Evropski regulatorni okvir za elektronske komunikacije, mreže i usluge predstavlja osnov za sve nacionalne zakone zemalja članica EU. Pored četiri osnovne direktive, okvir uključuje i direktivu 2002/58, kojom se utvrđuje okvir zaštite privatnosti, podataka o ličnosti i integriteta javnih mreža elektronskih komunikacija18. Prihvatajući kao realnost činjenicu da je bezbednost elektronskih komunikacija kritičan faktor društvenog i ekonomskog razvoja, Evropska komisija je još 2001. godine utvrdila jedinstvenu politiku nastupa na ovom planu19, politiku koja je kao jedan od šest prioriteta ušla i u akcioni plan razvoja ICT u Evropi eEurope 200520, koji naglašava značaj poverenja u bezbednost elektronskih transakcija za razvoj informacionog društva. Da bi adekvatno odgovorila rastućim izazovima, EU je 2004. godine formirala Evropsku agenciju za bezbednost mreža i informacionih sistema (ENISA) a početkom 2007. usvojila Strategiju za bezbedno informaciono društvo u Evropi21 u kojoj identifikuje ozbiljan porast rizika i naglašava potrebu za zajedničkim nastupom svih zainteresovanih strana, kako bi na primeren način odgovorila na nove bezbednosne izazove. Osnovni elementi ove evropske strategije su dijalog, partnerski odnos i osposobljavanje ključnih aktera, postavljanje bezbednosti mreža i informacija za jedan od ciljeva EU regulatornog okvira, jačanje ENISA i podrška naporima država članica za postizanje sinergije. Evropska komisija je 2009. usvojila i akcioni plan za zaštitu kritične ICT infrastrukture22, postavljajući bezbednost i otpornost kritične ICT infrastrukture kao dugoročni cilj u okviru evropske politike razvoja bezbednosti mreža i informacija.
Zahvaljujući izrazitoj pažnji koju Evropska komisija, političari, udruženja korisnika i drugi zainteresovani posvećuju izazovima novih poslovnih i komunikacionih modela podržanih Internetom, ali i čvrstom opredeljenju da pravo na privatnost i bezbednost korisnika ni po koju cenu ne smeju biti stavljeni u drugi plan, mnogi u Briselu kažu da će 2010. biti „godina privatnosti“. Najavljena su preispitivanja ključnih dokumenata EU o zaštiti privatnosti, kako uopšte, tako i u sektoru elektronskih komunikacija. U procesu koji je započet krajem 2007. nakon brojnih analiza i konsultacija, 18. decembra 2009. Evropski Parlament i Evropski Savet usvojili su značajne izmene i dopune direktive 2002/58 koje se tiču povrede tajnosti podataka o ličnosti, upotrebe Internet kolačića (cookies) i ovlašćenja operatora da preduzimaju akcije protiv emitera nezatraženih poruka (spam). Zemlje članice EU su dobile rok do maja 2011. da usaglase svoja nacionalna zakonodavstva sa ovim izmenama.
Kada je u pitanju Srbija, uz napomenu da je evropski regulatorni okvir poslužio kao referentni model za „Strategiju razvoja telekomunikacija u Republici Srbiji u periodu od 2006. do 2010. godine“ i nacrt novog Zakona o elektronskim komunikacijama, treba konstatovati da su pitanja zaštite privatnosti korisnika i bezbednosti usluga generalno slabo regulisana. Osim nekoliko načelnih odredbi u članovima 54. i 55. aktuelnog Zakona o telekomunikacijama i nekoliko okvirnih odredbi Zakona o zaštiti podataka o ličnosti, zaštita privatnosti i bezbednost se pominju samo u kontekstu krivičnih dela ili omogućavanja zakonom ovlašćenog nadzora elektronskih komunikacija od strane državnih organa23. Nije za pohvalu ni to što Srbija, iako je još 2005. pristupila, a u martu 2009. i ratifikovala Konvenciju o visokotehnološkom kriminalu24 Saveta Evrope, još uvek nije implementirala sve obaveze koje je tim činom preuzela. Srbija već godinama razvija specijalizovane, ali ipak ograničene policijske i tužilačke kapacitete za borbu protiv visokotehnološkog kriminala, koji su uspešni proporcionalno raspoloživim resursima i neuređenom zakonskom okruženju u kom rade. Nažalost, rad specijalizovanih istražnih službi, bez obzira na to koliko je kvalitetan, po prirodi je reaktivnog karaktera i ne može da bude dovoljan ukoliko nije podržan mnogo ozbiljnijim radom na planu prevencije i sužavanja prostora za delovanje savremenog sajber kriminala. U ovom trenutku, teško je prepoznati institucionalizovan i organizovan napor države da bolje uredi ovu oblast, izgradi institucionalne kapacitete i podigne nivo svesti korisnika. Poredeći dostignuti stepen razvoja sa evropskim standardima, nema sumnje da Srbija ozbiljno kasni i da joj predstoji složen i obiman posao.
5.1. Zakonit nadzor elektronskih komunikacija
Zakonit nadzor elektronskih komunikacija predstavlja stalni predmet sporenja u trouglu zainteresovanih strana koji čine država, operatori i korisnici. U tom kontekstu, EU je u stalnoj potrazi za ravnotežom različitih, često i suprotstavljnih interesa ovih grupa. Presretanje komunikacija predstavlja odstupanje od načela nepovredivosti privatnog života, utvrđenog članom 8. Konvencije o zaštiti ljudskih prava i osnovnih sloboda i detaljnije uređenog praksom Evropskog suda za ljudska prava u Strazburu i nacionalnim zakonodavstvima donetim u skladu sa tim. Prvi korak u pravcu detaljnijeg uređivanja ove materije EU je načinila 1995. rezolucijom Saveta 96/C329/0125, utvrđujući detaljne zahteve i potrebe službi za sprovođenje zakona. Zahtevi uključuju pojedinosti vezane za presretanje sadržaja podataka, podataka o komunikacijama i lokaciji objekta nadzora, ali i odredbe vezane za poverljivost, integritet i kontrolu načina sprovođenja nadzora. Saglasno rezoluciji, Evropski institut za telekomunikacione standarde (ETSI) doneo je odgovarajuću tehničku specifikaciju26. Zahtevi utvrđeni tehničkom specifikacijom kaskadno su razvijeni kroz ETSI LI seriju tehničkih specifikacija i preporuka, prilagođenih pojedinim komunikacionim tehnologijama i uslugama i, konačno, implementirani od strane proizvođača komunikacione i prateće opreme.
Privatnost i zaštita ličnih podataka u zakonima zemalja EU temelji se, kao uostalom i u Srbiji, na konvenciji Saveta Evrope o zaštiti lica u odnosu na automatsku obradu podataka27. U skladu sa Konvencijom, EU je donela okvirnu Direktivu 95/46/EC o zaštiti podataka o ličnosti28. Uvažavajući specifičnosti sektora elektronskih komunikacija, Evropski parlament i Savet 2002. donose posebnu direktivu koja utvrđuje okvire zaštite privatnosti, podataka o ličnosti i integriteta javnih mreža elektronskih komunikacija, već pomenutu direktivu 2002/58. Nakon bombaških napada u Madridu i Londonu, pod pritiskom bezbednosnog sektora, ova direktiva je 2006. godine dopunjena direktivom 2006/24, koja uređuje okvir za zadržavanje podataka o saobraćaju za potrebe borbe protiv tzv. ozbiljnog kriminala29, u smislu vrste podataka i roka čuvanja od 6 meseci do 2 godine. Države članice su za primenu dobile rok do 15. septembra 2007, odnosno produžen rok do 15. marta 2009. za Internet pristup, elektronsku poštu i Internet telefoniju. Direktiva je naišla na veliki otpor javnosti i telekomunikacione industrije, uz glavne primedbe da je mera zadržavanja neproporcionalna pretnji, neefikasna (naročito u domenu Interneta), da nameće veliko finansijsko opterećenje operatorima smanjujući njihovu konkurentnost, previše fleksibilna u pogledu obaveznog roka čuvanja podataka i da na mala vrata uvodi princip prezumpcije krivice za sve korisnike usluga. Po ustaljenoj logici modela upravljanja, ETSI je 2007. doneo tehničku specifikaciju za implementaciju Direktive30. Suočena sa velikim problemima u praksi, Evropska komisija je 25. marta 2008. donela odluku o formiranju grupe eksperata31, kao stalnog konsultativnog tela Komisije i zemalja članica za pitanja zadržavanja podataka o telekomunikacionom saobraćaju. Grupa ima ukupno 25 članova, od toga 10 predstavnika službi za sprovođenje zakona, 2 člana Evropskog parlamenta, 8 predstavnika udruženja telekomunikacione industrije, 4 predstavnika institucija za zaštitu podataka o ličnosti i jednog evropskog nadzornika za zaštitu podataka. Pritisak javnosti i institucija EU i zemalja članica na direktivu 2006/24 se, međutim, nastavlja i potrebno je sačekati najavljenu reviziju okvirne direktive 95/46EC o zaštiti privatnosti da bi se videla njena konačna sudbina.
U Srbiji, zakonski okvir nadzora elektronskih komunikacija je nekompletan, neusaglašen i u dobroj meri nesaglasan sa praksom ECHR, odnosno modelima i standardima EU. Formalno, okvirna obaveza telekomunikacionih operatora da omoguće nadzor i snimanje telekomunikacija utvrđena je članom 504ž. Zakonika o krivičnom postupku (ZKP), odnosno članom 55. Zakona o telekomunikacijama, ali na planu realizacije u praksi ostaje niz nedoumica i prostora za arbitrarna tumačenja, sve to u veoma osetljivoj oblasti zaštite privatnosti korisnika. Interesantno je, na primer, da zakon u Srbiji ne prepoznaje pozicioniranje telekomunikacionog terminala u realnom vremenu kao meru organa gonjenja za otkrivanje i dokazivanje krivičnih dela (iako spada u ozbiljno zadiranje u privatnost), kao i da se osetljivo pitanje zadržavanja i obrade podataka o komunikacijama ili izbegava ili rešava na diskutabilan način. Tako na primer, ZKP mu najbliže prilazi u članu 504lj, kao automatskom računarskom pretraživanju ličnih i drugih sa njima povezanih podataka, i zahteva da ovu meru naređuje istražni sudija na predlog tužioca, a izvršavaju organi unutrašnjih poslova, Bezbednosno-informativna agencija i Vojnobezbednosna agencija.
S druge strane, Zakon o Vojnobezbednosnoj agenciji (VBA), u članu 13. predviđa da tajni elektronski nadzor telekomunikacija i informacionih sistema radi prikupljanja podataka o telekomunikacionom saobraćaju i lokaciji korisnika, bez uvida u njihov sadržaj, može da naloži direktor VBA ili lice koje on ovlasti. Ako se na sve ovo doda već pomenuta presuda ECHR 2007. u slučaju Copland vs. UK (informacije vezane za vreme i dužinu telefonskog razgovora, a posebno – izabrani brojevi sagovornika, predstavljaju integralni deo telefonske komunikacije), presuda Ustavnog suda Republike Srbije u predmetu Iuz-149/08 od 28.05.2009. u vezi sa članom 55. stav 1. Zakona o telekomunikacijama (“odstupanje od tajnosti pisama i drugih sredstava komuniciranja dozvoljeno samo na osnovu odluke suda“) i obaveza telekomunikacionih operatora iz člana 54. Zakona o telekomunikacijama da zaštite podatke o komunikacijama korisnika, ne treba da čudi nedoumica u kojoj se operator može naći kada u praksi treba da ispuni obaveze prema državnim organima i odgovornost prema korisnicima, u uslovima ovako kontradiktornih propisa. Otvoreno je i pitanje dužine roka čuvanja podataka o saobraćaju, pošto shodno članu 54. Zakona o telekomunikacijama, podatke o saobraćaju koji se odnose na pojedinačne korisnike i koji se obrađuju radi uspostavljanja veza, javni telekomunikacioni operator može čuvati i obrađivati samo u obimu koji je neophodan za ispostavljanje računa korisniku. Srbija nema poseban propis o zadržavanju podataka o komunikacijama za potrebe krivičnog postupka, što u tom kontekstu otvara (naravno retoričko) pitanje: pošto se pripejd usluge naplaćuju odmah, promotivni paketi se ne tarifiraju, a paketi sa jedinstvenom tarifom (flat rate) ne zavise od ostvarenog saobraćaja, da li to znači da operatori krše zakon kada ipak čuvaju podatke neko vreme po obavljenim komunikacijama, ili krše zakon kada ne čuvaju te podatke, a ispostavi se da su oni od ključne važnosti za rasvetljavanje teškog krivičnog dela?
Očigledno, operator se, s jedne stane, stavlja u nezahvalnu poziciju da tumači neusaglašene propise i radi ispunjenja zakonske obaveze zaštite privatnosti korisnika procenjuje zakonsku utemeljenost zahteva državnih organa, a s druge strane državni organi su u poziciji da eventualno prekorače zakonska ovlašćenja i izlože se riziku povrede privatnosti građana na bazi nejasnog ili pogrešno protumačenog propisa. Ovo su samo neke od protivrečnosti aktuelnog zakonskog okvira koji predstavlja pravi izazov za one koji treba da ga primene, bez obzira na kojoj strani se nalazili.
Kada se govori o zakonitom nadzoru elektronskih komunikacija, nezaobilazno je i pitanje troškova nadzora. Troškovi nadzora na strani operatora sastoje se od inicijalnog ulaganja u podsisteme za presretanje komunikacija i zadržavanje podataka o komunikacijama, i operativnih troškova vezanih za konkretne mere i zahteve državnih organa. S obzirom na to da su inicijalna ulaganja u opremu reda miliona evra, da je ta oprema deo telekomunikacione mreže, kao i da i sami operatori imaju deo odgovornosti za očuvanje bezbednosti i demokratskih vrednosti društva, nerealno je tražiti da država snosi kompletne troškove obezbeđivanja tehničkih preduslova.
S druge strane, postojanje sistema za presretanje komunikacija, ni iz aspekta operatora ni korisnika, ne doprinosi osnovnoj nameni - pružanju usluga - pa je nepravedno i sve troškove njihovog obezbeđivanja prebaciti na operatore (a time posredno i na korisnike). U zemljama EU, pitanje finansiranja opremanja bazirano je na principu pravične raspodele troškova i rešeno tako što država delimično kompenzuje ulaganja operatorima, ili propisanim godišnjim paušalom ili kroz određenu naknadu za svaku izvršenu meru presretanja. Država takođe operatorima nadoknađuje i sve realne operativne troškove nastale u ispunjavanju pojedinačnih zahteva državnih organa vezanih za konkretne mere.
Sve navedeno, ali i mnogo toga što u ovom kratkom prikazu nije rečeno, operatore stavlja u nezahvalnu poziciju da se nepotrebno izlažu ozbiljnim poslovnim i reputacionim rizicima potencijalnog gubitka poverenja korisnika, kršenja (nekog od neusaglašenih) zakona, društvene odgovornosti za bezbednost i očuvanje demokratskih tekovina lokalne zajednice, odgovornosti prema akcionarima i nesrazmernim investicionim i operativnim troškovima. Polazeći od nespornog interesa za ostvarivanjem maksimalne dobrobiti pojedinaca i zajednice, vladavine prava i informacionog društva usaglašenog sa modelima i standardima EU, u procesu uređivanja sektora elektronskih komunikacija u Srbiji, neophodno je dužnu pažnju posvetiti i organizaciji nadzora elektronskih komunikacija za potrebe države. Ovaj važan instrument državne sile treba da bude utemeljen na zakonu i implementiran u skladu sa zakonom, operativno efikasan, racionalno dimenzionisan po funkcijama i kapacitetima i sa ugrađenim mehanizmima zaštite od zloupotreba. Uspostavljanje jednog takvog sistema ne može da ugrozi bezbednost zemlje, ali može mnogo da doprinese njenom kredibilitetu kao partnera u procesu evropskih integracija.
6. ZAKLJUČAK
Iz svega navedenog, postaje očigledno da zaštita privatnosti korisnika i bezbednost informacionih i komunikacionih tehnologija nisu isključivo problem zagarantovanih prava i sloboda čoveka, već predstavljaju ozbiljno društveno-ekonomsko, političko i bezbednosno pitanje za svaku zemlju. Takođe je jasno da zaštita privatnosti korisnika i bezbednost elektronskih komunikacionih mreža i usluga nisu isključivo problem tehnologije već otvaraju i druga kompleksna pitanja kao što su zakonski i regulatorni okvir, model i implementacija upravljanja (od nacionalnog do mikro nivoa), državna i javna bezbednost, razvoj institucionalnih kapaciteta, proces evropskih integracija Srbije, ponašanje, kultura i osvešćenost korisnika i slično. Stalno uvođenje novih komunikacionih tehnologija i usluga dodatno otežava već ionako složen problem, pogotovo ako se u obzir uzmu dramatične promene u prostoru potencijalnih pretnji i novi, do sada nepoznati rizici po bezbednost. Jasno je stoga da rešavanje pitanja privatnosti i bezbednosti u elektronskim komunikacijama zahteva sveobuhvatan pristup, uključivanje širokog kruga zainteresovanih i usaglašavanje mnogih, često različitih potreba i interesa. Evropska unija i zemlje članice, kao uostalom i sve zapadne demokratije koje teže uvođenju informacionog društva kao sledećeg stepena razvoja civilizacije, veliku pažnju posvećuju ovim pitanjima. Srbija će, ako želi da postane priznat član ove zajednice, morati da ispuni njene standarde zaštite privatnosti i bezbednosti informacionih i komunikacionih tehnologija.
Na bazi iskustava drugih i preporuka iskusnijih, kao prirodni prvi koraci u ovom procesu nameću se: formulisanje i donošenje nacionalne strategije zaštite privatnosti i bezbednosti u elektronskim komunikacionim mrežama, preuređenje zakonskog i regulatornog okvira (uz suštinsku i potpunu implementaciju prihvaćenih međunarodnih obaveza i standarda), uspostavljanje partnerstva između države i ICT sektora, razvijanje mehanizama prevencije, otkrivanja i odgovora na sajber prevare i kriminal, isticanje prava na privatnost kao osnovne vrednosti društva i promocija nacionalne kulture informacione i komunikacione bezbednosti i na samom početku - mobilisanje kritične mase znanja i sposobnosti da sve to pokrene i sprovede u život. Izazovi će svakako biti i nalaženje kredibilnog pokretača ovog procesa, pitanje podele uloga u sprovođenju nacionalne strategije, a naročito ko je na najvišem državnom nivou ogovoran za njeno donošenje i sprovođenje. Ali, kao što kaže drevna kineska mudrost: i putovanje od hiljadu milja počinje prvim korakom. Preostaje samo da Srbiji poželimo srećan put.
Literatura
1.Council of Europe Convention on Protection of Individuals with regard to Automatic Processing of Personal Data, CETS No. 108
2.Council of Europe: ETS 185 – Convention on Cybercrime, 2001
3.Council of Europe: Cooperation between law enforcement and Internet service providers against cybercrime: towards common guidelines, Project report, 2008.
4.Council of Europe: Special Investigative Means in South-eastern Europe, PACO SIMS Project report, 2003
5.Communication from the Commission on fighting spam, spyware and malicious software, COM (2006) 688 final, 2006
6.Commission Decision (2008/324/EC) of 25 March 2008 setting up the “Platform of Electronic Data Retention for the Investigation, Detection and Prosecution of Serious Crime” group of experts.
7.Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data
8.Directive 2002/58 of the European Parliament and Council concerning the processing of personald data and the protection of privacy in electronic communications networks and services.
9.Directive 2006/24 of the European Parliament and Council on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and ammending Directive 2002/58
10.European Council Resolution of 28 January 2002 on a common approach and specific actions in the area of network and information security (2002/C43/02)
11.Europan Council Resolution of 18 February 2003 on the implementation of the eEurope 2005 Action Plan (2003/C 48/02)
12.European Council Resolution of 18 February 2003 on European approach towards a culture of network and information security, (2003/C 48/01)
13.ETSI ETR 237: Baseline security standards; Features and mechanisms, 1996
14.ETSI TS 101 331 V1.1.1 (2001-08) Lawful Interception; Requirements of Law Enforcement Agencies
15.ETSI TS 102 656 V1.1.2 (2007-12) Requirements of Law Enforcement Agencies for handling Retained Data
16.European Union Council Resolution COM 96/C329/01 of 17 January 1995 on the Lawful Interception of Telecommunications
17.GSMA: SG.07 The Potential Missuse and a Threat Analysis of the GSM System 3.11, 2007.
18.Cisco: Anual Security Reports 2008, 2009
19.D.Politis, P.Kozyris, I.Iglezakis (Editorial advisory board): Socioeconomic and Legal Imlications of Electronic Intrusion, zbornik radova, 2009.
20.Information Security Forum: Threat Horizon 2010
21.ITU-D Study Group 1, Question 22/1: Report on Best Practices for a National Approach to Cybersecurity: A Management Framework for Organizing National Cybersecurity Efforts, ITU Secretariat Draft, 2008.
22.John Pescatore, Greg Young, Ant Allan, John Girard, Joseph Feiman, Neil MacDonald: Gartner 2008 IT Security Threat Projection Timeline
23.McAffie: Virtual Criminology Reports 2005, 2006, 2007, 2008, 2009
24.M. Portnoy, S. Goodman: Global Initiatives to Secure Cyberspace, Springer 2009.
25.M. Schipka, Sr: The Online Shadow Economy: A Billion Dollar Market For Malware Authors, MessageLabs Inc. whitepaper, 2007
26.Nataša Pirc-Musar: Vodič kroz Zakon o zaštiti podataka o ličnosti, 2009. izdanje Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije
27.OECD: Computer Viruses and Other Malicious Software – A threat to the Internet Economy, 2009
28.P. Traynor, P. McDaniel, T. La Porta: Security for Telecommunications Networks, Springer 2008.
29.RAND Europe: Benchmarking Security and Trust in the Information Society in Europe and the US, IST-26276-SIBIS project (SIBIS Statistical Indicators Benchmarking the Information Society), 2003.
30.Symantec Report on the Underground Economy, 2008.
Autor
Milan Nikolić diplomirao je elektroniku i telekomunikacije 1980. godine na Fakultetu tehničkih nauka u Novom Sadu. Radio je u Resoru državne bezbednosti MUP Srbije do 2002. godine. U periodu od 2003. do 2007.godine rukovodio je Službom za specijalne istražne metode u Upravi za borbu protiv organizovanog kriminala (UBPOK) i Upravi kriminalističke policije MUP Srbije. Vodio je nekoliko međunarodnih projekata reforme i jačanja kapaciteta policije Srbije za borbu protiv organizovanog i ozbiljnog kriminala, podržanih od strane OEBS, Saveta Evrope, Evropske unije, SAD, Nemačke i Velike Britanije.Od 2007. godine do danas radi na mestu direktora korporativne bezbednosti Telenor d.o.o.
1Izneti stavovi su lično stanovište autora i ne predstavljaju nužno i zvaničnu poziciju njegovog poslodavca, Telenora d.o.o.
2Nedavna anketa sprovedena u skandinavskim zemljama pokazala je da građani, kada je reč o sopstvenoj privatnosti, najmanje poverenja imaju u korišćenje svojih komunikacionih uređaja. Na drugom mestu je bila elektronska naplata putarine pomoću RFID vinjeta.
3 Na primer RAND Europe, YouGov research.
4Bez upadanja u zamku polemike da li je bezbednost elektronskih komunikacija komponenta bezbednosti informacija ili je bezbednost informacija jedan od oslonaca bezbednosti elektronskih komunikacija, iz ugla primene u praksi a i krajnjeg korisnika, jasno je da se nijedan od ovih aspekata ne može posmatrati izolovano i uz zanemarivanje onog drugog.
5U identičnom tekstu i kao CCITT Rec. X.800 (The OSI Security Architecture)
6Najbolji primer za to je GSM system, koji pokriva skoro 80% svetskog tržišta, projektovan tako da ima visok stepen zaštite privatnosti korisnika i bezbednosti komunikacija, sa snažnim mehanizmima autentifikacije, autorizacije i kriptozaštite radio kanala. Prošlo je manje od osam godina od prve specifikacije GSM Faze I koju je ETSI publikovao 1990, do javnog objavljivanja da su najraširenije implementacije algoritama kriptozaštite SIM kartice (A3/A8) i radio kanala (A5) razbijene i da sistem više nije bezbedan. Napredak komercijalne tehnologije je dalje učinio da ono za šta je 1998. bilo potrebno 30 minuta rada uz komplikovanu i skupu opremu danas može da uradi prosečan haker, sa lako dostupnom i jeftinom opermom, praktično u realnom vremenu. Naravno da su problemi kompromitacije sistema zaštite u GSM vrlo brzo razrešeni, ali je ostalo otvoreno pitanje primene ovih rešenja, koja bi u najraširenijoj globalnoj mreži zahtevala ogroman napor i ulaganja, pa verovatno nikada i neće biti sprovedena do kraja.
7Tako na primer, samo u jednom slučaju, inače tipične prevarne operacije kloniranja SIM kartica, za koji je pokrenut istražni postupak u decembru 2009, šteta koju su pretrpeli mobilni operatori u Srbiji procenjena je na 62,8 miliona dinara. To istovremeno znači da je nastala i šteta po budžetske prihode od oko 11,3 miliona dinara.
8 Communications Fraud Control Association: 2009 Global Fraud Loss Survey. CFCA je neprofitna globalna asocijacija koja se bavi edukacijom zainteresovanih za borbu protiv prevara u telekomunikacijama.
9 Na primer, razni TV ili radio kvizovi u kojima se postavljaju trivijalna pitanja, a glasa se telefonom. U ovakvim nazovi kvizovima, korisnik nema šanse da osvoji primamljivu nagradu (pošto organizator i nije imao nameru da je dodeli), ali zato provede dosta vremena slušajući ohrabrenja govorne mašine na drugom kraju veze i na kraju dobija poveći račun (50-90 dinara po minutu). Da bi sve izgledalo uverljivije, u program se navodno „javljaju“ drugi takmičari koji daju pogrešne odgovore i samo podgrevaju želju naivnih da „održe lekciju tim neznalicama“.
Sličan mehanizam je primenjen i u nedavnoj prevari sa otkupom besplatnih akcija, prema saopštenju tužilaštva, u organizaciji preduzeća „DeltaTrejd“ kao maske glavnog preduzetnika SZR „Bananica“ iz Lazarevca. Procenjuje se da su građani, za 10 meseci oštećeni za 5,3 miliona dinara
10 U poslednjih godinu dana srpski telekomunikacioni prostor pogađaju česte kampanje tzv. call-back prevara, kada (po svoj prilici automatski i nasumično izabran) korisnik dobija propušten poziv sa nepoznatog broja. Mnogi korisnici, rukovodeći se osnovnim pravilima pristojnosti, uzvraćaju poziv na taj broj. Iza njega se po pravilu krije terminal sa povećanim tarifiranjem, na nekoj dalekoj ili čak satelitski povezanoj destinaciji, u mreži operatora iz sive zone koji naplaćuje čak i vreme proteklo na uspostavljanju veze. Sve to rezultuje pozamašnim računom koji ne može osporiti ni korisnik ni njegov matični operator.
11 Već poznata SMS prevara „Tata, ovo je moj novi broj“, u kojoj se od primaoca traži da uplati kredit (od, recimo, 1000 dinara) na novi broj svog deteta. Većina korisnika koji prime ovakvu poruku samo odmahnu rukom i izbrišu je, ali zakon velikih brojeva i statistika čine da dovoljan broj ljudi ipak nasedne na prevaru.
12 Praksa ECHR
13 Studija „Internet User’s Privacy Concerns and Beliefs About Government Surveillance“, izrađena u saradnji Florida Atlantic University, SAD, i IULM univerziteta iz Italije, u kojoj se upoređuju percepcije pojedinaca u SAD i Italiji vezane za nadzor od strane državnih organa, zaključuje da odluka korisnika da stupi u transakcije elektronske trgovine zavisi najviše od njihove zabrinutosti za potencijalne povrede privatnosti, shvatanja neophodnosti državnog nadzora radi zaštite od kriminala, terorizma i prevara i zabrinutosti da državni nadzor ne izađe iz tih okvira. Istraživači konstatuju da je održavanje ravnoteže između potrebe za bezbednošću i straha od gubitka privatnosti od ključnog značaja, ne samo za razvoj informacionog društva, nego i za postojanje ili eroziju podrške javnosti legitimnim inicijativama vlade vezanim za bezbednost. Savet državnim institucijama koje razvijaju modele i praksu državnog nadzora jeste da ne zanemaruju rastuću potrebu građana za privatnošću, da je praćenje percepcije javnosti veoma važno i da obe strane treba da imaju razumevanja za vrednosti i ubeđenja onih drugih.
14 Tako, na primer, sistematsko prikupljanje i obrada podataka o komunikacijama od strane operatora, usko posmatrano, može biti tretirano kao ugrožavanje privatnosti korisnika. S druge strane bezbednost mreže, usluga i korisnika od prevara i sajber napada zasniva se na posebnim dnevnicima i obradama podataka o komunikacijama. Bez odgovarajućih mera zaštite, te informacije mogu biti zloupotrebljene, što bi svakako bilo tretirano kao povreda privatnosti, ali su i neophodne za ostvarenje funkcije u interesu korisnika. Ovi podaci se mogu posmatrati i kao poverljivi podaci između korisnika i pružaoca usluge. Tek neovlašćeno davanje tih podataka trećoj strani, bila ona čak (ili upravo) i državni organ ili služba, mogu se tretirati kao povreda privatnosti i zloupotreba podataka o ličnosti.
15 Tekst tipične reklame: zamislite da ste supruga koja sumnja da je suprug vara. Sada možete da čitate sve njegove odlazne i dolazne SMS poruke, sa kim i o čemu razgovara i gde je u stvari kada Vam saopšti „Dušo, u kancelariji sam“. Ili, ako ste zabrinuti roditelj i želite da pratite SMS komunikaciju svoje dece. Nema više potrebe za nagađanjima šta se dešava kada vaši dragi nisu kod kuće!
16Kritična infrastruktura obuhvata one institucije i sisteme koji obezbeđuju protok robe i usluga neophodnih za odbranu zemlje i funkcionisanje ekonomije, zdravstva, zaštite i drugih osnovnih funkcija u društvu. Pretnje kritičnoj infrastrukturi mogu biti fizički napad na materijalne komponente ili sajber napad na njene ICT komponente.
17Nedavni sajber napadi na Gruziju, Estoniju i Litvaniju su najupečatljiviji primeri za to.
18Directive 2002/58 of the European Parliament and Council concerning the processing of personal data and the protection of privacy in electronic communications networks and services.
19European Council Resolution of 28 January 2002 on a common approach and specific actions in the area of network and information security (2002/C43/02)
20Europan Council Resolution of 18 February 2003 on the implementation of the eEurope 2005 Action Plan (2003/C 48/02)
21 Strategy for a Secure Information Society in Europe – “Dialogue, partnership, and empowerment,” (Council Resolution 2007/C 68/01)
22 Communication on Critical Information Infrastructure Protection – “Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, secuirty and resilience”, 2009.
23 Nacrt novog Zakona o elektronskim komunikacijama, sledeći model primenjen u zemljama EU predviđa da je „operator dužan da radi obezbeđivanja bezbednosti svojih elektronskih komunikacionih mreža i usluga, primeni razumne tehničke, tehnološke i organizacione mere, primerene postojećim rizicima“. Takođe, nacrt predviđa i da „kada postoji poseban rizik povrede bezbednosti elektronskih komunikacionih mreža i usluga (neovlašćeni pristup, značajan gubitak podataka, ugrožavanje tajnosti komunikacija, bezbednosti ličnih podataka i dr.), operator je dužan da o tom riziku obavesti ugrožene korisnike i, ako je takav rizik van opsega mera koje je operator dužan da primeni, o mogućim sredstvima i troškovima zaštite“. Iako dobra polazna osnova, ove obaveze, bez preciznije definicije i kasnije detaljne razrade i implementacije koje nigde nisu predviđene, neće mnogo doprineti podizanju nivoa bezbednosti.
24Convention on Cybercrime, CETS No. 185 („Službeni glasnik RS” broj 19/09)
25COM 96/C329/01: "European Union Council Resolution COM 96/C329/01 of 17 January 1995 on the Lawful Interception of Telecommunications".
26Trenutno je aktuelna verzija ETSI TS 101 331 V1.1.1 (2001-08) Requirements of Law Enforcement Agencies
27Council of Europe Convention on Protection of Individuals with regard to Automatic Processing of Personal Data, CETS No. 108
28 Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data, 24.10.1995.
29Directive 2006/24 of the European Parliament and Council on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and ammending Directive 2002/58.
30ETSI TS 102 656 V1.1.2 (2007-12) Requirements of Law Enforcement Agencies for handling Retained Data
31Commission Decision (2008/324/EC) of 25 March 2008 setting up the “Platform of Electronic Data Retention for the Investigation, Detection and Prosecution of Serious Crime” group of experts.