Monitoring, Vesti
Pregled stanja digitalnih prava u šestomesečnom periodu: bezbednost i privatnost na udaru
Novi izveštaj o povredama digitalnih prava u Srbiji obuhvata dva kvartalna perioda monitoringa, poslednji iz 2021. godine (oktobar-decembar) i prvi iz ove godine (januar-mart). Mada su u drugom posmatranom kvartalu održani izbori, kampanja nije uticala na porast kršenja ljudskih prava u digitalnom prostoru – čak je došlo do blažeg pada.
Među ukupno 62 zabeležena incidenta najviše je bilo ugrožavanja sigurnosti i slanja pretećih poruka, što je već dugotrajan trend koji ne jenjava. Zabeleženo je i 12 slučajeva računarskih prevara i nekoliko upečatljivih pojava onlajn manipulacije i propagande.
U prvom posmatranom kvartalu (oktobar-decembar 2021) zabeležen je veći broj kršenja ljudskih prava u onlajn sferi Srbije nego u drugom. Tada su pritisci zbog onlajn aktivnosti, najčešće u vidu pretnji i vređanja zbog objava na internetu, zabeleženi u čak 14 slučajeva. Takođe, kraj prethodne godine obeležen je povredama informacione privatnosti i zaštite podataka o ličnosti, uz objavljivanje informacija iz privatnog života i nedozvoljenu obradu ličnih podataka (5 slučajeva). U tom periodu primećen je i manji broj incidenata manipulacije, odnosno propagande u digitalnom okruženju, kao i filtriranja i blokiranja sadržaja, te računarskih prevara.
Drugi kvartal obuhvaćen ovim izveštajem (januar-mart 2022) bio je raznovrsniji u pogledu povreda digitalnih prava: zabeleženi su slučajevi fišing kampanja, lažnih objava i krađe identiteta, kao i plaćenog promovisanja lažnog sadržaja. Bilo je i povreda informacione privatnosti i bezbednosti, i blokiranja i filtriranja sadržaja, a registrovan je i jedan DDoS napad.
Tokom prethodnih šest meseci zabeleženo je i obrađeno ukupno 62 incidenta: 33 u prvom i 29 u drugom posmatranom kvartalu. Najčešće mete povreda bili su novinari i privatni građani, dok se građani javljaju i kao najčešći počinioci povreda prava i sloboda na internetu. Kao počinioci u određenom broju slučajeva zabeleženi su i onlajn mediji, ali i organi vlasti. U 17 incidenata počinioci su ostali nepoznati. Od ukupnog broja, u 7 registrovanih slučajeva pokrenute su privatne tužbe.
Povrede informacione privatnosti i zaštite podataka o ličnosti
Kraj prošle godine obeležile su povrede informacione privatnosti i zaštite podataka o ličnosti, gde je u dva registrovana slučaja došlo do curenja podataka o ličnosti, a u tri do nedozvoljene obrade ličnih podataka. Ovom broju se može dodati još pet slučajeva povreda privatnosti zalebeženih u Bazi povreda privatnosti za poslednja tri meseca prošle godine. U decembru su procureli podaci građana prikupljenih za kovid propusnice, koje su bile obavezne za boravak u ugostiteljskim objektima posle 20h. Otkriveno je da su linkovi ka osetljivim podacima ostajali sačuvani u mobilnim uređajima nakon skeniranja QR kodova. Novinari redakcije BBC na srpskom, koji su otkrili propust, upozorili su Kancelariju Vlade za IT i e-Upravu, nakon čega je smanjen broj podataka koji se prikazuje pri očitavanju koda.
Zanimljiv je i slučaj u kom je novinarka Portala 021.rs otkrila da su njene fotografije iskorišćene na tuđem profilu na Instagramu. Novinarka je prijavila profil platformi, a kao odgovor dobila je informaciju da profil “verovatno ne krši” pravila Instagrama.
Narušavanje informacione bezbednosti – prevare putem mejlova i poruka
Krajem novembra su putem elektronske pošte građanima Srbije stizale poruke za preuzimanje elektronskog dokumenta o vakcinaciji, gde bi klikom na link korisnici navodno mogli da preuzmu digitalni zeleni sertifikat, čiji je jedini legitimni izdavalac Kancelarija za informacione tehnologije i e-Upravu. Pred kraj godine dve kompanije su se suočile sa kreiranjem lažnih profila na Instagramu: lažni profil jedne je čak nudio razne nagrade i popuste, a cilj oba lažna profila bila je novčana prevara. Slična prevara organizovana je i uz pomoć lažnog naloga jednog lanca prodavnica: u ovom slučaju korišćen je Viber i WhatsApp i lažna nagradna igra, uz obećanje glavne nagrade od 30.000 dinara – krađa podataka ili inficiranje uređaja kao bonus.
Sredinom decembra zabeležen je jedan slučaj algoritamskog blokiranja, odnosno suspenzije sadržaja. Naime, Tviter nalog potpredsednice stranke slobode i pravde Marinike Tepić bio je blokiran zbog velikog broja prijava platformi. Prijave i blokiranje naloga desili su se nakon što je Tepić na svom profilu objavila tvit o provladinim tabloidima. Da li će neki sadržaj biti blokiran ili obrisan odlučuju moderatori platforme na osnovu broja prijava korisnika.
U odnosu na ranije izveštaje monitoringa, došlo je do primetnog rasta u broju zabeleženih slučajeva fišinga. Tokom aprila, u razmaku od nekoliko dana, registrovana je cirkulacija tri lažna mejla u ime iste banke. Prvo je klijentima poslato obaveštenje o navodnom prilivu novčanih sredstava na račune, potom da treba da obnove svoje naloge slanjem ličnih podataka korisnika, dok se u trećem mejlu obećavalo dupliranje iznosa na računima svim klijentima koji budu promovisali (lažnu) stranicu banke na Fejsbuku. Banka je uvek na vreme upozoravala klijente da kruže lažni mejlovi ili stranice u njeno ime. Kod fišing mejlova URL adresa se lažira tako što se slična slova zamene jedno drugim. Sličan slučaj jeste sa Bankom Intesa: naime, teško je zapaziti razliku između velikog slova -I- i malog slova -l- zbog čega je lako lažirati URL adresu banke ili linkove koji se šalju u ime banke. Sada se takve vrste lažiranja URL adresa mogu sprečiti korišćenjem domena sa internacionalizovanim nazivima (IDN) što znači da ti domeni sadrže i slova izvan engleskog alfabeta.
Česti su fišing mejlovi i u ime Rajfajzen banke; u proteklom periodu zabeležen je jedan slučaj sa zahtevom da se ponovo aktivira aplikacija za mobilno bankarstvo. Takođe je registrovan slučaj kreiranja lažnog Fejsbuk naloga Mobi banke, sa pozivom klijentima da učestvuju u nepostojećoj nagradnoj igri. Pored banaka, fišing mejlovi se šalju i u ime drugih organizacija od autoriteta. Tako je u ime JP Pošta Srbije preko SMS-a i poruka na platformi WhatsApp, što je još jedan od načina za realizaciju fišing prevara, traženo od klijenata da izvrše uplatu preko lažnog linka kako bi mogli da preuzmu pošiljku. Nacionalni CERT je upozorio korisnike Fejsbuka na fišing kampanju preko privatnih poruka sa zaraženim video fajlom preko kog se kradu kredencijali za pristup Fejsbuk nalogu.
Cilj fišing prevara jeste upravo masovnost tako da ne čudi da podatak da prema statističkim izveštajima broj naloga elektronske pošte raste iz godine u godinu: u 2019. iznosio je 5,5 milijardi. Prosečan broj mejlova poslatih u jednom danu iznosio je 246,5 milijardi, sa predviđenim godišnjim rastom od 5% na svetskom nivou. Prema istraživanju koje su u Srbiji sproveli Nacionalni CERT i RNIDS početkom ove godine, 17% građana je upoznato sa krađom podataka (o identitetu, brojevima platnih kartica i lozinkama).
Znanje korisnika o krađi podataka kao značajnom bezbednosnom riziku. Izvor: Nacionalni CERT i RNIDS.
Narušavanje informacione bezbednosti – krađa naloga na društvenim mrežama
Povrede iz ove grupe uglavnom su motivisane krađom identiteta, nanošenjem reputacione štete, manipulacijom podacima i slično. U periodu koji obuhvata ovaj izveštaj, u nekoliko navrata je zabeleženo kreiranje lažnih naloga na društvenim mrežama, tačnije dva takva slučaja. U ime Radio-televizije Srbije kreirane su lažne stranice na Fejsbuku i Instagramu, što se i ranije dešavalo. Nekoliko puta su prijavljivani i gašeni lažni profili i zloupotrebe znaka RTS-a. Primećeno je i krađa identiteta repera Marka Šelića, poznatog kao Marčelo, u čije ime je na Tviteru godinama postojao lažni nalog.
Pored krađe identiteta, zabeleženo je i onemogućavanje kontrole nad nalogom i sadržajem pevačici i predstavnici Srbije na ovogodišnjem takmičenju za pesmu Evrovizije Ani Đurić Konstrakti, što je pevačica uspela da reši uz pomoć stručnjaka. Registrovani su i neovlašćen pristup nalogu i neovlašćeno postavljanje ili izmenu sadržaja, povrede na čijoj su meti bile modna kompanija Mona i organizacija Omladina JAZAS, ali su posledice brzo otklonjene. Isti slučaj pred kraj prošle godine imala je i voditeljka i glumica Marijana Mičić, čiji je Instagram nalog bio meta tehničkog napada u kom je glumica izgubila kontrolu nad svojim nalogom, a na profilu su se pojavile slike neke druge ženske osobe, dok su profilna slika i opis profila bili promenjeni.
Istraživanje Nacionalnog CERT-a i RNIDS-a govori da bezbednosni rizik hakovanja naloga u manjoj ili većoj meri prepoznaje 89,3% građana.
Znanje korisnika o hakovanju naloga na društvenoj mreži kao značajnom bezbednosnom riziku. Izvor: Nacionalni CERT i RNIDS.
DDoS napad
Jedini slučaj tehničkog napada ove vrste u prethodnih šest meseci zabeležen je u napadu na onlajn medij Peščanik. Od 2014. godine kada je SHARE Fondacija započela sistematski monitoring digitalnih prava i sloboda, zabeleženo je ukupno 47 slučajeva iz kategorije napada sa ciljem da se sadržaj učini nedostupnim i to putem tehničkih metoda i onesposobljavanja servisa. Olakšavajuća okolnost kod DDoS napada jeste u tome što se po završetku incidenta servisi vraćaju u normalan rad, nema posledica po sadržaj vebsajta, odnosno nije došlo do izmene ili brisanja sadržaja. Administratori sajta Peščanika zabeležili su neuobičajeno veliki saobraćaj sa oko 2,4 miliona zahteva za pristup sajtu. Međutim, zahvaljujući Cloudflare servisu koji Peščanik koristi za posredovanje pristupa sajtu, napad je ublažen i rad sajta nije bio onesposobljen.
Pritisci zbog izražavanja i aktivnosti na internetu – pritisci zbog objavljivanja informacija
U ovu grupu onlajn incidenata spadaju povrede časti i ugleda, ugrožavanje sigurnosti, diskriminacija i govor mržnje, uskraćivanje slobode izražavanja na radnom mestu, kao i pritiske zbog objavljivanja informacija. Period obuhvaćen ovim izveštajem obeležila su tri slučaja: izmena ili uklanjanje sadržaja od javnog značaja, što je bio slučaj sa televizijom Happy koja je uklonila jednu emisiju sa svog YouTube kanala; i dva slučaja vršenja pritiska: jedan je sudska presuda protiv portala Autonomija zbog objavljene vesti, a drugi je privatna tužba zbog povrede časti i ugleda koju je podneo Aleksandar Šapić protiv voditelja podkasta “Dobar, loš, zao”.
Lažne vesti – manipulacije u digitalnom okruženju
Primera ovog fenomena koji praktično već obeležava savremeni trenutak svakako ima mnogo, ali u proteklih šest meseci zabeleženo je nekoliko onih sa potencijalom da nanesu ozbiljniju štetu meti takvih manipulacija ili široj javnosti. Takav je slučaj sa lažnim tvitom da je ministar građevinarstva, saobraćaja i infrastrukture Tomislav Momirović izazvao saobraćajni udes u kome je povređena jedna osoba. Momirović je na Tviteru negirao da je izazvao udes. Lažni tvit objavljen je u ime TV voditelja Ivana Ivanovića, u kom je Ivanović navodno izjavio saučešće porodici bivše američke državne sekretarke Medlin Olbrajt. Problem bi možda bio manji da satirični portal Zicer nije podelio članak u kome je objavljen lažni tvit. Zbog lažnog tvita Ivanović i njegova porodica primili su veliki broj pretnji.
Slučaj manipulacije fotografijom, na kojoj je na ukrajinskom oklopnom vozilu naknadno dodat kukasti krst, zabeležen je na Tviter profilu poslanika SNS Vladimira Đukanovića. Kako je utvrdila redakcija FakeNews Tragača, izvorna fotografija snimljena je 2014. godine za potrebe agencije Rojters. Rat u Ukrajini prati obilje dezinformacija, a jedna od njih širila se po portalima u Srbiji i regionu Zapadnog Balkana, kada je pogrešno protumačena promena programa Zagrebačke filharmonije, što je povezano s ratom u Ukrajini i uvođenjem sankcija i na dela ruskih umetnika.
Budući da je na ovogodišnjim teniskim takmičenjima dozvoljeno učešćei nevakcinisanim teniserima, verovatno neće biti satiričnih vesti kakve su širene tokom januara. Posebnu pažnju privukla je satirična informacija preneta kao vest da su Srbi navodno ispekli kengura u Melburnu i Torontu u znak podrške Novaku Đokoviću po njegovom dolasku u Australiju i deportaciji.
Konstantne pretnje novinarima – pritisci zbog izražavanja i aktivnosti na internetu
U bazi monitoringa digitalnih prava i sloboda nalazi se ukupno 314 slučajeva u kojima su se društvene mreže i generalno digitalni prostor koristili za slanje i širenje pretećih poruka, iznosile uvrede i neosnovane optužbe kako na račun novinara, tako i na račun drugih. U prvom posmatranom kvartalu takvih slučajeva zabeleženo je 12, a u drugom 7.
O zlostavljanju na društvenim mrežama ili drugim digitalnim platformama ništa ne zna 7,5% ispitanika, dok je 32,9% upoznato u osnovnim crtama.
Znanje korisnika o zlostavljanju na mrežama kao značajnom bezbednosnom riziku. Izvor: Nacionalni CERT i RNIDS.
Povodi za slanje pretećih i uvredljivih poruka mogu biti različiti, a najčešće je reč o osetljivim društvenim temama. Tako su dopisniku Danasa iz Zaječara, Miljku Stojanoviću, stigle pretnje smrću preko Fejsbuka zbog intervjua koji je uradio sa izbeglim Ukrajincem. I Verica Marinčić, novinarka portala IN medija iz Inđije, dobila je pretnje putem Fejsbuka, nakon teksta o ponašanju lokalnog sveštenika. Isti su primer i pretnje smrću i uvrede na Tviteru kao odgovor na niz tvitova novinara Nikole Kostića o genocidu u Srebrenici.
Slična situacija zadesila je i novinarku Vojvođanskog istraživačko-analitičkog centra – VOICE, Ivanu Gordić. Novinarka je bila izložena pretnjama i kampanji mržnje na društvenim mrežama nakon pisanja o zlostavljanju radnika iz Vijetnama u kineskoj fabrici Linglong u Zrenjaninu. Mračna strana onlajn pretnji i uvreda otkriva se pošto se preliju u fizički prostor: nepoznati muškarci su novinarki otežavali rad na terenu i pokušavali da onemoguće dalje izveštavanje o spornoj temi.
Pored pretnji i uvreda, kao reakcija na neku objavljenu informaciju dolazi i do privatnih tužbi, što ipak nije tako čest slučaj: u prethodnih šest meseci zabeleženo je tri slučaja.
Predrag Koluvija, kome se sudi po optužbama da je organizovao proizvodnju više od tone i po marihuane na svom imanju, podneo je tužbu protiv istraživačkog portala KRIK i njegovog glavnog i odgovornog urednika Stevana Dojčinovića. Koluvija je tužbu podneo zbog navodnog kršenja pretpostavke nevinosti, te traži odštetu od 400.000 dinara na ime pretrpljenih duševnih bolova. Biljana Srbljanović, profesorka na FDU i dramaturškinja, na svom Fejsbuk profilu je objavila da su je Miroslav Aleksić, nedavno optužen za seksualno uznemiravanje i silovanje, i njegova supruga Biljana Mašić, takođe profesorka FDU, tužili za krivično delo uvrede zbog ranije objave o njima. Nakon što je portal N1 objavio vest o tužbi na Fejsbuku, u komentarima je usledio niz optužbi i uvreda upućenih Biljani Srbljanović. Potpredsednik SNS i predsednik opštine Novi Beograd Aleksandar Šapić je početkom godine drugi put tužio Nenada Kulačina i Marka Vidojkovića, voditelje podkasta “Dobar, loš, zao”. Šapić je tražio 350.000 dinara odštete za povredu časti i ugleda. Šapić je prvu tužbu protiv voditelja podneo u novembru 2021, pa zahtevana naknada štete zbog sadržaja emisije sada iznosi više od milion dinara.
Monitoring baza SHARE Fondacije
Ninoslava Bogdanović je specijalistkinja za informacionu bezbednost u SHARE Fondaciji. Interesuje je analiziranje pretnji po informacionu infrastrukturu i projektovanje mehanizama zaštite, digitalna forenzika, istraživanje metapodataka, profilisanje i političko-informaciono ratovanje.
Grafici: Mila Bajić, SHARE Fondacija
Čitaj još:
- Digitalna prava tokom leta 2021: Novo curenje podataka i politički pritisci
- Digitalna prava u Srbiji, april – jun 2021: Nespretna digitalizacija, fišing i pritisci
- Monitoring izveštaj decembar 2020 – mart 2021: Udar na enkripciju
- Monitoring digitalnih prava avgust – novembar 2020. Novi talas, isti pritisci i napadi