Zašto je svake godine sve teže pratiti izbornu kampanju na mrežama?
Uoči novih izbora i predizborne kampanje, koja deluje da će biti intenzivna koliko i kratka (6 nedelja), opet smo suočeni sa komplikovanom situacijom – kako istraživati kampanje na društvenim mrežama kada u svakom izbornom ciklusu imamo sve manji pristup podacima? Kakve su razlike u odnosu na prethone izborne cikluse i zašto se opseg dostupnih podataka stalno smanjuje?
Kako se prikupljaju podaci sa društvenih mreža?
Svaka društvena platforma trebalo bi da ima svoj API (Application Programming Interface), softver koji dopušta drugim uređajima da se povežu sa platformom i sa nje prikupljaju informacije i podatke. U slučaju istraživačkog posla, API-ji su ti koji nam omogućavaju da prikupimo podatke o tome koliko korisnika prati određene naloge, kako izgleda njihov odnos sa tim nalozima, koliko daleko određene poruke mogu da dosegnu na mrežama i na koji način se te poruke šire. Sve su to informacije koje nam dopuštaju da analiziramo zašto su društvene mreže toliko važne za savremenu komunikaciju. Pristup tim podacima ništa ne košta mreže ni kompanije u čijem su vlasništvu, a za uzvrat neverovatno mnogo daje istraživačkim, novinskim i akademskim timovima koji nastoje da analiziraju izborne cikluse i druge važne društvene događaje. Ipak, čini se da se u poslednje vreme sve više velikih kompanija odlučuje da ograniči pristup podacima sa svojih platformi, najčešće kroz ograničavanje svog API-ja.
Iks i Meta – dva najznačajnija slučaja
Najveće iznenađenje bile su promene koje su uvedene na platformi Iks, ranije poznatoj kao Tviter. Nekad je to bila jedna od društvenih mreža koja je dopuštala najveći pristup svojim podacima, u odnosu broja korisnika i količine dostupnih podataka, i važila je za jednu od najtransparentnijih društvenih mreža. Nakon što je Elon Mask kupio Tviter, sklonio ga sa berze i prekrstio u kompaniju Iks, odlučio je da ta vrsta transparentnosti nije nešto što je važno održavati i polako ali sigurno počeo da podriva ceo sistem izveštavanja i pristupa koji je ova platforma godinama gradila. Tako je u jednom od svojih prvih poteza, Mask potpuno raspustio, a zatim ipak vratio ali u slabijem izdanju Savet za poverenje i bezbednost (Trust and Safety Council), koji je 2016. godine formiran da se bavi pitanjima kao što su govor mržnje, pretnje i širenje dezinformacija na platformi. Uspostavljanje Saveta bio je odgovor na američke izbore i Bregzit referendum 2016. godine, odnosno na rastući pritisak javnosti zbog uticaja društvenih mreža na demokratske procese.
U martu 2023. godine, saopšteno je da su promenjena pravila pristupa Tviterovom (Iksovom) API-ju i da će najjeftiniji paket za pristup podacima sa platforme omogućiti prikupljanje 50 miliona tvitova (ili iksova, još nije razjašnjeno) po ceni od 42,000 dolara mesečno. Poređenja radi, Tviterov API je ranije bio besplatan za istraživače, dok je najskuplji premijum paket koji se nudio kompanijama sa 100-250 korisnika koštao nešto manje od 3000 dolara mesečno.
Više nego desetostruko veća cena ukazuje na to da nije reč samo o promeni pravila, već o ozbiljnoj nameri da se spreči pristup podacima sa platforme. Sam Mask je rekao da je besplatni API bio zloupotrebljavan od strane “botova i manipulatora mišljenja” i da se na to mora staviti tačka. I stavio je tačku, na desetine ako ne i stotine istraživanja širom sveta, kojima je jedina namera bila da ukažu na društvene fenomene i informacione poremećaje, da skrenu pažnju na manipulacije u digitalnom prostoru i da mapiraju kako se uticaj širi mežama. Zaista je teško uopšte pobrojati koliko je važnih istraživanja nastalo iz analiziranja Tvitera, koji važi za politički najvažniju platformu i koja je ujedno i najkorišćenija mreža među novinarima. Mask je takođe podneo tužbu protiv Centra za suzibijanje digitalne mržnje (Center for Countering Digital Hate), koji se bavi dokumentovanjem incidenata i širenjem svesti o govoru mržnje, tvrdeći da su prikupljanjem podataka sa platforme prekršili zakon i da istraživanjem diskredituju platformu i rasteruju oglašivače. Zbog svega ovoga još je teže poverovati da u ovom slučaju Mask zaista brine o zloupotrebi podataka sa platforme, već da u stvari mnogo više brine o rezultatima koje ovakva istraživanja mogu da donesu i koliko bi ga transparetnost koštala. Jedno od prvih istraživanja nekoliko meseci nakon Maskovog preuzimanja Tvitera, pokazalo je da je govor mržnje eksponencijalno porastao na platformi.
Analiza prošlogodišnjih izbora u Srbiji pokazala je da je uticaj i stepen organizovanja vlasti na Tviteru daleko veći nego kod opozicionih stranaka. Ovaj nalaz se poklapa sa podacima Internet observatorije Stenford Univerziteta o botovskim strukturama na srpskom Tviteru iz 2020. godine koje rade u korist vladajuće strukture na mrežama kroz amplifikaciju sadržaja i fabrikovanje podrške kako bi stvorili privid veće podrške vlastima u društvu. Takođe u analizi prošlogodišnjih izbora, jasno su uočeni obrasci neautentičnog ponašanja kada je u pitanju distribucija sadržaja. Naime, kada su određeni nalozi koji pripadaju visokim zvaničnicima Srpske napredne stranke delili određen sadržaj, hiljade naloga bi podelilo isti taj sadržaj direktno sa njihovog naloga. Ovo ukazuje na organizovane operacije deljenja koje za cilj imaju podizanje vidljivosti i angažmana sa datim sadržajem preko platforme. Nažalost, ove godine zbog promena u Iksovoj strukturi, nećemo imati mogućnosti da analiziramo predizbornu komunikaciju na Iksu i na taj način su nam zatvorena značajna vrata za uvid ne samo u predizbornu kampanju, već i uopšte u stanje političke komunikacije u zemlji.
“Kreći se brzo i lomi stvari” bio je prvobitni slogan Fejsbuka dok je još bio nešto između bloga i fakultetske ideje i mnogo pre nego što je postao vrhovni komandant u ekonomiji pažnje. I brzo se kretao i lomio je Fejsbuk, toliko da se već godinama čini da ne može da se izvuče iz svih loših i problematičnih priča koje iskaču sličnom brzinom kao sada novi trendovi na Tiktoku. I dosta toga je zaista ostalo slomljeno u trci ove platforme da postane broj jedan – širenje lažnih vesti i dezinformacija, govor mržnje, ksenofobija, mizoginija, transfobija i homofobija, organizovane i individualne pretnje i napadi i još pregršt primera opasnih ponašanja koja, kada nisu dovoljno pod prismotrom, mogu da izazovu ozbiljne probleme u demokratskim, a još više u nedemokratskim društvima. Jer ono što smo sigurno shvatili u poslednjoj deceniji jeste da ono što se dešava u digitalnom prostoru retko kada tamo i ostane.
Kada je u pitanju davanje pristupa istraživačima, Meta se ipak ne kreće tako brzo, iako bolje od brojnih drugih platformi. U prethodnim godinama kompanija je na nekoliko načina pokušala da pruži pristup podacima sa svojih platformi (Fejsbuk i Instagram), iako su njihove unutrašnje procedure i dalje dosta čvrsto zatvorene i nejasne. Što se tiče njihovog API-ja, Meta je uvek bila dosta zatvorenija od drugih kompanija i skoro jedva je davala pristup bilo kome spolja da se direktno povezuje na njihov program, pa je istraživanje Fejsbuka i Instagrama uvek išlo nekako izokola. Meta je 2016. kupila CrowdTangle, jedan od najkorišćenijih alata za istraživanje veza i uticaja na Metinim platformama, a zatim je ponuđen istraživačima za besplatno korišćenje. Danas doduše to više nije slučaj, pa alat ne dopušta novim korisnicima da se prijave, već je pristup svim opcijama za istraživanje sadržaja moguć samo onima koji su ranije bili registrovani.
Nakon tog preokreta, SHARE Fondacija je pratila vanredne parlamentarne izbore 2016. i predsedničke izbore 2017. godine. Za tu analizu bio je dostupan najveći broj podataka – analizirane su interakcije zvaničnih stranica i naloga kandidata i političkih stranaka sa pratiocima i ostalim korisnicima, praćeno je koje objave su izazivale najveći stepen angažovanja kod korisnika, uz analizu odnosa između broja lajkova i komentara na objavama. Ova količina podataka omogućila je sveobuhvatno mapiranje digitalnog okruženja u kojem su se ovi izbori odigravali i dali jedan od prvih uvida u predizborni digitalni prostor u Srbiji.
Ipak, potrebno je napomenuti da je Meta od 2020. godine uvrstila Srbiju, Crnu Goru i Severnu Makedoniju na spisak zemalja u kojima se zahteva određen standard transparentnosti kada je u pitanju političko oglašavanje. Ova pravila odnose se prvenstveno na sponzorisano oglašavanje na Fejsbuku i Instagramu i podrazumevaju da svi oglašivači i oglasi moraju da sadrže odeđene informacije kako bi mogli da budu verifikovani za oglašavanje na ovim platformama. Među najvažnijim izmenama je upravo uslov da svaki oglas mora da sadrži informacije o naručiocu, odnosno osobi ili stranici koja plaća oglas. Takođe je moguće videti i ko je sve video oglas, kao i demografske podatke o polu, starosnom dobu i lokaciji koja je oglasom targetirana. Svi ovi podaci su takođe dostupni u biblioteci reklama (Ads Library) i mogu se skinuti u čitljivom formatu i lako obraditi.
Kako se to sve odražava na izbore?
Sledeća godina već se najavljuje kao godina velikih izbora, sa izbornim trkama zakazanim u preko 40 zemalja širom sveta, uključujući SAD, Indiju, Tajvan i Evropsku uniju. Važno je imati u vidu da se na tom spisku zemalja nalaze neke od najvećih i najvažnijih demokratija, onih koje aktivno učestvuju u kreiranju globalnog zakonodavnog okvira kada je u pitanju digitalni prostor. Evropski parlament je u poslednjih nekoliko godina aktivno radio na nekim od najvažnijih zakona koji se tiču uređivanja digitalnog prostora u Evropskoj uniji – akt o digitalnim servisima, akt o digitalnim tržištima i akt o veštačkoj inteligenciji. Takvi zakoni uglavnom onda služe kao šablon za druge zemlje i zbog toga je njihovo donošenje toliko i važno. Iz godine u godinu čitamo sve više izveštaja koji nas upozoravaju na uticaj koji društvene mreže imaju na demokratiju, na izborne procese, na javno mnjenje i na sveopšte stanje u društvu. Pandemija koronavirusa, rat u Ukrajini, rat između Izraela i Hamasa – sve su primeri tema koje su u poslednjih nekoliko godina polarizovale društveni diskurs i koje su doprinele podelama u društvu – onim vrstama podela koje se u predizbornim vremenima mogu iskorišćavati za konsolidovanje pristalica.
Uticaj društvenih mreža na predizborne kampanje, poverenje u državne institucije i formiranje javnog mnjenja trenutno je jedno od najdinamičnijih polja istraživanja. Razlog za to su pravila koja se toliko često menjaju da ih ne možemo ni zvati pravilima, kao i nedostatak transparentnosti na svakom nivou, od kompanija preko državnih struktura pa sve do samih korisnika i građana. Postoji nekoliko ključnih karakteristika u kojima se ogleda moć koju društvene mreže imaju i koje mogu da pomognu u objašnjavanju njihovog uticaja na celokupno društvo danas.
Za početak, društvene mreže ujedno predstavljaju izvor, kanal ali i krajnju destinaciju za informacije. Za razliku od tradicionalnih medija, novi kanali komunikacije nemaju jednosmernu putanju koja podrazumeva linearno slanje informacije od izvora ka publici. U slučaju novih medija, u koje spadaju i društvene mreže, korisnici sami učestvuju u oblikovanju, slanju, širenju ali i interpretaciji vesti mnogo više nego što je to bio slučaj sa tradicionalnim medijima. Naravno, što je manje podataka dostupno sa društvenih mreža, mnogo je teže uočiti ove veze između raznih medija – kao na primer kako određeni nalozi koji za cilj imaju dezinformisanje javnosti, neretko dele vesti sa lažnih portala koji svoje vesti uglavnom i kroje na tim istim mrežama, i na taj način upadaju u začarani krug gde je teško odrediti odakle te dezinformacije tačno potiču.
Pod dva, monopol koji je zauzeo digitalni prostor konačno dolazi na naplatu – nakon više od deset godina vrednog i marljivog rada, pet gigantskih tehnoloških kompanija uspelo je da postigne skoro potpunu kontrolu nad tržištem. Iako zvuči paradoksalno da čak pet kompanija ima monopol, tajna njihovog “uspeha” leži u tome što su linije njihove kontrole u većini slučajeva veoma jasno nacrtane: društvene mreže, instant komunikacija i prihodi od ekonomije pažnje pripadaju Meti, nekada poznatijoj kao Fejsbuk, dok brojni skandali i sporovi nisu ukazali na to da je možda vreme za novo ime; reklame i prihodi od takozvanog “nadzornog kapitalizma”, u kojem naši uređaji pre nas samih znaju šta želimo, pripadaju nikome drugom nego Guglu, čiji je prvobitni moto “ne budi zao” 2015. godine promenjen u “uradi pravu stvar”, zajedno i sa imenom kompanije koja od tada postaje poznata kao Alfabet. Ipak, trendu promene imena nije potpala preostala trećina velike petorke, u kojoj se Amazon i Majkrosoft bore za prvo mesto u ponudi digitalnih usluga, dok je Epl odavno broj jedan kada je u pitanju prodaja tehnoloških uređaja. Meta je kao vrhovni vođa društvene komunikacije na internetu već više puta bila kritikovana i ispitivana od strane najviših pravnih sudova i u Americi i u Evropi. Ali uprkos velikim otkrićima kao što su manipulacija sadržaja na svojim platformama, širenja govora mržnje i lažnih vesti do takvih razmera da je to dovelo do oflajn genocida – i stavljanje profita pre dobrobiti svojih korisnika, Meta je i dalje uspela da sačuva svoje globalno vođstvo.
Treće – važno je napomenuti da je ovo retko jednostavan proces – prikupljanje i analiziranje podataka kroz nezvanične kanale uvek iziskuje ogromne resurse, bilo da su u pitanju znanja za korišćenje određenih programa ili posedovanje tehničke infrastrukture za prikupljanje podataka, do mentalnih i fizičkih kapaciteta samih istraživača koji ulažu živce i neretko jako puno svog vremena. I naravno, većina njih se neće žaliti jer je između ostalog to deo njihovog posla koji najviše cene i vole, kada mogu da ukažu društvu na načine na koje se vrše zloupotrebe i kako se na njih može reagovati, ali činjenica da su ovi podaci nešto što bi moglo u tri klika da se dobije posloženo jeste porazno kako za istraživače, tako i za same kompanije.
Upravo zbog toga je važno da mi kao istraživači_ce imamo pristup podacima sa društvenih mreža, da bismo mogli da pratimo na koje sve načine demokratski procesi mogu da budu ugroženi ili zloupotrebljeni i da možemo da pozivamo na odgovornost one koji to rade. Uprkos preprekama, bilo namernim ili ne, istraživanje društvenih mreža nije nešto što će ikada postati nemoguće, jer ljudi koji rade u ovom polju svakodnevno nalaze načine da pristupe informacijama kroz nezvanične kanale i na taj način nastave borbu za informisanje javnosti, ukazivanje na probleme u društvu i jasnog iznošenja istine – čak i onda kada neko pokuša da put do te istine ograniči.
Mila Bajić je glavna istraživačica SHARE Fondacije sa fokusom na odnos novih medija, tehnologije i privatnosti.
Čitaj još:
SHARE Bilten: Mesec digitalne bezbednosti, procena rizika, slobode na internetu…
Mesec digitalne bezbednosti
Oktobar je tradicionalno mesec posvećen edukaciji o digitalnoj bezbednosti. Uskoro kreće naša kampanja koja će kroz zagonetke pojasniti neke od najvažnijih pojmova iz ove oblasti, kao što su VPN, enkripcija ili menadžeri lozinki.
Pratite nas na Fejsbuku, Iksu i Instagramu tokom oktobra i proverite svoje znanje!
Kako se rizici u digitalnom okruženju konstantno menjaju, adekvatna i blagovremena procena rizika je od velikog značaja za informacionu bezbednost svake organizacije. Naš najnoviji blog pruža savete kako da efikasno sprovedete ove procese i zaštitite ključne digitalne resurse vaše organizacije od mogućih incidenata.
Koji su elementi procene rizika → SHARE Fondacija
Tim SHARE Fondacije je i ove godine u saradnji sa organizacijom Fridom haus pripremio izveštaj o stanju internet sloboda u Srbiji. Bodovano je stanje u tri ključne oblasti prema Fridom haus metodologiji: kvalitet pristupa internetu, ograničavanje sadržaja i kršenje prava korisnika.
Kako se Srbija kotira u globalnom kontekstu → Freedom House
PLUS:
“Predator Files”: Dubinska tehnička analiza Intellexa špijunskih alata → Amnesty International Security Lab
Verifikacija uzrasta ne može da zaštiti decu onlajn → European Digital Rights (EDRi)
Potencijalne implikacije Akta o slobodi medija EU → TechCrunch
Da li će Meta uvesti pretplatu za Fejsbuk i Instagram → NOYB
Sajber napad koštao lanac hotela 100 miliona dolara → The Record
Procena rizika od sajber pretnji
Uvod
Sajber bezbednost je postala imperativ u modernom poslovnom okruženju, budući da su organizacije svih veličina i delatnosti često izložene raznim sajber pretnjama i rizicima. Kako se tehnologija razvija i digitalni prostor postaje sve prisutniji, sposobnost organizacija da adekvatno prepoznaju, procene i upravljaju sajber rizicima postaje ključni faktor njihovog dugoročnog uspeha.
U ovom tekstu proći će se kroz proces procene rizika i važnost stvaranja individualne matrice rizika prilagođene specifičnim potrebama organizacije. Razumevanje ovih koncepata omogućava organizacijama da bolje zaštite svoje digitalne resurse, identifikuju potencijalne pretnje i adekvatno smanje nivo rizika.
Šta je sajber bezbednosni rizik?
Sajber bezbednosni rizici se odnose na gubitak poverljivosti, integriteta ili dostupnosti informacija, podataka ili informacionih (ili kontrolnih) sistema i odražavaju potencijalne negativne posledice na organizacione operacije (tj. misiju, funkcije, imidž ili reputaciju), imovinu, pojedince, druge organizacije i naciju.
Rizik sam po sebi ne mora biti ni pozitivan ni negativan. Rizik predstavlja mogućnosti / ranjivosti da neka potencijalna pretnja ugrozi neki resurs. Ta mogućnost predstavlja ustvari ranjivost organizacije: ako na primer zaposleni koriste slabe lozinke ili koriste slične lozinke za više naloga, to predstavlja ranjivost i postoji rizik da se lako otkriju lozinke i da napadač dobije pristup nalozima zaposlenog.
Rizik = Pretnja + Ranjivost + Uticaj (Vrednost imovine)
Organizacije svakodnevno upravljaju rizicima. Procena rizika sajber bezbednosti je proces identifikacije, analize i ocene rizika. Pomaže da se odredi koje su prakse, mere i procedure sajber bezbednosti adekvatne kao odgovor na rizike sa kojima se suočava svaka organizacija, a da se dodatno ne izgube vreme, trud i resursi. Osim što poboljšava razumevanje bezbednosnih rizika i smanjuje nepovoljne poslovne ishode, tačna procena rizika osigurava i efikasno i efektivno raspoređivanje kapaciteta i preventivno reagovanje na rizik.
Ključni koraci procene rizika
Prvi korak jeste da se odrede digitalne vrednosti koje se žele zaštiti u organizaciji (na primer mejl nalozi, nalozi na društvenim mrežama, rezervne kopije podataka, uređaji, lokalna mreža, vebsajt organizacije), onda je potrebno prioritizovati te vrednosti na osnovu ozbiljnosti posledica koja bi nastale da se određena vrednost ugrozi i verovatnoće da ta vrednost bude ugrožena i potom je potrebno odrediti koje bi sve potencijalne pretnje mogle da ugroze digitalnu bezbednost organizacije i po potrebi konkretno svaku vrednost.
Sledeći važni koraci jesu analiza svih do sada implementiran bezbednosnih mera i dobrih praksi u organizaciji kako bi se uočili nedostaci i potencijalne ranjivosti i kako bi se popravilo opšte preventivno reagovanje organizacije na rizike.
Matrica procene rizika
Matrice procene rizika su popularan alat za vizualizaciju rizika. Najčešća matrica je grafikon ili tabela koja preseca verovatnoću ostvarenja pretnje i ozbiljnost ili štetnost posledica. Zavisno od mesta gde se presecanje ove dve karakteristike rizika dogodi na osama, može se odrediti nivo rizika. Ovaj vizuelni alat omogućava organizacijama da analiziraju svoje rizike i prioritetizuju one koji zahtevaju hitno kontrolisanje i one koje mogu biti tolerisani.
Matrice rizika takođe pružaju trenutni pregled pretnji u određenom trenutku. Da bi se osigurala tačnost i adekvatnost matrice rizika, ovaj proces treba sprovoditi redovno, jednom godišnje ili kada postoji potreba za tim.
Matrica rizika odgovara na dva pitanja:
Koja je verovatnoća da će se ovi rizici dogoditi?
Kakve će biti posledice ovih rizika po organizaciju?
Važna pitanja
Procena rizika i pravljenje matrice rizika su subjektivne aktivnosti i zavise od trenutnog osećaja organizacije ili iskustava iz prošlosti, međutim postoje određena pitanja koja mogu pomoći da se što bolje odrede rizici.
- Resursi koji treba da budu zaštićeni → identifikovati najranjivije resurse
- Identifikovati pretnje za svaki resurs → uzeti u obzir pretnje sa kojima ste se susreli u prošlosti
- Zašto mislite da je vaša organizacija bila ciljana ili bi mogla biti ciljana?
- Da li biste preduzeli mere protiv pretnje ili biste je zanemarili?
- Da li je taj rizik prihvatljiv za vašu organizaciju?
- Da li postoje mere (preventivne i reaktivne) koje se trenutno primenjuju u vašoj organizaciji u vezi sa digitalnom bezbednošću?
- Ko je odgovoran za sprovođenje ovih mera?
- Vremenski okvir za sprovođenje (kada biste reagovali)
- Kakvi su trenutni nedostaci digitalne bezbednosti vaše organizacije?
Nivo rizika
Nakon identifikacije svih mogućih rizika, sledeći korak je njihova analiza. Procena nivoa rizika označava procenu prihvatljivosti rizika po rad organizacije.
Nivo Rizika = Verovatnoća + Ozbiljnost / Posledica
Tokom procesa kreiranja matrice rizika, potrebno je prioritizovati rizike, odnosno odrediti nivo rizika.
Faktori koji se razmatraju prilikom prioritetizacije rizika uključuju:
- Potencijalni finansijski gubitak
- Izgubljeno vreme
- Ozbiljnost uticaja
- Dostupnost resursa za upravljanje rizikom
Analiza rizika pomaže organizacijama da razviju odgovore na ove rizike u zavisnosti od njihove ozbiljnosti i razumeju kako utiču na različite aspekte poslovanja.
Postoje sledeća 4 nivoa rizika:
- Ekstremni rizici (extreme)
- Veoma opasni rizici (high)
- Opasni rizici (medium)
- Minimalno opasni rizici (low)
Zavisno od nivoa rizika dalje se određuje način reagovanja i kontrolisanja ili umanjenja rizika.
Kako preventivno uticati na sajber bezbednosne rizike, odnosno kako se zaštititi?
Nakon detaljne analize rizika, rizici treba da budu rangirani po ozbiljnosti i zatim prioritetizovani.
Rizici koji bi uzrokovali male ili nikakve neprijatnosti po svakodnevne aktivnosti organizacije predstavljaju minimalno opasne rizike i ne zahtevaju resurse da se njima upravlja, dok se rizici koji značajno utiču na rad i funkcionisanje organizacije smatraju ekstremno opasnim rizicima i zahtevaju posebno obraćanje pažnje na njih i korišćenje resursa da bi se ti rizici umanjili.
Uobičajene strategije za ublažavanje rizika uključuju:
Kontrolisanje i smanjenje rizika – predstavlja strategiju gde je cilj da se uklane li smanje rizici, s tim da se treba imati u vidu da potpuno eliminisanje rizika nije moguće. Na šta se može uticati jeste na izvor rizika, eliminisanjem izvora rizika, može se ukloniti i potencijalni rizik. Smanjenje rizika se postiže primenom adekvatnih bezbednosnih mera i praksi.
Stručna pomoć i konsultacije – predstavlja kontaktiranje eksterne IT podrške kako bi se efikasno reagovalo na identifikovane rizike. Ovo može uključiti i angažovanje eksternih konsultanata za procenu rizika i rešavanje bezbednosnih problema.
Implementacija dobrih bezbednih praksi – podrazumeva da se ustanove i sprovode bezbednosne politike i procedure u okviru organizacije kako bi se smanjili sajber incidenti. Takođe to podrazumeva i usklađenost sa sajber bezbednosnim standardima i regulativama.
Edukacija zaposlenih i sticanje veština – ovo uključuje edukaciju zaposlenih o osnovnim konceptima rada i funkcionisanja informacionih sistema i sajber bezbednosti, kao što su prepoznavanje sajber pretnji, razumevanje rada računara i prepoznavanje potencijalno sumnjivih aktivnosti. Edukacija zaposlenih treba da obuhvati upoznavanje sa alatima za sajber bezbednost, kao što su antivirusni programi, firewall-ovi, password menadžeri, enkripcija i drugi alati i prakse koji pomažu u prevenciji rizika.
Redovno praćenje i analiza rizika – podrazumeva kontinuirano praćenje i analizu sajber prostora kako bi se brzo identifikovali novi rizici ili incidenti. Ovo uključuje i analizu trenutnog stanja u organizaciji i trenutnih potreba organizacije i poboljšavanje bezbednosnih strategija i procedura u skladu sa promenama.
Podizanje nivoa kulture sajber bezbednosti – predstavlja promovisanje kulture sajber bezbednosti unutar organizacije, gde svaki zaposleni razume svoju ulogu u očuvanju bezbednosti i zna kako da reaguje u slučaju sajber rizika ili incidenata.
Ove strategije treba prilagoditi potrebama i mogućnostima vaše organizacije kako biste efikasno upravljali rizicima.
Proces upravljanja rizikom
Da sumiramo, postoji pet glavnih koraka u procesu upravljanja rizikom koje organizacije treba da prate:
Identifikacija potencijalnih rizika:
Ovaj korak podrazumeva prepoznavanje i dokumentovanje svih potencijalnih rizika sa kojima se organizacija može suočiti. To uključuje identifikaciju unutrašnjih i spoljašnjih faktora koji mogu uticati funkcionisanje organizacije. Ovom koraku treba da prethode identifikovanje i prioritizovanje digitalnih vrednosti i identifikovanje svih potencijalnih pretnji.
Analiza rizika:
Nakon identifikacije rizika, organizacija treba da sprovede dublju analizu kako bi razumela njihovu verovatnoću i uticaj na poslovanje. U ovom koraku se kreira matrica rizika.
Evaluacija rizika:
U ovom koraku, organizacija procenjuje nivoe rizika u skladu sa klasifikacijom u matrici. Rizici se obično klasifikuju kao ekstremni, visoki, umereni ili niski, što pomaže organizaciji da usmeri svoje resurse na najvažnije pretnje.
Tretiranje rizika:
Ovaj korak obuhvata donošenje odluka o tome kako će se postupiti sa identifikovanim rizicima. Postoje četiri osnovne strategije za upravljanje rizicima: prihvatanje (ako je rizik nizak ili se može prihvatiti), izbegavanje (ako je moguće), smanjenje (preduzimanjem preventivnih mera) i prenošenje rizika (npr. putem osiguranja). Organizacija treba da odabere odgovarajuću strategiju za svaki identifikovani rizik.
Redovno praćenje i pregled rizika:
Upravljanje rizikom nije statičan proces, već dinamičan. Organizacija treba neprestano da prati i pregleda rizike kako bi bila sigurna da su identifikovani rizici još uvek relevantni i da se nisu promenili. Takođe je važno pratiti i efikasnost primenjenih strategija za upravljanje rizicima i prilagoditi ih ako je potrebno u skladu sa promenama u organizaciji.
Ovaj proces upravljanja rizikom pomaže organizacijama da bolje razumeju svoje izazove i pretnje, bolje se pripreme za njih i smanje potencijalne negativne uticaje na poslovanje.
Koristan alat za procenu rizika od sajber pretnji
RAWRR je open-source alat koji automatizuje sve navedene korake i kreira matricu rizika. Na jednostavan način mapira rizike i daje mogućnost generisanja izveštaja. U RAWRR možete da unesete sve vrednosti koje želite da zaštitite i uporedo sa tim unosite i sve potencijalne pretnje. Postoji opcija da se doda i deo o merama i praksama koje se do sada primenjuju u organizaciji, a pored toga i deo u kom možete da unesete sve nove mere i dobre prakse koje bi bile korisne za preventivno delovanje i umanjenje rizika. Dostupan je na nekoliko jezika i moguće ga je prevoditi i lokalizovati i na nove jezike.
Zaključak
Procena rizika pomaže identifikaciju ključnih digitalnih resursa koji bi mogli potencijalno biti ugroženi raznim pretnjama sajber bezbednosti. Omogućava organizacijama da planiraju odgovarajuće mere sajber bezbednosti i smanje šanse da se rizici ostvare. Međutim, nije uvek moguće potpuno eliminisati rizike.
Organizacije moraju kreirati individualne matrice rizika prema svojim poslovnim potrebama, i te matrice treba smatrati poverljivim.
Ninoslava Bodganović je ekspertkinja za sajber bezbednost u SHARE Fondaciji. Njeno polje delovanja su analiza stanja digitalne bezbednosti i izgradnja bezbednosnih mera i procedura u organizacijama za zaštitu od sajber napada, kao i pružanje pomoći u slučaju sajber incidenata.
Čitaj još:
SHARE Bilten: Stipendije, bezbedno upravljanje lozinkama, zaštita podataka…
Institut za veštačku inteligenciju Srbije i FON pokreću AI Master Class, prvi edukativni program o pravnim i etičkim izazovima regulacije veštačke inteligencije. Prijave su u toku, a za predstavnike civilnog društva, medija, naučno-istraživačke zajednice i srodnih sektora obezbeđene su stipendije.
Više informacija o programu → SHARE Fondacija
Kvalitetne lozinke uopšte ne moraju da zadaju muke jer su nam dostupni menadžeri lozinki, koji u bezbednom formatu čuvaju sve vaše kredencijale. Potrebno je malo navikavanja, ali iskustvo pravljenja novog naloga ili ažuriranja postojećih lozinki je daleko pogodnije – i bezbednije.
Naučite kako da upravljate kredencijalima → SHARE Fondacija
Vlada Srbije je krajem avgusta usvojila Strategiju zaštite podataka o ličnosti za period do 2030. godine. Osnovni cilj ovog ambicioznog dokumenta je poštovanje prava na zaštitu podataka o ličnosti u svim oblastima života, te je od ključnog značaja da što pre bude usvojen Akcioni plan za sprovođenje strategije.
Koji su ostali ciljevi strategije → SHARE Fondacija
PLUS:
Međunarodna organizacija za zaštitu medija pod DDoS napadima → International Press Institute (IPI)
UK: novi zakon ugrožava digitalne slobode → Electronic Frontier Foundation (EFF)
Ozbiljne implikacije Metaversa po privatnost → The Record
Prvi slučaj ruske novinarke špijunirane pomoću Pegasus-a → Meduza
Kako rade ChatGPT i slični AI modeli → Understanding AI
Usvojena Strategija zaštite podataka o ličnosti
Vlada Republike Srbije usvojila je 25. avgusta 2023. godine Strategiju zaštite podataka o ličnosti za period od 2023. do 2030. Predstavnici SHARE Fondacije učestvovali su u radnoj grupi koja je pripremila tekst Strategije i sa zadovoljstvom možemo reći da smo, 13 godina nakon prve strategije u ovoj oblasti i pet godina nakon usvajanja novog Zakona o zaštiti podataka o ličnosti – dobili strateški dokument čiji je osnovni cilj definisan kao “Poštovanje prava na zaštitu podataka o ličnosti u svim oblastima života”. Na predlog SHARE Fondacije, osnovni pokazatelj da je ovaj cilj ispunjen biće odluka Evropske komisije da u Srbiji postoji adekvatna zaštita podataka o ličnosti. Ovakva odluka jeste u nadležnosti organa EU, ali podrazumeva rigoroznu proceduru i ispunjenje brojnih uslova kao što su vladavina prava, relevantni zakonski propisi, funkcionalni mehanizmi zaštite i nezavisni organi u ovoj oblasti. To znači da bi donošenju takve odluke moralo da prethodi značajno unapređenje zaštite podataka o ličnosti, od čega bi pre svega koristi imali građani, dok bi domaće kompanije profitirale jer bi bila olakšana saradnja sa kompanijama iz EU, s obzirom na to da se ne bi zahtevalo dodatno ispunjenje uslova za slobodan transfer podataka o ličnosti između Srbije i EU.
Imajući u vidu najznačajnije probleme i pitanja u ovoj oblasti, osnovni cilj Strategije dalje je razrađen kroz tri posebna cilja.
Unapređeni funkcionalni mehanizmi zaštite podataka o ličnosti
Ispunjenje ovog cilja između ostalog podrazumeva izmenu zakondavnog okvira, a pre svega izmenu Zakona o zaštiti podataka o ličnosti kako bi se razjasnile nedovoljno jasne odredbe i mehanizmi koji ne postoje u domaćem pravnom sistemu. Značajno je da se na osnovu predloga SHARE Fondacije u Strategiji pominje mogućnost da Poverenik izriče upravne mere, što bi moglo dovesti do pooštravanja kaznene politike jer bi, umesto prekršajnih sudova, kazne izricao direktno Poverenik, a iznosi bi mogli biti viši od do sada propisanih maksimalnih 2 miliona dinara i ići u pravcu kazni propisanih GDPR-om (20 miliona evra ili 4% ostvarenih prihoda).
Ostale predviđene mere odnose se na regionalne kancelarije Poverenika, povećanje broja specijalizovanih lica koja se bave zaštitom podataka, te broja rukovalaca koji su doneli interne akte u ovoj oblasti, kao i određivanje novih predstavnika stranih rukovalaca u Srbiji.
Unapređena svest o značaju zaštite podataka o ličnosti i načinima ostvarivanja prava
Ovaj cilj podrazumeva edukaciju rukovalaca i donosilaca odluka, te se predviđa usavršavanje zaposlenih u javnoj upravi u oblasti zaštite podataka o ličnosti kao i obrazovanje sudija i tužilaca. S druge strane, prepoznaje se i značaj svesti samih građana o njihovim pravima, te se predviđa uvođenje predmeta iz ove oblasti na različitim nivoima formalnog obrazovanja kao i edukacija nastavnika i profesora, ali i značaj različitih inicijativa, poput tribina, okruglih stolova i kampanja u ovoj oblasti.
Unapređen sistem zaštite podataka o ličnosti pri razvoju i primeni informaciono-komunikacionih tehnologija u procesima digitalizacije
Strategijom je prepoznat uticaj novih tehnologija na oblast zaštite ličnih podataka. Na predlog SHARE Fondacije, kao jedan od glavnih pokazatelja da država želi da uredi ovu oblast, predviđena je izrada Smernica za procenu uticaja obrade na zaštitu podataka o ličnosti kada su nove tehnologije u pitanju, kao i broj softverskih rešenja koja su razvijena na osnovu ovakve procene uticaja. Dalje se kao mere predviđaju uređenje automatizovane obrade genetičkih i biometrijskih podataka, te audio i video nadzora, posebne obuke za lica koja nadgledaju ovakve obrade, kao i povećanje broja zaposlenih u službi Poverenika koji se bave zaštitom podataka o ličnosti u domenu informaciono-komunikacionih tehnologija u procesima digitalizacije.
Za strateške dokumente se često kaže da su samo spisak lepih želja i stoga je od suštinske važnosti da što pre bude donet i Akcioni plan za sprovođenje Strategije, kao i da se za nju dodele odgovarajući resursi kako bi država potvrdila svoju nameru da ozbiljno unapredi oblast zaštite ličnih podataka.
Čitaj još:
Prvi AI Master Class u Srbiji: prijavite se za stipendije
Institut za veštačku inteligenciju Srbije i Fakultet organizacionih nauka ove jeseni u Novom Sadu i Beogradu organizuju prvi sveobuhvatni edukativni program (Master Class) o pravnim i etičkim izazovima regulisanja veštačke inteligencije.
Prijave su otvorene na zvaničnom sajtu programa, a organizatori su obezbedili stipendije za predstavnike civilnog društva, medija, naučno-istraživačke zajednice i drugih srodnih sektora. Kandidati za stipendiju treba da prilože kratku radnu biografiju i kroz par rečenica izlože svoju motivaciju za učešće u programu. Rok za prijavu za stipendije je 29. septembar.
Više od 70 domaćih i međunarodnih stručnjaka će kroz interaktivna predavanja, radionice, studije slučaja, panel diskusije i druge programske aktivnosti polaznicima pomoći da razumeju globalne regulatorne trendove i prakse u vezi sa razvojem i upotrebom veštačke inteligencije, sa fokusom na Srbiju i Evropsku uniju.
AI Master Class je otvoren za sve koji žele da steknu znanje o uticaju veštačke inteligencije i njenim društvenim aspektima, kao i praktične veštine za efikasno upravljanje rizicima i izazovima. Program je osmišljen za polaznike raznolikih znanja i veština, bez obzira na individualne kompetencije i iskustvo.
Čitaj još:
Menadžeri lozinki: ne smišljaj, generiši
Koliko puta ste se mučili da smislite lozinku koja će ispuniti sve uslove – mala i velika slova, brojevi, specijalni znakovi, dužina najmanje 10 karaktera? Gde čuvate sve lozinke i da li za svaki nalog smišljate posebnu? Lozinke spadaju među naše najosetljivije podatke, ali se mahom ne odnosimo tako prema njima. Jedan probijeni nalog dovoljan je da prouzrokuje ogromnu štetu i koristi se za druge napade, kao što je fišing.
Sa velikim brojem naloga kojima redovno pristupamo teško je smisliti i zapamtiti jedinstvene, kompleksne i duge lozinke i jednostavno ih promeniti po potrebi. Ljudi su skloni da koriste iste lozinke za više naloga, postavljaju jednostavne lozinke koje se odgovarajućim alatima mogu razbiti relativno brzo i koje retko prelaze minimalnu dužinu, što je često jednocifren broj karaktera.
Kvalitetne lozinke uopšte ne moraju da zadaju muke jer su nam dostupni tzv. menadžeri lozinki – specijalizovani programi koji u bezbednom formatu čuvaju sve vaše kredencijale. Ti programi funkcionišu po principu glavne lozinke (master password) koju jedino treba da zapamtite ili je imate sačuvanu na bezbednom mestu jer ona otključava pristup svim ostalim kredencijalima. Takođe poseduju opciju generisanja kvalitetnih lozinki što znači da ne morate više da ih smišljate, kao i kopiranje/pejstovanje kredencijala da ne biste pogrešili prilikom ukucavanja. Još jedna korisna funkcionalnost menadžera lozinki je prepoznavanje i automatsko popunjavanje sačuvanih kredencijala (autofill) prilikom logovanja na naloge.
Potrebno je malo navikavanja, ali iskustvo pravljenja novog naloga ili ažuriranja postojećih lozinki je daleko pogodnije – i bezbednije – od pisanja po sveskama, pamćenja i vrtenja u krug istih (lako pogodivih) kombinacija karaktera.
Neka od okruženja koja već koristite poseduju opcije upravljanja lozinkama, kao Apple keychain ili menadžeri lozinki u brauzerima, što vam može olakšati privikavanje na bezbednosnu praksu odgovornog rukovanja kredencijalima. Kasnije u tekstu ćemo predstaviti neka od popularnih i preporučenih rešenja.
Lozinke kao primarna meta
Jedna od glavnih meta malicioznih aktera su kredencijali – ako uspeju da pronađu i iskoriste ranjivost u IKT sistemu koja će im omogućiti da dođu do baza korisničkih imena, mejl adresa i lozinki, imaju otvoren put ka brojnim drugim resursima. Iako zakoni i standardi nalažu da se ovi podaci čuvaju u šifrovanoj formi, dešava se da su sačuvani u čistom tekstu, što je odlika izuzetnog nemara i predstavlja ogroman rizik.
Pružaoci usluge menadžera lozinki se takođe mogu naći na meti napada – kompanija LastPass je krajem 2022. obelodanila bezbednosni incident u kome su napadači došli do enkriptovanih bazi lozinki korisnika, dok je u martu objavila detalje o novom napadu koji je targetirao kućni računar zaposlenog sa visoko privilegovanim pristupom korporativnom sistemu.
Primeri menadžera lozinki
Napomena: predstavljeni menadžeri lozinki su odabrani isključivo na osnovu iskustva i javno dostupnih informacija.
KeePass
KeePass je besplatan menadžer lozinki otvorenog koda koji čuva vašu bazu lozinki u enkriptovanoj formi lokalno, tj. na hard disku računara. Poseduje brojne korisne funkcije, poput naprednog generatora lozinki prema zadatim parametrima, mogućnosti da se koristi portabilna verzija na USB fleš memoriji i podrške za dodatke (plug-ins) ako želite još funkcionalnosti. Na raspolaganju su dve verzije: 1.x je namenjena početnicima u svetu menadžera lozinki i onima koji žele da isprobaju aplikaciju, dok se 2.x preporučuje naprednijim i zahtevnijim korisnicima. Na bazi KeePass-a razvijeni su brojni drugi menadžeri lozinki kao KeePassXC ili mobilne varijante KeePassDX (Android) i KeePassium (iOS).
Bitwarden
Jedna od najvećih prednosti Bitwarden menadžera lozinki u odnosu na lokalne varijante poput KeePass-a je to što je reč o cloud aplikaciji: vaša baza ili trezor lozinki se apdejtuje automatski i sinhronizovana je na svim uređajima na kojima ste ulogovani. Kredencijali se čuvaju uz primenu end-to-end enkripcije, što onemogućava da Bitwarden ima pristup vašem trezoru lozinki. Reč je o aplikaciji otvorenog koda koja se može koristiti besplatno, dok se dodatne pogodnosti naplaćuju. Važno je imati u vidu da Bitwarden pruža opciju implementacije aplikacije na organizacionom nivou, što je naročito povoljno za kompanije i organizacije kojima je neophodno da uspostave politike upotrebe lozinki. Ukoliko to žele, organizacije mogu same da hostuju Bitwarden instancu na njihovom serveru.
Proton Pass
Prinova u Proton porodici enkriptovanih proizvoda (mejl, VPN, kalendar itd) je Proton Pass, takođe softver otvorenog koda sa mnoštvom korisnih funkcija u okviru besplatnog naloga. Dostupan je kao dodatak za popularne brauzere (Firefox, Brave, Chrome, Edge) i mobilna aplikacija, a najavljene su i desktop verzije za popularne operativne sisteme. Korisna mogućnost je kreiranje mejl alijasa direktno u aplikaciji, čime štitite vašu pravu mejl adresu u slučaju curenja podataka i drugih bezbednosnih incidenata, o čemu smo već pisali. Proton Pass vam takođe omogućava da u okviru aplikacije čuvate enkriptovane beleške.
Nemojte da vas mrzi
Kao što piše na početku teksta, potrebno je privikavanje na menadžere lozinki ali malo uloženog vremena i truda u velikoj meri podiže bezbednost na internetu. Kreiranje novih naloga i logovanje na postojeće će vam biti znatno olakšano. U zavisnosti od potreba i svakodnevnih navika, postoji više opcija za menadžment lozinki od kojih smo neke ponudili u ovom tekstu. Za kraj, podsećamo vas da na servisu Have I Been Pwned proverite da li su onlajn servisi koje koristite bili pogođeni incidentima i da ako jesu što pre promenite lozinku. Dobra prilika da se isproba i uvežba korišćenje menadžera lozinki.
Bojan Perkov je koordinator digitalnih politika SHARE Fondacije. Teme kojima se bavi su ljudska prava i slobode u tehnološkom kontekstu, digitalna bezbednost aktera u javnom interesu, kao i druga pitanja na preseku društva i tehnologije, kao što su zaobilaženje onlajn cenzure, zaštita podataka o ličnosti i uticaj nadzora na ljudska prava.
Čitaj još:
SHARE Bilten: Povratak u klupe!
Nakon velikih tragedija u maju ove godine mnogo se govorilo o uticaju štetnih internet sadržaja na decu i njihovo korišćenje tehnologije, razmatrale su se i zabrane ali se od toga po svemu sudeći odustalo. Šta znamo o rizicima onlajn odrastanja?
Novo istraživanje na našem sajtu → SHARE Fondacija
Završena je javna rasprava o Nacrtu zakona o informacionoj bezbednosti, koji je napisan sa namerom da se domaći pravni okvir uskladi sa EU standardima. Iako evropske integracije jesu važne, novi zakon pored toga treba građanima da omogući bezbednije digitalno okruženje.
Pročitajte naše komentare na Nacrt → SHARE Fondacija
U okviru Nedelje ponosa ponovo se okupljamo u KC Gradu, gde ćemo vam pružati savete kako da sačuvate vaše podatke, uređaje i naloge uz koktel ili dva.
Vidimo se u ponedeljak 4. septembra od 19h!
Tokom jula je u Perastu uspešno održana još jedna Letnja škola digitalnih prava, čija je centralna tema bila veštačka inteligencija. Više od 50 učesnika i predavača okupilo se kako bi razmenili i stekli znanja o aktuelnim pitanjima na raskršću društva, tehnologije i ljudskih prava.
Šta smo naučili na letnjoj školi → SHARE Fondacija
PLUS:
Kurs iz oblasti veštačke inteligencije u Beogradu i Novom Sadu → AI Master Class
Između satire i falsifikovanja stvarnosti: slučaj AI generisanih snimaka političara → Istinomer
Kako data brokeri izvlače podatke o građanima EU → Netzpolitik
Počela primena Akta o digitalnim uslugama (DSA) → The Guardian
Regulatorna tela protiv skrejpovanja podataka sa interneta → Office of the Australian Information Commissioner
Deca, mladi i internet: stvarni i zamišljeni rizici
SHARE istraživanje donosi pregled aktuelnih podataka i trendova u oblasti sajber bezbednosti
Pitanje bezbednosti dece na internetu poslednjih meseci bilo je tema čestih polemika u domaćim medijima, pa i na mrežama. Tragedija u osnovnoj školi “Vladislav Ribnikar” vratila je u opticaj radikalne stavove, poput onih da je potrebno ukidanje društvenih mreža jer su navodno upravo mreže odgovorne za porast vršnjačkog nasilja. Nažalost, samo par nedelja nakon tragedije, interesovanje javnosti i medija za ovu temu počelo je da jenjava, što je onemogućilo dalje diskusije, u kojima bi, za razliku od dosadašnjih, učestvovali eksperti i ekspertkinje u ovoj oblasti.
Zbog toga je SHARE Fondacija odlučila da se temom bezbednosti dece na internetu pozabavi detaljnije, kroz pregled dostupnih podataka iz dosadašnjih istraživanja sprovedenih širom sveta (uključujući i Srbiju) i aktuelnih trendova u domenu sajber bezbednosti. Takođe, predstavljeni su resursi koji su trenutno na raspolaganju roditeljima i mladima kod nas.
Uz definiciju pojma bezbednosti u digitalnom okruženju, naše istraživanje takođe ukazuje i na najčešće sajber rizike kojima su izloženi deca i mladi. Prema podacima iz 2022. godine, troje od četvoro dece širom sveta bilo je izloženo lošem iskustvu na internetu.
Istraživanje je, u formi publikacije, slobodno dostupno za preuzimanje, sa ciljem da ponovo pokrene konstruktivnu javnu diskusiju o stvaranju bezbednog okruženja za decu i mlade na internetu, kroz izgradnju kapaciteta u formalnom i neformalnom sektoru. Pored smanjivanja prevalence digitalnih rizika, akcenat je na pružanju podrške onima koji su već doživeli loše iskustvo – umesto senzacionalističkog pristupa, koji izaziva paniku među roditeljima i nastavnicima.
Život koji danas živimo je nezamisliv bez informaciono-komunikacionih tehnologija, praktično u svakom segmentu naše svakodnevice, od poslovanja i informisanja, do razonode. Zabrana pristupa deci i mladima bila bi ne samo kontraproduktivna, već sasvim izvesno i nemoguća.
Hristina Cvetinčanin Knežević je sociološkinja i aktivistkinja u oblasti ženskih pitanja u digitalnoj sferi. Autorka je Pojmovnika rodno zasnovanog nasilja posredstvom tehnologije.
Čitaj još:
Kako unaprediti novi Zakon o informacionoj bezbednosti
SHARE Fondacija je Ministarstvu informisanja i telekomunikacija poslala komentare na Nacrt zakona o informacionoj bezbednosti tokom javne rasprave koja je okončana 30. avgusta. Osnovna intencija donošenja novog zakona je usklađivanje sa standardima Evropske unije, tj. NIS2 direktivom i Aktom o sajber bezbednosti, ali bi suština zakonskih izmena trebalo da se pre svega odrazi na bezbednije digitalno okruženje za građane.
Jedna od većih novina u nacrtu je formiranje Kancelarije za informacionu bezbednost, koja bi preuzela ulogu Nacionalnog CERT-a, dok bi Ministarstvo informisanja i telekomunikacija ostalo nadležni organ za sprovođenje nadzora. Kao ključne izazove u pogledu novog zakona, SHARE Fondacija je istakla pitanja transparentnosti u pogledu rada nove Kancelarije i izveštavanja javnosti o incidentima, kao i neophodna šira sistemska rešenja kako bi se unapredila primena zakona, pre svega u pogledu vršenja inspekcijskog nadzora i izricanja kazni.
Usvajanje zakona se očekuje na jesen, što će doprineti da se Srbija u jednoj važnoj oblasti uskladi sa EU okvirom, ali je sa druge strane potreban strateški pristup informacionoj bezbednosti radi podizanja kapaciteta ne samo nadležnih institucija, već i ostalih relevantnih aktera.
Komentari SHARE Fondacije na Nacrt zakona o informacionoj bezbednosti (.pdf)
Čitaj još: