Analiza sajtova beogradskih javnih preduzeća i službi

Nakon što je u drugom krugu Indeksa privatnosti u medijima (MPI) ponovo analizirano stanje u domaćim medijima kako bi se stekla slika o tome koliko domaći mediji cene i brinu o privatnosti svojih korisnica i korisnika, SHARE Fondacija odlučila je da uradi analizu sajtova beogradskih javnih preduzeća i službi. Cilj istraživanja bilo je utvrđivanje nivoa bezbednosti 30 sajtova koji pripadaju Gradu Beogradu, odnosno povezanim organima, gradskim službama i javnim preduzećima kako bi se utvrdio stepen privatnosti kao i mehanizmi koje ovi sajtovi koriste kako bi obezbedili korisničke podatke. 

Istraživanje se sastojalo od tri glave celine, prva se odnosila na pregled tehničkih parametara sajtova kao što su da li sajtovi koriste bezbednosni protokol (https), kroz koje zemlje prolaze podaci korisnica i korisnika, gde su sajtovi registrovani kao i kome pripadaju domeni sajtova javnih preduzeća? Tehnički parametri su veoma korisni za određivanje putanje kojom se podaci korisnica i korisnika kreću kada pristupaju internetu i jos specifičnije, sajtovima javnih preduzeća. Skoro desetina analiziranih sajtova ne koristi enkriptovani https protokol, što je manje više standard u 2022. godini, što predstavlja razlog za brigu i sumnjanje u bezbednost tih sajtova. Takođe, iako je više od 70% sajtova hostovano u Srbiji i u skoro trećini slučajeva podaci prolaze samo kroz Srbiju, kod nekoliko sajtova je ustanovljeno da se koriste posrednički servisi kao što je Cloudflare. Ovaj servis ima veliki značaj kada je u pitanju zaštita od DDoS napada, ali je važno ne zaboraviti da je Cloudflare kompanija sa sedištem u SAD, što znači da korisnički podaci prolaze kroz američke servere.

Drugi deo istaživanja bio je najkoncizniji i odnosio se na transparentnost obrade korisničkih podataka kroz dva pitanja – da li sajtovi poseduju politiku privatnosti i/ili politiku kolačića. Važno je napomenuti da se u ovom trenutku nije gledala sadržina samih politika, već samo da li bilo kakvo obaveštenje ili dokument postoji na sajtu. Iako najkraći deo, ovo je možda najvažniji deo celog istraživanja pošto pokazuje koliko su sajtovi ovih preduzeća, pa samim tim i sama preduzeća spremna da obaveštavaju svoje korisnice i korisnike o načinima na koje su njihovi podaci čuvani, skladišteni i prikupljani. Ova kategorija direktno je povezana sa prvom i trećom kategorijom i predstavlja zakonsku i javnu odgovornost koju ova preduzeća i njhovi sajtovi imaju prema svojim korisnicama i korisnicima.

Čak 80% sajtova javnih institucija nema objavljenu politiku privatnosti niti obaveštenje o kolačićima. Obaveštenje odnosno politika kolačića je pronađena na samo sedam sajtova. 

Praćenje korisnica i korisnika preko sajtova je poslednja celina koja je analizirana. Ovaj deo istraživanja je specijalno interesantan, upravo jer su na sajtovima nekih preduzeća pronađene intruzivne tehnologije koje omogućavaju akterima trećih strana da prate i prikupljaju podatke koje korisnice i korisnici ostavljaju na sajtovima javnih preduzeća i da ih prosleđuju oglašivačima dalje preko drugih sajtova. Ne postoji ni jedan razlog zašto bi veb stranica gradskog javnog preduzeća koristila ovakve tehnologije, pogotovo ako njihovo korišćenje nije naglašeno na stranici predviđenoj za obaveštenje o kolačićima, odnosno politiku privatnosti. Iako samo šest sajtova poseduje politiku privatnosti na svom sajtu, 12 sajtova na svom sajtu koristi marketinške trekere, dok JKP „Beogradski vodovod i kanalizacija“ koji poseduje politiku privatnosti na svom sajtu koristi i Gugl analitiku ali i invazivnu metodu beleženja unosa što podrazumeva pamćenje bilo kojeg teksta koji korisnici unose dok borave na sajtu. Ova tehnologija smatra se invazivnom jer korisnici često mogu ostavljati i osetljive podatke kao što su adrese, brojevi ličnih dokumenata, brojevi telefona ili brojevi platnih kartica. Korišćenje ovakvih tehnologija se uglavnom ne naglašava u politikama privatnosti niti bilo gde u okviru sajtova. 

Analiza beogradskih sajtova predstavlja dobar uvod za dalje istraživanje sajtova javnih preduzeća, kako u Beogradu tako i u drugim gradovima Srbije što bi omogućilo dobar pregled i uvid u bezbednosne strategije javnih preduzeća i službi na internetu. 

Celo istraživanje možete pogledati ovde.