Od formulara i aplikacija do društvenih mreža i online kupovine, digitalni trag je postao dio svakodnevice, a sajber napadi sve češće ciljaju upravo ono što djeluje bezazleno: mejl adrese, brojeve telefona i naloge. Pitanje više nije da li se podaci prikupljaju, već koliko su zaista zaštićeni i ko snosi odgovornost kada nešto krene po zlu, piše portal WebMind.

Koliko je teško slaviti privatnost u svijetu u kom se podaci ostavljaju na svakom koraku?

Podaci kao meta, napadi kao svakodnevica

Najčešća zabluda je da su sajber napadi rezervisani za velike kompanije i “velike ribe”. U stvarnosti, napadači često počinju od najjednostavnijeg: od mejl adresa, brojeva telefona, korisničkih imena i navika – kada ste online, sa kog uređaja, na kojim sajtovima i koliko dugo. Takvi podaci djeluju bezazleno, ali su osnova za dalje prevare. Jedan set informacija može biti dovoljan da se napravi uvjerljiva poruka koja izgleda kao da je stigla iz banke, dostavne službe, škole ili čak od poznate osobe. Cilj nije da se “probije sistem”, već da korisnik sam otvori vrata.

U posljednjih nekoliko godina postali su dominantni fišing oblici napada, i to su prevare koje dolaze putem mejla, SMS-a ili telefonskog poziva. Razlika u odnosu na ranije je u preciznosti. Poruke više nisu smiješne i trapave. Često su kratke, hitne i napisane tako da izazovu refleks: “Potvrdite nalog”, “stigla je pošiljka”, “promijenite lozinku”, “neuspjela transakcija”. U takvim situacijama napadač ne treba da zna sve o vama. Dovoljno je da zna taman toliko da povjerujete.

Rizik ne dolazi samo iz direktnog kontakta sa prevarom, već je druga opasnost lanac usluga koje koristimo. Mnoge platforme koriste spoljne servise za statistiku, korisničku podršku, slanje mejlova ili obradu plaćanja. Kada dođe do propusta kod neke od tih karika, posljedice se prelivaju na krajnjeg korisnika, koji često ni ne zna gdje je tačno nastao problem. Zato se i dešava da ljudi saznaju da su im podaci kompromitovani tek kada im stignu sumnjive poruke, kada im neko pokuša reset lozinke ili kada se pojavi pokušaj lažnog predstavljanja.

Pravila postoje, ali bezbjednost zavisi od prakse

Zakon o zaštiti podataka o ličnosti u Srbiji propisuje jasna načela i po njemu se podaci prikupljaju zakonito, u svrhu koja je unaprijed određena, u najmanjoj potrebnoj mjeri. Treba da se čuvaju bezbjedno i ne duže nego što je opravdano. Građani imaju pravo da znaju ko obrađuje njihove podatke, zašto, koliko dugo i kome se podaci prosljeđuju. Na papiru, sistem je postavljen tako da štiti pojedinca.

Međutim, zakon ne mijenja realnost ako praksa ne prati propise. Bezbjednost se ne mjeri time da li negdje postoji “politika privatnosti”, već time da li su sistemi ažurirani, da li su pristupi ograničeni, da li se lozinke i nalozi štite ozbiljno, da li postoje procedure kada se desi incident i da li se o incidentima komunicira transparentno. Najskuplje greške često su najbanalnije: jedna lozinka na više mjesta, jedan dokument postavljen tamo gdje ne treba, jedan nalog bez dvofaktorske zaštite, jedan zaposleni koji nije obučen da prepozna prevaru.

U mjeri u kojoj se oslanjamo na naviku umjesto na provjeru. Dobra vijest je da dio kontrole ipak imamo: minimalno dijeljenje podataka, jače lozinke, dvofaktorska zaštita, oprez sa linkovima i prilozima, kao i provjera poruka koje zahtijevaju hitnu reakciju. Nije savršena zaštita, ali je razlika između toga da li ćemo biti laka meta ili teža.

Dan zaštite podataka o ličnosti vrijedi samo ako nas vrati na osnovno pravilo: privatnost na internetu nije stanje, već proces. Ne čuva se jednom odlukom, nego svakodnevnim ponašanjem.