ZBORNIK RADOVA ZITEH-16

Transcription

1 UDRUŽENJE SUDSKIH VEŠTAKA ZA INFORMACIONE TEHNOLOGIJE I T V E Š T A K Danijelova 32 Beograd office@itvestak.org.rs U SARADNJI SA: ПРИВРЕДНА КОМОРА СРБИЈЕ 1857 PRIVREDNA KOMORA BEOGRADA Универзитет одбране REGINALNO NAUČNO-STRUČNO SAVETOVANJE ZITEH ZLOUPOTREBA INFORMACIONIH TEHNOLOGIJA I ZAŠTITA Činjenje Veštačenje Otkrivanje Sankcionisanje Dokazivanje REGIONALNO NAUČNO-STRUČNO SAVETOVANJE Zaštita ZBORNIK RADOVA ZITEH Универзитет одбране ПРИВРЕДНА PRIVREDNA КОМОРА KOMORA СРБИЈЕ BEOGRADA SREBRNI SPONZOR office@itvestak.org.rs O Z L P U T O R E REGIONALNO NAUČNO-STRUČNO SAVETOVANJE B E N I F O R M A C I O N Z B O R N I K R A D O V A ISBN COBISS.SR-ID IH T E H N O L O G IJ A I Z A Š T IT A

2 ZLOUPOTREBA INFORMACIONIH TEHNOLOGIJA I ZAŠTITA ZBORNIK Sadržaj Izdavač UDRUŽENJE SUDSKIH VEŠTAKA ZA INFORMACIONE TEHNOLOGIJE IT VEŠTAK Beograd, Danijelova 32 Za izdavača PROGRAMSKI ODBOR prof. dr SLOBODAN R. PETROVIĆ, predsednik odbora prof. dr MILOVAN STANIŠIĆ, Rektor Univerziteta Singidunum, počasni predsednik odbora akademik i sudija Ustavnog suda Bosne i Hercegovine prof. dr MIODRAG SIMOVIĆ pukovnik prof. dr BOBAN ĐOROVIĆ, prorektor Univerziteta odbrane prof. dr DUŠAN REGODIĆ, dekan FPI, Univerzitet Sinergija, Bijeljina, Republika Srpska, BiH prof. dr MILIJA SUKNOVIĆ, dekan FON prof. dr MLADEN VEINOVIĆ, dekan FMI Univerzitet Singidunum prof. dr BOŽIDAR BANOVIĆ, prodekan Fakultet bezbednosti prof. dr ĐORĐE IGNJATOVIĆ, Pravni fakultet, Beograd prof. dr IRINI RELJIN, ETF prof. dr BOŽIDAR RADENKOVIĆ, FON prof. dr SLOBODAN JOVIČIĆ, ETF prof. dr MILAN MILOSAVLJEVIĆ, Univerzitet Singidunum prof. dr BRANISLAV SIMONOVIĆ, Pravni fakultet Kragujevac prof. dr MILAN MILOŠEVIĆ, Fakultet za poslovne studije i pravo, Union dr DAMIR DELIJA, INSIG2, Zagreb, Hrvatska dr BABIĆ VLADICA, Visoka škola Logos Mostar, BiH dr DRAGAN ĐURĐEVIĆ, Akademija za nacionalnu bezbednost, BIA prof. dr GOJKO GRUBOR, predsednik IO IT Veštak prof. dr DRAGANA BEČEJSKI VUJAKLIJA, IT Veštak prof. dr NAHOD VUKOVIĆ, IT Veštak prof. dr LAZAR PETROVIĆ, IT Veštak prof. dr ZORAN ČEKEREVAC, IT Veštak Autori Prof. dr Slobodan R, Petrović i GRUPA AUTORA Recenzenti prof. dr Slobodan R, Petrović prof. dr Gojko Grubor prof. dr Dragana Bečejski Vujaklija prof.dr Milan Miloševć Urednik Prof. dr Slobodan R, Petrović Kompjuterska obrada Živko Dženopoljac Tiraž 200 primeraka CD 2016, IT VEŠTAK, Beograd prof. dr Lazar Petrović prof. dr Mladen Veinović prof. dr Zoran Čekerevac dr. Dragan Đurđević ISBN COBISS.SR-ID

3 Sadržaj Autor rada Naziv rada idi na Impresum Akademik prof dr Miodrag Simović, prof. dr Dragan Jovašević, prof. dr Računarski kriminalitet u pravu Republike Srbije; Vladimir Simović: prof. dr Slobodan Petrović, dr Stojanović Milosav, Informaciona tehnologija u funkciji kriminala bele-kragne; Specifičnosti veštačenja u sudskim sporovima o poslovnim prof. dr Dragana Bečejski-Vujaklija, informacionim sistemima; MSci Savina Gruičić, Forenzika Windowsa 10 dr Hatidža Beriša, kapetan fregate Igor Barišić, Bezbednosni izazovi kiber prostor i informaciono ratovanje; doc. dr. sc. Vladica Babić, Prijedlog mjera i aktivnosti za unapređenje borbe protiv cyber terorizma u BiH; MSc Jerko Burić, Deep Web; Msc Dejan Gadjovski Procena rizika upotrebom NIST SP metodologije u javnoj infrastrukturnoj organizaciji za sertifikaciju prema ISO/IEC 27001; doc. dr Nenad Bingulac, Msc Joko Krivičnopravni osvrt na pojedine oblike ugrožavanja računarskih Dragojlović, sistema; MSc Nevena Miladinović, MSc Nataša Simić, mr Zoran Živković, Pravni i tehnički aspekti privatnosti digitalnih podataka; dr Viktor Kanižai, Zlonamerni softver dizajniran da omogući izvršavanje neovlašćenih transakcija; Mr Branka Mijić, Računalni kriminal kroz prizmu zakonskih odredbi u svijetu i BiH; MSc Katarina Jonev, dr Hatidža Beriša, Opasnost od kiber terorizma; doc. dr Nenad Bingulac, MSc Nataša Simić, MSc Nevena Miladinović, mr Zoran Živković, doc. dr Zvonimir Ivanović, MSc Nevena Miladinović, MSc Nataša Simić, mr Zoran Živković, Prekršajna odgovornost usled kršenja zakona o zaštiti podataka o ličnosti; Prevencija curenja podataka; Neke mogućnosti prikrivenog islednika kao posebne dokazne radnje u primeni kod elektronskih dokaza; Ransomver Evolucija i zaštita; Milanović Zoran, Istraživanja ključnih termina u literaturi o infrormacionoj bezbednosti; Mr Stevanovic M, dr Đurđević D, Kritički pristup internetu stvari u kiber prostoru država; Jovanović Miloš, Maček Nemanja, Savremene visokotehnološke pretnje: O ranjivosti softverskih Franc Igor, Mitić Dragan, proizvoda i pretnjama; prof. dr Milan Milošević, mr Momir Doprinos stručnog savetnika dokazivanju u Ostojić, oblasti informacionih tehnologija; MSc Ivaniš Nebojša, Koncept sajber oružja u računarskim i telekomunikacionim sistemima; Sponzori i prijatelji Savetovanja

4 Sadržaj RAČUNARSKI KRIMINALITET U PRAVU REPUBLIKE SRBIJE Akademik prof. dr Miodrag N. Simović 1 Prof. dr Dragan Jovašević 2 Prof. dr Vladimir M. Simović 3 Apstrakt: Na bazi međunarodnih standarda, Republika Srbija je kao i mnoge druge savremene države predvidjela sistem krivičnih sankcija za učinioce različitih oblika i vidova računarskog kriminaliteta. Radi se o različitim načinima zloupotrebe računara koji se koristi kao sredstvo za izvršenje različitih krivičnih djela na štetu drugih fizičkih i pravnih lica, pa i čitavih država. Da bi se efikasnim djelovanjem organa krivičnog pravosuđa ova krivična djela mogla otkriti, potrebno je na bazi teorije i sudske prakse analizirati zakonska rješenja pojedinih krivičnih djela ove vrste što predstavlja predmet ovog rada. Ključne riječi: zloupotreba, računarski kriminalitet, zakon, odgovornost, sud, krivična sankcija. 1.Uvod Usvajanjem Zakona o izmjenama i dopunama Krivičnog zakona Republike Srbije 4, aprila godine, na bazi međunarodnih standarda univerzalnog ili regionalnog karaktera, u sistem krivičnog prava Republike Srbije je po prvi put uvedeno više računarskih (kompjuterskih) krivičnih djela, te određena pravila o krivičnoj odgovornosti i kažnjavanju učinilaca ovih djela 5. Naime, u novouvedenoj glavi 16A Krivičnog zakona Republike Srbije predviđena su krivična djela protiv bezbjednosti računarskih podataka. Time se i Republika Srbija priključila nizu država koje se na različite načine (u prvom redu sistemom preventivnih i represivnih mera) pokušavaju efikasno, zakonito i kvalitetno suprotstaviti različitim oblicima i vidovima zloupotrebe računara u cilju ostvarenja protivpravne imovinske koristi za sebe ili drugo fizičko ili pravno lice, odnosno u cilju nanošenja (imovinske) štete drugom licu ili radi povrede prava drugog lica. Krivični zakonik Srbije 6 (KZ) iz godine u glavi dvadeset sedmoj pod nazivom Krivična djela protiv bezbjednosti računarskih podataka propisuje računarska krivična djela. Savjet Evrope je donošenjem Konvencije o kibernetičkom (sajber) kriminalu (Convention on Cybercrime 7, ETS 185) od 23. novembra godine 8 pokušao da postavi osnove jedinstvenog evropskog sistema materijalnog i procesnog krivičnog prava u oblasti neophodne saradnje država članica u suzbijanju različitih oblika i vidova računarskog (kibernetičkog) kriminala. Pri tome je sama Konvencija (čl. 2-13) propisala pet krivičnih djela ove vrste koja su upravljena protiv tajnosti, cjelovitosti i dostupnosti računarskih podataka i sistema. Ovim su postavljene osnove za pojedina nacionalna zakonodavstva da preciznije odrede obilježja i karakteristike pojedinih 1 Sudija Ustavnog suda Bosne i Hercegovine i redovni profesor Pravnog fakulteta Univerziteta u Banjoj Luci, dopisni član Akademije nauka i umjetnosti Bosne i Hercegovine, inostrani član Ruske akademije prirodnih nauka i član Evropske akademije nauka i umjetnosti. 2 Redovni profesor Pravnog fakulteta Univerziteta u Nišu. 3 Tužilac Tužilaštva Bosne i Hercegovine i vanredni profesor Fakulteta za bezbjednost i zaštitu Nezavisnog univerziteta u Banjoj Luci. 4 Službeni glasnik Republike Srbije broj 39/03. 5 Vidi Jovašević, (2003), Službeni glasnik Republike Srbije br. 85/05, 88/05, 107/05, 72/09, 111/09, 121/12, 104/13 i 108/14. 7 Budapest, 23/11/ Vidi Pavišić,

5 računarskih krivičnih djela, njihove osnovne, lakše ili teže oblike, te da propiše krivične sankcije za njihove učinioce (fizička ili pravna lica). Uz ovu konvenciju je usvojen i Dopunski protokol o kriminaliziranju akata rasističke i ksenofobične prirode koja su učinjena posredstvom računarskih sistema. I ovaj protokol u čl. 3-7 propisuje takođe krivičnu odgovornost i kažnjivost za zloupotrebu računara u vršenju krivičnih djela iz rasističkih i ksenofobičnih pobuda (motiva). 2. Karakteristike zaštite računarskih podataka Zbog postojanja različitih oblika i vidova ispoljavanja zloupotrebe računara u svakodnevnim životnim situacijama, KZ propisuje više računarskih krivičnih djela ili kako ih on naziva krivičnih djela protiv bezbjednosti računarskih podataka. Međutim, sva ta pojedina djela, pored brojnih različitosti, imaju i niz specifičnih karakteristika koje su im zajedničke 9. Računar, u svakom slučaju, predstavlja jednu od najznačajnijih i najrevolucionarnijih tekovina razvoja tehničko-tehnološke civilizacije. Uz to, pored brojnih prednosti koje sobom nosi i ogromne koristi za čovječanstvo, računar je brzo postao i sredstvo za razne zloupotrebe nesavjesnih pojedinaca, grupa, pa i čitavih organizacija. Tako nastaje računarski kriminalitet kao poseban i specifičan oblik savremenog kriminaliteta, i to po strukturi, osobenostima, oblicima ispoljavanja, karakteristikama učinioca, načinu i sredstvima izvršenja itd. Ovaj vid kriminaliteta, za razliku od drugih, još uvijek ne predstavlja zaokruženu fenomenološku kategoriju, te ga je nemoguće definisati jedinstvenim i preciznim pojmovnim određenjem. Računarski kriminalitet je samo opšta forma kroz koju se ispoljavaju različiti oblici kriminalne djelatnosti, uz pomoć ili posredstvom računara. Naime, to je kriminalitet koji je upravljen protiv bezbjednosti računarskih (informatičkih, kompjuterskih) sistema u cjelini ili njegovih pojedinih dijelova na različite načine i različitim sredstvima u namjeri da se sebi ili drugom fizičkom ili pravnom licu pribavi protivpravna imovinska korist ili drugome nanese kakva, najčešće, imovinska šteta. Objekt zaštite kod računarskih krivičnih djela jeste bezbjednost računarskih (kompjuterskih) podataka i sistema, odnosno računarske mreže 10. Iako je danas uobičajeno da se ova krivična djela obuhvataju pojmom kompjuterski kriminalitet 11, zakonodavac Republike Srbije za njih je pak upotrijebio termin računarski kriminalitet. No, pored ovog naziva za krivična djela sistematizovana na ovom mestu, zakonodavstvo Republike Srbije upotrebljava i pojam visokotehnološki kriminal 12. Pod ovim se pojmom podrazumijeva vršenje krivičnih djela kod kojih se kao objekat ili kao sredstvo izvršenja krivičnih djela javljaju računari, računarske mreže, računarski podaci, računarski sistemi, kao i njihovi proizvodi u materijalnom ili elektronskom obliku. 9 Vidi Petrović, S. (1994). Kompjuterski kriminalitet. Beograd: Bezbjednost, (1), Vidi Jovašević, D. (1998). Obilježja kompjuterskog kriminaliteta., Beograd: Pravni informator, Beograd, (3), Ovaj pojam koristi Krivični zakonik Republike Makedonije - poslije donošenja Zakona o izmjenama i dopunama Krivičnog zakonika ( Služben vesnik na Republika Makedonija br. 37/96, 80/99, 4/02, 43/03 i 19/04). 12 Pojam, karakteristike, organi krivičnog gonjenja i postupak za krivična djela visokotehnološkog kriminala uređeni su odredbama Zakona o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala ( Službeni glasnik Republike Srbije broj 61/05). 2

6 Pri tome, sam je zakonodavac u članu 112 KZ odredio pojam i karakteristike objekta napada kod ovih krivičnih djela. To su 13 : 1) računarski podatak, 2) računarska mreža, 3) računarski program, 4) računarski virus, 5) računar i 6) računarski sistem. Računarski podatak je svako predstavljanje činjenica, informacija ili koncepta u obliku koji je podesan za njihovu obradu u računarskom sistemu, uključujući i odgovarajući program na osnovu koga računarski sistem obavlja svoju funkciju (član 112 stav 17 KZ). Računarska mreža predstavlja skup međusobno povezanih računara, odnosno računarskih sistema koji komuniciraju razmjenjujući podatke (član 112 stav 18 KZ). Računarski program je uređeni skup naredbi koji služi za upravljanje radom računara, kao i za rješavanje određenog zadatka pomoću računara (član 112 stav 19 KZ). Računarski virus je računarski program ili drugi skup naredbi koji je unijet u računar ili računarsku mrežu, koji je napravljen da sam sebe umnožava i djeluje na druge programe ili podatke u računaru ili računarskoj mreži dodavanjem tog programa ili skupa naredbi jednom ili više računarskih programa ili podataka (član 112 stav 20 KZ). Računar je svaki elektronski uređaj koji na osnovu programa automatski obrađuje i razmjenjuje podatke (član 112 stav 33 KZ). I konačno, računarski sistem je svaki uređaj ili grupa međusobno povezanih ili zavisnih uređaja od kojih jedan ili više njih, na osnovu programa, vrši automatsku obradu podataka (član 112 stav 34 KZ). Kompjuter (računar) predstavlja jednu od najznačajnijih i najrevolucionarnijih tekovina tehničko-tehnološkog razvoja na kraju 20. vijeka. Međutim, pored prednosti koje računar nosi sa sobom i ogromne koristi za čovječanstvo, on je ubrzo postao i sredstvo zloupotrebe nesavjesnih pojedinaca ili grupa. Tako nastaje računarski kriminalitet kao poseban i specifičan oblik savremenog kriminaliteta. Zahvaljujući ogromnoj moći računara u memorisanju i brzoj obradi velikog broja podataka, automatizovani informacioni sistemi postaju sve brojniji i nezamjenjivi pratilac cjelokupnog ljudskog i društvenog života fizičkih i pravnih lica 14. Različite forme primjene računara u svim oblastima života, privrede i drugih društvenih djelatnosti nisu ostale nezapažene od strane nesavjesnih i zlonamjernih pojedinaca ili grupa koji ne birajući sredstva i načine pokušavaju da pribave za sebe ili drugog protivpravnu imovinsku korist ili da drugome nanesu kakvu štetu. Tako računar postaje sredstvo, oruđe za izvršenje različitih krivičnih djela. Za različite oblike i vidove zloupotrebe računara u teoriji se upotrebljavaju i različiti nazivi kao što su: zloupotreba računara (computer abuse), delikti uz pomoć računara (crime by computer), kompjuterska prevara (computer fraud), informatički kriminalitet, računarski kriminalitet, sajber kriminalitet, tehno kriminalitet itd 15. Može se zaključiti da se pod pojmom računarskog kriminaliteta 16 podrazumijeva sveukupnost različitih oblika, vidova i formi ispoljavanja protivpravnih ponašanja upravljenih protiv bezbjednosti računarskih, informacionih i kompjuterskih sistema u cjelini ili njihovih pojedinih dijelova na različite načine i različitim sredstvima u namjeri da se sebi ili drugom pribavi korist (imovinske ili neimovinske prirode) ili da se drugome nanese šteta Vidi Jovašević, (2014), Vidi Đokić, Z., Živanović, S. (2005). Kompjuterski kriminal kao obilježje progresivnog kriminaliteta. Zbornik radova Kazneno zakonodavstvo - progresivna ili regresivna rješenja, Beograd, 2005, Jovašević, (2011), Vidi Jovašević, D, (2003). Krivičnopravna zaštita bezbjednosti računarskih podataka. Beograd: Pravni informator, (6), Vidi Kitarović, N. (1998). Kompjuterski kriminalitet. Beograd: Bilten sudske prakse Vrhovnog suda Srbije, (2-3),

7 Iz ovako određenog pojma računarskog kriminaliteta proizilaze njegove osnovne karakteristike 18 : 1) objekt zaštite je bezbjednost računarskih podataka ili informacionog sistema u cjelini ili njegovog pojedinog dijela (segmenta), 2) poseban, specifičan karakter i priroda protivpravnih djelatnosti pojedinaca, 3) posebna znanja i specijalizacija na strani učinioca ovih krivičnih djela koja isključuje mogućnost da se svako, bilo koje lice nađe u ovoj ulozi, 4) poseban način i sredstvo preduzimanja radnje izvršenja - uz pomoć ili upotrebom (zloupotrebom) računara i 5) namjera učinioca kao subjektivni elemenat u vrijeme preduzimanja radnje koja se ogleda u namjeri pribavljanja za sebe ili drugog koristi ili nanošenja štete drugom fizičkom ili pravnom licu. Računarski kriminalitet karakteriše velika dinamika i izuzetna šarolikost pojavnih oblika, formi i vidova ispoljavanja. To je i razumljivo jer se radi o novoj tehnologiji sa velikim mogućnostima primjene u širokoj sferi ljudske, društvene i privredne djelatnosti, te su i mogućnosti zloupotrebe računara svaki dan sve veće. Pored novih pojavnih oblika, ranije već poznatih krivičnih djela koja pod uticajem zloupotrebe kompjutera mijenjaju tradicionalni, klasični način i modus ispoljavanja (krađa, prevara, falsifikovanje), javljaju se i novi oblici protivpravnog i kažnjivog ponašanja koji ne poznaju granice između država (pravljenje računarskog virusa). Štetne posljedice računarskih krivičnih djela su velike i ispoljavaju se u nastupanju imovinske štete za fizička ili pravna lica (ponekad i za cijelu državu), u gubitku poslovnog ugleda, gubitku povjerenja u sigurnost i istinitost računarskog poslovanja i uopšte računarskih podataka, opasnosti od zloupotrebe za slobode i prava čovjeka na razne načine, odavanje lične, poslovne i drugih vidova tajni i sl. Velike praktične mogućnosti koje pruža savremena visoko sofisticirana računarska i informatička tehnologija sa sobom nose i opasnost od širenja i masovne upotrebe elektronskog prisluškivanja, krađe poslovnih i drugih tajni, kao i različitih oblika intelektualne svojine, zatim ozbiljnog narušavanja privatnosti i ugrožavanja ljudskih sloboda i prava, kao i ličnog integriteta, a u poslednje vrijeme je prisutna i realna opasnost od talasa različitih oblika terorističkog djelovanja (tzv. tehno ili sajber terorizam). Izvršioci računarskih krivičnih djela predstavljaju specifičnu kategoriju lica. Radi se, uglavnom, o nedelinkventnim i socijalno prilagodljivim, nenasilnim ličnostima. Oni za vršenje krivičnih djela putem računara moraju da posjeduju određena specijalna, stručna i praktična znanja i vještine u domenu informatičke i računarske tehnike i tehnologije. Pored toga, radi se o licima kojima su ovakva tehnička sredstva (računari) dostupna u fizičkom smislu. Ova se krivična djela vrše prikriveno, često bez vidljive prostorne i vremenski bliske povezanosti između učinioca djela i oštećenog (pasivnog subjekta). U praksi postoji veća ili manja vremenska razlika između preduzete radnje izvršenja krivičnog djela i trenutka nastupanja njegove posljedice. Ova se djela teško otkrivaju, a još teže dokazuju, dugo ostaju praktično neotkrivena, sve dok oštećeni ne pretrpi štetu u domenu informatičkih i računarskih podataka ili sistema. Radi se o kriminalitetu koji brzo i lako mijenja forme i oblike ispoljavanja, granice među državama, kao i vrstu oštećenog. U pogledu krivice, ova se djela vrše isključivo sa umišljajem. 18 Vidi Petrović, Jovašević,

8 KZ predviđa više računarskih krivičnih djela. 3. Pojedina računarska krivična djela 3.1.Oštećenje računarskih podataka i programa Prvo računarsko krivično delo pod nazivom Oštećenje računarskih podataka i programa propisano je u članu 298 KZ. Samo krivično djelo se sastoji u neovlašćenom brisanju, izmjeni, oštećenju, prikrivanju ili na drugi način činjenju neupotrebljivim računarskog podatka ili programa 19. Objekt zaštite kod ovog djela je bezbjednost računarskih podataka ili računarskih programa, a objekt napada je računarski podatak ili program. Radnja izvršenja ovog krivičnog djela je višestruko alternativno određena. Ona se sastoji u preduzimanju djelatnosti 20 kao što su: 1) brisanje, 2) izmjena, 3) oštećenje, 4) prikrivanje i 5) činjenje neupotrebljivim računarskog podatka ili programa. Za postojanje ovog krivičnog djela je bitno da se radnja izvršenja preduzima neovlašćeno, dakle od strane neovlašćenog lica, na način i u postupku koji nisu dozvoljeni i na zakonu zasnovani. Brisanje je fizičko uklanjanje računarskih podataka u cjelini ili djelimično ili računarskog programa. Izmjena je djelimična promjena postojećih podataka ili unošenje novih podataka na način, od strane lica i u postupku koji nije predviđen odgovarajućim propisima ili po odgovarajućoj proceduri. Oštećenje je privremeno, djelimično ili kratkotrajno onesposobljenje korišćenja računarskog podatka ili programa izazivanjem kvarova ili kidanjem pojedinih dijelova, veza ili sklopova, tako da se računarski podatak ili program ne mogu koristiti za određeno vrijeme za svrhu za koju su namijenjeni. Prikrivanje je premještanje podatka ili programa sa mjesta na kome je bio pohranjen ili sadržan i sklanjanje na drugo, najčešće nepoznato mjesto. Činjenje neupotrebljivim na drugi način je svako drugo onesposobljenje za kraće ili duže vrijeme ili onemogućavanje u većoj ili manjoj mjeri korišćenja računarskog podatka ili programa. Posledica krivičnog djela je povreda zaštićenog dobra - računarskog podatka ili programa koji pripada fizičkom ili pravnom licu u smislu njegove upotrebljivosti, korisnosti uopšte ili za određeno vrijeme, na određenom mjestu ili za određenu namjenu. Izvršilac krivičnog djela može da bude svako lice, a u pogledu krivice potreban je umišljaj. Za ovo je djelo propisana novčana kazna ili kazna zatvora do jedne godine. Sud učiniocu dela obavezno izriče mjeru bezbjednosti oduzimanja uređaja i sredstava ako su ispunjena dva uslova: 1) da se radi o sredstvima i uređajima kojima je krivično djelo učinjeno i 2) da su sredstva i uređaji u svojini učinioca djela. Ovo krivično djelo ima dva teža oblika ispoljavanja za koja zakon propisuje strožije kažnjavanje učinioca. Prvi teži oblik djela postoji ako je preduzetom radnjom izvršenja osnovnog djela prouzrokovana šteta u iznosu preko dinara. Visina pričinjene imovinske štete se utvrđuje prema vremenu izvršenja krivičnog djela u zakonom utvrđenom iznosu i predstavlja kvalifikatornu okolnost. Za ovo je djelo propisana kazna zatvora od tri mjeseca do tri godine. Drugi teži oblik ovog krivičnog djela (za koji je propisana kazna zatvora od tri mjeseca do pet 19 Petrović, Jovašević, Ferhatović, 253 i Jovašević, Ikanović,

9 godina) postoji ako je preduzetom radnjom izvršenja osnovnog djela prouzrokovana imovinska šteta u iznosu preko dinara Računarska sabotaža Računarska sabotaža je drugo računarsko krivično djelo u pravnom sistemu Republike Srbije. Ovo krivično delo je propisano u članu 299 KZ. Čini ga lice koje unese, uništi, izbriše, izmijeni, ošteti, prikrije ili na drugi način učini neupotrebljivim računarski podatak ili program ili uništi ili ošteti računar ili drugi uređaj za elektronsku obradu i prenos podataka u namjeri da onemogući ili znatno omete postupak elektronske obrade i prenosa podataka koji su od značaja za državni organ, javnu službu, ustanovu, preduzeće ili druge subjekte 21. Objekt zaštite kod ovog krivičnog djela je dvojako određen kao: 1) računarski podatak ili program i 2) računar i drugi uređaj za elektronsku obradu i prenos podataka. Bitno je da ovi uređaji i sredstva pripadaju, odnosno da su od značaja za državni organ, javnu službu, ustanovu, preduzeće ili drugog subjekta. Radnja izvršenja ovog dela je takođe višestruko alternativno određena kao: 1) unos, 2) uništenje, 3) brisanje, 4) izmjena, 5) oštećenje, 6) prikrivanje i 7) činjenje neupotrebljivim na drugi način, pod uslovom da se ovako propisana radnja izvršenja odnosi na računarski podatak ili program i 8) uništenje i 9) oštećenje, pod uslovom da se neka od ove dvije radnje izvršenja odnosi na računar ili drugi uređaj za elektronsku obradu i prenos podataka. Unos je upisivanje ili pohranjivanje novog do tada nepostojećeg podatka ili izmjena već postojećeg računarskog ili drugog podatka u računarskom programu. Uništenje je potpuno i trajno razaranje supstance ili oblika određenog predmeta tako da više uopšte ne može da se koristi za svrhu, namjenu za koju je ranije korišćen. Brisanje je uklanjanje najčešće mehaničkim ili drugim putem u cjelini ili djelimično računarskog podatka ili programa. Izmjena je djelimično mijenjanje postojećih podataka u smislu njihove sadržine, mjesta gde se nalaze ili njihove prirode ili unošenje drugih neistinitih podataka u računarski sistem. Oštećenje je privremeno, djelimično ili kratkotrajno onesposobljenje računarskog podatka, programa, računara ili drugog uređaja za svrhu za koju su inače namijenjeni. Prikrivanje je sklanjanje podatka ili predmeta sa mjesta na kome se do tada nalazio i koje je svima bilo poznato i premještanje na drugo najčešće skriveno mjesto tako da se sa njihovom sadržinom ne mogu upoznati druga lica uopšte ili za određeno vrijeme. Činjenje neupotrebljivim računarskog podatka ili programa predstavlja svaku djelatnost kojom se u većoj ili manjoj mjeri utiče na upotrebljivost računarskih podataka ili programa. Zavisno od objekta napada prema kome je upravljena radnja izvršenja ovog krivičnog djela, razlikuju se dva njegova oblika. To su 22 : 1) uništenje ili oštećenje računarskog podatka ili programa i 2) uništenje i oštećenje računara ili drugog uređaja za elektronsku obradu i prenos podataka. Ono što je bitno za postojanje oba oblika djela jeste 23 : a) da se radnja izvršenja preduzima u odnosu na objekte koji pripadaju državnom organu, javnoj službi, ustanovi, preduzeću ili drugom subjektu (pravnom licu sa posebnim ovlašćenjima). Dakle, svojstvo oštećenog predstavlja elemenat bića ovog krivičnog djela i b) da na strani učinioca u vrijeme preduzimanja radnje postoji određena namjera - namjera da se onemogući (u potpunosti i trajno) ili znatno omete (oteža) postupak elektronske obrade i prenosa podataka. Nije od značaja da li je ova namjera u konkretnom slučaju i ostvarena. 21 Jovašević, (2003), 354 i Đurđić, Jovašević, Petrović, Jovašević,

10 Posljedica krivičnog djela je povreda računarskog podatka, programa, računara ili uređaja za automatski prenos ili obradu podataka u smislu njihove upotrebljivosti i korisnosti. Izvršilac ovog djela može da bude svako lice, a u pogledu krivice potreban je direktni umišljaj koji karakteriše navedena namjera. Za ovo je krivično djelo propisana kazna zatvora od šest mjeseci do pet godina Pravljenje i unošenje računarskih virusa Pravljenje i unošenje računarskih virusa iz člana 300 KZ je sljedeće računarsko krivično djelo koje se sastoji u pravljenju računarskog virusa u namjeri njegovog unošenja ili njegovom unošenju u tuđi računar ili računarsku mrežu 24. Objekt zaštite kod ovog krivičnog djela je bezbjednost računara i računarske mreže od virusa različite vrste i prirode, a objekt napada je računarski virus. Radnja izvršenja ovog krivičnog djela se sastoji iz dvije zakonom propisane alternativne djelatnosti. To su: 1) pravljenje - stvaranje računarskog virusa koji je podoban, dovoljan, u mogućnosti da prouzrokuje određene promjene, oštećenja u korišćenju ili upotrebljivosti računara ili računarske mreže u cjelini ili djelimično. Za postojanje ove radnje izvršenja je potrebno da učinilac postupa sa namjerom (kao subjektivnim elementom) da tako stvoreni računarski virus unese u tuđi računar ili računarsku mrežu. Namjera mora da postoji na strani učinioca u vrijeme preduzimanja radnje bez obzira na to da li je u konkretnom slučaju ona i ostvarena i 2) unošenje računarskog virusa, neposredno ili posredno, u tuđi računar ili računarsku mrežu, bez obzira na to ko je ovaj virus napravio. Izvršilac krivičnog djela može da bude svako lice, a u praksi su to lica koja posjeduju posebna, specijalna znanja iz oblasti računarstva i informatike. U pogledu krivice potreban je direktni umišljaj koji karakteriše navedena namjera. Za ovo je djelo propisana novčana kazna ili kazna zatvora do šest mjeseci. Uređaji i sredstva kojima je učinjeno krivično djelo se obavezno oduzimaju primjenom mjere bezbjednosti oduzimanja predmeta. Teži oblik krivičnog djela (za koji je propisana novčana kazna ili kazna zatvora do dvije godine) postoji ako je ovako stvoreni virus unijet u tuđi računar ili računarsku mrežu čime je prouzrokovana šteta. Za postojanje djela je bitno da je učinilac svjestan, da zna u vrijeme preduzimanja radnje - rada na računaru da na takav način upravo unosi računarski virus u tuđi računar ili računarsku mrežu. Šteta koja je na ovaj način prouzrokovana, može biti imovinskog ili neimovinskog karaktera. Bitno je da ovako prouzorokovana šteta predstavlja rezultat preduzete radnje izvršenja osnovnog djela i da u odnosu na nju učinilac postupa sa nehatom Računarska prevara U članu 301 KZ propisano je krivično djelo pod nazivom Računarska prevara. Ovo djelo se sastoji u unošenju netačnog podatka, propuštanju unošenja tačnog podatka ili na drugi način prikrivanju ili lažnom prikazivanju podatka čime se utiče na rezultat elektronske obrade i prenosa podataka u namjeri da se sebi ili drugom pribavi protivpravna imovinska korist i time prouzrokuje imovinska šteta drugom licu 25. Objekt zaštite kod ovog krivičnog djela je 24 Jovašević, (2003), 355 i Vidi Jovašević, (2003),

11 bezbjednost računarskih sistema od unošenja netačnih, neistinitih podataka i povjerenje u ove sisteme. Radnja izvršenja se sastoji iz dvije alternativno predviđene djelatnosti. To su 26 : 1) prikrivanje - neunošenje nekog podatka od strane lica koje je obavezno da ga unese u računar ili računarsku mežu. Može se raditi o bilo kakvom podatku i 2) lažno prikazivanje računarskog podatka - postoji kada se u računarskoj mreži prikazuje, objavljuje, unosi ili koristi neistiniti podatak (bilo da je u potpunosti ili djelimično neistinit). Obje djelatnosti moraju biti preduzete u odnosu na podatak koji je po svom značaju, prirodi, karakteru, vremenu unošenja ili upotrebe takav da je podoban da utiče na rezultat (tok i postupak) elektronske obrade i prenosa podataka u računarskom sistemu. Bilo koja od ovih djelatnosti, u smislu krivičnog djela, mora biti preduzeta na zakonom određeni način 27 : 1) unošenjem netačnog (neistinitog) podatka u cjelini ili djelimično, 2) propuštanjem da se unese, neunošenjem, neupisivanjem kakvog važnog podatka (znači ne bilo kakvog podatka, već samo onog koji je u konkretnom slučaju važan) ili 3) na drugi način 28. Sve djelatnosti (u smislu radnje izvršenja ovog krivičnog djela) moraju biti preduzete u određenoj namjeri - da učinilac za sebe ili drugog pribavi protivpravnu imovinsku korist. Ta namjera mora da postoji na strani učinioca u vrijeme preduzimanja radnje, ali ona u konkretnom slučaju ne mora biti i ostvarena. Posljedica ovog krivičnog djela je povreda koja se ogleda u prouzrokovanju imovinske štete za drugog. Može se raditi o šteti u bilo kom iznosu koja je u uzročno-posljedičnoj vezi sa preduzetom radnjom izvršenja bez obzira na to da li je oštećeni vlasnik ili korisnik računarske mreže. Izvršilac djela može da bude svako lice, a u pogledu krivice je potreban direktni umišljaj koji kvalifikuje navedena namjera. Za ovo krivično djelo je propisana novčana kazna ili kazna zatvora do tri godine. Lakši oblik ovog djela postoji kada je učinilac preduzeo radnju izvršenja - prikrivanje ili lažno prikazivanje podatka u računaru ili računarskoj mreži na zakonom predviđeni način sa namjerom da se drugome nanese šteta, dakle, da se drugo fizičko ili pravno lice ošteti. Maliciozna namjera učinioca da se drugome nanese imovinska ili neimovinska šteta - predstavlja privilegujuću okolnost za koju je zakon propisao novčanu kaznu ili kaznu zatvora do šest mjeseci. Ovo djelo ima dva teža oblika ispoljavanja. Prvi teži oblik krivičnog djela (za čijeg učinioca je propisana kazna zatvora od jedne do osam godina) postoji ako je usljed preduzete radnje izvršenja osnovnog djela pribavljena imovinska korist (za učinioca ili drugo lice) u iznosu preko dinara. Visina pribavljene imovinske koristi predstavlja kvalifikatornu okolnost. Ona se mora nalaziti u uzročno-posljedičnoj vezi sa preduzetom radnjom izvršenja. I na kraju, njena visina se utvrđuje prema vremenu preduzimanja radnje izvršenja osnovnog oblika djela. Drugi teži oblik ovog djela postoji ako je preduzetom radnjom izvršenja učinilac za sebe ili drugog pribavio protivpravnu imovinsku korist u iznosu preko dinara. Za ovo je krivično djelo propisana kazna zatvora od dvije do deset godina Neovlašćeni pristup zaštićenom računaru, računarskoj mreži i elektronskoj obradi podataka 26 Kokolj, Jovašević, Vidi Jovašević, D. (1998). Obilježja kompjuterskog kriminaliteta. Beograd: Pravni informator, (3), Jovašević, (2014),

12 Sljedeće računarsko djelo iz člana 302 KZ se sastoji u neovlašćenom uključivanju u računar ili računarsku mrežu ili u neovlašćenom pristupu elektronskoj obradi podataka kršenjem mjera zaštite 29. Objekt zaštite je bezbjednost računara ili računarske mreže, odnosno sistema elektronske obrade podataka koji su zaštićeni posebnim tehničkim i drugim mjerama zaštite. Radnja izvršenja 30 je neovlašćeno uključivanje u računar ili računarsku mrežu ili pristup elektronskoj obradi podataka. To je ulazak, prodiranje, pristup u zaštićeni sistem računarskih podataka, u sistem elektronske obrade ili prenosa podataka, kao i u računarsku mrežu u cjelini ili njen pojedini dio. Bitno je da se radi o računaru, računarskom sistemu ili sistemu elektronske obrade podataka koji su zaštićeni posebnim mjerama zaštite. Stoga se radnja izvršenja preduzima na određeni zakonom predviđeni način: 1) neovlašćeno i 2) kršenjem mjera zaštite (postupanjem protivno svim propisanim mjerama ili samo pojedinim mjerama, i to činjenjem ili nečinjenjem). Izvršilac djela može da bude svako lice koje posjeduje određena znanja iz oblasti zaštite računara ili računarskih sistema. U pogledu krivice potreban je umišljaj. Za ovo je djelo propisana novčana kazna ili kazna zatvora do šest mjeseci. Djelo ima dva teža oblika ispoljavanja. Prvi teži oblik djela postoji u slučaju snimanja ili upotrebe računarskog podatka koji je dobijen neovlašćenim uključivanjem u tuđi računar ili računarsku mrežu ili tuđi sistem elektronske obrade podataka, pod uslovom da je to učinjeno kršenjem mjera zaštite. Za ovo je djelo propisana novčana kazna ili kazna zatvora do dvije godine. Bez značaja je u kom cilju ili u kojoj namjeri je upotrijebljen na ovaj način pribavljen (snimljen) računarski podatak. Drugi teži oblik djela za koji je propisana kazna zatvora do tri godine postoji ako je neovlašćenim uključivanjem u tuđi računar ili računarsku mrežu ili tuđi sistem elektronske obrade podataka kršenjem mjera zaštite pribavljen računarski podatak (jedan ili više njih) koji je potom upotrijebljen usljed čega je došlo do zastoja ili ozbiljnog poremećaja funkcionisanja elektronske obrade i prenosa podataka ili mreže ili su nastupile druge teške posljedice za drugo (fizičko ili pravno) lice. Teže posljedice mogu biti imovinske ili neimovinske prirode, ali moraju biti u uzročno-posljedičnoj vezi sa upotrebom podatka do koga se došlo neovlašćenim uključivanjem ili pristupom. Za postojanje ovog težeg djela je bitno da je došlo do nastupanja teže posljedice - povrede u vidu zastoja ili ozbiljnog poremećaja funkcionisanja elektronske obrade i prenosa podataka ili mreže ili da su nastupile druge teške posljedice. Koje su to teške posljedice - predstavlja faktičko pitanje koje sud rješava u konkretnom slučaju Sprječavanje i ograničavanje pristupa javnoj računarskoj mreži Krivično djelo iz člana 303 KZ se sastoji u neovlašćenom sprječavanju ili ometanju pristupa javnoj računarskoj mreži. Objekt zaštite je javna računarska mreža i slobodan pristup toj mreži od strane individualno neodređenog broja lica. Motiv ove inkriminacije je sprječavanje monopola u korišćenju javne računarske mreže. Radnja izvršenja je sprječavanje ili ometanje slobodnog pristupa javnoj računaskoj mreži. Sprječavanje je onemogućavanje u potpunosti, trajno ili za određeno kraće vrijeme, pristupa drugom licu javnoj računarskoj mreži. To može biti učinjeno fizičkim sprječavanjem, 29 Jovašević, (2003), 359 i Turković et al., 341 i

13 postavljanjem određenih uslova ili prepreka, odnosno zahtijevanjem ispunjenja određenih pretpostavki. Ometanje je djelimično usložavanje, otežavanje, činjenje nedostupnim ili uslovljavanje drugom licu da nesmetano, slobodno, po svom nahođenju pristupi ili koristi javnu računarsku mrežu. Bitno je da se radi o radnji izvršenja koja je preduzeta neovlašćeno (od neovlašćenog lica, mimo uslova i pretpostavki i van postupka koji su zakonom ili drugim propisima iz ove oblasti predviđeni) u odnosu na javnu računarsku mrežu. Izvršilac djela može da bude svako lice, a u pogledu krivice potreban je umišljaj. Za ovo je djelo propisana novčana kazna ili kazna zatvora do jedne godine. Teži oblik djela (za koji je propisana kazna zatvora do tri godine) postoji ako je radnju izvršenja preduzelo službeno lice u vršenju službe. Svojstvo učinioca djela i način preduzimanja radnje izvršenja - kršenjem ili zloupotrebom službene dužnosti, predstavljaju kvalifikatorne okolnosti za koje zakon propisuje strožije kažnjavanje Neovlašćeno korišćenje računara ili računarske mreže Krivično djelo iz člana 304 KZ se sastoji u neovlašćenom korišćenju računarske usluge ili računarske mreže u namjeri da se sebi ili drugom licu pribavi protivpravna imovinska korist. 31 Objekt zaštite je zakonitost i savjesnost u korišćenju računarskih sistema usluga ili mreže od svih oblika zloupotrebe i nesavjesnosti. Radnja izvršenja je neovlašćeno korišćenje, dakle upotreba, iskorišćavanje podataka koji su pribavljeni ili pohranjeni u računaru ili računarskoj mreži u koristoljubivoj namjeri namjeri da na ovaj način učinilac za sebe ili drugo fizičko ili pravno lice pribavi protivpravnu (ne bilo kakvu) korist. Ova namjera mora da postoji na strani učinioca u vrijeme preduzimanja radnje izvršenja, ali ona ne mora u konkretnom slučaju da bude i ostvarena. Izvršilac djela može da bude svako lice, a u pogledu krivice potreban je direktni umišljaj koji karakteriše navedena namjera. Za ovo je djelo propisana novčana kazna ili kazna zatvora do tri mjeseca Pravljenje, nabavljanje i davanje drugom sredstava za izvršenje krivičnih djela protiv bezbednosti računarskih podataka Ovo djelo iz člana 304a KZ uvedeno je godine. Ovdje se radi o kažnjivim pripremnim radnjama za izvršenje nekog od računarskih krivičnih djela. Samo djelo 32 se sastoji u posjedovanju, pravljenju, nabavljanju, prodaji ili davanju drugome na upotrebu računara, računarskog sistema, računarskog podatka ili programa za izvršenje nekog od krivičnih djela protiv bezbjednosti računarskih podataka. Za ovo je djelo propisana kazna zatvora od šest mjeseci do tri godine, pri čemu se obavezno od učinioca oduzimaju predmeti izvršenja djela (primjenom posebne mjere bezbjednosti oduzimanja premeta). Objekt zaštite je i u ovom slučaju bezbjednost računarskih sistema i podataka, ali koja se obezbjeđuje na specifičan način - prije neposrednog preduzimanja radnje krivičnog djela. Radnja izvršenja je višestruko alternativno određena. Ona se sastoji u: 1) posjedovanju, 2) pravljenju, 3) nabavljanju, 4) prodaji ili 5) davanju drugome na upotrebu predmeta. Posjedovanje je sama državinska vlast izvršioca nad predmetima, neposredno ili posredno, što uključuje 31 Jovašević, (2003), 360 i Simić, Trešnjev, 213 i

14 njegovu mogućnost njihovog korišćenja. Pravljenje je izrada novog ili prepravljanje, preinaka postojećeg predmeta. Nabavljanje je dolaženje u posjed, u državinu predmeta. Prodaja je zamjena predmeta za domaći ili strani novac, a davanje na upotrebu drugome je radnja pomaganja kojom se stvaraju uslovi da drugo lice neposredno upotrijebi ove predmete. Bitno je da se radnja izvršenja preduzima: 1) u odnosu na zakonom tačno određene predmete kao što su: računar, računarski sistem, računarski podatak ili program i 2) u određenoj namjeri - za izvršenje nekog od krivičnih djela protiv bezbjednosti računarskih podataka. 4. Zaključak Iako se računarski kriminalitet u različitim oblicima i vidovima ispoljavanja pojavio paralelno sa pojavom računara i njihovom sve širom upotrebom u svakodnevnom životu ljudi, tek znatno kasnije (krajem prošlog vijeka) pojedina krivična zakonodavstva počinju da propisuju krivičnu odgovornost i kažnjivost za lica koja su zloupotrijebila računar i time učinila određeno krivično djelo. Slična je situacija bila i u Republici Srbiji. Time se i Republika Srbija priključila nizu država koje se na različite načine pokušavaju suprotstaviti različitim oblicima i vidovima zloupotrebe računara. LITERATURA [1] Cadoree, M. (1994) Computer Crime and Security. Washington, D.C.: LC Science Tracer Bullet. [2] Irwin, R. D. (1990). Spectacular Computer Crimes. Homewood, Ill.: Dow Jones-Irwin. [3] Jovašević, D. (2003). Komentar Krivičnog zakona Republike Srbije sa sudskom praksom. Beograd. [4] Jovašević, D. (2011). Leksikon krivičnog prava. Beograd. [5] Jovašević, D., Ikanović, V. (2012). Krivično pravo Republike Srpske, Posebni dio. Banja Luka. [6] Jovašević, D. (2014). Krivično pravo, Posebni dio. Beograd. [7] Jarrett, H. Marshall, H.J., Bailie, M.W. (2010). Prosecution of Computer Crimes.(PDF). Justice. gov. Office of Legal Education Executive Office for United States Attorneys. [8] Nugent, H. (1991). State Computer Crime Statutes. Justice Department. National Institute of Justice. [9] Robert C., Kain, C. R. (2016). The New Computer Abuse and Data Recovery Act: A Business Tool Against Computer Hacking. The Florida Bar Journal, Volume 90, No. 1. [10] Kokolj, M., Jovašević, D. (2011). Krivično pravo Republike Srpske, Opšti i posebni dio. Bijeljina. [11] Lazarević, Lj., Vučković, B., Vučković, V. (2004). Komentar Krivičnog zakonika Crne Gore. Cetinje. [12] Pavišić, V. (2006). Kazneno pravo Vijeća Evrope. Zagreb. [13] Parker, D. (1973). Computer abuse. Springfild. [14] Petrović, B., Jovašević, D. (2008). Krivično pravo 2. Sarajevo. [15] Petrović, B., Jovašević, D., Ferhatović, A. (2016). Krivično pravo 2. Sarajevo. [16] Petrović, S. (2001). Kompjuterski kriminal. Beograd. [17] Simić, I., Trešnjev, A. (2010). Krivični zakonik s kraćim komentarom. Beograd. [18] Turković, K., et al. (2013). Komentar Kaznenog zakona. Zagreb. 11

15 [19] U.S. Department of Justice, Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations (Office of Legal Education 2009). [20] U.S. Department of Justice, Federal Bureau of Investigation, Digital Evidence Field Guide: What Every Peace Officer Must Know. This document is available at Academician Miodrag N. Simović, Judge of the Constitutional Court of Bosnia and Herzegovina, Full Professor of the Faculty of Law of Banja Luka, Corresponding Member of the Academy of Sciences and Art of Bosnia and Herzegovina, Foreign Member of the Russian Academy of Natural Sciences and Active Member of the European Academy of Sciences and Arts Dragan Jovašević, Full Professor of the Fakulty of Law, Nis Vladimir M. Simović, Prosecutor of the Prosecutor's Office of Bosnia and Herzegovina and Associate Professor at the Faculty of Security and Protection Independent University in Banja Luka CYBERCRIME IN THE LAW OF THE REPUBLIC OF SERBIA Abstract: Based on international standards, the Republic of Serbia as well as many other modern countries envisaged system of criminal sanctions for perpetrators of different forms and types of cybercrime. These are different ways of misuse of computers to be used as a means for committing various criminal offenses against other persons and entities, even entire countries. In order for bodies of criminal justice to be efficient in detecting these crimes, based on theory and case law practice it is necessary to analyse legal solutions to specific criminal acts of this kind as presented in this paper. Key words: abuse, cybercrime, law, responsibility, court, criminal sanctions. 12

16 Sadržaj INFORMACION TEHNOLOGIJA U FUNKCIJI KRIMINALA BELE-KRAGNE INFORMATION TECHNOLOGY IN THE FUNCTION OF WHITE-COLLAR CRIME Slobodan R. Petrović Milosav R. Stojanović Sažetak: U radu se razmatra sprega informacione tehnologije i kriminala bele-kragne, koji, sudeći prema brojčanim pokazateljima koji se navode u raznim istraživanjima u vezi sa njim, predstavlja daleko najopasniju i najštetniju pretnju socijalnoj, političkoj i ekonomskoj stabilnosti svetskog poretka. U radu se istražuje zavisnost obima, širenja i intenziteta ove vrste kriminala od uticaja primene informacione tehnologije. Za te potrebe odabrana su i analizirana tri oblika kriminala bele-kragne za koja autori procenjuju da su dovoljno reprezentativni i pružaju pouzdanu osnovu za donošenje širih zaključaka. Ključne reči: kriminal bele-kragne, informaciona tehnologija, pranje novca, falsifikovanje, investicione prevare. Abstract: This paper discusses a couple of information technology and white-collar crime, which, according to the numerical indicators referred to in various studies related to it, is by far the most dangerous and most damaging threat to social, political and economic stability of the world order. This paper examines the dependence of scale, spread and intensity of this type of crime from the effect of application of information technology. For these purposes were selected and analyzed three types of white-collar crime for which the authors estimate that they are sufficiently representative, and provide a reliable basis for making broader conclusions. Key words: white-collar crime, information technology, money laundering, forgery, investment scams. 1. Uvod Osnov za ovaj rad je knjiga Kriminal bele-kragne, koju autori pišu već više od četiri godine i koja će, najverovatnije, ove godine izaći iz štampe, a inicijalna kapisla je nedavno obelodanjen skandal Panamski papiri, kojim su svetski mediji u vidu informativnog cunamija zapljusnuli ovu planetu. Ovaj skandal je otvorio mnoga pitanja, kao što su pitanja etike i morala, poverenja, odgovornosti, savesnosti, pohlepe, kao i drugih, a značajno mesto zaslužuje i pitanje sprege informacione tehnologije i kriminala bele-kragne. S tim u vezi autori veruju da nikoga ne treba posebno ubeđivati da je kriminal, fenomen koji je nastao sa prvim oblicima ljudske socijalizacije, bio i ostao rak-rana društvenog organizma. Uvid u njegovu istoriju ukazuje da se kriminal i pored silnih mera i akcija, koje su društvene zajednice, u svim krajevima sveta i na svim nivoima, preduzimale tokom vremena neprekidno širio, jačao i usavršavao. Ono što takođe privlači pažnju je činjenica da je svaki društveni napredak, posebno u tehnološkom smislu, istovremeno značio i napredak kriminala. U tom kontekstu ni informaciona tehnologija nije izuzetak. Ključna karakteristika promena izazvanih ovom tehnologijom je ta što ona svoju ogromnu potencijalnu moć, baziranu isključivo na znanju, preko globalne računarske mreže Interneta, distribuira na nivo grupa i pojedinaca, "razbijajući" na taj način monopol klasične elite i njeno ekskluzivno "pravo" da izvršava određene oblike kriminala visokog-profila. Time moć prestaje biti privilegija samo bogatih i uticajnih, već i onih koji raspolažu specifičnim znanjima, sa mogućnostima koje ekstremno prevazilaze sve ono što je prošlost do tada poznavala. Jedan od rezultata je nastanak kriminalaca novog tipa, čija je moć sadržana u "znati-kako" (know-how). Njihova devijantnost, podržana moćnom tehnologijom, može imati vrlo ozbiljne i obimne posledice po društvo. Dakle, sviđalo se to nekom ili ne, oni postaju respektabilni članovi kluba kriminalaca sa belom-kragnom. Rađa se nova elita pod nazivom kiber-elita. Ono što se nikako ne bi smelo prevideti je visoka verovatnoća objedinjavanja, radi zajedničkog delovanja, ove novonastajuće elite sa devijantnim delom klasične moćne elite.

17 2. O kriminalu bele-kragne Za nedovoljno upućene da kažemo da se generalno posmatrano kriminal uslovno može "razbiti" na dve grupe: ulični kriminal, odnosno kriminal nasilja, tzv. kriminal plave-kragne i kriminal nenasilja, odnosno kriminal bele-kragne. Koncept kriminal bele-kragne, koji kod nas još uvek nije u široj upotrebi, iznikao je iz teorije koju je Edwin Hardin Sutherland prvobitno predstavio u predsedničkom obraćanju na godišnjem sastanku Američkog sociološkog društva (1939). Svoju ideju, koja je nastala dubinskom analizom kriminala u njegovim pokušajima da proučava dva polja koja su bila bez prethodnih empirijskih korelacija: kriminal i visoko društvo, on je konceptualizovao kao: 1 kriminal izvršen od strane lica od ugleda i visokog društvenog statusa u toku svojeg zaposlenja. Iz Sutherlandove definicije proizilaze dva kriterijuma ugled i visok socijalni status (rejting) i socijalna lokacija izvršilaca. Dakle, prvi kriterijum ukazuje da socijalno-klasne razlike odražavaju razlike i u mogućnostima za kriminalno ponašanje, kao i razlike u verovatnoći ili težini kazne, što proizilazi iz istraživanja koje je obavio Sutherland. Drugi kriterijum ukazuje na jedinstvene mogućnosti i načine kriminalnog ponašanja koje pružaju uloge, veze, odgovornosti i resursi dostupni u profesionalnim okolnostima. Shodno tome može se konstatovati da su na raspolaganju tri kriterijuma koja mogu poslužiti za utvrđivanje konceptualnih granica razmatranog problema: neprimenjivanje sile (nasilja); društveni status učinioca; društvena lokacija učinioca. Međutim, trebalo bi imati u vidu da je Sutherlandova definicija kriminala bele-kragne nastala 40-e godine prošlog veka. Znači, pre više od 70 godina. U međuvremenu se mnogo toga u društvenoj zajednici i desilo i promenilo. Najveća promena nastala je pojavom informacione tehnologije koja je izazvala drastične i dramatične promene u svim aspektima društvenog života, pa i u oblasti kriminala bele-kragne. U toku tog procesa, i zahvaljujući njemu, iskristalisali su se i razvili razni novi ili usavršili postojeći oblici kriminala, uz istovremeno njegovo rasprostiranje na srednji društveni sloj, čija moć proističe iz tehnološkog znanja. Ipak, i pored raznovrsnosti i usavršenosti novih kriminalnih metoda i tehnika, vodeću ulogu u ovoj oblasti i dalje imaju pojedinci ili grupe koji, sa ili bez tehnološkog znanja i mogućnosti, raspolažu ekonomskom i/ili političkom moći. Na osnovu iznetog nameće se zaključak da Sutherlandova definicija kriminala bele-kragne postaje "pretesno odelo" za savremeni tip kriminalaca sa belom-kragnom. Iz tih razloga za potrebe određivanje granica razmatranog problema autoru koriste još dva kriterijuma: posedovanje specifičnih znanja i značaj društvene štete. Dakle kriterijume čine: neprimenjivanje sile (nasilja); društveni status učinioca; društvena lokacija učinioca; 1 Cliff G, Desilets C, White Collar Crime: What It Is and Where It's Going, Notre Dame Journal of Law, Ethics & Public Policy, vol 28, 2014, str

18 posedovanje specifičnih znanja; značaj društvene štete. Ono što bi trebalo imati u vidu jeste da su prvi (ne primenjivanje sile) i poslednji (značaj stepena društvene štete) kriterijum primarni i da su prisutni u svim slučajevima kriminala bele-kragne, a sa njima se ostali kriterijumi mogu javljati pojedinačno ili u kombinacijama. I najzad, da konstatujemo poznatu činjenicu da svi slučajevi kriminala bele-kragne imaju sledeće opšte zajedničke karakteristike: odvijaju se u poslovnom ambijentu; orijentisani su na profit u svim mogućim oblicima. Dakle, na osnovu izloženih kriterijuma i definisanih karakteristika, autori usvajaju sledeću radnu definiciju kao sažet i jasan opis kriminala bele-kragne: kriminal izvršen od strane licâ od ugleda i visokog društvenog statusa u toku svojeg zaposlenja, kao i licâ sa specifičnim znanjima, kojima se značajno ugrožavaju određene društvene vrednosti. Posebno želimo da ukažemo na termin društvene vrednosti, pod kojim autori podrazumevaju ljudski život, zdravlje, bezbednost, poverenje, finansijska, materijalna, duhovna i moralna dobra! 3. O informacionoj tehnologiji Svojom snažnom i ekstremno brzom ekspanzijom informaciona tehnologija, koja je nastala "sklapanjem braka", odnosno objedinjavanjem računarske i komunikacione tehnologije, unela je drastične i dramatične promene u način rada, učenja, zabave i komuniciranja, u meri da ni jedan pojedinac nije ili neće biti "pošteđen" i u opsegu da ni jedna društvena zajednica nije ili neće ostati imuna na ovaj fenomen. Ove promene nisu zaobišle ni terminologiju, pa su u svim jezicima sveta nastali novo-komponovani termini poput kiber-doba, kiber-prostora, kiber-kriminala, kiber-terorizma, kiber-seksa i mnogi drugi, čije je osnovno obeležje prefiks kiber, preuzet iz naziva bazne nauke kibernetike. Novi virtuelni svet, koji nastaje pod uticajem ove tehnologije i opstaje paralelno sa fizičkim svetom, smešten je u tzv. kiber-prostor, koji je obeležen računarima, računarskim mrežama, informacionim tokovima i sadržajima u digitalnoj formi. Ovaj virtuelni prostor neprimetno, ali konstanto sve više postaje opšte mesto skladištenja svih društvenih vrednosti i događanja za sve oblike ljudske delatnosti. Njegove jedinstvene karakteristike su da je neograničen, dinamičan, brz, ekonomičan, anoniman i da izraženo brzo tehnološki napreduje. Šta je to što ovu tehnologiju čini toliko snažnom i veoma poželjnom? Odgovor je kratak: Bez informacione tehnologije se može, ali sa njom sve se može obavljati brže, jednostavnije, obimnije, kvalitetnije, jeftinije i dalekometnije. Informaciona tehnologija, najkraće rečeno, dimenzije ključnih odrednica življenja (PROSTOR i VREME) "SUŽAVA" na do skora nezamislive veličine! Dokaz za ovu tvrdnju je činjenica da su najrazvijenije zemlje sveta istovremeno i najveći korisnici informacione tehnologije. Ali, one ne koriste ovu tehnologiju zato što su najrazvijenije, već su najrazvijenije zato što najviše koriste informacionu tehnologiju. Novi medij poznat kao Internet monumentalno je povećao telesnost virtuelnog sveta, u kojem se beleži eksponencijalni rast broja korisnika. Od ukupne svetske populacije (7,259,902,243) broj korisnika Interneta 3

19 je iznosio 3,366,261,156 ili 46.4 %, a to je u odnosu na godinu, kada je bilo 330,965,359 korisnika Interneta, uvećanje od (832.5%). 2 Nijedna druga metoda komunikacije nije tako efikasno objedinila audio, video i entitete podataka. Za razliku od tradicionalnih metoda, Internet kombinuje poštu, telefon i masovne medije. On pojedincima otkriva bezbroj novih ideja i može da posluži kao biblioteka sa ekstremno bogatim izborom najraznovrsnijih tekstova, kao mesto druženja, ili kao mesto gde se može biti sam. 3 Uvođenje Interneta je stvorilo jedinstvene mogućnosti za trgovinu, istraživanje, obrazovanje, zabavu i javne rasprave. On može da se koristi kao prozor u svet, omogućavajući pojedincima da zasite svoju radoznalost i razviju globalnu svest. On pojedincima omogućava da rade i dožive one stvari o kojima su samo sanjali. Oni mogu naći odgovore na najsloženija pravna ili medicinska pitanja ili tražiti svoje srodne duše. Pored toga, pojedinci, korporacije, javne organizacije i institucije mogu osetno efikasnije da posluju i da reklamiraju svoje proizvode ili usluge, koristeći grafički istaknute informacije i obezbeđujući linkove do dodatnih informacija i podrške. 4. Sprega kriminala bele-kragne i informacione tehnologije Baš kao što je industrijska revolucija stvorila ambijent pogodan za ulični/predatorski kriminal kroz koncentraciju gradskog stanovništva, tako i Informaciona revolucija dovodi do kriminalnih inovacija stvarajući novi trg za kriminalna ponašanja i pružajući nove, savršenije metode i tehnike realizacije. S tim u vezi ukazujemo da napred navedene ključne karakteristike informacione tehnologije da se sve može raditi brže, jednostavnije, obimnije, kvalitetnije, jeftinije i dalekometnije, važe i kada je u pitanju kriminal, ali uz jedan dodatni kvalitet, izuzetno značajan za razmatrani kontekst i anonimnije. Ove karakteristike, a posebno osećaj anonimnosti, koji se pokazao neodoljiv kriminalnom umu pojedinaca, delujući snažno čak i na one kojima u klasičnoj situaciji nikada ne bi palo na pamet da se bave kriminalom, doveo je do eksplozije kriminal. U stvari, može se tvrditi da je Informaciona revolucija stvorila kriminogeno okruženje koje je omogućilo mnogim pojedincima da prošire svoje horizonte i podstaklo tradicionalne kriminalce da se transformišu i prilagođavaju novom ambijentu kriminalizovanom kiber-prostoru, a da se novi kriminalci u tom kiber-prostoru stvaraju. 4 Imajući izneto u vidu, može se tvrditi da ne postoji ni najmanja sumnja da se danas zločini bele-kragne uglavnom izvršavaju korišćenjem informacione tehnologije. 5 Ovu tvrdnju ćemo pokušati i da dokažemo kroz analizu konkretnih oblika kriminala bele-kragne. S tim u vezi da podsetimo da kriminal bele-kragne obuhvata brojne vrste koji se mogu grupisati na razne načine, čime se nećemo baviti, jer nas interesuju konkretni oblici. Zato smo se za potrebe ovog rada, iz mnoštva raspoloživi, opredelili za tri oblika na kojima ćemo demonstrirati uticaj informacione tehnologije na njihovo izvršavanje, a koja smatramo dovoljno reprezentativnim za donošenje širih zaključaka. To su: Pranje novca Investicione prevare; Falsifikovanje. 2 Internet World Stats, 3 Britz M, Computer Forensics and Cyber Crime An Introduction, Pearson, 3th edition, 2013, str Britz M, op. cit, str. 3, 75, Poremská M, Money Laundering as a Cybercrime of White-Collars, Masaryk University Journal of Law and Technology, vol. 3:3, 2009, str

20 4.1.Pranje novca Kao uvod u ovu sekciju da podsetimo da je jedan od vrlo značajnih napredaka vezanih za informacionu tehnologiju, posebno u razmatranom kontekstu, nastajanje elektronskog keša koji je omogućio širenje inovativnih mehanizama plaćanja, odnosno e-bankarstvo, što se snažno odrazilo i na e-trgovinu. Tako na primer, u godini, e-trgovina samo u SAD iznosila je skoro 200 milijardi dolara. To predstavlja povećanje od 16,1 odsto u odnosu Takve inovacije koriste Internet i bežične uređaje, a prelazak sa papirnog na elektronsko plaćanje je obuhvatilo sve krajeve sveta. 6 Kao i kod svih drugih tehnologija u nastajanju, implikacije elektronskog plaćanja su i pozitivne i negativne. Potrošači imaju korist, na primer, od proširenih usluga i efikasnosti koje nudi e-bankarstvo. Pored toga, niski režijski troškovi povezani sa on-line finansijskim institucijama povećavaju konkurenciju, zahvaljujući čemu je niža kamatna stopa i veći prinosi. S druge strane, kriminalni element su oberučke prihvatili elektronsko bankarstvo koje omogućava nepovezane bankarske transakcije koje se zasnivaju na ne-ličnoj komunikaciji između banke i njenog klijenta, kao i niz novih načina plaćanja koji su često anonimni. Ove karakteristike olakšavaju pranje novca i veoma ozbiljno otežavaju državnim organima da prate tokove novca. 7 Kada je reč o pranju novca opšte je poznato da se pere ono što je prljavo. Dakle, ovde je reč o "pranju prljavog novca". Ova metafora, pravno gledano, odnosi se na čin, odnosno praksu angažovanja u promišljenim finansijskim transakcijama radi prikrivanja identiteta, izvora i/ili odredišta ogromnih prihoda stečenih na nezakonit način, a čija bi javna upotreba neminovno izazvala reakciju državnih organa. Tradicionalno, termin se posebno koristio da obuhvati nezakonite transakcije kriminalnih sindikata. Savremene definicije prepoznaju sve finansijske transakcije dizajnirane da stvore novac prikrivanjem nelegalnih aktivnosti. Ovo značajno proširuje tradicionalnu definiciju i obuhvata aktivnosti u rasponu od, ali ne ograničavajući se samo na, utaju poreza, računovodstvene prevare, prevare hartijama od vrednosti, trgovinu narkoticima i dr. U praksi, proširena definicija obuhvata nelegalno prikrivanje nezakonitog profita od strane pojedinaca, malih preduzeća, korporacija, kriminalnih sindikata, korumpiranih zvaničnika, pa čak i korumpiranih vlada. 8 Iako su svim vrstama perača novca veoma potrebni dobri sistemi za pranje novca utisak je da su takvi sistemi za trgovce drogom kritično potrebni, jer se bave gotovo isključivo gotovinom, što dovodi do svih vrsta logističkih problema. Ne samo da veća količina gotovinskog novca privlači pažnju zvaničnika, već je takođe i veoma težak. Kokain, koji na ulici vredi 1 milion dolara, teži oko 20 kg, dok je 1 milion dolara težak oko 116 kg. 9 Kada je već reč o pranju novca iz ilegalne trgovine drogom, da bi se donekle shvatile dimenzije problema, pomenimo da skromne procene smeštaju cifru u bilione (hiljade milijardi) dolara. Naime, jedna studija je pokazala da se čak 1.8 biliona dolara godišnje pere samo u ilegalnoj trgovini drogom cifra predstavlja između 2 i 5 odsto bruto svetskog društvenog proizvoda! Ovaj broj je zasnovan na činjenici da je globalizacija komunikacija i trgovine dovela do porasta pranja kriminalnog novca Britz M, Computer Forensics and Cyber Crime An Introduction, Pearson, 3th edition, 2013, str. 20; Đurđević Ž. D, Pranje novca: Plastični i virtuelni novac, Univerzitet Metropolitan, Konferencija o bezbednosti informacija BISEC 2014, str. 1-2; Čekerevac P, Čekerevac Z, Bitcoin prednosti i rizici, FBIM Transaction, Britz M, op. cit. str. 20; Poremská M, op. cit, str. 388; Đurđević Ž. D, op. cit. str Britz M, op. cit. str. 106; Poremská M, op. cit, str Layton J, How Money Laundering Works, 10 Britz M, op. cit. str

21 Termin se prvi put pojavio u štampi vezano za skandal Watergate, kada je otkriveno da je Niksonov "Komitet za reizbor predsednika" usmeravao nezakonite donacije za kampanju preko Meksika. Na međunarodnom planu, do povećanog prepoznavanja pranja novca došlo je 1980-ih i 1990-ih godina. Nakon toga, problem je počeo da privlači pažnju i šire javnosti i državnih organa širom planete. Jedan od zaključaka te pažnje bio je da se pranje novca dešava u skoro svakoj zemlji na svetu, i da je u pitanju rastuća pojava, koja zbog potencijalne velike štete, predstavlja ozbiljan društveni problem. Iz tih razloga pranje novca je etiketirano i kao kriminal bele-kragne i kao kiber-kriminal, nakon čega je započelo usvajanje prvih međunarodnih konvencija i aktivnosti u borbi protiv pranja novca. Da pomenemo da Bečka konvencija i Evropska unija, između ostalih, traže od svojih članova da kriminalizuju ovu praksu. 11 Ono što pogoduje pranju novca svakako je, uz primenu informacione tehnologije, i uspon globalnog finansijskog tržišta koji čini pranje novca lakšim nego ikada zemlje sa zakonima o bankarskoj-tajni direktno su povezane sa zemljama sa zakonima o bankarskom-izveštavanju, tako da je moguće da se prljavi novac anonimno deponuje u jednu zemlju, a onda prebaci u bilo koju drugu zemlju za upotrebu Efekti pranja novca U zavisnosti od toga koja međunarodna agencija izveštava, kriminalci svake godine operu negde između 500 milijardi i 1 bilion (1.000 milijardi) dolara širom sveta. Globalni efekat je zapanjujući u socijalnom, ekonomskom i bezbednosnom smislu. 13 Na socio-kulturnom kraju spektra, uspešno pranje novca znači da se kriminalne aktivnosti zapravo isplate, što podstiče kriminalce da nastave svoje nezakonite radnje, jer stiču profit bez posledica. To znači više prevara i pronevera više droge na ulicama, više kriminala vezanog za drogu i opšti gubitak morala kod dela legitimnih poslovnih ljudi koji ne krše zakon i skoro da ne stvaraju profit zato što kriminalci rade. Ekonomski efekti su na široj osnovi. Veći problemi sa kojima se suočava privreda u svetu uključuju greške u ekonomskoj politici koje proizilaze iz veštački "naduvanih" finansijskih sektora. Masivan priliv prljavog novca u pojedinim oblastima privrede koji se želi oprati kreira lažnu potražnju, pa zvaničnici na ove nove zahteve deluju podešavanjem ekonomske politike. Kada proces pranja dostigne određenu tačku sav taj novac će iznenada nestati bez ikakvog predvidivog ekonomskog razloga, a finansijski sektor će se raspasti. Problemi se odnose na oporezivanje i konkurentnost male privrede. Oprani novac je obično neoporezovan, što znači da će na kraju ostali morati da nadoknade gubitak poreskih prihoda. Isto tako, legitimna mala preduzeća ne mogu da se takmiče sa preduzećima koja peru novac, jer ova mogu sebi da priušte da prodaju svoje proizvode jeftinije, jer im je primarna svrha da operu novac, ne da ostvare profit. Oni imaju toliko keša koji pristiže da bi čak mogli da prodaju proizvode ili usluge ispod cene. Pitanje koje se nameće je: Zašto se pranje novca uvećava?. Po kratkom postupku, tradicionalne metode pranja novca su zamenjene onim koje su povezane sa Internetom, jer pored osećaja anonimnosti i nepostojanja fizičke interakcije, on-line pranje novca dokazuje veću efikasnost od klasičnih metoda Očekuje se da će se ovaj trend nastavi zbog sledećih karakteristika on-line novca: 14 manji troškovi; manje papirologije; jednostavnost transakcije; nepostojanje fizičke interakcije; smanjenje rizika; otežana identifikacija; 11 Britz M, op. cit, str. 107; Layton J, op. cit; Poremská M, op. cit, str. 387; 12 Layton J, op.cit. 13 Layton J, op. cit. 14 Britz M, op. cit, str

22 otežano procesuiranje. Dakle, kako konstatuje M. Britz, Internet je eksponencijalno povećao i iznos skrivenog prihoda i lakoću u transakcijama izvrdavanja Panamski papiri Već smo kazali da je skandal Panamski papiri bio inicijalna kapisla za ovaj rad. Reč je o jednom globalnom istraživanju unutar prostrane, tajne offshore industrije, koja je svetski bogata i moćna i koja to koristi da sakrije sredstva i izbegava pravila, a da ih ne naruši, uspostavljanjem isturenih kompanija u "zabačenim" jurisdikcijama. 15 Skandal je zasnovana na obelodanjivanju više od 11 miliona akata koji su procurili u javnost. Istraživanje je razotkrilo likove koji koriste offshore kompanije kako bi se olakšalo podmićivanje, trgovina oružjem, utaja poreza, finansijske prevare i trgovina drogom. Iza lanaca elektronske pošte, faktura i dokumenata koji čine Panamske papire često su nevidljive žrtve malverzacija koje omogućava ova mračna industrija. 16 Navodimo neke pokazatelje skandala da bi se stekla predstava o njegovim dimenzijama. Papiri otkrivaju offshore fondove 140 političara i javnih funkcionera iz celog sveta; Dvanaest aktuelnih i bivših svetskih lidera, koji su se našli u papirima, uključuju premijera Islanda, predsednika Ukrajine i kralja Saudijske Arabije; Više od 214,000 offshore vrednosti pojavljuje se u iscurelim papirima, u vezi sa ljudima u više od 200 zemalja i teritorija; Papiri takođe sadrže najmanje 33 pojedinaca i kompanije koji su na crnoj listi vlade SAD zbog dokaza da su bili uključeni u malverzacije, kao što je poslovanje sa meksičkim narko gospodarima i terorističkim organizacijama. Za ove potrebe glavne banke su upravljale stvaranjem kompanija teških-za-otkrivanje u offshore utočištima. Fond od 11,5 miliona zapisa pokazuje kako globalna industrija advokatskih firmi i velikih banaka prodaje finansijsku tajnost političarima, prevarantima i trgovcima drogom, kao i milijarderima, poznatim ličnostima i sportskim zvezdama. Skandal je nastao zahvaljujući nalazima dugogodišnjeg istraživanja od strane Međunarodnog konzorcijuma istraživačkih novinara, nemačkog lista Süddeutsche Zeitung i više od 100 drugih novinskih organizacija. Većina usluga koje offshore industrija pruža su legalne, ako se pridržavaju zakona. Ali dokumenti pokazuju da banke, advokatske kancelarije i drugi offshore igrači često izbegavaju da ispunjavaju zakonske uslove da bi zaštitili svoje klijenti da budu uključeni u kriminalna preduzeća, izbegavanje poreza ili političku korupciju. Dokumenti čine jasnim da su velike banke u stvari veliki upravljači koji stoje iza stvaranja kompanija čije je tragove teško pratiti na Britanskim Devičanskim Ostrvima, Panami i drugim offshore utočištima. Akti nabrajaju skoro papirnih preduzeća koje su banke uspostavile za klijente koji žele da zadrže svoje finansije pod velom tajne, uključujući hiljade kreiranih od strane međunarodnih giganata UBS i HSBC. Objavljeni zapisi koje je pregledao tim od više od 370 novinara iz 76 zemalja dolaze iz malo poznate, ali moćne, advokatske firme sa sedištem u Panami, Mossack Fonseca, koja ima ogranke u Hong Kongu, Majamiju, Cirihu i u više od 35 druga mesta širom sveta. Ova firma je jedna od najvećih stvaralaca fiktivnih 15 The Panama Papers, The International Consortium of Investigative Journalists (ICIJ), Panama Papers, From Wikipedia, the free encyclopedia 16 The Panama Papers, op. cit; Panama Papers, From Wikipedia, the free encyclopedia 7

23 firmi, korporativnih struktura koje se mogu koristiti za skrivanje vlasništva nad imovinom. Podaci obuhvataju e-poštu, finansijske tabele, pasoše i korporativne evidencije koje otkrivaju tajne vlasnike bankovnih računa i firmi u 21 offshore jurisdikciji, od Nevade do Singapura i Britanskih Devičanskih ostrva. Šta reći o ovome? U pitanju je jedan ogroman i složen kriminalni sistem, a nije jedini, čije bi funkcionisanje i održavanje, u ovom opsegu i obimu, bez podrške informacione tehnologije, praktično bilo nemoguće. S druge strane, ta ista tehnologija je istovremeno omogućila i da se ovaj zastrašujući kriminal visokog profila obelodani. U prilog ovoj konstataciji samo da pomenemo da je i pitanju fond od 11,5 miliona zapisa. Za tajno izuzimanje ove količine zapisa bila bi potrebna armija izvršilaca i neprihvatljivo dugo vreme da se posao odradi i sačuva tajnost. Zahvaljujući informacionoj tehnologiji bilo je potrebno za insajdera samo USB odgovarajućeg kapaciteta i pristup do sistema, a spoljni napadač bi to mogao da odraditi upadom u sistem (hakovanjem). 4.2.Falsifikovanje Falsifikovanje podrazumeva stvaranje lažnih zapisa u dokumentu ili izmena postojećeg dokumenta na takav način da ostavlja lažnu sliku o svojoj autentičnosti. Primer izmenjenog dokumenta bi bio uvećan iznos čeka. 17 Najčešći dokumenti koji se falsifikuju uključuju novac i hartije od vrednosti, ali mogu da se odnose i na druge stavke kao što su vozačke dozvole, lične karte, poslovni ugovori, punomoćja i dr, a sve sa ciljen da se izvrši prevara i ostvari određena korist. 18 S tim u vezi da navedemo da prema citiranom izvoru godišnji gubitak od prevara u SAD iznosi oko 135 milijardi dolara. 19 To je sigurno i razlog zbog čega je Program za kriminal bele-kragne najveći kriminalni program FBI, čiji su cilj takve kriminalne aktivnosti kao što su pranje novca, bankarske prevare, pronevere, javna korupcija i dr. 20 Nema sumnje da je napredak tehnologije znatno poboljšava čovekov život, dok, nažalost, istovremeno stvara brojne inovativne mogućnosti za devijantne članove društva. U takve mogućnosti svakako bi trebalo uključiti falsifikovanje sa kriminalnim namerama, koje se izvršava mnogo lakše uz podršku informacione tehnologije sa pojavom visoko kvalitetnog grafičkog softvera i isto takvog hardvera. Razmnožavanje računarske opreme pojednostavilo je tehniku stvaranja lažnih dokumenata, pa ne iznenađuje da imalac računara, skenera i štampača predstavlja falsifikatora sa moćnim oružjem. Dokumenta koja zahtevaju skupu opremu za štampanje sada se mogu uraditi na personalnom računaru sa skenerom i laserskim štampač u kratkom vremenskom periodu. 21 U Kaliforniji, na primer, 22 pripadnici Trijade iz Severnog Vijetnama koristili su računare za falsifikovanje isplatnih čekova protiv velikih banaka za više od 20 miliona dolara. Kriminalci su takođe koristili ove tehnike da usavrše falsifikovanje novca sa vrhunskim štampačima i skenerima. Na žalost, ovaj metod falsifikovanja je mnogo lakši od tradicionalnih metoda koje zahtevaju izradu štamparske ploče, pa sa njim čak i kiber-kriminalci početnici mogu da proizvode falsifikovan novca sa minimalnim ulaganjem vremena i novca. Jedna od rasprostranjenih metoda falsifikovnja dokumenata je iseci-i-zalepi (cut-and-paste) ili kopiraj-izalepi (copy-and-paste). Primer za to je isecanje (kopiranje) autentičnog potpis iz jednog dokumenta i lepljenje na lažni dokument. U takvim slučajevima najčešće se novi dokument fotokopira i original 17 Koppenhaver M. K, Forensic Document Examination Principles and Practice, Humana Press, str Koppenhaver M. K, op. cit, str Koppenhaver M. K, op. cit, str USFED-FBI, 21 Koppenhaver M. K, op. cit, str Britz M, op. cit,, str

24 uništava. Učinilac će fotokopiju predstavljati kao najbolji dokazi i pokušati da inkasira dobit na lažnoj kreaciji. Ovu metodu ilustrovaćemo ih amaterskim primerima. Original Falsifikat Ubacivanje potpisa na podloge različite boje Na kraju ove sekcije da kažemo i to da 95% modernih falsifikovanih čekova se proizvodi na desktop računarima Investicione prevare Investicione prevare se zasnivaju na činjenici da se cena akcija vodi na talasu rasta "iracionalnog bogatstva" koji dostiže vrtoglave visine, ali se previđa da i pada na isti način. U najkraćem navodime neke od najvećih i najuspešnijih klasičnih šema investicionih prevara: 24 Ponzi šema Šema u kojoj se koristi novac novih investitora da bi se obezbedio delimičan povraćaj prethodnim investitorima. Šema se ruši kada je suma novca koja se duguje ranijim investitorima veća od sume koja se može dobiti od novih investitora. Praksa je pokazala da se Ponzijeva prevara na kraju uvek urušava. 23 Koppenhaver M. K, op. cit, str On-line Investment Scams Tutorial, Common Scams, Scams and Swindles An Educational Guide to Avoiding Investment Fraud, National Futures Association, 2007, str. 3-8; Weisman S, Truth about avoiding scams, FT Press, 2008, str

25 Napuni pa isprazni (pump and dump) Ova šema se odnosi na visoko kriminalnu praksa u kojoj mala grupa informisanih ljudi kupuje akcije pre nego što se ponude hiljadama investitora. Rezultat je brz skok cena akcija, a zatim sledi jednako brz pad. Akteri prevare koji su rano kupili akcije prodaju ih kada cena dostigne vrh profita. Offshore investiranje Ove šema se javlja u mnogim oblicima koji imaju jednu zajedničku karakteristiku koja ih povezuje: Promoteri žele da žrtve pošalju novac van zemlje. Kada je vešt prevarant izneo novac iz zemlje, može da ga premešta dva, tri ili više puta. Prenošenjem novca preko granice pomaže prevarantu da ne bude otkriven. U razmatranom kontekstu svakako je značajno da je informaciona tehnologija i u domen investiranja unela drastične promene. Internet je postao snažan alat za investitore, koji obezbeđuje izvor za istraživanje investicija i trgovinu hartijama od vrednosti sa neverovatnom lakoćom. On je otvorio veliki novi svet za milione ljudi na način koji bi se teško mogao zamisliti samo jednu generaciju ranije. Nažalost, takođe ga čini i savršenim mestom za nastajanje i širenje prevara. Dok je stvarao bezbroj mogućnosti za on-line preduzetnike, takođe je otvorio ustavu na brani za prevarante koji pokušavaju da deo bezazlenih potrošača i korisnika Interneta odvoje od njihovog novca. 25 Dakle, investiranje, kao i svaki drugi vredan poduhvat, zahteva napor. Ne postoje prečice, ali ima dosta zamki. Informaciona tehnologija je broj zamki u kiber-prostoru multiplicirala. Iako nije sve što se čita online lažno ili pogrešno i iako postoji mnogo sajtova koji prate akcije, pružajući cene, korporativne vesti, podatke istorijskih učinaka i više, sigurno je da se broj i vrsta prevara na Internetu rapidno uvećavaju. Ta činjenica zahteva ogromnu opreznost, koja se ogleda u potrebi da se investicione odluke nikad ne donose samo na osnovu informacija dobijenih na Internetu. S tim u vezi svakako treba reći da mnoge prevare na Internetu uopšte nisu nove. One su samo usavršene varijacije klasičnih šema, kao što su Ponzi šeme, šeme napuni-i-isprazni i offshore investicione šeme, kojima je Internet samo dodao jednu novu uznemiravajuću dimenziju. Prevaranti razumeju pohlepu i koristeći informacionu tehnologiju prilagođavaju se tome obećavajući pružanje nečeg za ništa. Pored Web sajtova, koji su idealan alat za lažno predstavljanje, forumi Interneta, on-line investicioni bilteni i neselektivno slanje e-pošte velikom broju primalaca (spam ) su najčešće korišćeni alati kriminalne trgovine. 5. Zaključak Mogućnosti koje pruža informaciona tehnologija zaista su čudesna stvar. Na žalost, ovo preveliko oslanjanje na ovu čudesnu stvar kreira izuzetno nepovoljnu situaciju, čineći društvo veoma zavisnim i ekstremno osetljivim na potencijalne poremećaje u njenoj primeni. Kiber okruženje ukazuje na i dokazuje posebnu pogodnost za manipulacije od strane onih koji su skloni devijantnom ponašanju. Atraktivne prednosti koje Internet pruža legalnim korisnicima često su iste one koje predstavljaju i najveći rizik. U stvari, može se reći da je viđena anonimnost Interneta, zajedno sa dostupnom tehnologijom, daleko više dovela do kriminogenog okruženja od prethodnih epoha. Stoga, ne bi trebalo da bude potpuno neočekivano što kriminalci sve više fokusiraju svoje napore u ovoj oblasti. Autori su uvereni da je analiza tri namenski odabrana oblika kriminala bele-kragne nedvosmisleno potvrdila da informaciona tehnologija ima veoma značajnu ulogu u domenu 25 Cussen P. M, Stop Scams In Their Tracks, Smith L, Avoiding On-line Investment Scams, 10

26 kriminala bele-kragne. Taj značaj se, protokom vremena, uvećava u meri da informaciona tehnologija postaje jedan izuzetno snažan kriminogeni faktor koji u velikoj meri utiče na nastajanje, širenje i intenzitet kriminala bele-kragne. Nažalost, široko prihvaćeno uverenje da Internet duboko menja način na koji čovek funkcioniše, što je praksa i potvrdila, opčinilo nas je u meri da smo prejak fokus usmerili na prednosti, zapostavljajući tamnu stranu primene informacione tehnologije. Vreme fizičke snage u izvršavanju kriminala, kao i "štapa i kanapa" i "šac metoda" u borbi protiv njega neumitno prolazi. Radi budućnosti, društvo ne sme biti zavedeno fascinantnim mogućnostima informacione tehnologije, a istovremeno ostajati u blaženom neznanju vlastite ranjivosti. Jer, na žalost, te fascinantne mogućnosti mogu da koriste i kriminalci. Ako se tome doda da svaki dan nastaje nova metodologija, nova tehnika, novi trikovi koji mogu da se koristi u tami kiberuniverzuma nevidljivo i anonimno dovoljno upozorava. 26 S tim u vezi želimo da podsetimo da moto Udruženja IT Veštak i ovog savetovanja (ZITEH): ZNANJEM PROTIV ZLOUPOTREBE ZNANJA, dobija svoj puni smisao. U njemu su spregnuti upozorenje, inicijativa, podsticaj i putokaz za suprotstavljanje ovoj novoj društvenoj pošasti, čije su mogućnosti za kriminalne aktivnosti u kiber-prostoru ograničene samo veličinom mašte. Zato, odgovorni za stanje u ovoj oblasti, kao i donosioci odluka na svim nivoima, moraju već sada, jer sutra može biti kasno, pokrenuti odlučnu akciji poboljšanja stanja u ovoj oblasti. Ta akcija bi, kao prioritete, svakako podrazumevala razvijanje bezbednosne kulture, uzdizanje svesti o neophodnostima zaštite i razvijanje znanja iz domena zaštite i kiber-forenzike. Što pre shvatimo i prihvatim ove činjenice manja je šansa da nam kiber-kriminal postane noćna mora. 6. Literatura [1] Koppenhaver M. K, Forensic Document Examination Principles and Practice, Humana Press, [2] Đurđević Ž. D, Stevanović D. M, Problemi sa kojima se suočava IT sektor u borbi protiv pranja novca u Srbiji, FBIM Transaction (MESTE), vol. 3, no. 1, [3] Čekerevac P, Čekerevac Z, Bitcoin prednosti i rizici, FBIM Transaction, [4] Mills Q. M, Buy, Lie, and Sell High: How Investors Lost Out on Enron and the Internet Bubble, Financial Times Prentice Hall, [5] Scams and Swindles An Educational Guide to Avoiding Investment Fraud, National Futures Association, [6] Britz M, Computer Forensics and Cyber Crime An Introduction, Pearson, 3th edition, [7] Cliff G, Desilets C, White Collar Crime: What It Is and Where It's Going, Notre Dame Journal of Law, Ethics & Public Policy, vol 28, [8] Common Scams, [9] Cussen P. M, Stop Scams In Their Tracks, [10] Đurđević Ž. D, Pranje novca: Plastični i virtuelni novac, Univerzitet Metropolitan, Konferencija o bezbednosti informacija BISEC Rapetto U, Invisible Threats: Financial and Information Technology Crimes and National Security, IOS Press, 2006, str

27 [11] Archivist talks about history of forgery, [12] USFED-FBI, [13] Internet World Stats, [14] Koppenhaver M. K, Forensic Document Examination Principles and Practice, Humana Press, [15] Layton J, How Money Laundering Works, [16] Mills Q. M, Buy, Lie, and Sell High: How Investors Lost Out on Enron and the Internet Bubble, Financial Times Prentice Hall, [17] On-line Investment Scams Tutorial, [18] Poremská M, Money Laundering as a Cybercrime of White-Collars, Masaryk University Journal of Law and Technology, vol. 3:3, [19] Rapetto U, Invisible Threats: Financial and Information Technology Crimes and National Security, IOS Press, [20] Scams and Swindles An Educational Guide to Avoiding Investment Fraud, National Futures Association, [21] Smith L, Avoiding On-line Investment Scams, [22] The Panama Papers, The International Consortium of Investigative Journalists (ICIJ), [23] Panama Papers, From Wikipedia, the free encyclopedia [24] Weisman S, Truth about avoiding scams, FT Press,

28 Sadržaj SPECIFIČNOSTI VEŠTAČENJA U SUDSKIM SPOROVIMA O POSLOVNIM INFORMACIONIM SISTEMIMA SPECIFICS OF EXPERTISE IN COURT DISPUTES ON BUSINESS INFORMATION SYSTEMS Prof. dr Dragana Bečejski-Vujaklija Udruženje IT Veštak, Beograd, Srbija Apstrakt: Informaciona tehnologija je danas ozbiljan segment svakog poslovanja. Poslovni informacioni sistem, bilo da se implementira gotovo softversko rešenje, ili da se gradi po meri naručioca, razvija se uz pomoć spoljnih saradnika softverskih kuća. Ovaj proces traje od par meseci do par godina i predstavlja ozbiljnu finansijsku stavku u budžetu preduzeća naručioca. Međutim, mnogi su faktori koji dovode do problema tokom implementacije, kako na strani naručioca, tako i na strani implementatora. Na žalost, jedan broj ovih problema završava i na sudu. Veštačenje u ovoj oblasti je veoma složeno i zahteva multidisciplinarna znanja. U ovom radu izloženi su karakteristični problemi i neka praktična iskustva. Ključne reči: poslovni informacioni sistemi, ERP, sudski spor, veštačenje Abstract: Information technology is now a serious segment of every business. Business information system was to be implemented almost a software solution, or to build a "custom" customer, developed with the help of external consultants - software houses. This process takes a few months to a few years and presents a serious financial item in the budget of the enterprise - customer. However, there are many factors that lead to problems during implementation, both on the customer, and on the side of the implementers. Unfortunately, a number of these problems and ends up in court. Expertise in this area is very complex and requires a multidisciplinary knowledge. In this paper we present the typical problems and some practical experience. Keywords: business information systems, ERP, court dispute, expertise UVOD Živimo u vremenu obeleženom ubrzanjem i međusobnim povezivanjem. Globalni razvoj poslovnih odnosa nameće potrebu postavljanja viših nivoa integracije koji obuhvataju procese i aplikacije unutar čitave grane poslovanja. U tome veliku ulogu ima informaciona tehnologija. Nova era poslovanja zahteva znatno više od proste evidencije promena. Neophodno je integrisati sve interne sisteme i poslovne procese. Integrisani softverski sistem (ERP) predstavlja skup informacionih podsistema i aplikacija, kojima se pokriva kompletan proces upravljanja informacijama i svim radnim tokovima jednog preduzeća. U prošlosti, većina firmi je imala u svom sastavu organizacionu jedinicu koja je imala za zadatak da izrađuje softver i razvija informacioni sistem za konkretno preduzeće. Već u poslednjim decenijama prošlog veka od te prakse se odustalo i danas se taj zadatak poverava specijalizovanim firmama. Uz to, na tržištu postoje generički softverski sistemi koji se, uz minimalne adaptacije, mogu implementirati u najveći broj preduzeća. Aktuelna praksa je dovela do pojave novih problema između firme naručioca i firme implementatora ERP sistema, od kojih, na žalost, neki završavaju i na sudu.

29 Pozicija veštaka u ovakvim sporovima je vrlo delikatna, pošto zahteva od njega poznavanje kako karakteristika konkretnog softverskog sistema i metodologije njegove implementacije, tako i specifičnosti poslovnih procesa koje ERP treba da obuhvati. SPECIFIČNOSTI I RIZICI IMPLEMENTACIJE ERP SISTEMA Najčesće iza želje da se uvede ERP stoje nerealna očekivanja da će se ulaganjem u ERP poslovanje krenuti putem uspeha i dugoročnog prosperiteta. Ovakva očekivanja su daleko od realnosti i mogu doneti samo razočaranje. ERP je alat, koji kao i svaki drugi alat, možete da koristite namenski, dobro i nenamenski, loše. Uvođenje ERP-a nije ni najmanje jednostavan proces. Mnoge velike kompanije umalo nisu propale uvodeći ERP. Potrebno je maksimalno se osigurati da do neuspeha u uvođenju ERP-a ne dođe usled nedovoljnog broja ljudi ili nepripremljenosti i otpora koji će pružiti zaposleni. Za upravljanje projektom implementacije informacionog sistema u velikoj meri važi isto što i za upravljanje projektima u opštem smislu. Mnoge tehnike i metode generalnog upravljana projektima se mogu primeniti i na upravljanje projektima implementacije informacionih sistema. Međutim, ovi projekti imaju određene karakteristike koje ih čine drugačijim: Teško je definisati kompletan spisak zahteva za ERP projekat pre nego što se počne sa razvojem. Razvoj softverske tehnologije je mnogo brži nego kod ostalih tehnologija. Većina softverskih tehnologija nije dovoljno zrela da bi imala skup najboljih praksi i pravila. Razvoj ERP softvera uključuje korišćenje više različitih tehnologija, s tim što svaka od njih ima veliku kompleksnost, tako da jedna osoba ne može u potpunosti sve da ih savlada.[1] I pored brojnih napora da se poveća uspešnost implementacija ERP sistema, veliki procenat ovih projekata je i dalje neuspešan. Svega trećina projekata implementacije ERP sistema u potpunosti zadovolji postavljene kriterijume. Pravilna primena metodologija implementacije doprinosi da se poveća kvalitet implementiranih ERP rešenja. Projekti implementacije ERP-a mogu da propadnu pre nego što počnu, zbog načina na koji su organizovani i postavljeni. Često nije moguće saznati da li je projekat uspeo ili propao do samog kraja. Tek kad je sistem spreman za testiranje i razvoj, može se primetiti njegov loš kvalitet. Veoma je važno da se pravilno razmotre svi zahtevi ERP-a jer upravo od njih zavise i neke od ključnih postavki. Faza analize je ključna za razumevanje poslovnih procesa i želje preduzeća za unapredjenjem istih. U fazi dizajna se razlažu svi zahtevi klijenta. U fazi razvoja i testiranja se pristupa razvoju dogovorenog i testiranju. Nakon uspešnog testiranja razvijenih funkcionalnosti pristupa se uvodjenju ERP-a, a nakon toga se prelazi na fazu obuke korisnika i kontinuirane podrške u radu. U preduzećima u našem okruženju postoji velika nestandardizacija procesa i tokova dokumenata tako da je dodatno otežano implementirati neki ERP koji podrazumeva odredjen nivo standardizacije svih poslovnih porcesa. Kada se pristupi uvodjenju i prilagođavanju ERP sistema u složenim poslovnim sistemima, javlja se potreba za razvojem novih funkcionalnosti, pa čak i modula koji će omogućiti potrebne informacije. Implementacija ERP-a je dodatno otežana sledećim [2]: Prethodno postojanje nekvalitetnog informacionog sistema (bilo da je on podržan informacionom tehnologijom ili ne) 2

30 Nedovoljno jasna organizaciona struktura i tokovi dokumenata u sistemu Nepostojanje standarda Želja menadžmenta za brzim uvodjenjm svih potrebnih funkcionalnosti odjednom. Mnogi problemi sa ERP sistemima u organizacijama nastaju zbog neadekvatnog ulaganja u obuku angažovanog osoblja. Uspeh zavisi od veštine i iskustva zaposlenih, računajući i obuku kako održavati sistem da funkcioniše ispravno. Mnoge kompanije smanjuju troškove smanjujući budžet za obuku. Manja preduzeća često nemaju dovoljno kapitala, što dovodi do toga da njihovim ERP sistemom upravlja osoblje sa neadekvatnim znanjima o ERP sistemu. Nažalost, kvalitetni informacioni sistemi su veoma skupi za domaća preduzeća koja, i kada se odluče za njihovo uvodjenje, žele da dodatno smanje sve nepotrebne troškove. Smanjivanje troškova implemenatcije nekog ERP-a radi bolje konkuretnosti je samo prividno ušteda u vremenu i novcu. Svaki projekat u kome nisu detaljno sprovedene sve faze implementacije kasnije zahteva ponovno vraćanje na iste. Ovo dovodi do daleko dužeg trajanja implementacije ERP-a i umnogome uvećava troškove, ali i rizike implementacije. (Slika 1). 0-6 meseci 7-12 meseci meseci meseci meseci % kompanija meseci meseci >48 meseci Slika 1. Potrebno vreme za realizaciju koristi nakon puštanja ERP-a u rad SPECIFIČNOSTI SUDSKIH SPOROVA VEZANIH ZA ERP SISTEME 1. U osnovi sudskih sporova vezanih za ERP sisteme najčešće nije kriminal Sudski sporovi vezani za ERP su u najvećem broju slučajeva sporovi između pravnih lica (firme naručioca i firme isporučioca ERP-a i/ili usluge njegove implementacije). U ovim sporovima gotovo nikada nema elemenata kriminala, već se radi o skupu nesporazuma vezanih za realizaciju najčešće nepreciznih ugovora. [3] 2. Najčešći uzrok sporova vezanih za ERP sisteme su neprecizni ugovori Ugovor između firme naručioca i firme isporučioca ERP-a mora, pre svega, da sadrži vrlo precizno definisan nivo ugovorene usluge (SLA, Service Level Agreement), sa svim detaljima. Uz to, mora da 3

31 definiše obavezu izrade zapisnika, ne samo po završetku implementacije pojedinih modula, već po svim pitanjima koja se tiču SLA bilo da su u skladu sa njim, ili da predstavljaju određena obostrano usaglašena odstupanja. Za ne poverovati je u kom broju slučajeva obe ugovorne strane iz nemara ne sačinjavaju ove zapisnike, čak i kada ih osnovni ugovor na to striktno obavezuje (što je ređi slučaj). Kada ovakva praksa završi na sudu, jedino na osnovu čega se može rekonstruisati tok realizacije ugovora i definisati krivica neke od ugovornih strana su izjave aktera, koje su često neprecizne i kontradiktorne. 3. Neusklađena očekivanja oko nivoa pruženih usluga su u osnovi većine sporova Već pomenuti nivo ugovorene usluge podrazumeva da su jasno definisana očekivanja pre svega firme naručioca. Naručilac je firma koja se bavi nekom poslovnom delatnošću i ne poznaje dovoljno metodologiju implementacije ERP sistema, niti kompleksnost, probleme i izazove koji se tokom implementacije javljaju. Uz to, ne znaju tačno čak ni koje su (i u kom obimu) usluge ugovorili sa isporučiocem. Nivo ugovorenih usluga povlači i nivo odgovornosti obe strane za uspeh projekta. Zato će ukratko biti definisane osnovne vrste usluga koje su predmet ovakvih ugovora. [4] Usluge konsaltinga Usluge konsaltinga obuhvataju inicijalnu implementaciju ERP sistema i puštanje u rad prilagođenog sistema, ali i savete o upotrebi ERP u poslovanju, pomaganje u sastavljanju izveštaja, kompleksnih traženja podataka ili implementacije poslovne inteligencije. Ove promene su karakteristične za lokalno poslovanje i nisu sadržane u samom ERP sistemu. Konsultantski tim je odgovoran i za planiranje i jedinsveno testiranje implementiranog sistema. Ovaj kritični deo projekta se često previdi. Usluge prilagođavanja Prilagođavanje podrazumeva proširenje ili izmenu funkcionisanja sistema. Prilagođavanje ERP sistema može biti veoma skupo i komplikovano. Neki od ERP paketa nemaju mogućnost prilagođavanja pojedinih segmenata. Neki pak ERP paketi su izrazito generički u svojim izveštajima i upitima, tako da se očekuje prilagođavanje prilikom svake implementacije. No, često ne postoje garancije da će prilagođavanje funkcionisati sa sledećom nadgradnjom softvera. Izrada dokumentacije prilikom prilagođavanja softvera je aspekt koji se često zanemaruje. Iako se može učiniti kao krupan i skup dodatak prilikom prilagođavanja, od velikog je značaja da je neko odgovoran za izradu i testiranje dokumentacije. Sav trud oko prilagođavanja može postati uzaludan bez dokumentacije o tome kako ga koristiti, a obuka novih kadrova nemoguća. Usluge održavanja i podrške Kada se implementira ERP sistem, firme isporučioci obično nastave da pružaju pomoć, kako bi obezbedile kontinuitet funkcionisanja sistema. Sporazum o održavanju, zbog svojih nepreciznosti, takođe je vrlo često predmet sporova između ugovornih strana koji završavaju na sudu. POZICIJA VEŠTAKA U SPOROVIMA VEZANIM ZA ERP SISTEME Etički kodeks Udruženja sudskih veštaka za informacione tehnologije reguliše odnos veštaka prema radu na veštačenju, prema sudu, prema strankama, prema drugim veštacima i obavezi čuvanja tajni. 4

32 Dužnost veštaka je da se u poslovima veštačenja pridržava zakonskih propisa, pravila struke, da radi po savesti, da čuva svoj ugled i ugled Udruženja, te da opravda poverenje pravosudnih organa i stranaka. Ukoliko postavljeni zadatak prelazi okvire stručnosti veštaka, ili ako se zadatak ne može obaviti u naloženom ili zahtevnom roku, veštak je dužan odmah o tome izvestiti naručioca posla. Veštak je, u poslovima veštačenja, obavezan da nezavisno i objektivno utvrdi činjenice, kritički i sa jednakom pažnjom razmotri zahteve i stavove svih subjekata, te na osnovu toga da nalaz i mišljenje. Ukoliko postavljeni zadatak prelazi okvire stručnosti veštaka, ili ako se zadatak ne može obaviti u naloženom ili zahtevnom roku, veštak je dužan o tome odmah izvestiti naručioca posla. U svom nalazu i mišljenju veštak se ne može izjašnjavati o pravnim pitanjima, već samo o pitanjima svoje struke. [7] Poziciju veštaka generalno reguliše i Zakon o sudskim veštacima iz godine, na koji udruženja sudskih veštaka imaju dosta primedbi i traže njegovu izmenu. U praksi međutim, jedan od velikih problema sa kojim se IT veštak suočava je skromno, ili nikakvo poznavanje IT tehnologije među zaposlenima u pravosuđu - kako sudija i tužilaca, tako i advokata. Kao što je već rečeno, sporovi o poslovnim informacionim sistemima su kompleksni i zahtevaju određena predznanja, ne samo IT tehnologije, već i poslovnih procesa u kojima se ova tehnologija implementira. U tom smislu, nekad je neophodno da veštak u svom izlaganju, do određene mere, edukuje i sudsko veće, i porotu, kako bi shvatili suštinu ekspertskog veštačenja. Jedna od korisnih metoda je primena jednostavnih analogija, za razumevanje pojedinih koncepata. Ovo uključuje obavezno definisanje tehničkih pojmova, korišćenje slika i grafikona, kada god to ima smisla. [5] S druge strane, veštaci informatičke struke suočeni su fenomenom ispitivanja u sudskom procesu, posebno u slučaju unakrsnog ispitivanja agresivnih advokata. Pravila rivaliteta, regularna u pravosudnom sistemu, različita su od principa kolegijalnosti, koji se podrazumeva u akademskoj profesiji. I u tom slučaju, IT veštak mora da se eksplicitno drži svoje struke i dostavljene liste pitanja na koje je pre ročišta studiozno pripremio odgovore. U nastavku, dat je pregled regularnih pitanja za IT veštaka: U kojem obimu je izvršena implementacija softvera do dana veštačenja, Da li je to urađeno u skladu sa postojećim standardima, Koliko je programa/projekata tužilac izradio za tuženog? Koliko je izrađenih programa bilo u upotrebi kod tuženog? Da li je postojao postupak za izradu i vraćanje rezervnih kopija (bekapovanje) podataka? Slede primeri pitanja na koje IT veštak nije dužan da odgovori: Da li je naknada koja je tužiocu isplaćivana od strane tuženog u srazmeri sa stanjem IS koji je bio u upotrebi kod tuženog? Da li je bilo eventualnih kašnjenja u isplati ugovornih obaveza i, ako ih je bilo, navesti razloge propuštanja rokova za izvršenje obaveza. Najbolji način da IT veštak izbegne neprijatnu situaciju na samom ročištu, je da insistira da mu i sud, i strane u sporu prethodno dostave listu pitanja na koje očekuju odgovor od veštaka. Formiranje liste pitanja će ih naterati da artikulišu svoja očekivanja, a veštak će, već u toj fazi biti u prilici da odbije izjašnjavanje po pitanjima koja nisu iz delokruga njegove ekspertize. To su najčešće pitanja vezana za 5

33 oblast finansija ili obligacione odnose, o čemu veštak nikako ne bi trebalo da iznosi svoje mišljenje, koliko god bio ubeđen da je ono ispravno. ZAKLJUČAK Na ERP tržištu u Srbiji dominiraju internacionalne kompanije, ali je i prisustvo domaćih IT preduzeća nesporno u razvoju ERP sistema prema specifičnim zahtevima korisnika (in house programiranje). Državni i javni sektor se više odlučuje za poznata svetska rešenja, dok se privrednici mnogo češće odlučuju za domaći ERP. Autori domaćeg softvera su, budući da posluju u zemlji, uvek dostupni, a sam softver, po primeni modernih tehnologija ne zaostaje za stranim ERP rešenjima koja se nude na našem tržištu. Domaća ERP rešenja takođe ne zaostaju za stranim i kada je u pitanju standardizacija, o čemu svedoči mogućnost njihovog povezivanja sa korporativnim rešenjima stranih kompanija. [6] Navedena situacija nas upućuje na činjenicu da će u budućnosti, na žalost, izvesno biti sve više sporova iz ove oblasti, te je jako važno da stručna i akademska sredina intenziviraju svoje aktivnosti kroz seminare i predavanja za ljude iz oblasti pravosuđa, jer oni moraju biti osposobljeni da urade svoj deo posla kada se susretnu sa slučajevima iz ove oblasti. [8] Zadatak svih kompetentnih institucija za IT oblast je da se postave interdisciplinarno i edukuju kako ljude iz sektora bezbednosti, tako i zaposlene u oblasti pravosuđa, kako bi bili spremni da se suoče sa slučajevima ne samo cyber kriminala, već i sporovima vezanim za implementaciju IT tehnologija u poslovne sisteme. Osim navedenog, potrebno je intenzivnije angažovanje Udruženja sudskih veštaka za informacione tehnologije i njegovo povezivanje sa drugim strukovnim udruženjima sudskih veštaka, radi sinhronizovanog delovanja na planu poboljšanja zakonske regulative u ovoj oblasti, boljeg definisanja pozicije veštaka, njegovih prava i obaveza. LITERATURA: [1] Stepanek, G.: Software Project Management: Why software project fail, Berkeley: Apress, [2] Deloitte Consulting: ''ERP's Second Wave''. Research Report. maj [3] Volonino L., Anzaldua R. Computer Forensics For Dummies, Wiley Publishing, Inc., 2008 [4] David L. O.: Evaluation of ERP outsourcing, Computers & Operations Research 2007; 34(12): [5] Milosavljević, M. Grubor G. Istraga kompjuterskog kriminala, Beograd, 2009 [6] Matijević M. Poslovna softverska rešenja u Srbiji 2015, maj 2015 [7] Etički kodeks Udruženja sudskih veštaka za informacione tehnologije - IT Veštak, maj 2016 [8] Harris B. Preservation Case Law, april

34 Sadržaj FORENZIKA WINDOWSA 10 WINDOWS 10 FORENSICS Savina Gruičić INsig2 d.o.o., Zagreb, Hrvatska Apstrakt: Dolaskom svakog novog operativnog sustava, dolazi do određenih promjena u odnosu na prethodni što dovodi do novih izazova u njegovoj forenzičkoj analizi. Svrha ovog rada je pružiti pregled forenzičke analize Windows 10 operativnog sustava, s naglaskom na artefakte specifične za Windows 10 operativni sustav. Objasniti će se i glavni artefakti relevantni za svaku istragu u digitalnoj forenzici Windows operativnog sustava, a koji su ostali nepromijenjeni u odnosu na prethodne sustave. Dodatno, objasniti će se nastanak bitnih artefakata te njihovo značenje u forenzičkoj istrazi. Najveći naglasak će biti na novim značajkama navedenog operativnog sustava i pripadajućim artefaktima, Cortani (nova osobna digitalna pomoćnica), Windows trgovini, obavještajnom centru, te Edge Internet pregledniku kao nasljedniku Internet Explorera. Ključne riječi: digitalna forenzika, artefakti, Windows registar, Windows 10, Cortana, Edge, obavještajni centar, Windows trgovina, slikovna lozinka, Skype Abstract: With the arrival of every new operating system, specific changes in regard to previous versions occur and new challenges in digital forensics arise. The purpose of this paper is to give an overview of Windows 10 forensics, with a focus on Windows 10 operating system specific artefacts. In addition, key artefacts relevant to every digital forensics investigation, but which have remained unchanged in comparison to older versions, will also be explained. The creation of important artefacts and their significance in digital forensics investigation will be addressed. The main focus will be on new features of the mentioned operating system and the belonging artefacts, such as Cortana (new personal digital assistant), Windows Store, Notification centre and Edge Internet browser which replaced Internet Explorer. Key words: digital forensics, artefacts, registry, Windows 10, Cortana, Edge, Notification centre, Windows Store, picture password, Skype 1. UVOD Digitalna forenzika je relativno nova grana forenzike nastala pojavom tehnologije i elektroničkih uređaja sa sposobnošću pohrane podataka, koja se zbog brzine razvoja i napretka tehnologije, konstantno i ubrzano mijenja i napreduje. Upravo zbog toga krucijalno je biti u toku s napretkom tehnologije i pratiti razvoj tehnoloških inovacija te konstantno se educirati na tom području. Dolaskom svakog novog operativnog sustava, dolazi do promjena u odnosu na prethodni operativni sustav te se javljaju novi izazovi u digitalnoj forenzici. Naše dosadašnje znanje i poznavanje postojećih operativnih sustava više nije dovoljno te se javlja potreba za daljnjim istraživanjem i analizom novog operativnog sustava. Potrebno je proučiti kako se sustav mijenjao u odnosu na prošle verzije, koje su nove funkcije i značajke, koje informacije su ostale iste, a koje su nove i specifične samo za taj određeni sustav. Prilikom pristupanja forenzičkoj analizi bilo kojeg operativnog sustava, prvo je potrebno znati kako sustav funkcionira, koje su njegove mogućnosti te na koji način i uslijed čega stvara određene artefakte. Artefakti su bitne informacije tj. podaci koje sustav stvara zbog korisničke aktivnosti, nastale bilo indirektno zbog djelovanja samog operativnog sustava i rada

35 aplikacija, bilo direktno zbog korisnikovih radnji, pa se prema načinu nastanka mogu podijeliti u tri glavne skupine: 1. Sistemski podaci 2. Korisnički podaci 3. Aplikacijski podaci Svaka radnja se bilježi te njen trag, tj. artefakt, ostaje negdje u sustavu. Poznavanje tih lokacija i tumačenje značenja pojedinih artefakata uvelike pomaže forenzičkim istražiteljima pri istrazi, u smislu da je moguće pratiti tok osumnjičenikovih radnji te koristiti ih kao dokaze na sudu. Nekoliko je vrlo bitnih artefakata koji su rudnik informacija, te u kojima je sadržana velika količina inkriminirajućeg sadržaja. Zavisno o tipu istrage, različiti artefakti daju korisne informacije. Tako je na primjer, u istrazi dječje pornografije bitno pregledati artefakte vezane uz multimedijske zapise (fotografije, video i audio zapisi), Internet pregledavanje vezano uz pornografiju, prepiske elektroničke pošte, posjećivanje relevantnih foruma i slično. Za razliku od takvog tipa istrage, ukoliko se radi npr. o hakerskom napadu, bitno je pregledati drugi tip artefakata. Među njima su artefakti preuzetih aplikacija za praćenje mrežnog prometa ili aplikacija za stvaranje virusa, posjećivani forumi i webstranice vezane za hakerske napade i slično. Neki od artefakata nisu se mijenjali kroz prethodne verzije operativnih sustava pa je tako informacija sadržana u njima uvijek na istoj lokaciji i istog formata u svim operativnim sustavima, dok su neki artefakti specifični samo određenom operativnom sustavu. Najnovija verzija Microsoftovog Windows operativnog sustava je njegova Windows 10 inačica, koja je i tema ovog rada. Za potrebe analize izrađena je kopija tvrdog diska koja je sadržavala instalirani Windows 10 operativni sustav koji je bio korišten u periodu od mjesec dana. Tijekom tog vremena sustav je korišten za pregledavanje webstranica, pohranjivanje dokumenata s interneta, brisanje zapisa, stvaranje direktorija, uključivanje USB uređaja, vođenje Skype razgovora, slanje elektroničke pošte, komuniciranje s Cortanom Za forenzičku analizu korišteno je nekoliko vodećih forenzičkih alata, kao što su EnCase v7.12, FTK 6.0.1, IEF, EseDBViewer, SQLite browser, Outlook OST File Viewer, Ovaj rad podijeljen je na dva dijela. U prvom dijelu navedeni su i objašnjeni Windows artefakti koji su ostali nepromijenjeni u odnosu na prethodne verzije. U drugom dijelu rada navedeni su i objašnjeni novi artefakti, specifični za Windows 10 operativni sustav. S obzirom da je Windows 10 novi operativni sustav koji je relativno nedavno došao u upotrebu, došlo je do mnogih poteškoća prilikom pregledavanja i pristupanja određenim zapisima zbog nepodržavanja novog sustava od strane forenzičkih alata. 2. WINDOWS 10 OPERATIVNI SUSTAV Windows 10 operativni sustav najnovija je inačica Microsoftovog operativnog sustava, javno objavljena u srpnju godine. Windows 10 operativni sustav odgovarajuće verzije postoji za računala, mobilne i ostale podržane uređaje. Dostupno je nekoliko verzija: Home, Pro, Enterprise, Education, Mobile i Mobile Enterprise te IoT Core. Osmišljen je da bude kompatibilan sa svim hardware, software i perifernim uređajima jednog korisnika. Korisničko sučelje proširenje je i nadogradnja sučelja sustava Windows NEPROMIJENJENI ARTEFAKTI Nekoliko je artefakata od iznimne važnosti prilikom forenzičke istrage Windows operativnog sustava jer oni čuvaju informacije o korisničkim radnjama i postavkama računala i sustava. Forenzički istražitelji moraju biti dobro upoznati s njihovim lokacijama i značenjem te ih detaljno analizirati prilikom svake istrage. Artefakti koji su ostali nepromijenjeni u Windows 10 operativnom sustavu u odnosu na ranije verzije su: Windows registar 2

36 Zapisi događaja LNK zapisi, Recent i Jump liste Recycle bin Thumbcache Prefetch zapisi Shellbags Volume shadow kopije Servis indeksiranja Slikovna lozinka WINDOWS REGISTAR (engl. Windows registry) Windows registar hijerarhijska je baza podataka koja daje detalje o stanju sustava i sastoji se od nekoliko bitnih hiveova, koji se mogu dublje analizirati, a sadrži konfiguracijske postavke sustava, sigurnosne postavke, postavke softwarea, korisničke postavke te postavke svakog pojedinog korisnika. Najbitniji hiveovi koji sadrže sistemske i korisničke podatke su: NTUSER.DAT: \Users\user_name\NTUSER.dat SAM: \Windows\System32\config\SAM SYSTEM: \Windows\System32\config\SYSTEM SOFTWARE: \Windows\System32\config\SOFTWARE SECURITY: \Windows\System32\config\SECURITY Artefakti koji se nalaze unutar registra su postavke vremenske zone, ime vlasnika računala, datum instalacije operativnog sustava, verzija operativnog sustava, datum i vrijeme gašenja računala, informacije o hardwareu, lista korisničkih računa i pripadajuće lozinke, zadnje prijavljeni korisnici, mrežne postavke i popis mreža, instalirane i deinstalirane aplikacije, konfiguracija aplikacija, popis uključenih perifernih uređaja s pripadajućim vremenima, zadnje posjećene Internet stranice, zadnje otvarani dokumenti, popis izvođenja programa i mnogi drugi. ZAPISI DOGAĐAJA (engl. Event logs) Zapisi događaja bilježe bitne događaje u funkcioniranju sustava, a tipovi događaja mogu se podijeliti u tri glavne kategorije: Događaji izazvani radom aplikacija Sigurnosni događaji Sistemski događaji Događaji bitni za forenzičku istragu su datum i vrijeme prijavljivanja pojedinih korisnika, neuspjela prijavljivanja, promjene privilegija korisnika, upozorenja i pogreške, vremena paljenja i gašenja računala, vremena uključivanja uređaja, vrijeme instalacije drivera, promjene postavki vremenske zone, bežična povezivanja, Zapisi se nalaze na lokaciji \Windows\System32\winevt\Logs\. LNK ZAPISI, RECENT i JUMP LISTE Lnk zapisi ili prečice su poveznice na druge lokacije, uobičajeno zadnje pristupane aplikacije, direktorije, podatke ili printere s ekstenzijom.lnk. Služe za brži pristup resursima. Pomoću lnk zapisa moguće je identificirati koji dokumenti su prebacivani sa i na USB uređaje, koji dokumenti su preuzeti s mreže, utvrditi da li je netko mijenjao sistemski sat, poredak pristupanja zapisima prilikom paljenja sustava, kad i koliko često se računalo palilo, veličina zapisa, da li je zapis preimenovan Neka od bitnijih polja lnk zapisa su putanja, vremena zadnjeg pristupa, pisanja i kreiranja, MAC vremena, mrežni serijski broj, serijski 3

37 identifikacijski broj vlasnika i drugi. Jump liste grupiraju zadnje pristupane dokumente po aplikacijama tj. to su nedavni zapisi za određenu aplikaciju. Direktorij koji sadrži zadnje pristupane zapise, direktorije i jump liste nalazi se na lokaciji \Users\user\AppData\Roaming\Microsoft\Windows\Recent.. RECYCLE BIN Fundamentalni forenzički artefakt je Recycle bin. To je jedna od prvih lokacija koju forenzički istražitelj mora provjeriti prilikom analize. Windows operativni sustav radi na način da se izbrisani podaci ne izbrišu fizički s računala, već se prebacuju u odgovarajući korisnički direktorij unutar Recycle bin direktorija. Za svaki dokument stvaraju se dva zapisa različitih prefiksa, $I i $R. Ostatak naziva je 6-znamenkasta vrijednost dokumenta. Zapisi koji počinju s $I sadrže metapodatke (ime dokumenta, putanja, veličina) određenog dokumenta, a koji počinju s $R sadrže sam dokument tj. zapis. THUMBCACHE Thumbcache je baza podataka u koju se spremaju umanjene kopije slika na računalu u svrhu bržeg prikaza slika. Thumbcache je od velike važnosti forenzičkim istražiteljima kad se radi o slučajevima u kojima su slike predmet istrage. U slučaju da je osumnjičeni izbrisao fotografiju, zbog postojanja thumbcachea može se dokazati da je fotografija prije postojala na računalu jer se brisanjem same fotografije ne briše pripadajući thumbcache. Lokacija na kojoj se nalaze baze thumbcachea je Users user AppData\Local\Microsoft\Windows\Explorer. PREFETCH Operativni sustav prati koji programi se uobičajeno najčešće pokreću pa u prefetch datoteku sprema potrebne podatke za brzo izvođenje tih programa. Lokacija na koju se spremaju je \Windows\Prefetch. SHELLBAGS Shellbags čuvaju informaciju u registru o načinu prikaza dokumenata. Pod time se misli na ikone (ekstra velike/velike/srednje/male), detalji, lista U slučaju da je direktorij izbrisan, informacija o njegovom prikazu i dalje postoji u shellbags registru pa se može iskoristiti kao dokaz postojanja izbrisanog direktorija. Lokacija registra je SOFTWARE\Microsoft\Windows\Shell\Bags\UsrClass.dat. VOLUME SHADOW KOPIJE Koriste se za sigurnosne kopije podataka, aplikacija i informacija o stanju sustava i služe za brz oporavak od gubitka podataka. Nazivaju se još i snapshot, tj. one su prijašnje verzije dokumenata. Forenzički istražitelji su tako u mogućnosti povratiti izbrisane podatke, a koji su bili spremljeni u nekom ranijem trenutku prilikom kreiranja kopije tj. točke povrata (engl. Restore point). Lokacija kopija je \System Volume Information\SPP\OnlineMetadataCache. SERVIS INDEKSIRANJA Indeksiranje je proces stvaranja indeksa zapisa izvlačenjem metapodataka i teksta te objedinjavanje u katalog na lokaciji \ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb. Indeks u operativnom sustavu analogan je kazalu u knjizi. Windows.edb baza podataka može sadržavati imena, korisnička imena, elektroničku poštu, adrese elektroničke pošte Indeksiranje pruža efikasan način pretraživanja i rukovanja informacijama, kako korisniku jer mu omogućava brzo pronalaženje dokumenta ili njegove lokacije, tako i forenzičkim istražiteljima koristi za brže pretraživanje sustava. SLIKOVNA LOZINKA Slikovna lozinka alternativni je način prijavljivanja korisnika na računalo uveden u Windows 8 operativnom sustavu. Korisnik na odabranoj slici kreira željeni uzorak ili liniju, slika 1. Zbog bezbroj kombinacija slike i uzorka, ovaj način prijavljivanja puno je sigurniji od hakerskog napada nego tradicionalna lozinka. 4

38 Slika 1 Lozinka pomoću slike Slika je pohranjena na dvije lokacije u datotečnom sustavu: \ProgramData\Microsoft\Windows\SystemData\user SID\Read Only\PicturePassword \Users\user\AppData\Microsoft\Windows\PicturePassword 4. NOVI ARTEFAKTI Windows 10 operativni sustav ima ugrađene i neke nove funkcije i aplikacije, specifične samo njemu. Pojavom novih aplikacija nastaju i novi artefakti, koje je potrebno istražiti i razlučiti njihovu važnost te forenzički značaj, a nalaze se na lokaciji User\user\AppData\Local\Packages. Možemo razdvojiti aplikacije na one već integrirane u operativni sustav, kao što su Edge, Cortana, Windows trgovina, Mail, Photos, Maps, OneDrive, i na one koje je potrebno dodatno instalirati na računalo kao što su Microsoft Office alati, Skype, Twitter, Phone Companion, Neke od najbitnijih novih mogućnosti su: Edge Cortana Photos Notification centre Mail Skype Windows store Maps EDGE Microsoft Edge ili Spartan nasljednik je Internet Explorera u Windows 10 operativnom sustavu, iako Internet Explorer i dalje postoji. Nove značajke su integracija s Cortanom, direktno pretraživanje iz adresne trake, pisanje i podcrtavanje po webstranicama, središte koje sprema omiljene stranice, liste za čitanje, povijest pretraživanja, obilježene stranice, preuzete dokumente, bilješke, alati za upravljanje web stranicama itd. Bitno je napomenuti da spomenuti artefakti nisu pohranjeni isključivo na jednoj lokaciji, nego se nalaze u nekoliko različitih direktorija te da se artefakti od Cortane i Edge pretraživanja isprepliću i nalaze u oba paketa. 5

39 Podaci vezani za Edge pretraživač kao što su preuzeti zapisi, povijest pretraživanja, upute do odredišta na mapama, kolačići, liste za čitanje itd., spremaju se u paket koji sadrži poddirektorije na lokaciji \Users\user\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Korisničke postavke Edge pretraživača spremaju se u Spartan.edb bazu podataka \AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\xxxxx\DBStore\spartan.edb. Web pretraživanja spremaju se u bazu WebCacheV01.dat koja sadrži povijest pretraživanja, kolačiće, preuzimanja, označene stranice, bilješke, liste za čitanje te čak i popis web stranica posjećenih u InPrivate 1 načinu, na lokaciji: \Users\user\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat Za spremanje korisničkih podataka kao što su datum i vrijeme instalacije i prvog pokretanja Edge pretraživača, upisane poveznice, datum i vrijeme instalacije aplikacija, koristi se registar UsrClass.dat. Cache koji sadrži kopije stranice, slike ili drugi preuzeti sadržaj nalazi se na: \AC\MicrosoftEdge\Cache. Popis zadnje otvorenih kartica u Internet pregledniku nalazi se na lokaciji \AC\MicrosoftEdge\User\Default\Recovery\Active\. Svaka kartica pohranjena je individualno, u.dat formatu, s datumom i vremenom zadnjeg otvaranja. Podaci su spremljeni do idućeg pokretanja Edge pretraživača, kad se brišu postojeći zapisi i stvaraju novi. Liste za čitanje koje omogućuju korisniku da spremi i obilježi željene stranice za daljnje čitanje možemo naći na 3 lokacije unutar Edge paketa: \AC\#!001\MicrosoftEdge\User\Default\WebNotes \AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\xxxxx\DBStore\ReadingList\ \AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\xxxxx\DBStore\Spartan.edb\ Slika 2 Primjer liste za čitanje s dodanom bilješkom 24 sata Web bilješke dodane na stranicu sastoje se od nekoliko pojedinačnih zapisa: web stranica u.html obliku, stranica bez bilješki u obliku slike s.jpg ekstenzijom te same bilješke dodane na webstranicu u.jpg. Lokacija samog direktorija unutar Edge paketa je \AC\#!001\MicrosoftEdge\User\Default\WebNotes. Omiljene webstranice, uobičajeno one koje se često pregledavaju, nalaze se na lokacijama: \AC\MicrosoftEdge\User\Default\Favorites UsrClass.dat\LocalSettings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microso ft.microsoftedge_8wekyb3d8bbwe\microsoftedge FavOrder\Favorites\ 1 U teoriji ne sprema poveznice webstranica u povijest pretraživanja niti korisnička imena i lozinke 6

40 Slika 3 Favorizirane webstranice Kolačići su mali tekstualni zapisi za pojedinu webstranicu stvoreni u pregledniku od strane servera, koji sadržavaju informacije kojima webstranica pamti korisnika. Informacije spremljene u kolačićima se pri svakoj ponovnoj posjeti šalju nazad serveru. U kolačićima mogu biti korisničke preferencije, sadržaj košarice za kupovinu, duljina posjete određenoj stranici, višestruke posjete stranici... Oglašivači često koriste kolačiće za ciljano oglašavanje bazirano na npr. lokaciji ili interesima korisnika. Kolačići se spremaju unutar Edge paketa u direktorij \AC\MicrosoftEdge\Cookies. CORTANA Cortana je Microsoftov odgovor na Appleovu Siri, no nije dostupna u svim regijama. Cortana je digitalna osobna pomoćnica koja ima pristup lokalnim podacima, Windows trgovini, Internetu te sinkroniziranim mobilnim uređajima. Cortana koristi bing.com kao glavnu Internet tražilicu za generiranje rezultata baziranih na korisničkim upitima, pa sukladno s time rezultate sprema u Microsoft Edge povijest pretraživanja. Cortana ima brojne mogućnosti dostupne putem pisanih ili govornih naredbi, kao što su dodavanje događaja u kalendar, postavljanje podsjetnika, postavljanje alarma, slanje elektroničke pošte, reproduciranje glazbe, davanje uputa na kartama, izlistavanje činjenica, praćenje leta/paketa, pokretanje aplikacija, zvanje na mobilni uređaj i slanje SMS poruka, pisanje bilješki, traženje dokumenata po računalu, pričanje viceva Zbog brojnih mogućnosti Cortane, ona je izuzetno bitan izvor informacija za forenzičkog istražitelja jer sve prethodno navedene mogućnosti spremaju podatke i svaka radnja je zabilježena. Artefakti koji se mogu pronaći su poslana elektronička pošta, glasovne pretrage, naučene navike, odgovori na govorna ili pismena pitanja, postavljeni podsjetnici i alarmi, zakazani sastanci, upiti i rezultati Internet pretrage, identificiranje s kojim je uređajima sinkronizirana, preslušane pjesme, pregledani video zapisi, praćeni letovi, provjerene vremenske prognoze i vijesti, upiti za navigacijom te brojni drugi. S obzirom na integraciju Cortane i Edge pretraživača, artefakti proizvedeni korisničkim radnjama i međudjelovanjem te dvije aplikacije, nalaze se u oba paketa te u korisničkim registrima NTUSER.DAT i UsrClass.dat. Paket Cortana unutar kojeg se nalaze sve informacije vezane uz Cortanu nalazi se na lokaciji: \Users\user\AppData\Local\Packages\Microsoft.Cortana_cw5n1h2txyewy. Baze podataka u koje Cortana sprema korisničke podatke su IndexedDB.edb i CortanaCoreDb.dat na lokacijama: AppData\Indexed DB\IndexedDB.edb \LocalState\ESEDatabase_CortanaCoreInstance\CortanaCoreDb.dat Baze podataka se sastoje od tablica, a neke od tablica unutar CortanaCoreDB.dat relevantnih za forenzičke istražitelje jer sadrže artefakte kao što su privitci elektroničke pošte, kontakti, lokacijske informacije, metapodaci, obavijesti i podsjetnici su Attachments, Contact, Geofences, LocationTriggers, Metadata, Notification i Reminders. 7

41 Tekstualni zapisi glasovnih pretraga korisnika spremaju se RecentDocs te u.htm formatu pod nazivima speech_render[n].htm, slika 4, na lokaciji: \AC\INetCache\. Slika 4. Glasovna pretraga speech_render[1].htm: "Tell me a joke" Glasovne pretrage se spremaju u audio.wav formatu pod nazivima SpeechAudioFile_n.wav na lokaciji: \LocalState\LocalRecorder\Speech\SpeechAudioFile_n.wav. Prijedlozi za pomoć pri pretraživanju daju prijedloge pretraživanja korisniku tijekom upisivanja pojma u tražilicu, slika 5. Spremljeni su u obliku suggestions*.json na lokaciji: \AC\INetCache\. Slika 5 SuggestionsZOIF66KH.json Kontakti elektroničke pošte kojima Cortana pristupa spremljeni su na lokaciji: \LocalState\Contacts\contacts.json. PHOTOS Photos aplikacija zamijenila je Windows Photo Viewer. Omogućava pregledavanje i stvaranje fotoalbuma, modificiranje i dijeljenje fotografija. Photos objedinjuje fotografije sa svih sinkroniziranih uređaja i sinkronizira sadržaj s OneDriveom. OneDrive je servis koji omogućava pohranu podataka na mreži. Photos aplikacija sprema podatke u baze podataka MediaDb.v1.sqlite, MediaDb.v1.sqlite-shm i MediaDb.v1.sqlite-wal. Paket Photos nalazi se na lokaciji: \Users\user\AppData\Local\Packages\Microsoft.Windows.Photos_8wekyb3d8bbwe NOTIFICATION CENTRE Obavještajni centar sadrži obavijesti o događajima u stvarnom vremenu. Ti događaji mogu biti dospjela elektronička pošta, nedavni tweetovi, kalendarski podsjetnici, obavijesti o napretku instalacije, najnovije nadogradnje aplikacija, vijesti Nazivaju se još i tost obavijesti jer iskaču kao tost iz tostera. Baza podataka koja sadrži popis obavijesti nalazi se u direktoriju: \Users\user\AppData\Local\Microsoft\Windows\Notification\appdb.dat. Unutar tog direktorija nalaze se direktorij wpnidm u kojem su popratne slike uz pojedinu obavijest. 8

42 MAIL Slika 2 Primjer obavijesti Mail aplikacija novi je klijent elektroničke pošte integriran u Windows 10. Podržava standardne sustave kao što su Outlook.com, Exchange, Gmail, Yahoo!, icloud, POP i IMAP. Sinkroniziran je s obavještajnim centrom, što znači da korisnik dobiva obavijest o novo pristigloj pošti u obavještajnom centru te od tamo može i odgovoriti na poštu. Podaci su sinkronizirani između uređaja. Artefakti elektroničke pošte mogu biti od iznimne važnosti forenzičkim istražiteljima jer se tamo mogu pronaći npr. razmijenjene fotografije dječje pornografije, prepiske dogovora o kupnji oružja, upućene prijetnje, ugovoreni sastanci, popis osoba s kojim je osumnjičeni bio u kontaktu Tekst pošte nalazi se u sljedećem direktoriju: \Users\user_name\AppData\Local\Comms\Unistore\data\. Metapodaci, kao što su privitci, informacije o kontaktima, sastanci, zaglavlja elektroničke pošte, spremaju se u store.vol bazu podataka u sljedeći direktorij: \Users\user_name\AppData\Local\Comms\UnistoreDB\store.vol. Store.vol sastoji se od nekoliko tablica, od kojih su najbitnije AggregateContact, Appointment, Attachment i Contact. SKYPE Skype je jedna od najpopularnijih aplikacija za razgovor preko IP protokola (VoIP). Rekonstrukcija razmjene podataka i obavljenih razgovora od iznimne je važnosti forenzičkim istražiteljima jer se mogu pronaći dokazi npr. dogovora otmice, preprodaje djece, poslane fotografije i video zapisi dječje pornografije, dogovaranje hakerskog napada... U Windows 10 operativnom sustavu potrebno ju je dodatno instalirati, a podaci se pohranjuju na lokaciji \Users\user\AppData\Local\Packages\Microsoft.SkypeApp_kzf8qxf38zg5c. Baza podataka Main.db u koju se pohranjuju podaci o korisničkim računima, pozivima, kontaktima, sudionicima u razgovoru, prepiske razgovora, poslani dokumenti, nalazi se u direktoriju Users\user\AppData\Roaming\Skype te u direktorijima od pripadajućeg korisnika \Users\user\AppData\Roaming\Skype\user_name\chatsync\. Na navedenoj lokaciji nalazi se po jedan direktorij za svaki obavljeni razgovor tog korisnika u kojem se nalazi datoteka.dat s prepiskom razgovora i korisničkim imenima. Primljeni dokumenti nalaze se u direktoriju Users\user\AppData\Roaming\Skype\My Skype Received Files. 9

43 WINDOWS TRGOVINA Slika 3 Rekonstrukcija Skype razgovora Windows trgovina platforma je za preuzimanje i kupovinu aplikacija, slično kao AppStore na Appleovim uređajima ili Google Play. Windows trgovina služi za preuzimanje aplikacija koje nisu integrirane u operativni sustav, kao što je na primjer Facebook, Netflix... Popis instaliranih aplikacija od velikog je forenzičkog značaja jer postoje mnoge aplikacije kojima se mogu izvršiti ili prikriti kriminalne radnje, kao što su npr. aplikacije za skrivanje fotografija, alati za enkripciju, skeniranje LAN i WiFi mreža, dodavanje virusa i zločudnih kodova Zapisi događaja vezanih za Windows trgovinu nalaze se \Windows\System32\winevt\Logs\Microsoft-Windows-Store%4Operational.evtx. Registar u kojem je lista instaliranih aplikacija nalazi se na HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applic ations\, a lista izbrisanih aplikacija na HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Delete d\ MAPE Aplikacija je integrirana u Windows 10 operativni sustav. Koristi GPS koordinate za praćenje lokacije računala, spremljenih uputa, preuzete mape, povijest posjećenih lokacija te označena mjesta i adrese. Nedavno posjećena mjesta spremljena su u \Users\user_name\AppData\Local\Packages\Microsoft.WindowsMaps_xxxx\LocalState\Graph\xxxx\Me\ ttl, slika 8. 10

44 5. ZAKLJUČAK Slika 4 Označena mjesta U ovom radu dan je kratak osvrt na bitne artefakte koje ovisno o tipu istrage forenzički istražitelji moraju uzeti u obzir prilikom istrage. Ukratko su navedeni artefakti vezani uz sve Windows operativne sustave te dan njihov forenzički značaj i lokacije u samom datotečnom sustavu. Nakon toga navedene su nove značajke koje su došle s pojavom novog operativnog sustava, Windows 10, a koje su od potencijalnog velikog značaja forenzičkim istražiteljima jer obiluju važnim informacijama o mogućim inkriminirajućim radnjama te se mogu iskoristiti kao neosporivi dokazi na sudu protiv osumnjičenika. S obzirom da je Windows 10 najnoviji sustav, on je još uvijek relativno slabo dokumentiran. Očekuju se periodična unapređenja koja potencijalno mogu promijeniti strukturu i lokacije podataka u datotečnom sustavu, pa je potrebno uzeti lokacije navedene u radu s rezervom, konstantno pratiti službenu dokumentaciju i educirati se o promjenama u sustavu. Također, zbog nepodržanosti forenzičkih alata s novim sustavom, moguće je da alati neće ispravno prikazivati i prepoznavati informacije, stoga je preporučljivo koristiti nekoliko različitih alata za analizu. LITERATURA [1] Patrick Leahy Center for Digital Investigation, Windows 10 Forensics, Champlain College, 4/2015. [2] Patrick Leahy Center for Digital Investigation, Windows 10 Forensics, Champlain College, 02/2016. [3] Rob Attoe, Windows 10 Overview [4] James Gratchoff, Guido Kroon, Project Spartan Forensics, University of Amsterdam, 04/2015 [5] Paul Thurrott, Rafael Rivera, Martin McClean, Windows 10 Field Guide, 07/2015 [6] Brent Muir, Windows 10 Forensics OS Evidentiary Artefacts,

45 Sadržaj Bezbednosni izazovi - Kiber prostor i informaciono ratovanje Security challenges - Cyber space and information warfare dr Hatidža Beriša, kapetan fregate Igor Barišić 1 Univezitet odbrane u Beogradu, Vojna akademija, Beograd hatidza.berisa@mod.gov.rs Apstrakt: Informaciona tehnologija je donela suštinske promene u sve pore društvenog života, pretvarajući digitalni univerzum u vitalni resurs koji omogućava nove načine komuniciranja, informisanja, obrazovanja rada i zabave. Sve veća zavisnost društva i vojnih snaga od informacione tehnologije stvara brojne slabe tačke. Zbog tih kritičkih tačaka kao i zbog naglašene kompleksnosti i čvrste međuzavisnosti nacionalne strukture koje povezuju, pokreću i opslužuju računare i računarske mreže, postale su izričito osetljive i ako se organizovano napadnu mogu da izazovu značajan poremećaj ili destrukciju. Kroz rad će se sagledati da je kiber prostor od ključne važnosti za sveukupnu nacionalnu bezbednost svake države, posebno za odbrambenu komponentu koja je jedan od najjačih alata za odbranu nacionalnih interesa države. Ključne reči: bezbednost, kiber prostor, kiber rat, informaciona tehnologija, informaciono ratovanje. Abstract: Information technology has brought fundamental changes in all spheres of social life, transforming the digital universe in a vital resource that enables new ways of communication, information, education and work opportunities. The increasing dependence of society and the military power of information technology generates a number of weak points. Because of these critical points as well as due to the highly complexity and interdependence of solid national structures that connect, move and servicing computers and computer networks have become specifically sensitive and if an organized attack can cause significant disruption or destruction. Through the work will be seen that cyberspace is critical for the overall national security of any country, especially in the defensive component, which is one of the most powerful tools for the defense of national interests. Key words: security, cyberspace, cyber warfare, information technology, information warfa. 1. UVOD Jedna od najvećih pojava u razvoju lјudskog roda, gotovo kao njegova zakonitost, jeste rat. Odavno, a i danas je to očigledno, sporno pitanje između država, društvenih grupa i drugih organizacionih grupa i drugih organizacija lјudskih zajednica osim na bojnom polјu prenose se i razrešavaju u drugim sferama: političkoj, medijskoj, naučnoj, kulturnoj, sportskoj, informativnoj, informatičkoj, ekonomskoj sferi, međunarodnog prava, komunikativnoj sferi itd. Iako cilјevi i oblici sukoba ostaju isti, promene se događaju proširivanjem sfere i primenom novih metoda i sredstava. Jedna od karakteristika savremenog rata jeste disporpocija sukoblјenih (zaraćenih) strana, u svim elementima koji rat kao društvenu pojavu karakterišu, kao što su: cilјevi, snage i sredstva, prostor, vreme, način vođenja operacija i sl. Neravnoteža snaga je, po pravilu, ono čemu se stremi u oržanim sukobima. Drugim rečima, to znači da se rat vodi između strana koje se veoma razlikuju po količini moći kojom raspoložu. Takvi ratovi se nazivaju i asimetrični. Na jednoj strani je moć izražena u količini žive sile, borbenim sistemima sa njihovim borbenim i vatrenim mogućnostima, ekonomskim i privrednim potencijalima, kontroli medija za masovno komuniciranje, širokoj podršci sa druge strane, ograničeni broj ratnika, ali odlučnih u svojim namerama. Slikovito, jedna struktura koja raspolože različitim moćima za vođenje rata može se prikazati 1 Nastavnici u Školi nacionalne odbrane, Vojna akademija, hatidza.berisa@mod.gov.rs

46 u vidu koncentričnih krugova, čiji uticaj i učešće u ratnim dejstvima različiti, ali bez kojih se rat ne bi mogao ni voditi, a još da će budući ratovi imati najmanje dve forme: formu, koja se oslanja na visoko precizno oružje, koje može da deluje sa velike distance, uklјučujići i svemir i formu rata koja se upravo rađa i koja će biti jedinstvena. Iako se danas još uvek prisutne teškoće u sagledavanju skupa aktivnosti koje konstituiše ovu novu formu rata i ako je teško sagledati i označiti sve aspekte ove forme budućeg ratovanja, sigurno je da će informaciona tehnologija oblikovati ovu formu, i da će bojište biti u domenu kiber prostora. Kib prostor, na prvi pogled deluje nematerijalan i neopiplјiv, ali je to samo privid jer ono što čini njegov tehnički deo, a to su računarski uređaji i ono što ih povezuje, je takođe materijalno. Pored vojnog aspekta, kiber prostor je prisutan i u drugim sferama postojanja, života i rada, kako pojedinaca, tako i društva i država, čime je i poprište za razne oblike ugrožavanja bezbednosti pojedinca, društva i na kraju država. 2. KIBER PROSTOR Pojam kiber (cyber) potiče od grčkog jezika (kybernetes) ima značenje onaj koji upravlјa ili vlada, a u modernoj formi se prvi put pojavlјuje godine u knjizi matematičara Norberta Vajnera 2 u kojoj opisuje kontrolu i komunikacije u životinjskom i matematičkom svetu. Ipak, potrebno je definisati pojam u domenu njegove upotrebe, koji je u ovom slučaju svet računara i računarskih mreža, kao i razumeti procese tog sveta u njihovu interakciju sa problemima nacionalne bezbednosti. 3 Od prve pojave kiber odnosno kiber prostora ne postoji univerzalno prihvaćena definicija, značenje ovog pojma trpelo je izmene. Možda se definicija američkog ministarstva odbrane može prihvatiti kao najcitiranija u stručnoj vojnoj literaturi: Kiber prostor je globalno područje u okviru informacionog okruženja koje sačinjava međuzavisna mreža infrastrukture informacionih tehnologija, uklјučujući internet, telekomunikacione mreže, računarske sisteme i ugrađene procesore i kontrolere. 4 Kao i za mnoge druge pojmove, i za ovaj pojam ne postoji jedna opšte prihvaćena definicija, a kako se izraz cyberspace prvo pojavio u SAD, kao sasvim odgovarajuća definicija ovog pojma može se uzeti ona iz rečnika National Information Assurance (IA) Clossary izdatog od Committee on National Security Sistems SAD, po kojoj je cyberspace, odnosno kiber prostor, čiji su sinonimi, između ostalih, digitalni svet i virtuelni svet, je svet diskretnih matemačkih vrednosti, obično jedinica i nula na najnižem nivou, koji pokreće računare i mreže i mogu da se koriste za predstavljanje fizičkog sveta. To je uglavnom van vremena i prostora, osim ako se 2 Kibernetika je naučna disciplina koja izučava mehanizme kojima lјudi, životinje i mašine komuniciraju sa spolјašnjim ambijentom i kontrolišu ga. Ona je multidisciplinarna nauka koja je tesno povezana sa drugim disciplinama i tehnologijama: filozofijom, psihologijom, matematikom, biologijom, fizikom, veštačkom inteligencijom, teorijom kontrole, teorijom komunikacije, robotikom. Kibernetika posebno izučava mehanizme komunikacije i interakcije kod živih bića, u cilјu bolјeg upoznavanja, ali i stvaranja modela koji mogu biti veštački reprodukovani. Viner je upotrebio termin kibernetika u težnji da nađe odgovarajući naziv za opis polјa kontrole, reč timonier (grč. kybernetes) učinila mu se primerenom. U prevodu na engleski jezik dobija se neologizam cybernetics. 3 Kao kontrast kopnu, moru, vazdušnom prostoru, svemiru ili elektromagnetnom spetkru, kiber prostor nije deo prirode i ne bi postojao bez informcionih tehnologija razvijenih u poslednjih par decenija. 4 Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms, internet pristup

47 primenjuje na fizički objekat preko interfejsa na analogni svet. 5 Kiber prostor 6 je sastavlјen od svih računarskih mreža u svetu kao i od krajnjih korisnika koji se povezuju preko tih mreža. Danas poznati Interent je samo deo kiber prostora jer su mnoge mreže dizajnirane i pravlјene sa specifičnim namenama i cilјevima i kao takve su u određenoj meri izolovane od Interneta. Kiber prostor je strukturalno sastavlјen od tri sloja: - fizički (infrastruktura, prenosni mediji, mrežni uređaj itd) - softverski sloj (sistemi instrukcija programiranih od strane lјudi) i - sloj podataka (mašine kreiraju i prenose podatke i pretvaraju u informacije). Kao takav, kiber prostor ima visok nivo kompleksnosti i podložan je rapidnim promenama. Na osnovu navdenog, kiber prostor možemo definisati kao: međusobno povezane mreže sa infrastrukturom informacionih tehnologija, uklјučujući Internet, telekomunikacione mreže, mreže specifične nmene, računare i računarske sisteme. 7 Uslovi za uspešan kiber napad su: 8 - poznavanje cilјanog sistema, uklјučujući funkcije, servise, konfiguraciju, politike i alate zaštite i administriranje; - efikasno korišćenje programa koji će automatski eksploatisati ranjivosti za provalјivanje u računar (ti programi su poznati pod nazivom ''exploits''); - kapacitet napadača da prikrije svoje tragove da bi izbegao mogućnost da bude detektovan i praćen; - brzina napada čime se smanjuje mogućnost da se za preduzetim merama zaštite zakasni. Kod kiber napada, napadač prvo prikuplјa informacije i traži potencijalne ranjivosti cilјanog sistema radi dobijanja maksimalne količine informacija za buduću eksploataciju. On istražuje mehanizme i nivoe zaštite koji se koriste za identifikaciju, autentifikaciju, kontrolu pristupa, enkripciju i nadzor. On identifikuje tehničke, organizacione i lјudske slabosti u cilјanom sistemu. Potencijalni napadači takođe traže i eksploatišu bezbednosne ranjivosti koje još nisu ''zakrplјene'' (patched). Koristi sve raspoložive resurse (attack libraries, attack toolkits...) a tokom povlačenja nastoji da prikrije tragove napada kako da se ne bi bio otkriven. Podaci i informacije koje se procesuiraju i skladište putem računara i prenose putem mreža su takođe sastavni deo kiber prostora. Samim tim, kiber napad predstavlјa virtuelni sukob iniciran politički motivisanim napadom na računarske i informacione sisteme protivnika KIBER RAT Kiber rat 9 su napadi na računske sisteme koji prouzrokuju gubitak lјudskih života i gubitak ili uništenje imovine, a napad izvodi država protiv države. Prema mišlјenju eksperata SAD, što je pretočeno u 5 Slobodan Petrović, Trojstvo kiber napad, _ 6 Vera Tasić i Ivan Bauer u Rečniku kompjuterskih termina, Mikro knjiga, Beograd 2003, str. 125, kiber prostor definišu kao okruženje virtuelne realnosti (kao što je Internet) u kome osobe komuniciraju pomoću povezanih računara. 7 Lior Tabansky Bašić Conceptin Cyber Warfare 8 Dejan Vuletić, Odbrana od pretnji u sajber prostoru, Institut za strategijska istraživanja, Beograd, 2011, str Sajber ratovanje je vrsta neprijatelјske aktivnosti preduzeta protiv računarskih mreža, računarskih sistema i baza podataka sa cilјem degradiranja ili uništavanja cilјanih sistema. Na taj način cilјani sistemi mogu biti neupotreblјivi, 3

48 strateško-doktrinarne dokumente SAD, kiber rat je politički motivisano upadanje u računarske mreže radi oštećivanja ili uništavanja informacije i špijunaže. To je oblik informacionog ratovanja, a Pentagon je kiber prostor priznao kao potpuno novi domen u ratovanju, koji je od klјučnog značaja za vojne operacije na Zemlјi, na moru, u vazduhu i kosmosu. Napad u kiber prostoru na resurse SAD, svojevremeno da li državne, civilne ili privatne, smatrale se činom klasičnog rata, a jednako se tretira napad pojedinca, grupe, organizacije ili države KIBER TERORIZAM Kiber terorizam je bilo koja unapred planirana, politički motivisana akcija (napad) na informacije, računarske sisteme, računarske programe i podatke koje može rezltovati i manifestovati se od strane podnacionalnih grupa ili stranih ageneta, a često se poistovećuje sa elektronskim terorizmom ili informacionim ratovanjem. U odnosu na napade virusa ili računarskog napada koji kao rezultat daje nedostupnost određenih servisa, kiber teroristički napad je dizajniran da nanese fizičko nasilјe i ekstremnu finansijsku štetu. Moguće mete kiber terorizma su: bankarska sektor, vojna postrojenja, elektrane, kontrola letova, vodovodni sistemi i dr KIBER KRIMINAL Kiber kriminal je delovanje pojedinaca ili grupe lјudi u kome se putem računara napadaju računarski sistemi, narušava integritet računskih sistema, raspoloživost podataka na njima, neovlašćeno se menjaju, oštećuju ili uzimaju podaci iz računarskih sistema, naruštavaju autorska prava u elektronskoj sferi, krade identitet sa elektronskih medija i distribuira dečija pornografija, a motiv za ovo delovanje su ekonomski. 10 Praktični i najčešći kiber kriminal su industrijska špijunaža, krađa identiteta i zloupotreba platnih kartica, distribucija dečije pornografije u elektronskom obliku i softverska piraterija. Ove aktivnosti izvode pojedinci ili organizovane grupe, a oštećena strana su pojedinci, društvene organizacije, privredne organizacije (finansijske, industrijske, softverske i dr.) i državni organi. 3. INFORMACIONO RATOVANјE Ekspanzija informacionog ratovanja počinje u XX veku sa razvojem savremenih tehnologija. Razvoj informatičke tehologije omogućio je takva dostignuća u naoružanju i pratećoj opremi da je revolucionarno promenjen i sam način ratovanja. Pored dva glavna pristupa definisanja ovog pojma, informacioni sistemi i lјudski um, informaciono ratovanje se definiše kao niz akcija preduzetih u toku konflikata u cilјu ostvarivanja informacione prevlasti nad protivnikom. Šira definicija ovog pojma je integrisana primena dejstva obezbeđivanja, vojnog dezorjentisanja, psiholoških dejstva, elektronskih dejstva i fizičkog razaranja radi sprečavanja i kontrole (C²) koje mogu biti degradirane ili uništene, a istovremeno i zaštitu sopstvenih mogućnosti (C²) od sličnih akcija. degradiranih performansi što može uticati na komandanta da donese lošu odluku usled nedostatka informacija. Stytz M., Cyberwarfare Distributed Training, Military Technology (MILTECH), 11/2006, p Marco Gercke Institute Prezentacija sa NATO seminara, Cyber Terrrorism održanog od Ankara, Turska. 4

49 Osnovna specifičnost informacionog ratovanja 11 je da bojište informacionog ratovanja nije fizički, već virtualni, a potencijalni ratnici na ovom bojištu mogu biti državni organi, vojne organizacije, teroristi, industrijski konkurenti, hakeri i dr. Svaki od ovih protivnika je motivisan različitim cilјevima, ograničen različitim nivoima resursa, sopstvenim mogunostima i mogućnostima da se brani KIBER ORUŽJA, ODBRANA I NAPADI Kiber oružja su uglavnom sastavlјena od softvera mada neretko i od hardvera i dele se u tri grupe: - nedvosmisleno ofanzivna softverska oružja kao što su virusi, crvi, trojaci, logičke bombe i sl, - alati dvojne upotrebe kao što programi za nadledanje mreža skeniranje ranjivosti, testiranje prodora, enkrenaciju i kamuflažu sadržaja i - nedvosmisleno defanzivna oružja kao što su antivirsni programi, fajervolovi i sistemi za oporavak. Nakon ranije navedenih pojašnjenja i dalјe se postavalјa pitanje: koje je to konkretno delovanje ili radanja koja može da se okarakteriše kao čin kiber rata?. To ostaje i dalјe nerazjašnjeno jer trenutno u svetu ne postoji pravni entitet pod nazivom kiber rat. Ostaje jedino pravo jedne nacije da se odbrani kad je napadnuto a i tada se odnosi uglavnom na kinetičko teritorijalna ratovanja širokih razmera. Uzevši u obzir potencijalno katastrofalne posledice po kritičnu infrastrukturu 12 koje kiber napad može da prouzrokuje, za jednu državu, sposobnost da se odbrani postaje imperativ. Najefikasniji način zaštite jeste slojevita (aktivna i pasivna) odbrana. Aktivna odbrana podrazumeva elektronske kontramere dizajnirane tako da napadaju računarske sisteme sa kojih se vrši kiber napad, ili da se aktivira ručno od strane stručnjaka za informacionu bezbednost. Uglavnom se upotreba aktivne odbrane prikriva i klasifikovana je kao strogo poverlјiva, baš iz razloga što se šalјu razorni virusi i maliciozni softverski paketi računarima kiber napadača. S druge strane, pasivna odbrana podrazumeva standardizovane oblike zaštite računarskih mreža kao što su kontrola pristupa sistemu, kontrola pristupa podacima, bezbednosno administriranje i dizajniranje sigurnosti sistema. Međutim, države s namerom koncipiraju svoju računarsku odbranu na samo pasivnu komponentu iz straha da aktivnom odbranom krše međunarodno ratno pravo. Shodno tome, države danas moraju da primenjuju pravo na sledećoj analogiji: ili da izjednače kiber napade sa tradicionalnim oružanim napadima i da na njih odgovaraju u duhu ratnog prava, ili da ih izjednače sa kriminalnim aktivnostima i da na njih odgovaraju prema sopstvenim krivičnim pravu. Danas u svetu države uglavnom podržavaju stav da kiber napade tretiraju kao kriminalnu aktivnost, iz razloga što ratno pravo zahteva da se strana vlada ili njeni agenti odgovorni za čin napada, pre nego što se odgovori adekvatnom primenom sili. Samim tim, države se oslanjaju na pasivnu odbranu i na sopstveni krivični zakon, koji se često pokazao kao neefikasan jer je nekoliko velikih država odbilo ekstradiciju i sudsko procesuiranje uhvaćenih kiber napadača. Uzevši u obzir ove probleme, kao i preovlađujuće tumačenje ratnog prava, države se danas nalaze u svojevrssnoj krizi odgovora tokom kiber napada i bivaju primorane da se odluče između efikasne ali 11 U mnoštvo definicija, najprikladnija je definicija Ričarda Šafranskog, prema kojoj je «informaciono ratovanje aktivnost uperana protiv bilo kojejeg dela sistema znanja i verovanja protivnika. Bez obzira na to da li se vodi protiv spolјnog protivnika ili unutrašnjih grupa, informaciono ratovanje ima krajnji cilј da upotrebi informaciona oružja primeni (utiče, manipuliše, napadne) sistem znanja i verovanja nekog spolјnog protivnika. 12 Kritična infrastruktura predstavlјa klјučne sektore u informaciono-elekomunikacionim resursima, energetskim sistemima, bankarskim i finansijskim uslužnim servisima i javnoj administraciji i dr. 5

50 verovatno nelegalne aktivne odbrane ili manje efikasne ali legalne pasivne odbrane i sopstvenu krivično pravnu regulativu KIBER DEJSTVA Kiber napad ima razne forme ali najzastuplјenije su sledeće: - dobiti ili pokušati da se dobije neautorizovani pristup računarskim sistemima ili njihovim podacima, - neželјeni prekid rada ili napadi koji blokiraju pristup, uklјučujući i napade koji blokiraju kopletne internet sajtove. - instalacija virusa ili malicioznog koda na računarske sisteme, - izmena karakteristika računarskog softvera hardvera ili drajverskih komponenti, bez znanja i saglasnosti korisnika. Kiber napad ne uklјučuje kinetičku štetu po fizičku infrastrukuru kiber prostora. Za dejstva u kiber prostoru koriste se kiber alati, a korišćeno oružja su softver i hardver. Ipak, sama identifikacija kiber napada nije jednostavna. Simptomi slučajnih grešaka i mogućih neautorizovanih upada u računarske sisteme su često identični, a čak i kad se isklјuči mogučnosti tehničke greške, identifikacija napada nije dovolјna. Ovakva vrsta napada otvara mnoge mogućnosti za dalјu eksploataciju računarskih resursa u korist napadača. Savremeni računarski sistemi i njihovi tehnički administratori moraju biti u stanju da razlikuju sistemetske greške u realnom vremenu sa spremnom proceduralnom taktikom za odbranu KIBER NAPADAČI S obzirom na izrazitu dinamiku i brzinu evolucije kiber prostor, možemo prepoznati više različitih tipova napadača. 13 : - haktivisti - individualci koji napadaju interent sajtove, sa cilјem podmetanjenja političkih poruka ili razotkrivanja tajni i cenzura, - hakeri - individualci koji koristeći računarske mreže upadaju u računarske sisteme sa udalјenih lokacija i tako dobijaju pristup određenim podacima, - programeri koji stvaraju viruse i maliciozne softvere sakuplјači ličnih korisničkih podataka radi krađe identiteta i kasnije eksploatacije, - botnet kreatori - individualci koji upadaju u računarske sisteme bez znanja korisnika i stiču delimičnu mrežu koju će iskoristiti za neke buduće napade, - zaposleni koji su pripadali unutrašnjem krugu neke zatvorene organizacije - pretnja iznutra. Neke firme imaju zasebne računarske mreže i samo određeni lјudi imaju pravo pristupa, koji kada recimo dobijaju otkaz, postaju idealni za napad iznutra. Kritične infrastrukture kao što su proizvodnja i dostavlјanje energije, hrane, transport kopnom, vodom i vazduhom, kanalizacioni, komunikacioni i drugi sistemi, postojali su u razvijenim državama i pre pojave računara i računarskih sistema. Sa njihovim prodorom u svaki aspekt života čoveka, kiber prostor je postao od esencijalnog značaja za funkcionisanje jedne razvijene države. Posmatrana kao lјudsko telo, država ima svoj nervni sistem, a to je upravo kiber prostor. Iz tog razloga, postalo je neophodno obezbediti sigurne, otporne i neprekidne aktivnosti u kiber prostoru i to dostupne svim slojevima stanovništva. Takođe, sa razvojem informacionih tehnologija, računari su integrisani u postojeće 13 Vince Farhat, Bridget McCarty and Richard Raysman Holland&Knigh, LLP, Cyber Attaciks: Prevention and Proactive Rasponses 6

51 rukovođenje, proizvodnju i sisteme kontrole klasičnih industrijskih postrojenja. Kiber sloj, sa svojim visokim nivoom kompleksnosti, postao je izrazito prisutan u ionako kompleksnim inžinjerskim sistemima,tako da je stara infrastruktura postavlјena u kiber prostoru i time postala ranjiva na kiber napade. Najveća pretnja jeste nanošenje štete stvarnom, fizičkom funkcionisanju kritične infrastrukture, skrivajući identitet napadača, bez straha od odmazde, zaobilazeći tradicionalne vojne odbrambene sisteme koji štite fizički prostor KIBER ODBRANA Mogućnosti za kiber ratovanje ne nestaju ni ukoliko su hardver, njegov mašinski softver (firmware) i klijentski softver dobro dizajnirani, usled neusaglašenih standarda između proizvođača, oni mogu biti međusobno nekompatibilni i stoga podložni kiber napadima. Podložnost proizvoda informacionotehnološke industrije kiber napadima je visoka, jer se oni stvaraju istim programskim jezicima, tehnološkim postupcima i programerskim alatima što automatizuje proces stvaranja, a nedostatak je što se unificiraju i slabosti. Odbrana od kiber napada je dugotrajan proces i zahteva znatne finansijske i lјudske resurse. 14 Prevashodno je bitna kontinuirana i visokospecijalizovana edukacija profesionalaca za kiber bezbednost. Obzirom na važnost ovog profila kadra, nužno je školovati, regrutovati i zadržati eksperte iz domena kiber bezbednosti na univerzitetima i istraživačkim institucijama. Podizanje široke bezbednosne kulture stanovništa u smislu podizanja svesti o opasnostima u kiber prostoru i pravilima dobrog ponašanja je neophodno dugoročno i sistematski sprovoditi, a naročito kroz osavremenjavanje nastavno-obrazovnih sadržaja tokom osnovnog i srednjeg obrazovanja. S obzirom na brze i neprekidne promene u ovoj oblasti, dodatna novčana podrška za realizaciju intezivnih i neprekidnih istraživanja novih tehnologija zaštite u međusobnoj saradnji instituta, fakulteta i privrednog sektora su od vitalne važnosti. U organizacionom smislu potrebno je minimalno oformiti Tim za odgovor na incident (Computer Incident Response Team CIRT, Computer Emergency Response Team CERT), odnosno jedan centralni autoritet koji bi koordinirao odgovorom na nacionalnom nivou. U načelu nacionalni tim za odgovor na incident čini grupa eksperata za informacionu bezbednost koji proučavaju ranjivosti računarskih sistema. Nužno je podsticati razmenu informacija i saradnju između privatnog i državnog sektora. Potrebno je, preporukama, inicijativama ili zakonskim regulativama obavezati institucije u oba sektora da se pridržavaju određenih mera zaštite informacija i sistema. U tehničkom smislu prilikom dizajniranja sistema potrebno je implementirati višestruke, nezavisne tehnologije zaštite (Firewall se koristi kao filter za autorizovane korisnike; lozinka za identifikaciju korisnika, enkripcija sprečava oticanje podataka, bekapovanje i rikaveri opcije su značajne ako su sve barijere probijene i uništeni ili modifikovani podaci). 15 Postavlјanje senzora na pravo mesto je od izuzetne važnosti. Idealno bi bilo da se kontroliše celokupan saobraćaj ali je problem ogromna količina podataka. Smanjenje podataka kroz korelaciju, fuziju i vizuelizaciju može biti korisna u lociranju problema. Osnovna komponenta svakog sistema nadgledanja je senzor. Senzor je uređaj ili program koji snima i reaguje na određene događaje, u našem slučaju mrežni saobraćaj na računarskim mrežama. Postoje različiti tipovi sistema za nadgledanje saobraćaja sa različitim 14 Dejan Vuletić, Odbrana od pretnji u sajber prostoru, Institut za strategijska istraživanja, Beograd, 2011, str Lech Janczewski, Andrew Colarik, Cyber Warfare and Cyber Terrorism, IGI Global, Hersey (USA), 2008, str

52 funkcijama kao što su snimanje, prikuplјanje, filtriranje i alarmiranje. 16 Elastičnost (sposobnost vraćanja u prethodno stanje) i robustnost sistema (da u slučaju napada ne dođe do degradacije ili pada celokupnog sistema), redundantnost (multipliciranje klјučnih komponenti i informacija), brz oporavak i rekonstrukcija, segmentacija (da određeni delovi budu autonomni), centralno upravlјanje informacionim resursima, raspolaganje sistemima za odgovor na incident su, takođe, veoma značajni. 4. ZAKLЈUČAK Informacione tehnologije predstavlјaju suštinu moći kojom velike sile, ostvaruju informacionu superiornost. Širina i dubina bojnog polјa su povećane i sve veća preciznost i destruktivnost konvencionalne municije su još više istakle važnost informacija do tačke gde bi prevlast samo sa ovog aspekta mogla sposobnim praktičarima da pruži odlučujući doprinos u oružanom sukobu. Nema sumnje da će uzajmni kiber napadi i dalјe da se sprovode, bez obzira na napore vlada i državnih vrhova da pobolјšaju bezbednost u kiber prostoru i odbranu od kiber napada unutar svojih informacionih mreža. Budući konflikti uklјučiće nove entitete na geopolitičkom planu, kao što su nezavisni hakeri, hakeri koje sponzoriše sama država, kiber kriminalci i kiber teroristi. Bojno polјe se drastično promenilo, sukobi se primarno vode u virtuelnom okruženju i u nematerijalnom globalnim mrežama gde je koncept vremena promenjen jer napad je trenutan i nepredvidlјiv. Kiber napadi su asimetrične prirode i element iznenađenja je od vitalnog značaja, stavlјajući u prvi plan mere odvraćanja od samog kiber napada. Najveći problem leži u tome da je kiber ratovanje veoma evolutivne prirode i da se menja iz dana u dan. Samo ona nacija koja je spremna da se posveti i investira u ovu oblast može, postati superiorna u odnosu na ostatak sveta, ali se opravdano postavlјa pitanje da li se uopšte ovaj prostor može u potpunosti kontrolisati od strane bilo koga. Razvoj savremenih informaciono-komunikacionih tehnologija i pojava kiber prostora nesumnjivo predstavlјa jedno od najvećih civilizacijskih dostignuća. Zahvalјujući kiber prostoru, gotovo celokupno znanje je već sad dostupno svim članovima lјudskog društva. Bez kiber prostora pojednici gube bitku na tržištu znanja, privrede i ekonomije konkurentnost, državna uprava je skupa i ne pruža kvalitetne servise građanima. Zbog kontinuiranog trenda sve veće zavisnosti svih društvenih delatnosti od kiber prostora i informaciono-komunikacionih tehnologija, bezbednosni izazov u kiber prostoru je neporeciv, sada i u budućnosti. Osnovni izvori bezbednosnih pretnji su u samim korenima kiber prostora i oni su posledica prihvaćenih principa pri izgradnji Interneta i razvoju internet tehnologija. Oni su omogućili njegov brz rast, ali su postali i uzrok mnogobrojnih problema u području bezbednosti. S toga mišlјenje je, da gotovo sigurno u bliskoj budućnosti kiber prostor ne može postati u potpunosti bezbedno mesto i rizici će postojati. Samo kontinuirani napori na edukaciji stručnjaka, podizanja bezbednosne kulture u kiber prostoru, pametno osmišlјene i neprekidno adaptivne tehnološke, organizacione i regulatorne mere mogu smanjiti rizike na prihvatlјiv nivo i u krajnjem slučaju kiber prostor zadržati na lestvici civilizacijkog progresa a ne njegove destrukcije. 5. LITERATURA: [1] Vince Farhat, Bridget McCarty and Richard Raysman Holland&Knigh, LLP, Cyber Attaciks: Prevention and Proactive Rasponses, [2] Vuletić, D.: Odbrana od pretnji u sajber prostoru, Institut za strategijska istraživanja, Beograd, Isto, str

53 [3] Lazarević, B.: Uvod u informacione sisteme, Naučna knjiga, Beograd, [4] Mart Lajnos.: Threat assessment of cyber wartare, Univezitet Vašington, [5] Parezanović, N.: Osnovi računarskih sistema, Nauka, Beograd, [6] Ranđelović, S.:Savremeni koncepti sukoba u informaciono komunikacijnoj sferi, Vojno delo, Beograd, [7] Mladenović, D.: Tehnolološki, vojni i društveni preduslovi primene sajber ratovanja, Vojnotehnički glasnik, Vol. LX, No. 1, [8] Lech Janczewski, Andrew Colarik, Cyber Warfare and Cyber Terrorism, IGI Global, Hersey (USA), 2008 [9] Martin Libicki, Cyberdeterrence and Cyberwar, Rand Publishing, Arlington, 2009, ISBN [10] Richard Clarke, Cyber War: The Next Threat to National Security and What to Do About It, Ecco, Harper Collins, New York, 2010, ISBN [11] Rodić, B.: Informatički rat fikcija ili stvarnost, Vojno delo, Beograd, INTERNET IZVORI: [1] Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms, internet pristup [2] Cerf, V., Kahn, R., A Protocol for Packet Network Intercommunication, Communications, IEEE Transactions on Comms, May, 1974, T. 22, 5, Reprinted, internet pristup [3] Dan Kaminsky, Steve Friedl s Unixwiz.net Tech Tips, An Ilustrated Guide to the Kaminsky NS Vulnerability, internet pristup [4] 2010 Report to Congress of the U.S.-China Econimic And Security Review Commision, novembar 2010, Report-to-Congress.pdf, internet pristup [5] Lolita C. Baldor, Stuxnet, Iran Computer Attack, Linked to Wealthy Group or Nation, The Huffington Post, 26. septembar godine, internet pristup [6] Information Warfare: Running For Linux, internet pristup [7] Cyberspace Policy Review, The White House, internet pristup [8] Zakon o elektronskim komunikacijama Republike Srbije iz juna godine, zakon_o_elektronskim_komunikacijama.pdf internet pristup

54 [9] Nenad Putnik, Kiber ratovanje novi oblik društveni sukoba, doktorska disertacija, Univerzitet u Beogradu, Fakultet bezbednosti, internet pristup [10] Slobodan Petrović, Trojstvo kiber napad, internet pristup

55 Sadržaj PRIJEDLOG MJERA I AKTIVNOSTI ZA UNAPREĐENJE BORBE PROTIV CYBER TERORIZMA U BiH doc. dr. sc. Vladica Babić Visoka škola Logos Studij kriminalitika i sigurnost Mostar vladica_babic@net.hr Sažetak: Cyber terorizam predstavlja možda i najveću prijetnju nacionalnoj i međunarodnoj sigurnosti država od vremena stvaranja oružja za masovno uništenje. Kako države i njihova privreda postaju sve umreženiji, uglavnom putem informacijskih mreža, te Interneta, i na međunarodnom financijskom sustavu globalne trgovine, učinci cyber terorističkih napada će imati sve veći utjecaj. Isto tako, važno je kako će cyber teroristi steći iskustvo u narušavanju nacionalne sigurnosti i otvorenosti informacijske infrastrukture, njihovi napadi će vjerojatno postati sve uspješniji. Iako su države, privatne industrije i međunarodne organizacije učinile značajne napore za povećanje međunarodne suradnje, još puno toga treba biti učinjeno. Pri tome moramo shvatiti da je, s obzirom na temeljne slabosti u strukturi Interneta, potrebno načiniti i dodatne napore kako bi u potpunosti spriječili cyber terorizam. U vezi s tim, a i u svrhu otkrivanja ovakve prijetnje na pravi način, neophodna je obavještajna i sigurnosna suradnja, kako bilateralno tako i multilateralno, uključujući i razmjenu iskustava i relevantnih informacija iz ovog područja. Ograničeni formom, sadržajem i korištenom metodologijom, istraživanje poput ovoga ne omogućava iznošenje konačnih i do kraja utemeljenih zaključaka, ali će sigurno dati dobra usmjerenja daljnjim istraživanjima, sukladno rezultatima iz djela. Usprkos tome, čini se da za neke ocjene postoji dovoljno argumenata. Ključne riječi: cyber terorizam, prevencija, sigurnosna politika, pravna politika. 1. UVOD Sveukupni zaključak po pitanju na koje oblasti je potrebno obratiti pozornost, eksperti su odgovorili da su sve oblasti značajne, počevši od organizacijske, kadrovske, fizičko-tehničke, softverske, kripto-zaštite, tehnološke, religijske, ideološke, ekonomske itd... Samo njihovo objedinjavanje u jedinstven i funkcionalan sustav može garantirati pouzdanu i cjelovitu zaštitu. Također, u zaključcima je preporučeno da pozornost treba obratiti na razvoj i unaprjeđenje osposobljenosti i opremljenosti, te poboljšanje koordinacije agencija za provođenje zakona, zatim razvoj sigurnosti i procjenu ugroženosti infrastrukture određenih država, ali i regije. Posebno mjesto ima uloga preventivnih aktivnosti na suzbijanju cyber terorizma, te mogući program prevencije. Vrlo bitne su analitičke procjene ugroženosti pojedinih zemalja, te saznanja koji interesi bi bili prioritetni određenim terorističkim grupama. Također, svako drugo

56 istraživanje koje bi se bavilo teorijom trebalo bi više vremena kako bi se izvršila analiza takvih istraživanja da bi kao konačan rezultat bilo povezivanje istih sa praktičnim rezultatima. Imajući ovakvu kvalitetnu analizu mogle bi se predvidjeti akcije cyber terorista i otežati im djelovanje. Budući pravci djelovanja cyber terorista su prepoznati od strane ekspertnih ispitanika, te je predviđeno da će se teroristi sve više služiti visokom tehnologijom, kako za špijunažu i sabotažu u cilju napada na najjače centre jakih država i njihove institucije, posebno bankarski sektor, oblast društvenih mreža, a isto tako i za propagandu svojih ideja. Posebnu opasnost će činiti Usamljeni vuk (Lone wolf) teroristi, hakerske grupe na iznajmljivanje, te serveri na iznajmljivanje, čiji će rezultat biti tehnologija za izvršenje napada. Pravci djelovanja zavise o konačnim ciljevima, tako za klasični terorizam kažemo da usmjerava napade na ljudsku populaciju jer želi izazvati strah, dok cyber terorizam primarno vrši poremećaj normalnog funkcioniranja društvene zajednice, i njegov cilj su simboli koji predstavljaju vrijednosti na kojima počiva društvena stabilnost, a to su sve vitelne oblasti jedne države dok je sekundarni cilj izazivanje panike i straha. Iz nalaza upitnika, prvi i najvažniji korak za prevenciju je donošenje Nacionalne strategije informacijske sigurnosti, u kojoj bi se precizno definirali zadaci, izvršitelji obveze i odgovornosti. Donesenu strategiju trebalo bi realizirati fazno, a paralelno raditi na podizanju svijesti o potrebi zaštite cyber prostora i širenju znanja iz svih oblasti informacijske sigurnosti. Učinkovita zaštita od cyber terorizma bi se ogledala kroz razvijanje informacijskih tehnologija, izmjene nacionalnog zakonodavstva, prvenstveno kaznenog, kroz pooštravanje propisanih kaznenih normi za propisana kaznena djela, te suradnja domaćih i međunarodnih institucija. Razvijanje posebne službe za zaštitu od cyber terorizma je svakako potreba, a isto tako mora postojati specijalizacija u ovoj oblasti. Posebno je pitanje da li je izvršeno dovoljno specijalizacija unutar već postojećih agencija za provođenje zakona ili je potrebno formirati novu agenciju. Sve institucije koje djeluju u okviru pravnog i sigurnosnog sustava države, na svim razinama, moraju biti uključene u specijalizaciju u ovoj oblasti. Jasno je da tehnologija sama nije dovoljna da bi se suzbio cyber terorizam. Zato su sva djelovanja usmjerena na suzbijanje cyber terorizma teško provediva, ali su ujedno i jedini mogući način takve borbe. Stoga je potrebno jačanje državnih informacijskih sustava i stvaranja jačeg državnog centra sa konkretno takvom zadaćom. Sam prijedlog za prevenciju postiže se izgradnjom "informacijske sigurnosti" koja se postiže izradom strategije maksimalnim uključivanjem obavještajno sigurnosne zajednice u borbu protiv cyber terorizma, obrambenim mehanizmima protiv svih alata cyber terorista, postavljanjem zaštitnog sustava, osiguranjem maksimalne privatnosti na Internetu, osiguranjem upravljanja uslugama, provjerom autentičnosti isl. 2. MJERE PREVENCIJE CYBER TERORIZMA Terorizam je jedan od najsloženijih, najizazovnijih i najopasnijih političko-sigurnosnih fenomena današnjice. Cyber terorizam, kao njegov poseban oblik zahtijeva specifičnu pozornost pri njegovom suzbijanju. Kao spoj politike i nasilja, kao uporaba terora (nasilja, zastrašivanja), i pri tome još uključenost u suvremene tehnologije, cyber terorizam je uvijek u cilju udara na državni, politički i društveni sustav, te građane jedne države. Stoga odgovor na cyber terorizam i sam terorizam zahtijeva ukupnost koordiniranog državnog i društvenog djelovanja. Da bismo se uspješno branili od cyber terorizma potrebne su mjere preventivnog djelovanja, mjere suzbijanja cyber terorizma, mjere zaštite od cyber terorizma, saniranje posljedica nastalih djelovanjem cyber terorizma, izgradnja pravnog sustava za borbu protiv cyber terorizma, zatim edukacija, 2

57 osposobljavanje i trening za borbu protiv cyber terorizma, te provođenje koordinacije i međunarodne suradnje. Donošenje ključnih dokumenata kao što su Strategija, Akcioni planovi, Konvencije, te drugi pravni akti po pitanju rada na prevenciji i suzbijanju cyber terorizma predstavljaju upravo takav pristup i okvir djelovanja svake države prema ovoj pojavi. Sustavni pristup u takvim dokumentima bi sigurno smanjio mogućnost pojave, djelovanja i u dobroj mjeri pomogao u suzbijanju cyber terorizma. Ove mjere predstavljaju detaljno razrađene postavke i aktivnosti koje bi svakako trebale biti provedene. Pri tome, pod pojmom cyber terorizam svrstavamo osmišljenu, sustavnu, namjernu uporabu nasilja, ili prijetnje nasiljem protiv ljudi i/ili materijalnih dobara, uključujući i informacijske mreže i sredstva, kao sredstvo za izazivanje straha ili usmjerenog protiv njega, a sve unutar neke etničke ili vjerske zajednice, javnosti, države ili cijele međunarodne zajednice, u cilju ostvarenja političkih, vjerskih, ideoloških ili društvenih ciljeva. Jedna od glavnih karakteristika cyber terorizma je da se za djelovanje koristi cyber prostor, da ga prakticiraju najčešće nedržavne organizacije ili grupe, koje mogu imati potporu izvana od strane neke države ili država, a često i od organizacije čija javno deklarirana namjera i ciljevi nemaju veze s terorizmom, ali svojim prikrivenim ciljevima i djelovanjem služe kao potpora terorističkom djelovanju. Cyber terorizam je određen namjerom izazivanja razornih političkih i psiholoških posljedica koje mogu značajno nadilaziti sam cilj nekog pojedinog terorističkog čina, te namjerama onih koji pribjegavaju stvaranju klime bezvlašća ili izazivanja represivnog i neselektivnog odgovora vlasti s ciljem njenog kompromitiranja u očima javnosti i opravdanja terorističkih sredstava i namjera. U tom kontekstu, mjere za borbu protiv cyber terorizma sastoje se od dva stuba kojima bi se taj problem znatno smanjio ili u dobroj mjeri suzbio. Kao prvi stup navodi se Prevencija cyber terorizma koja se odnosi na stvaranje takvih političkih, društvenih i ekonomskih okolnosti koje uklanjaju preduvjete nastanka i širenja cyber terorizma u svim segmentima njegove pojave. Ove mjere prevencije prvenstveno se odnose na: - onemogućavanje promoviranja i pozivanja na terorizam putem informacijskih sustava; - prepoznavanje i eliminacija pojava koje uvjetuju nastanak cyber terorizma na lokalnoj razini i međunarodnoj razini; - onemogućavanje širenja ekstremističkih ideologija, te povećanje razumijevanja i tolerancije društva na nacionalnoj i međunarodnoj razini; - koordinacija i suradnja svih državnih i međunarodnih institucija usmjerenih na eliminiranje socioloških, političkih i ekonomskih izvora koji uvjetuju nastanak cyber terorizma. Suzbijanje cyber terorizma podrazumijeva poduzimanje mjera i postupaka usmjerenih protiv stvaranja, širenja i djelovanja terorističkih mreža i organizacija u cyber prostoru, kao i blagovremeno otkrivanje planiranja, pripremanja, organiziranja i/ili provođenja aktivnosti s obilježjima cyber terorizma, te aktivnosti se ogledaju kroz: - organizacijsko i logističko djelovanje, - iskorištavanja teritorija BiH za uspostavljanje i rad cyber terorističkih grupa, njihovu obuku i educiranje, - kontrola, nadzor i evidencija: - prolaska i dolaska osoba sumnjive i potencijalne terorističke prošlosti, - prijenosa i nabave oružja i opreme, te drugih materija namijenjenih potencijalnim cyber terorističkim aktivnostima, 3

58 - prikupljanja financijskih sredstava ili pomaganja na drugi način cyber terorističkih organizacija i pokreta, - onemogućavanja vrbovanja i novačenja pojedinaca za cyber terorističke organizacije i pokrete, - druge kriminalne aktivnosti u vezi sa cyber prostorom. 3. MJERE SIGURNOSNE POLITIKE Osnovne mjere suzbijanja terorističkih aktivnosti koje se mogu dovesti u vezu sa fenomenom cyber terorizma su ostvarive kroz dosljednu primjenu nacionalnog zakonodavstva i propisanih kaznenih djela terorizma i njemu sličnih djela, kao i onim djelima za koja nisu propisane norme unutar državnog zakonodavstva, ali postoje međunarodne preporuke za njihovo donošenje, te ratifikaciju i usvajanje univerzalne nadležnosti za navedena djela. Unutar postojećeg zakonodavstva potrebno je uskladiti mjere koje se tiču: - onemogućavanja organizacijskog i logističkog djelovanja terorističkih organizacija i pojedinaca u cyber prostoru; - sprječavanja korištenja cyber prostora unutar teritorija države za organiziranje, uspostavljanje i djelovanje terorističkih grupa, njihovu obuku i uvježbavanje, te pojedinaca i subjekata koji se dovode u vezu s terorizmom, čije je djelovanje usmjereno protiv država i/ili međunarodnih organizacija; - onemogućavanja svih oblika regrutiranja i mobilizacije terorističkih grupa putem cyber prostora; - sprječavanja kriminalne aktivnosti koje mogu biti izravno i neizravno povezane s terorizmom prvenstveno zbog zlouporabe cyber prostora; - onemogućavanja prijenosa i nabavke oružja, eksploziva, te tehničkih i drugih sredstava namijenjenih potencijalnim terorističkim aktivnostima; - sprječavanja korištenja sredstava za masovno uništavanje, te roba vojne i druge namjene u terorističke svrhe; - onemogućavanja financiranja, prikupljanja sredstava i pomaganja na bilo koji način terorističkim organizacijama ili pojedincima koji se dovode u vezu s terorizmom; - zaštitite od terorističkih djelovanja svih materijalnih i nematerijalnih dobra države: građana, imovine, pravnih subjekata, državnih institucija, svojih i stranih diplomatskih predstavništava, prometne i informacijske komunikacije, te državne granice i pravnog poretka; - definiranja i provođenja programa osposobljavanja, obuke i treninga stanovništva, zaposlenika državne uprave za protuterorističko djelovanje u području prevencije i pojedinih elemenata zaštite; - definiranja i provođenja obrazovnih i studijskih programa na temu upravljanja krizama, profesionalnog usavršavanja, te stvaranja organizacijskih i funkcionalnih preduvjeta za znanstvena istraživanja, znanstveni i stručni rad u području cyber terorizma. 4. MJERE KAZNENO PRAVNE POLITIKE Za suzbijanje cyber terorizma, pored navedenih mjera sigurnosne politike potrebno je uvrstiti i mjere kazneno pravne politike kako bi se lakše prepoznala kaznena djela cyber terorizma, te suzbijala u što 4

59 većem obimu i različitosti pojave. Preporuka za uvođenje univerzalne nadležnosti s ciljem provođenja zajedničkih napora na odvraćanju od činjenja djela cyber terorizma nije nova ideja. Poznato je da će fenomen cyber terorizma i dalje biti prijetnja nacionalnoj i međunarodnoj sigurnosti, jer je isti u korijenu rasprostranjen svuda. Argumenti za proširenje na univerzalnu nadležnost za djela cyber terorizma mogu biti raznovrsni, ali je isto tako izuzetno je teško primijeniti teritorijalnu nadležnost za djela cyber terorizma, jer zbog prirode Interneta i realnosti djelovanja cyber terorizma, to praktično nije moguće. Kroz univerzalnu nadležnost bi se daleko lakše mogao suzbijati cyber terorizam, jednim dijelom i zbog toga što ta nadležnost zanemaruje nacionalne granice i isto pravilo vrijedi i za kaznena djela koja spadaju u grupu ratnih zločina. Terorizam nije daleko od ratnih djelovanja, ali je problem u samom korijenu terorizma o kojem smo ranije raspravljali. Unutar države, neovisno od uvođenja instrumenta univerzalne nadležnosti bi se uvidom u njenu pravnu infrastrukturu, te postupanja kroz kazneni progon i procesuiranje, paket mjera programa zaštite države od cyber terorističkih djelovanja odnosio na sljedeće: - provođenje međunarodno-pravnih obveza u suzbijanju cyber terorizma, a posebno međunarodnih mjera restrikcije; - provođenje kaznenog progona i procesuiranja počinitelja, suučesnika, podstrekača i pomagača i/ili drugih osoba na bilo koji način povezanih sa cyber terorističkim aktivnostima na principu univerzalne nadležnosti; - onemogućiti postojanje i djelovanje pravnih subjekata povezanih s terorizmom; - zamrznuti i oduzeti imovinu fizičkim i/ili pravnim osobama povezanim s terorizmom; - prepoznati sva područja, aktivnosti i djelovanja povezana cyber terorizmom; - praćenje, prilagođavanje i provedba međunarodnih obveza iz oblasti međuresorne i međunarodne suradnje kroz identifikaciju područja, sadržaja i načina koordinacije PRIJEDLOG ZA IZMJENU ZAKONODAVSTVA U BiH Prema propisanom zakonodavstvu BiH, po pitanju kaznenih djela vezanih za inkriminacije fenomena cyber terorizma u pogledu propisanih kaznenih djela terorizma KZ BiH, u Glavi XVII pod naslovom Kaznena djela protiv čovječnosti i vrijednosti zaštićenih međunarodnim pravom, sasvim je jasno da ovaj zakon sadrži odrednice proizašle iz međunarodnih dokumenata kojima je moguće kazniti počinitelje djela cyber terorizma, te iznosimo sljedeće zaključke: - Nema posebne odredbe vezane za kazneno djelo cyber terorizma, ali postoji mogućnost sankcioniranja kroz kaznena djela čl.201.st.5. toč.d) gdje se "s ciljem ozbiljnog zastrašivanja stanovništva, ili prisiljavanja organa vlasti BiH ili vlade druge zemlje ili međunarodne zajednice da što izvrši ili ne izvrši, ili ozbiljne destabilizacije ili uništavanja temeljnih ustavnih, političkih, gospodarskih ili društvenih struktura BiH, druge zemlje ili međunarodne organizacije, počini jedno od sljedećih djela koje može ozbiljno naštetiti državi ili međunarodnoj organizaciji uništenje državnih ili javnih uključujući i informacijski sistem," čime se uvodi terorističko djelovanje kroz informacijski sustav. - Kod kaznenog djela čl.202. financiranje terorističkih aktivnosti, jasno se govori da isto može biti poduzeto i kroz druge oblike terorističkih djelovanja, u kojima se nabrajaju kaznena djela čl.201, čl.202a, čl.202b, čl.202c. a isto je vezano za čl.201. st5. toč.d) kroz "uništenje državnih ili javnih uključujući i informacijske sustave." 5

60 - Čl.202a. KZ BiH javno poticanje na terorističke aktivnosti sadržajno je u posebnom smislu i jedino koje je izravno povezano sa informacijskim sustavom kroz distribucije zabranjenih materijala, odnosno sadržaja putem elektronske pošte, pričaonica (chat rooms), foruma, društvenih mreža i sl., ostavljanje tiskanih letaka, pamfleta ili drugih natpisa na javnom mjestu, stavljanje tih sadržaja na Internet ili stvaranje poveznica (linkova) na stranice na kojima se takvi sadržaji nalaze, jasno je da je ovo izravno kazneno djelo vezano za cyber terorizam, te usklađivanjem ovog terorističkog djela s drugim prethodno spomenutim oblicima kaznenog djela čl.201. i 202. te međunarodnim dokumentima daje jasne konture cyber terorizma. - Vrbovanje radi terorističkih aktivnosti je kazneno djelo propisano bosanskohercegovačkim zakonom koje također ima vezu prema informacijskim sustavima i koje se izravno veže za cyber terorizam. Korištenjem drugih oblika kaznenih djela terorizma čl a. KZ BiH je isto tako moguće izvršiti ovo kazneno djelo na način da se vrbovanje vrši preko informacijskih sustava kroz različite putove, kao što su web stranice, forumi, blogovi, društvene mreže, odnosno putem javnog poziva na ovim medijima. - Isto tako, za potrebe vršenja obuke, ponuđen je cijeli katalog kaznenih djela kroz čl.201. i 202, 202a, 202b. KZ BiH, za koje se netko može obučavati, kao i putem informacijskih sustava, gdje se jasno daje do znanja da je informacijski sustav moguće iskoristiti za potrebe terorističkih djelovanja i u ovom segmentu. Kroz kazneno djelo obuke za vršenje terorističkih aktivnosti, čl. 202c. KZ BiH, pri uporabi informacijskih sustava ovo djelo dobiva inkriminaciju cyber terorizma. - Organiziranje terorističke grupe je kazneno djelo propisano čl.202d. KZ BiH i predstavlja potrebu za daljim usklađivanjem sa međunarodnim preporukama bosanskohercegovačkog zakonodavstva, djelo se ogleda u tome da je vrlo jednostavno isto izvršiti kroz informacijske sustave, te stoga i ovo djelo ima obilježja cyber terorizma. - Počinitelj kaznenog djela čl.162b. u st.3. stoji da "nabavlja ili osposobljava sredstva, uklanja prepreke, stvara plan ili se dogovara s drugima ili vrbuje drugoga ili poduzme bilo koju drugu radnju kojom se stvaraju uvjeti za direktno počinjenje ovog kaznenog djela," isto tako u st.4. istog članka onaj koji "javno, putem sredstava informiranja, distribuira ili na bilo koji drugi način uputi poruku javnosti, koja ima za cilj poticanje drugog na izvršenje ovog kaznenog djela," se može inkriminirati kao djelo cyber terorizma. 5. ZAKLJUČAK Iznesenim mjerama, generalno se može reći kako su kaznena djela terorizma u bosanskohercegovačkom zakonodavstvu detaljno propisana sukladno međunarodnim preporukama, te da se većinom inkriminacija grupiranih u vezi s terorizmom može izreći sankcija za djela počinjena kao djela cyber terorizma, iako za isto nema posebno propisane norme. Preporuka u međunarodnim dokumentima je uvođenje univerzalne nadležnosti za progon počinitelja djela cyber terorizma. Također dopunu KZ BiH bi trebalo propisati kroz odrednicu koja se veže za javno mjesto, što bi se odnosilo i na internet prostor i društvene mreže, jer bi se time u značajnoj mjeri omogućilo djelovanje u ranoj fazi pojave cyber terorizma čime bi se preventivno djelovalo na širenje ove pojave u BiH i svijetu. 6

61 6. REFERENCE 1. Babić, V. (2009). Komojuterski kriminal, Rabic, Sarajevo. 2. Babić, V. (2013) Dječja pornografija i Internet, Vitez. 3. Babić, V. (2013) Cyber terorizam suvremena sigurnosna prijetnja, Novi Travnik. 4. Kazneni zakon Bosne i Hercegovine, Službeni glasnik BiH broj 8/ Babić, Vladica, 2015, Djelovanje cyber terorista na Internetu kroz publicitet i propagandu, kao globalna prijetnja svjetskom gospodarstvu, Konferencija Privredni razvoj i savremeni kriminalitet, Sveučilište Vitez, Vitez. 6. Babić, Vladica/ Skakavac, Zdravko, 2015, Cyber terorizam realna pretnja i mogućnosti suzbijanja, V međunarodni naučni skup, Vrednosti i identitet, Fakultet za pravne i poslovne studije dr. Lazar Vrkatić, Novi Sad, Srbija 7. Babić, Vladica, 2015, Novi oblici djelovanja terorista cyber terorizam, Policijska akademija, Zagreb, Hrvatska. Cyber terorizam predstavlja možda i najveću prijetnju nacionalnoj i međunarodnoj sigurnosti država od vremena stvaranja oružja za masovno uništenje. Kako države i njihova privreda postaju sve umreženiji, uglavnom putem informacijskih mreža, te Interneta, i na međunarodnom financijskom sustavu globalne trgovine, učinci cyber terorističkih napada će imati sve veći utjecaj. Isto tako, važno je kako će cyber teroristi steći iskustvo u narušavanju nacionalne sigurnosti i otvorenosti informacijske infrastrukture, njihovi napadi će vjerojatno postati sve uspješniji. Iako su države, privatne industrije i međunarodne organizacije učinile značajne napore za povećanje međunarodne suradnje, još puno toga treba biti učinjeno. Pri tome moramo shvatiti da je, s obzirom na temeljne slabosti u strukturi Interneta, potrebno načiniti i dodatne napore kako bi u potpunosti spriječili cyber terorizam. U vezi s tim, a i u svrhu otkrivanja ovakve prijetnje na pravi način, neophodna je obavještajna i sigurnosna suradnja, kako bilateralno tako i multilateralno, uključujući i razmjenu iskustava i relevantnih informacija iz ovog područja. Ograničeni formom, sadržajem i korištenom metodologijom, istraživanje poput ovoga ne omogućava iznošenje konačnih i do kraja utemeljenih zaključaka, ali će sigurno dati dobra usmjerenja daljnjim istraživanjima, sukladno rezultatima iz djela. Usprkos tome, čini se da za neke ocjene postoji dovoljno argumenata. 7

62 Sadržaj DEEP WEB Jerko Burić INsig2 d.o.o., Zagreb, Hrvatska Sažetak: Slojevi Interneta idu dublje nego što se na prvu može vidjeti ili pretražiti. Duboki Web (eng. Deep Web) je skriveni, neindeksirani dio svjetske Internet mreže, koji nije dostupan putem svakodnevnih web preglednika i njihovih konvencionalnih tražilica kao sto su Google, Bing ili Yahoo. Pojam deep web se prvi put pojavio godine od strane kompjuterskog eksperta Mikea Bergmana i od tada zanimanje za taj pojam i to neistraženo područje svjetske mreže nezaustavljivo raste. Najveće zanimanje za deep web javilo se godine kada je FBI (Federal Bureau of Investigation) ugasio takozvani Silk Road,, tržište za prodaju droga (i ostalih zabranjenih supstanci), te uhitio Rossa Williama Ulbrichta, poznatijeg kao Dread Pirate Roberts. Ovaj rad će, osim osnovnih pojmova i načina pristupa Deep i Dark webu, pokazati i statistiku te opasnosti na koje korisnik može naići. Ključne riječi: digitalna forenzika, Deep Web, Tor, kripto valuta Abstract: The layers of the Internet go far beyond than it seems at first. Deep web is a hidden and nonindexed part of World Wide Web, which is inaccessible by common web browsers and their search engines such as Google, Bing or Yahoo. The term "Deep web" first appeared in 2000 by a computer expert Mike Bergman, and since then, interest in this concept and this uncharted territory of worldwide network grows unstoppably. It s peek was in 2013 when FBI (Federal Bureau of Investigation) shutdown so-called Silk Road, a marketplace for drugs (and other contrabands), and arrested Ross William Ulbricht, as known as Dread Pirate Roberts. This paper will show some basic terms and access points to the Deep Web and Dark Web, as well as statistics and threats that a user can be faced with. Key words: digital forensics, Deep Web, Tor, cryptocurrency 1. UVOD Deep web je dio Interneta odnosno skup informacija koji nije dostupan putem najpoznatijih i svakodnevnih tražilica. Grubo procijenjeno od strane različitih stručnjaka i istraživača Deep web-a, procjenjuje se da je Deep web veći od indeksiranog web-a do 500 puta i, naravno, nepoznat većem dijelu internetske populacije. Osnivač BrightPlanet-a Michael K. Bergman je rekao da je pretraživanje Interneta slično povlačenju mreže preko površine oceana; veliki dio će biti uhvaćen u mrežu, međutim onaj dio u dubini će biti promašen [1]. Razlog za to je jednostavan: veliki dijelovi informacija na Deep web-u su zakopani na dinamički generiranim stranicama i standardni pretraživači nisu u mogućnosti doći do tih podataka.

63 2. KAKO INTERNETSKI PROMET FUNKCIONIRA? Internetski podaci (data packets) definiraju dva bitna dijela: payload odnosno nosivost i header odnosno zaglavlje koje se koristi za usmjeravanje. Nosivost može biti bilo što poslano putem Interneta; e- mail, web stranica, audio ili video file, itd. S druge strane, zaglavlje je putokaz za pakete koji nosi iznimno vrijedne informacije kao što su source and destination odnosno izvor i završno odredište paketa, veličina, vrijeme, itd. Čak i ukoliko je paket kriptiran, veliki dio informacija može otkriti što se radi ili što se nalazi unutar paketa. Osnovni problem privatnosti na internetu je tzv. Internet surveillance odnosno analiza internet prometa. Upravo zbog tog razloga sve veći broj internet korisnika počinje shvaćati ranjivost informacija na internetu te načine kako poboljšati svoju sigurnost. 3. KAKO FUNKCIONIRAJU STANDARDNI PRETRAŽIVAČI vs. TOR Standardni pretraživači današnjice stvaraju svoje indekse na način da koriste spidering ili crawling tehnike kako bi svojim korisnicima pružili zadovoljavajuće rezultate. Spidering i crawling dolaze od engleskih riječi spider i crawl što u direktnom prijevodu znači pauk i puzati, odnosno ovaj prijevod nam daje jasnu sliku kako pretraživači rade. Pretraživači u svom zapisu imaju posebne dijelove koda koji funkcioniraju kao zasebni potprogrami (spider-e, ili bot-ove ) te posjećuju internetske stranice, čitaju sadržaj tih stranica te na taj način stvaraju indekse za pretraživanje. Da bi spider mogao pročitati neku stranicu, web stranica mora biti statička i povezana na druge web stranice. Taj proces je metodičan i automatiziran, te se sve prikupljene informacije spremaju u ogromne i masivne baze podataka. Naravno, nisu sve informacije na Internetu dostupne pretraživanju i indeksiranju. Slika 1. Standardni pretraživači Za razliku od prethodno navedenih pretraživača, Tor (skraćenica za The Onion Router ) je besplatan program koji omogućava anonimnu komunikaciju na Internetu. Na koji način Tor radi? Tor smanjuje mogućnost analize internet prometa tako da raspodjeljuje poveznice preko više različitih lokacija na Internetu na taj način niti jedan link ne upućuje na završno odredište. To znači da umjesto direktnog spajanja od izvora prema završnom odredištu, Tor mreža izabire nasumični put preko više posrednika te na taj način briše ili maskira digitalne otiske da se ne može razaznati odakle su podaci došli ili gdje idu (slika 2). 2

64 4. KAKO PRISTUPITI DEEP WEB-u? Slika 2. Kako Tor radi Za pristupanje deep web-u potrebno je imati odgovarajući programski paket. Najpoznatiji u toj kategoriji je Tor. Na slici broj 3 prikazan je dio web stranice za preuzimanje programskog paketa Tor. Osim Tor-a, korisnici mogu koristiti iduće: Tails posebna verzija Linux operacijskog sustava koja vrhunski nadopunjava Tor. Može se koristiti kao live sustav (preko USB-a, DVD-a ili SD kartice), a osim što koristi Tor kao postavljeni (default) preglednik za korištenje internetskih usluga, također pruža dodatni nivo sigurnosti na mjestima gdje bi Tor možda mogao popustiti. I2P je potpuna alternativa Tor-u. I2P djeluje kao anonimni zaštitni (preklapajući) sloj postojeće mreže - mreža unutar mreže. Također služi za zaštitu od mrežnog nadzora od strane pružatelja internetskih usluga ili drugih osoba na internetu. Freenet još jedna potpuna alternativa Tor pregledniku, slična I2P-u, koja omogućuje anonimno dijeljenje datoteka, razgovora i korištenja internetskih usluga putem različitih čvorišta (nodes) na mreži, koja su kriptirana i dalje preusmjerena, što dodatno onemogućava nadzor informacija ili sadržaj istih. Subgraph OS sličan Tails operacijskom sustavu s fokusom na sigurnost i iskoristivost usluge. Subgraph je dizajniran na način da ga je teško ugroziti. To je postignuto tako da je između operacijskog sustava i Tor preglednika smješteno par slojeva osiguranja: o Metaproxy preusmjerava odlaznu komunikaciju kroz proxy o o Vatrozid (firewall) nadzire ulazno-izlazni mrežni promet Osnažena jezgra (kernel) operacijskog sustava dodaci originalnoj jezgri operacijskog sustava da bi je se učilo otpornijom na napade 3

65 Slika 3. Službena web stranica za preuzimanje prograsmkog paketa Tor Nakon preuzimanja i instalacije Tor preglednika, potrebno je odabrati Start Tor Browser u instalacijskom direktoriju čime se pojavljuje prozorčić kao na slici 4 koji obavještava da se spajamo na Tor mrežu. Slika 4. Spajanje na Tor mrežu Sam proces spajanja prvi puta traje par minuta, ovisno o snazi računala te brzini internetske konekcije. Slika 5 prikazuje otvoren Tor preglednik. U gornjem lijevom kutu se može vidjeti put kojim se Tor preglednik koristi za pristup internetu, dok na sredini web preglednika stoji poruka da je naša IP adresa zamaskirana, odnosno promijenjena u odnosu na original. Kada korisnik dođe do ovoga koraka, spreman je ući u svijet Dubokog web-a. 4

66 5. STATISTIKA DUBOKOG WEB-a Statistika prikazana u nastavku teksta su podaci koje su stručnjaci iz tvrtke MicroTrends prikupljali i analizirali dvije godine, te su, kao rezultat svog istraživanja, dobili neke jako zanimljive rezultate. Zbog nivoa anonimnosti koju duboki web i pripadajući programi nude, teško je reći tko i što se sve nalazi u Deep web-u danas. Imajući to u vidu, prikazani su slijedeći dijagrami: Raspodjela jezika na web stranicama Deep web-a (slika 5) Ponuda proizvoda po proizvođačima (slika 6) Potražnja proizvoda po kupcima (slika 7) Različiti protokoli na dubokom webu (osim HTTP/HTTPS) (slika 8) 5

67 Slika 5. Raspodjela jezika na stranicama Deep web-a Pretražujući i analizirajući deep web, istraživači su otkrili da su najprodavanija roba na Deep Web-u lake droge. Slijede ih farmaceutski proizvodi kao što su Ritalin i Xanax, teške droge, piratske igre te različiti ukradeni online računi. Slika 6. Ponuda "proizvoda" po proizvođačima Slika 7. Potražnja "proizvoda" po kupcima Kao što se može vidjeti iz prikazanog, ponuda proizvođača, odnosno nabavljača proizvoda, jako dobro prati potražnju kupaca. Tome u prilog govori i slijedeći grafikon (slika 8). Osim uobičajenog internetskog protokola (HTTP/HTTPS) koji je zbog pregleda stranica i pretraživanja najkorišteniji protokol na Deep 6

68 web-u, s izuzećem istog dolazi se do interesantnih rezultata. Naime, idući najkorišteniji protokol je IRC. IRC je protokol koji se koristi za uspostavu komunikacije u obliku tekstualnih poruka, bilo korištenjem odgovarajućeg programa koji se instalira na računalo, ili se chat prozor nalazi integriran u web stranicu. To može ukazati na koji način proizvođači i kupci međusobno komuniciraju i dogovaraju transakcije. 6. PRETRAŽIVANJE DEEP WEB-a Slika 8. Iskoristivost protokola na Deep web-u Prilikom pristupanja dubokom web-u, korisnici najčešće posjećuju web stranicu poznatu pod imenom Hidden Wiki (slika 9). Slika 9. The Hidden Wiki web stranica Ono što je prvo primjetno, osim imena i poveznice sa najpoznatijom slobodnom online enciklopedijom Wikipedia, je promjena u URL-u same web stranice. Naime, na Deep web-u stranice nemaju klasična 7

69 DNS (Domain Name System) imena, nego imaju dinamički generirane znakove, koji su popraćeni sa.onion domenom. Takav sustav onemogućava lako praćenje web stranica i sadržaja na Deep web-u. Na slici 9 s lijeve strane, također se mogu vidjeti podjele, odnosno poveznice s drugim web stranicama koje su raspoređene po kategorijama usluga koje nude. Ono što je Google ili Bing na površinskom web-u, to je DuckDuckGo na Deep web-u tražilica. Korisnici najčešće koriste tražilicu pod tim imenom kako bi došli do.onion domena te na taj način našli proizvode ili usluge koje su im potrebne. Drugi primjer tražilice širokog spektra je Ahmia. S druge strane, ukoliko se korisnik želi fokusirati na specifične proizvode, kao što su droga, oružje, krivotvoreni novac i ostala zabranjena roba, tražilica koju će koristiti je Grams ONLINE PRIVATNOST I CENZURA Unatoč korištenju Tor-a i drugih software-a za skrivanje pravog identiteta na deep web-u, anonimnost nije 100% zagarantirana. Najbolji primjer toga je incident iz listopada godine kada su haktivisti Anonymous srušili web servis pod imenom Freedom Hosting za koji se sumnjalo da daje podršku za distribuciju dječjeg pornografskog sadržaja. Korištenjem DDoS-a (Distributed Denial of Service) napada, Anonymous-i su otkrili više od 100GB pornografskog sadržaja djece, te objavili korisnička imena, lozinke, članstvo te broj prenesenih (upload) slika više od 1500 korisnika tog servisa. S druge strane, Tor se može koristiti kao servis za zaobilaženje cenzure, dopuštajući korisnicima da pristupaju podacima koji su inače blokirani. Najbolji primjer cenzure je Kina, najmnogoljudnija zemlja na svijetu koja cenzurira veliku većinu portala i servisa zapadnih zemalja, uključujući i Sjedinjene Američke Države. Koristeći Tor, korisnici mogu pristupiti tim informacijama, što je natjeralo vlade diljem svijeta da pooštre regulacije za korištenje servisa kao što je Tor. Tor se može koristiti i kod online razgovora gdje se prenose osjetljive ili klasificirane informacije bile one osobne ili poslovne prirode. Najpoznatiji primjer toga je bivši NSA-ov operativac Edward Snowden, koji je koristio Tail OS (koji u sebi ima ugrađen Tor preglednik) kako bi komunicirao s novinarima i prenio im ukradene informacije o masovnom nadzoru svjetske populacije od strane američke vlade OPASNOSTI DEEP WEB-a Kriminalno podzemlje godišnje zarađuje milijarde dolara na prodajama usluga i dobara kojima raspolažu u svakom trenutku. Mnogi maliciozni programi, alati i servisi prodani su za određenu sumu novca te je nemoguće pratiti transakcije ili osobe koje to prodaju i/ili kupuju. Malware (malicious software) programi su visoko rangirana prodajna roba jer se savršeno slažu sa anonimnošću koju Deep web i Tor nude, pogotovo kada se u to ubroje i C&C (Command and Control) infrastrukture. Cryptolocker-i (poznati pod drugim imenom kao ransomware) su skupina malicioznih programa koji napadaju korisnička računala, zaključavaju i kriptiraju određene direktorije i datoteke te traže novac od žrtve uz obećanje otključavanja i uklanjanja programa. Zbog toga i imaju dva prepoznatljiva imena: cryptolocker (kriptira podatke) te ransomware (ransom = otkupnina). Kao što se vidi iz statističkih podataka na strani 6, najtraženija roba na Deep webu su droge i opojna sredstva, koja su redovito popraćena prodajom oružja. Slika 10 je samo jedna web stranica pronađena u roku od par sekundi na Deep web-u koja se bavi prodajom raznoraznih droga. Pranje novca, lažni dokumenti, ukradeni korisnički računi, prodaja tajni (bilo državnih, bilo informacija kojima raspolažu službe sigurnosti ili tajne slavnih osoba) te servis za ubojstva su također jedna od traženijih roba na Deep web-u. Kako se sve to plaća? BitCoinom. 8

70 7. METODE PLAĆANJA Slika 10. Web stranica za prodaju droge Metoda plaćanja na Deep Web-u je BitCoin. Bitcoin je nastao je kao produkt ideje japanskog razvojnog inženjera Satoshi Nakamoto-a.; to je decentralizirana, anonimna valuta za elektroničko plaćanje koja koristi kompleksne matematičke funkcije. Kupac kupuje uslugu ili produkt plaćajući na principu peer-to-peer mreže, odnosno plaća se direktno pružatelju usluge bez posrednika. Bitcoin transakcije su nepovratne jednom plaćeno ne može se poništiti. S obzirom da je decentralizirana valuta, Bitcoin nema vlasnika. Stvoren je digitalno od strane zajednice ljudi koji koriste posebne software-e i procesorsku snagu računala za rudarenje (mining) Bitcoin-a. Ne nastaje u nijednoj banci te kao takav nije podložan inflacijama, jer je Bitcoin-ov algoritam limitiran na 21 milijun jedinica, što mu u konačnici daje veću vrijednost nego tradicionalne valute. 8. ZAKLJUČAK Većina internet korisnika nikad neće saznati da postoji druga, mračnija strana Interneta, niti će imati potrebu posjetiti to mjesto i koristiti usluge koje se nude. Drugi koji su možda čuli ili pročitali malo o Deep web-u, užasavaju se tog mjesta jer smatraju da je to podzemni svijet kriminala i neetičkog ponašanja. Postoje i oni koje taj svijet zanima, čisto iz znatiželje i edukacijskih svrha žele ga bolje istražiti i proučiti. Naravno, uvijek postoje i oni koji taj svijet iskorištavaju, što se jasno vidi iz primjera navedenih u ovom radu. Relativno lako se ulazi u taj neindeksirani i skriveni svijet udaljen samo jednim programom ili operacijskim sustavom od Googlea ili Binga. Internet ispod interneta u kojem su informacije roba koja se dobro naplaćuje, a neznanje, odnosno, nepažnja prilikom pretraživanja i/ili otvaranja različitih link-ova i web stranica Deep web-a kažnjava kriptiranim ili zaraženim računalom. Deep web je enigma i za snage sigurnosti pojedinih država ili agencije jer diže razinu anonimnosti na jedan veći nivo, što otežava zaštitu korisnika (posebice maloljetnika i djece) te na kraju i nadzor istih. 9

71 LITERATURA [1] The Deep Web Part 1: Introduction to the Deep Web and how to wear clothes online! (15 Listopad 2012), Pierluigi Paganini. Pristupano dana: 11 Svibnja 2016, [2] The Deep Web: Surfacing Hidden Value (24 Rujan 2001), Michael K. Bergman. Pristupano dana: 9 Svibnja 2016, deepwebwhitepaper1.pdf [3] Spider (April 2005), Margaret Rouse. Pristupano dana: 9 Svibnja 2016, [4] Tor Project. Pristupano dana: 9 Svibnja 2016, [5] Best Alternatives to Tor: 12 Programs to Use Since NSA, Hackers Compromised Tor Project (14 Kolovoza 2014), Ajay Kumar. Pristupano dana: 15 Svibnja 2016, [6] Subgraph OS. Pristupano dana: 17 Svibnja 2016, [7] Što je Bitcoin? (28 Rujna 2014), Hrvatski Bitcoin Portal. Pristupano dana: 18 Svibnja 2016, [8] How to access onion sites? (17 Siječnja 2014), DeepDotWeb. Pristupano dana: 11 Svibnja 2016, 10

72 Sadržaj Procena rizika upotrebom NIST SP metodologije u javnoj infrastrukturnoj organizaciji za sertifikaciju prema ISO/IEC Risk assessment using NIST SP methodology in public infrastructural organization for certification according to ISO/IEC Dejan Gadjovski 1, Marija Cundeva-Blajer 2 1 Ministry of Internal Affairs of the Republic of Macedonia, Dimche Mirchev Str. 9, Skopje, Republic of Macedonia, gadzod@yahoo.com 2 Ss. Cyril and Methodius University, Faculty of Electrical Engineering and Information Technologies, Rugjer Boshkovikj Str. 18, PO Box 574, Skopje, Republic of Macedonia, mcundeva@feit.ukim.edu.mk Apstract: Kontinuirano poboljšanje informaciske bezbednosti je neophodno za efikasno održavanje konkurentnosti, profitabilnosti i reputacije kompanije. Dobijeni rezultati mogu se upotrebiti za opredeljivanje mogućnosti i potreba za investiranje u menadžment sistema bezbednosti informacija. Kompanija treba nabaviti savremene uređaje i aplikacije za zaštitu korporativnih dokumenata, poruka i drugih resursa. Rezultati istraživanja pokazuju da je neophodan aktivan pristup rukovodstva kompanije u odnosu na zaštitu menadžment sistema bezbednosti informacija. Sigurnost menadžment sistema bezbednosti informacija može se poboljšati kontinuiranim i tačnim blokiranjem detektiranih kompjuterskih napada i odgovarajućoj reakciji prema determiniranim rizicima. Ključne reči: procena rizika, menadžment sistema bezbednosti informacija, ISO/IEC 27001, nivo rizika, informaciska bezbednost. Abstract: Continuous improvement of the information security is necessary for efficient maintenance of concurrency, profitability and the reputation of the company. Outgoing results can be used for determination of possibilities and needs for investment in the information security management system. The company should acquire contemporary devices and applications for protection of the corporative documents, messages and other resources. Results of the research show that active approach of the company management is necessary regarding the protection of the information security management system. Safety of the information security management system can be improved with continuous and accurate blocking of the detected computer attacks and appropriate reaction to the determined risks. Keywords: risk assessment, information security management system, ISO/IEC 27001, risk level, information security. 1. INTRODUCTION Information technology ensures the modernization of traditional working processes. New information systems provide improved security and accuracy of the corporative data. Technology is changing social attitudes by making data and mobile communications increasingly available and easy to use, [1]. Information is a collection of selected, determined and organized data according to the requirements and needs of the users. The term security defines the process of maintenance of the acceptable risk level. Information security represents the protection of confidentiality, integrity and availability of the data from unauthorized access, change or damage, with implementation of control mechanisms which should be determined, built, observed, checked and improved in advance, in real time, [2]. Continuous improvement of the information security is necessary for efficient maintenance of concurrency, profitability and the reputation of the company. Information security management system enables implementation, work control, improvement and continuous protection of the information resources, [3].

73 The purpose of this study was to perform risk assessment using NIST SP methodology in public infrastructural organization according to ISO/IEC Information security management system should be permanently checked to provide accurate, complete and certain information, in order to reduce the risk level in the organization. Main objective of this study was to accomplish complete risk assessment according to the requirements of the standard ISO/IEC Information security in public infrastructural organization was an additional challenge, due to many activities which are performed outside of the company headquarters, respectively at dispersed or temporary locations. 2. INFORMATION SECURITY MANAGEMENT SYSTEM Information security is based on three elements: confidentiality, integrity and availability, [4]. Confidentiality is the regulation of access control rights to certain information. Integrity represents protection providing form unauthorized modification or information destruction. Availability means permitted use and information utilization (Figure 1). Figure 1. Elements of information security Information security management system is a result of the implementation of the following steps (Figure 2): 1. Definition of information security policy; 2. Definition of information security management system scope; 3. Risk assessment; 4. Risk management; 5. Selection of controls; 6. Statement of applicability, [5]. 2

74 Figure 2. Implementation of the information security management system 3. IMPLEMENTATION OF CONTROL MECHANISMS Controls in other words are mechanisms that ensure proper functioning of the organization s processes. Every system and process within a company exists for some specific business purpose, [6]. Control mechanisms have administrative, technical and physical implementation, (Figure 3). Administrative implementation includes procedures and processes represented in the company. Technical implementation incorporates security mechanisms and software for access control. Physical implementation covers the employees responsible for protection and security maintenance of the organization. Preventive controls are passive techniques designed for reduction of frequency occurrence of unwanted events. Many problems can be eliminated at the first level of defence. Second level of defence is the detection of problems. Detective controls are determined with devices, techniques and procedures for identification and discovery of unwanted events that passed through the level of prevention. Corrective controls provide systematic method for elimination of the detected problem. There is an important difference between the controls for detection and correction. By using the detective controls the unwanted event is identified and the necessary attention is attracted, while with the implementation of corrective controls certain problem is completely solved. 3

75 Figure 3. Implementation of control mechanisms 4. RISK ASSESSMENT METHODOLOGY Cooperation with the sector for information technology of the public infrastructural organization was important condition for successful implementation of the risk assessment. Risk management is the process of implementation and security maintenance of the information systems in the organization, [7]. Risk assessment in the public infrastructural company was performed according to the suggested methodology of the National Institute of Standards and Technology of the United States of America, published in the publication NIST Special Publication Risk Management Guide for Information Technology Systems. In relation to the order of the realization, the recommendations of the National Institute of Standards and Technology of the United States of America (Figure 4), were completely followed, [8]. Figure 4. Methodology for risk assessment At the beginning of the research were identified the characteristics and the scope of the information security management system. Then, in collaboration with the sector for information technology of the 4

76 public infrastructural organization was performed identification of threats, analysis of conducted controls for protection, system vulnerabilities, determination of threat likelihood and the level of impact on the information security management system, [9]. The process of system characterization included data gathering about the hardware, software and implemented safety measures for maintenance of the information security management system. Regarding to the requirements of the standard ISO/IEC 27001, only few policies and procedures in written form were implemented. Threat identification table was prepared by classification of possible and known risk types. Technical, environmental and human factors were discussed and elaborated. System testing was performed in order to determine the vulnerability sources and the effectiveness of the security controls. GAP analysis and statement of applicability tables were filled up and control analysis was another important step to identify the compliance according to standard ISO/IEC Threat likelihood and impact level were rated in three levels: high, medium and low. Risk level was determined according to the matrix for risk assessment recommended by the National Institute of Standards and Technology of the United States of America, (Table 1), [8]. At the same time the following risk scale was used: high (51-100), medium (11-50) and low (0-10). Table 1. Risk level matrix Control recommendations were consisted of procedures for corrective and preventive measures, document management, information labelling and classification, risk management, internal audit, access control and manual for protection of the information security management system. The management and the employees of the public infrastructural organization were informed about the status of the information security management system. In order to improve and strengthen the information security management system, all procedures were documented. According to the procedures the company management determined the responsibilities of the employees in each organization sector regarding the information security management system. 5. RISK ASSESSMENT RESULTS Results of the accomplished risk assessment in the organization were used for improvements of the procedures related to the determined risks. According to the identified risk level in cooperation with the sector for information technology of the public infrastructural organization, instructions for appropriate actions of the employees were prepared. In the case of asserted high risk level, directions for urgent implementation of corrective measures in order to eliminate the risk in shortest time possible were provided. Realization of corrective activities and plan preparation for elimination of the determined risk was suggested when medium risk level was asserted. In the case of low risk level open discussion was developed with the employees of the sector for information technology about the full elimination of the 5

77 risk with implementation of corrective measures or acceptation of the possible consequences of the determined risk. In the public infrastructural organization 50 types of risks, were observed, [9]. Part of the descriptive risk assessment results are shown in Table 2. Risk type Table 2. Risk assessment in public infrastructural organization Threat likelihood Impact level Deficiency of reserve power supply with diesel generator Inappropriate implementation of media for data storage Power distribution failure 0, Realization of network traffic without encryption implementation Denial of service Human factor 0, Defect of personal computer systems 0, Irregular maintenance of computer equipment 0, Bottleneck 0, Deficiency of system records 0, Inappropriate application use 0, Misuse of database access levels 0, Risk level The public infrastructural organization provides power through multiple uninterruptible power supplies during power distribution failure. In the case of long term failures problems with the functioning of the information systems can emerge. Solution for this risk is acquisition of diesel generator which will provide continuous and reliable power supply of the information security management system. Media for data storage should be used only with previous permission of the chief information security officer. Regular check of the video surveillance systems is necessary to be performed. Magnetic media for data storage should be preserved in waterproof and fireproof cabinets in order to provide appropriate protection. Uninterruptible power supplies are required to be permanently functional. Continuous control of charging cycles and voltage measurement of the batteries should be implemented. Encryption of the network traffic can be provided with the implementation of cryptographic controls and preparation of education plan for employees about their use. Denial of service is one of the most common network attacks. Damage that can cause these attacks is enormous, especially if the aim is the information security management system. Employees in the sector for information technology are well trained for intervention and have control mechanisms to detect these types of attacks. Preventive measures for risk reduction of the human factor are: careful selection of the candidates for employment, interviews and signing the responsibility statement regarding information security management system. Maintenance of the computer equipment should be performed continuously. Regular check and periodic replacement of the personal computer systems is necessary to be realized. Bottleneck can emerge during full utilization of the link capacity towards certain location. Chief information security officer should prepare plan for risk reduction. Deficiency of system records can be caused with irregular, inappropriate and unscrupulous work with the database documents. 6

78 All applications should be installed strictly by the employees of the sector for information technology. Inappropriate application use can produce damage of the personal and corporative information systems. Chief information security officer can assign appropriate access privileges according to hierarchical structure and specific requirements of the employees in the public infrastructural organization. Awareness of the employees about the importance of the safety of the information security management system should be continuously increased with permanent education and training courses for raising the level of computer literacy. Threat likelihood is shown on Figure 5. From overall risks the following percentage values were noticed: low (66%), medium (26%) and high (8%). For the level of impact, shown on Figure 6, were asserted the following percentage values: low (22%), medium (34%) and high (44%). The values obtained for the risk level (1, 5, 10, 25, 50 and 100) according to the risk level matrix in percents are shown on Figure 7, [9]. Risk assessment in the public infrastructural organization was in the expected frameworks. It can be used for risk reduction to the minimal level and improvement of the information security management system, [9]. 8% 26% 66% 0,1 0,5 1 Figure 5. Threat Likelihood 22% 44% 34%

79 Figure 6. Impact level 6% 4% 12% 14% 26% 38% DISCUSSION AND CONCLUSION Figure 7. Risk level In order to maintain its concurrence on the market the public infrastructural organization should continuously invest financial capital in improvement of the information resources. The company management should carefully analyze the constructive propositions and the submitted reports of the employees which are working on the maintenance and improvement of the information security management system. Outgoing results can be used for determination of possibilities and needs for investment in the information security management system. The company should acquire contemporary devices and applications for protection of the corporative documents, messages and other resources. Results of the research show that active approach of the company management is necessary regarding the protection of the information security management system, [9]. Safety of the information security management system can be improved with continuous and accurate blocking of the detected computer attacks and appropriate reaction to the determined risks. The risk assessment should have positive influence on performance of the working processes and entire company functioning. Information security management system should be continuously maintained and improved according to the organization structure. Risk assessment results can be used at the beginning of the certification process according to the requirements of the standard ISO/IEC LITERATURE [1] Colwill, C., Human factors in information security: The insider threat - Who can you trust these days, Information Security Technical Report, 14: pp , [2] Протић Д., Информациона безбедност: Стандарди или правила, Војно дело, 1: pp , [3] Grubor G., Projektovanje menadžment sistema zaštita informacija, Prvo izdanje, Univerzitet Singidunum,

80 [4] Kritzinger E., Smith E., Information security management: An information security retrieval and awareness model for industry, Computers & Security, 27: pp , [5] Hong K., Chi Y., Chao R.L, Tang J., An integrated system theory of information security management, Information Management & Computer Security, 11: pp , [6] Davis, C., Schiller, M., Wheeler, K., IT Auditing: Using Controls to Protect Information Assets, 2nd Edition, McGraw-Hill, [7] Zhiwei Y., Zhongyuan J., A Survey on the Evolution of Risk Evaluation for Information Systems Security, Energy Procedia, 17: pp , [8] Stoneburner G., Goguen A., Feringa A., Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology, NIST Special Publication , [9] Гаџовски Д., Решенија за управување со безбедност на информации според стандардот ISO/IEC 27001, Магистерски труд, Факултет за електротехника и информациски технологии - Скопје, Универзитет Св. Кирил и Методиј - Скопје,

81 Sadržaj KRIVIČNOPRAVNI OSVRT NA POJEDINE OBLIKE UGROŽAVANJA RAČUNARSKIH SISTEMA CRIMINAL LAW POLICY OF CERTAIN FORMS OF ENDANGERING OF COMPUTER SYSTEM Nenad Bingulac 1, Joko Dragojlović 2 1,2 Pravni fakultet za privredu i pravosuđe u Novom Sadu, Univerzitet Privredna akademija Apstrakt: Savremeni način života ne može se zamisliti bez skoro potpune oslonjenosti na računare i računarske sisteme u svim segmentima društvenog života, počevši od svakodnevnih društvenih navika pa sve do pitanja od posebnog značaja za državu kao što su bezbednost države i društva u najširem smislu, stoga će biti sagledano pitanje krivičnopravne zaštite pojedinih oblika ugrožavanja računarskih sistema. U ovom radu, autori će analizirati krivično delo pravljenje i unošenje računarskih virusa, jer je prisutna velika tamna brojka, stoga postoji naročita potreba da se ovaj vid kriminaliteta što više aktuelizuje kako u stručnoj tako i u opštoj javnosti, a sve to u cilju stvaranja svesti o potencijalnim opasnostima koje donosi ovo krivično delo.zatim, biće razmotreno i pitanje računarskog terorizma, kao svojevrsne forme kompjuterskog kriminaliteta jer uporedo sa brzim razvojem i širenjem novih tehnologija, ovaj oblik kriminaliteta je postalo vrlo efikasno sredstvo u rukama terorističkih organizacija prilikom ostvarivanja određenih ciljeva. Ključne reči: visokotehnološki kriminal,zakonodavni okviri, računarski virusi, računarski terorizam Abstract: Modern life can not be imagined without the almost complete confide in computers and computer systems in all segments of life, starting from daily social habits to the question of special importance to the state, such as security of the state and society in the broadest sense, so therefore it will be assessed the question of criminal law protection of certain forms of threat to computer systems. In this paper, the authors will analyze the criminal act of creation and the insertion of computer viruses, because for this crime there is a large dark figure, so there is a particular need for this type of crime to be more actualized in the professional as well as the general public, and all this in order to create awareness of the potential dangers of this crime. Then, it will be discussed the issue of computer terrorism, as a kind of form of cyber crime, because along with the rapid development and expansion of new technologies, this form of crime has become a very effective tool in the hands of terrorist organizations in achieving certain goals. Key words: high-tech crime, legislative frameworks, computer viruses, cyber terrorism 1. UVODNA RAZMATRANJA U savremenom društvu, a posebno u onim razvijenijim, apsolutno se može smatrati da ne postoji sfera društvenog života počevši od proizvodnje, prometa, vršenja usluga, komunikacije ali i onih od posebnog značaja za državu kao što su bezbednost države i društva u najširem smislu, u kojoj ne postoji konstantna primena i skoro potpuna oslonjenost (zavisnost) na računarske sisteme. Iako postoji svest od ogromnog značaja upotrebe računarskih sistema i da je malo delatnosti u kojoj računari nisu našli svoju primenu, ipak je takođe nesporno da ne postoji tehničko i tehnološko dostignuće koje u istoriji čovečanstva nije naišlo na različite vidove zloupotrebe.

82 Ove zloupotrebe nisu nastale neposredno nakon uspostavljanja prvih računarskih sistema jer na samom početku primene kompjuterske tehnologije, njihova primena nije bila masovna, tj. njima se bavio samo uzak krug korisnika informatičkih stručnjaka, pri čemu računarski sistemi nisu bili međusobno povezani (umreženi), pa samim tim nisu bili podobni za veće zloupotrebe. Nastajanje okolnosti koje su dovele do mogućnosti da dođe do zloupotrebe računarskih sistema u različite svrhe, jeste usled njenog brzog razvoja, zatim pojednostavljenje upotrebe, ali i usled dostupnosti ove tehnologije širokom krugu korisnika. Računarska tehnologija, posebno tokom poslednje decenije, ima ubrzan razvoj, a paralelno sa njom razvija se obučenost onih koji imaju za cilj da ovu tehnologiju koriste za razne oblike zloupotreba. Često se može čuti da pojedinci ili manje grupe nezakonito pristupaju nekom važnom javnom ili privatnom računarskom sistemu, ili čak kućnim računarima. Ova pojava ne može se karakterisati samo za razvijeni zapadni svet ili samo za određene zemlje zbog postojanja interneta i nepostojanja granica. Ova problematika se može posmatrati i sa tačke da hakerske aktivnosti (preko interneta) mogu predstavljati i pozitivno delovanje, posebno u sferi uspostavljanja bolje sigurnosti računarksih sistema i bezbednosti podataka. 2. MOTIVI UČINILACA KRIVIČNIH DELA IZ OBLASTI RAČUNARSKIH SISTEMA Postoje različite kategorije učinilaca kompjuterskog kriminaliteta, s obzirom da postoji mnoštvo različitih dela koje čine, ali imajući u vidu i motive koji ih pokreću u vršenju ovih aktivnosti. Pojedinci koji neovlašćeno pristupaju tuđem računaru ili mreži bez daljeg kriminalnog motiva znatno se razlikuju od zaposlenog u nekoj finansijskoj instituciji ili banci, koji zloupotrebom informacionih tehnologija ostvaruje pristup tuđim računarima i čini znatnu materijalnu štetu. Emocionalno raspoloženje, potrebe, interesi i stavovi predstavljaju sastavni deo psihičkih procesa koje nazivamo pobudama. Motivisano ponašanje obuhvata sve svesne elemente koji nastaju pod uticajem potreba, ciljeva, aspiracija i uopšte interesa ljudi. Motiv je trenutna psihološka pojava. Motiv krivičnog dela je podsticaj, pobuda kao unutrašnja kategorija i povod, razlog kao spoljašnja kategorija, koji deluju na karakter, nagon, osećaje, svatanja ljudi. Usled delovanja odgovarajućeg podsticaja i povoda na ličnost učinioca, on sebi postavlja određeni cilj koji želi da ostvari krivičnim delom. Potrebe, interesi, običaji, uverenja, tradicija, nagoni, strasti, želje i osećaji dovode do motiva krivičnih dela [11]. Motiv je značajna indicijalna činjenica mnogih klasičnih oblika kriminaliteta, pa i kompjuterskih krivičnih dela. Motiv kao indicija, posebno dolazi do izražaja pri postavljanju verzije o osumnjičenom licu, bez obzira na to da li je reč o jednom učiniocu, ili o grupi, pa je tada metodom eliminacije potrebno odstraniti sumnju sa nevinih lica [2]. Protivpravno pribavljanje imovinske koristi izvršenjem kompjuterskih krivičnih dela jedan je od najčešćih motiva koji se javlja kod učinilaca ovih krivičnih dela. Međutim, ovaj motiv može da bude podstaknut raznim željama učinioca, kao na primer neosnovano bogaćenje, mogućnost vraćanja duga, adekvatan status u društvu, zadovoljenje određenih ličnih poroka i slično. Takođe, kao motiv izvršenja kompjuterskih krivičnih dela mogu se pojaviti: osveta, kompleks niže vrednosti, ekonomska konkurencija, želja za samodokazivanjem i postizanjem određenog uspeha, zavist, mržnja, ljubomora, zanesenost spostvenim znanjem i veštinama, a u pojedinim slučajevima mogući su i motivi političke prirode [8]. 2

83 U ovom kontekstu se može uočiti i paralela sa organizovanim kriminalom upravo zbog potrebe za sticanjem profita kao osnovnog motiva najvećeg broja počinjenih kriminalnih dela iza oblasti organizovanog kriminala. Kada je reč o kompjuterskim deliktima, može se primetiti da heterogena lepeza motiva prevazilazi, po svom obimu i raznolikosti, većinu motivacionih sistema ostalih grupa krivičnih dela. Motivacioni faktori koji se najčešće pojavljuju kao dominantni kod izvršilaca ovih delikata [13] su: intelektualni izazov, radoznalost i pustolovnost, zabava, osećaj svemoći, potreba za trijumfom, omamljenost sopstvenim znanjima i veštinama, nadoknada osećaja društvene i lične manje vrednosti, elitizam, osveta, pritisak internih (hakerskih) pravila, prestiž (ugled). 3. PODELA UČINILACA KRIVIČNIH DELA IZ OBLASTI RAČUNARSKIH SISTEMA ZASNOVANA NA MOTIVACIONOJ STRUKTURI Razmatranje ovog pitanja sa generalnog aspekta navodi da se može smatrati da se učinioci ovih krivičnih dela mogli podeliti na zlonamerne, koji mogu da deluju radi ostvarenja imovinske koristi, ili samo u cilju nanošenja štete, kao i na učinioce koji nisu motivisani ni ostvarivanjem koristi, niti prouzrokovanjem štetnih posledica, već jednostavno traže zadovoljstvo u neovlašćenom prodiranju u neki dobro obezbeđen informacioni sistem. Zlonamerni učinioci kompjuterskih delikata su najčešće motivisani koristoljubljem, kao što je već to i navedeno, dok podaci iz prakse ukazuju na određeni skup osobina koje čine njihov kriminalni profil i to: oko 80% ovih delinkvenata čini krivično delo po prvi put, 70% je zaposleno više od pet godina u oštećenom preduzeću; njihovo starosno doba je u proseku između 19 i 30 godina; pretežno su muškog pola; veoma su inteligentni; imaju uglavnom više godina radnog iskustva i važe kao savesni radnici koji prilikom obavljanja radnih zadataka ne prouzrokuju nikakve probleme; često su tehnički kvalifikovaniji nego što to zahteva radno mesto na koje su raspoređeni; ovi učinioci, po pravilu, sebe ne smatraju kradljivcima ili uopšte kriminalcima, već samo pozajmljivačima. Koristoljubivi kompjuterski kriminalitet je veoma čest u bankarstvu, finansijskim korporacijama i osiguravajućim društvima. Statistički podaci o učiniocima kompjuterskih delikata u oblasti bankarskih poslova ukazuju na najčešće profesije učinilaca: 25% čine osobe sa specijalnim ovlašćenjima i odgovornostima u informatičkim sistemima; 18% programeri, 18% službenici koji raspolažu terminalima, 16% blagajnici, 11% operateri informatičari i u 12% slučajeva učinioci su lica van oštećenih korporacija, u šta su uključeni i korisnici usluga [1]. Druga grupa učinilaca kompjuterskih krivičnih dela zadovoljstvo nalazi u samom činu uspešnog upadanja u zaštićene informacione sisteme i što su kompjuterski sistemi bolje čuvani, to je ovim licima veći izazov da se upuste u ove aktivnosti. Reč je o tzv. hakerima. Oni su prema svom profesionalnom opredeljenju najčešće programeri računarskog softvera, operateri ili visoko obrazovani informatičari, a ponekad je reč i o osobama koje se računarskim sistemima bave iz hobija. 4. POJAM I OSNOVNE KARAKTERISTIKE VISOKOTEHNOLOŠKOG KRIMINALITETA Prilikom definisanja kompjuterskog kriminaliteta među autorima ne postoji saglasnost. Računarski kriminalitet je gotovo nemoguće definisati na jedinstven i precizan način s obzirom da je reč o 3

84 kriminalitetu kod kojeg se novi pojavni oblici iz dana u dan pojavljuju, a već postojeći dodatno menjaju i usavršavaju. U cilju konciznosti ovog rada, izostaviće se dublja pomenuta analiza ovog fenomena, stoga će se ukazati na njegovo definisanje u pozitivnopravnim propisima Republike Srbije. Zakonom o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala[18], po prvi put je i u domaćem zakonodavstvu definisan pojam visokotehnološkog kriminala i to kao: vršenje krivičnih dela kod kojih se kao objekat ili sredstvo izvršenja krivičnih dela javljaju računari, računarske mreže, računarski podaci, kao i njihovi proizvodi u materijalnom ili elektronskom obliku. Iz prethodnog se može videti da se razlikuju krivična dela u kojima se računari koriste kao sredstvo izvršenja, objekat izvršenja kao i krivična dela koja se vrše na osnovu nezakonitog korišćenja interneta. Računarski kriminalitet obiluje nizom specifičnosti u odnosu na,,klasične vidove kriminaliteta koje se pre svega ogledaju u velikoj fenomenološkoj raznovrsnosti, specifičnosti učinilaca ovih krivičnih dela, brzini vršenja krivičnog dela, težini posledice i visini štete, velikoj tamnoj brojci kao i proširenom prostoru kriminalnog delovanja koji ne zahteva prisustvo izvršioca na mestu izvršenja krivičnog dela.[4] Računarski kriminalitet u odnosu na klasične vodove kriminaliteta karakteriše znatno proširen prostor kriminalnog delovanja koji ne zahteva prisustvo izvršioca na mestu izvršenja krivičnog dela. Dakle, kompjuterska krivična dela se vrše u specifičnom okruženju zvanom kibernetički ili cyber prostor. Cyber prostor je veštačka tvorevina koja zahteva visoku tehničku opremljenost, dobru informacionu infrastrukturu koja je ničija i svačija svojina, u kome paralelno koegzistiraju virtuelno i realno i kod koga je komunikacija kolektivna [9]. U takvom okruženju izuzetno je teško govoriti o nacionalnim razmerama kriminala i društvenoj opasnosti. Zato se ovaj kriminal svrstava u najizrazitiji oblik transnacionalnog kriminala protiv koga se uspešna borba ne može voditi unutar jedne države. Prema tome, važna karakteristika Cyber prostora je globalna i transnacionalna dimenzija, koja prevazilazi granice jedne države. Naime, učinilac može radnju izvršenja preduzeti na jednom mestu, a da posledica nastupi na skroz drugom mestu, čak u drugoj državi ili pak kontinentu. Imajući u obzir tehničke mogućnosti i automatizovani sistem, računarsko kriminalno delovanje se veoma brzo realizuje. Upravo ovakva vremenska dimenzija sprečava upravljanje i nadzor nad različitim aktivnostima i manipulacijama koje se preduzimaju putem kompjutera i kompjuterskih mreža. U tom smislu, vreme potrebno za izvršenje krivičnog dela skraćuje se na delove sekunde, što implicira visok nivo prikrivenosti i značajne teškoće u otkrivanju takve delatnosti, a na ovo se nadovezuju i suptilne tehnike i metode koje se izvršavaju istim mehanizmima kao i legalne, ne ostavljaju tragove, niti ometaju redovan rad sistema, pa je samim tim mogućnost otkrivanja svedena na najmanju meru. [15]. Na kraju ovog dela potrebno je još posebno ukazati da ovaj vid kriminaliteta karakteriše velika tamna brojka izvršenih krivičnih dela jer prilikom različitih zloupotreba računarskih sistema, oštećeno lice često nije ni svesno da je žrtva krivičnog dela, pa samim tim izostaje podnošenje krivične prijave, a ako i dođe do otkrivanja izvršenog dela, često je već kasno da bi se mogla preduzeti neka efikasna mera. 5. POJEDINI OBLICI UGROŽAVANJA RAČUNARSKIH SISTEMA U ovom istraživanju neće biti obrađeni svi oblici ugrožavanja računarskih sistema, usled konciznosti rada, stoga će akcenat biti isključivo na najrasprostranjenijim i to krivičnom delu pravljenja i unošenja računarskih virusa kao oblika direktnog ugrožavanja računara ili računarskog sistema fizičkog lica ili pravnog lica, a posebno će biti i razmotreno pitanje kompjuterskog (cyber) terorizma kao najčešćeg oblika ugrožavanja značajnijih državnih računarskih sistema. 4

85 Krivično delo pravljenje i unošenje računarskih virusa propisano je u članu 300 Krivičnog zakonika[7] Republike Srbije (u daljem tekstu KZ). Ovo delo se sastoji od osnovnog oblika koji je propisan u stavu 1 i kvalifikovanog oblika koji je propisan u stavu 2. Krivično delo iz stava 1 čini onaj ko napravi računarski virus u nameri njegovog unošenja u tuđ računar ili računarsku mrežu. Računarski virus je definisan u članu 112 stav 20 KZ-a i predstavlja računarski program ili neki drugi skup naredbi unet u računar ili računarsku mrežu koji je napravljen tako da sam sebe umnožava i deluje na druge programe ili podatke u računaru ili računarskoj mreži dodavanjem tog programa ili skupa naredbi jednom ili više računarskih programa ili podataka. Pravljenje računarskog virusa podrazumeva pisanje delova ili celih računarskih programa koji se nazivaju računarskim virusima.[12] Delo je dovršeno onda kada je računarski virus napravljen u nameri da se unese u tuđ računar. Dakle, potrebno je da postoji direktni umišljaj. Drugim rečima, za postojanje radnje, odnosno da bi se ispunio zakonski opis radnje izvršenja, bitno je da postoji subjektivno obeležje, a to je namera učinioca da napravljeni virus ubaci u tuđ računar. Izvršilac ovog krivičnog dela može biti svako lice, ali posmatrano sa praktičnog aspekta, izvršilac može biti samo lice koje poseduje određena znanja iz oblasti informacionih tehnologija. Za osnovni oblik krivičnog dela pravljenje i unošenje računarskih virusa iz člana 300 stav 1 KZ-a propisana je novčana kazna ili zatvor do šest meseci. U stavu 2 propisan je teži (kvalifikovani) oblik koji čini onaj ko unese računarski virus u tuđ računar ili računarsku mrežu i time prouzrokuje štetu. Dakle radnja izvršenja je kumulativno određena i sastoji se od unošenja virusa i prouzrokovanja štete. Neophodno je da postoji uzročna veza između unetog virusa i nastale štete. Nastanak štete se može manifestovati u bilo kom obliku tj. nije neophodno da je došlo do imovinske štete, već ona može da se odrazi i na zastoj u radu računara, ispoljavanju različitih grešaka u radu. Drugim rečima, neophodno je da uneti virus prouzrokuje štetne efekte po rad i funkcionisanje računara.[17] Za postojanje krivičnog dela nije od značaja na koji način je lice koje je unelo računarski virus u tuđ kompjuter do njega i došlo. Dakle, nije neophodno da ga je učinilac sam napravio, već krivično delo postoji i u slučaju kada je do računarskog virusa došao i na posredan način. Po pravilu, virusi se unose uobičajenim putevima zaraze putem disketa, menjajući sadržaj hard diska, cd rom-om, preko a, fleš memorije i slično. [12] Ovaj oblik krivičnog dela može biti izvršen samo sa umišljajem, te stoga onaj ko iz ne pažnje preko različitih disketa i fleš memorija koje koristi unese računarski virus u tuđ računar, ne čini pomenuto krivično delo. Zaprećena kazna za krivično delo pravljenje i unošenje računarskih virusa iz člana 300 stav 2 KZ-a je novčana kazna ili zatvor do dve godine. U nastavku istraživanja potrebno je da se načini i kraći osvrt na posledice koje nastaju usled pravljenja i unošenja računarskih virusa. Upotreba ručunarskih virusa je jedan od najrasprostranjenijih vidova računarskog kriminaliteta, iako je kod njega prisutna velika tamna brojka, iz razloga što značajan broj ovih krivičnih dela i ne bude prijavljen, jer žrtve nisu ni svesne da im je računar zaražen virusom. 5

86 Posledice koje nastaju usled pravljenja i unošenja računarskih virusa mogu biti velike iako u prvi mah mogu izgledati beznačajne. Programeri virusa, prave ih i u cilju realizacije različitih vidova špijunaže i krađe podataka koji imaju značaja u savremenom društvu. Takođe, nisu retki ni slučajevi internet reketiranja. Tvorci ovih virusa obično stvaraju mrežu,,zombi kompjutera osposobljenih da vode organizovani DoS napad (Napad uskraćivanjem usluge - Denial-of-service attack). Time oni ucenjuju kompanije preteći im DoS napadom na kompanijski vebsajt, server ili računarski sistem. Najčešće mete su e-prodavnice, e-bankarstvo, internet stranice za kockanje i sl., odnosno kompanije čiji se prihod ostvaruje direktno njihovim on-line prisustvom. Koliko virusi mogu biti opasni, govori i slučaj iz godine kada je kompjuterski virus Staksnet napravio haos u svetu i uspeo da ugrozi i iranski nuklearni program. On je napao uređaje koji kontrolišu centrifuge uranijuma. Njegov zadatak bio je po svemu sudeći da omogući manipulisanje sistemom za upravljanje, odnosno obustavi rad centrifuga. Istovremeno je Staksnet uspeo da zavara sistem kontrole i prikrije svoje prisustvo [16]. Izvršioci ovog krivičnog dela unošenjem virusa u tuđi računar imaju razne mogućnost, a najčešće su prikaz aktivnog monitora, snimanje kucanja po tastaturi, dodavanje ili preuzimanje različitih sadržaja i dr. Imajući u vidu da je savremeno društvo postalo zavisno od korišćenja računara u privatne svrhe i da se funkcionisanje bilo kog državnog organa i različitih privatnih firmi zasniva na kompjuterima, onda nije teško naslutiti posledice koje mogu nastati usled unošenja virusa u njihove računare. Ono što predstavlja poseban problem je to što, kao što je već izneto, većina korisnika neće ni primetiti da im je računar zaražen virusom. U nastavku istraživanja biće razmotreno pitanje kompjuterskog (cyber) terorizma kao oblika ugrožavanja značajnijih državnih računarskih sistema. Razvijena informatička tehnologija postala je poslednjih godina vrlo efikasno sredstvo u rukama terorističkih organizacija za ostvarivanje svojih destruktivnih ciljeva. Nove sofisticirane tehnike pružile su ne samo dobre mogućnosti za realizacije novih napada, već i za zaštitu sopstvenih kanala komunikacije, kao i promovisanje fundamentalističkih ideja. Teroristi više nisu geografski ograničeni u okviru određene teritorije, niti politički ili finansijski zavisni od pojedinih država. Oni se danas oslanjaju na savremene komunikacione kapacitete u okviru kojih internet ima veoma značajnu ulogu. Imajući u vidu da je veliki broj visokostručnih kadrova iz informatičke oblasti dostupan terorističkim organizacijama, svesni smo opasnosti od zloupotrebe kapaciteta visoke tehnologije od strane terorista u narednim periodima.[10] Akt kompjuterskog (cyber) terorizma bi se mogao definisati kao korišćenje informacionih resursa u vidu pretnje ili ucene da bi se ostvario određeni teroristički cilj. Ono što ovako definisanom aktu nedostaje jeste jedan element terorizma: korišćenje ili pretnja korišćenja fizičkog nasilja, tako da je pomenuta definicija bazirana na pretpostavci da u informacionom ambijentu dovođenje javnosti u stanje straha nije više neophodno, niti je neophodno uništavanje dobara i primena nasilja nad ljudima da bi se ostvarili određeni teroristički ciljevi. Prema tome, glavni cilj je remećenje umesto destrukcije, mada ni ona nije isključena, jer u društvima visoko zavisnim od informacione tehnologije remećenje informacionih sistema može izazvati kratkoročne probleme različitog obima i intenziteta, ali i mnogo značajnije, dugoročno gubljenje poverenja u sposobnosti u pouzdanost ovih sistema.[14] 6

87 Kao glavne prednosti interneta, navode se: lak pristup, dostupnost (minimalne ili odsutne jezičke barijere, vremenska neograničenost, elektronska pošta, pričaonice, diskusione grupe, blogovi, zvuk, slika, otvorena ili kodirana komunikacija), neregulisanost, odsustvo cenzure i vladine kontrole, potencijalno velika publika u celom svetu, anonimnost komunikacije i decentralizacija, brz protok informacija, niski troškovi postavljanja internet prezentacija, stalno kretanje i evazija (stvaranje i brisanje adresa), široka lepeza oružja (virusi, crvi, backdoor bombe), kritične infrastrukture kao potencijalni ciljevi i dr. [6] Najvažnija područja primene interneta od strane terorista su: planiranje i koordinacija, upravljanje operacijama (praktično više nije potreban fizički kontakt između onih koji upravljaju operacijama i onih koji neposredno izvode akcije), propaganda, prikupljanje sredstava, publicitet, psihološki rat, prikupljanje podataka, regrutovanje i mobilizacija, umrežavanje (networking), deljenje informacija, pranje novca, kibernetički rat (cyberwar), lažne kupovine sofisticirane opreme, bioterorizam (npr. oglašavanje falsifikovanih i lažnih lekova), itd.[6] Korišćenje interneta od strane terorista može biti trojako: kao oružje (cyberterrorism), kao način komunikacije među aktivistima i kao medij za obraćanje javnosti. Cyberterrorism, kao prvi način korišćenja interneta od strane terorista, se odnosi na smišljene, politički motivisane napade na kompjuterske sisteme, programe i podatke koji kao ishod imaju nasilje i strah protiv civilnih meta. [19] Drugi način korišćenja interneta jeste kao sredstvo komunikacije među aktivistima. Poznato je da je Osama Bin Laden komunicirao sa pripadnicima Al Kaide preko pokretnih kompjutera i bežične mreže putem enkriptovanih poruka (encrypted messages).[19] Treći način korišćenja interneta od strane terorista odnosi se na obraćanje javnosti putem globalne računarske mreže. Brojne organizacije su ušle u internet prostor i stvorile svoje internet web stranice. Teroristički napadi se često vrlo pažljivo organizuju kako bi privukli pažnju elektronskih medija i međunarodne štampe. Uzimanje i zadržavanje talaca samo pojačava dramu. Sami taoci ne znače ništa teroristima. Njihova ciljna grupa su gledaoci, a ne stvarne žrtve. [5] Jedan od ciljeva predstavlja obezbeđenje podrške što većeg broja pristalica, kao i korišćenje vešto urađenih i prilično sadržajnih prezentacija i tekstova u cilju opravdavanja svojih aktivnosti, dok je često prisutno i demantovanje bilo kakve upotrebe nasilja prilikom vršenja aktivnosti organizacije. Svesni smo činjenice da informaciona tehnologija jeste dragoceno oruđe u rukama jedne terorističke organizacije, ali ne sme se izgubiti iz vida činjenica da su rezultati tehnološkog napretka dostupni svim ljudima i državnim strukturama i da u tom smislu, koristeći iste prednosti informacionih tehnologija možemo ispratiti svaku negativnu pojavu, pa i delatnosti terorističkih organizacija. 6. ZAKONODAVNI OKVIR ZAŠTITE OD VISOKOTEHNOLOŠKOG KRIMINALITETA U REPUBLICI SRBIJI Republika Srbija je godine potpisala Konvenciju i Dodatni protokol, dok su godine ovi dokumenti i ratifikovani, čime su postali sastavni deo domaćeg pravnog poretka. S tim u vezi, nastale su formalno-pravno obaveze koje se odnose na harmonizaciju nacionalnog zakonodavstva, a samim tim i stvaranje normativnopravnih pretpostavki za efikasnije suzbijanje ovog oblika kriminaliteta. Nacionalni izvori koji se odnose na ovu oblast čine Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala, Krivični zakonik i Zakonik o krivičnom postupku. Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala nesporno predstavlja najvažniji pravni dokument u borbi protiv ovog vida kriminaliteta u Srbiji. Ovaj Zakon 7

88 primenjuje se radi, otkrivanja, krivičnog gonjenja i suđenja krivičnih dela protiv bezbednosti računarskih podataka određenih Krivičnim zakonikom i - krivičnih dela protiv intelektualne svojine, imovine, privrede i pravnog saobraćaja kod kojih se kao objekat ili sredstvo izvršenja krivičnih dela javljaju računari, računarski sistemi, računarske mreže i računarski podaci, kao i njihovi proizvodi u materijalnom ili elektronskom obliku, ako broj primeraka autorskih dela prelazi ili nastala materijalna šteta prelazi iznos od dinara, kao i krivičnih dela protiv sloboda i prava čoveka i građanina, polne slobode, javnog reda i mira i ustavnog uređenja i bezbednosti Republike Srbije, koja se zbog načina izvršenja ili upotrebljenih sredstava mogu smatrati krivičnim delima visokotehnološkog kriminala.[18] S obzirom da se radi o krivičnim delima kod kojih je za uspešno otkrivanje, sprečavanje, i suđenje neophodno posedovanje određenih znanja i veština, nužna je bila specijalizacija i osnivanje posebnih organizacionih jedinica. U tom smislu, za postupanje po predmetima krivičnih dela visokotehnološkog kriminaliteta nadležno je Posebno tužilaštvo koje se nalazi u okviru Višeg javnog tužilaštva u Beogradu. Za poslove organa unutrašnjih poslova po predmetima u vezi sa ovim krivičnim delima nadležna je Služba za borbu protiv visokotehnološkog kriminaliteta koja se nalazi u okviru ministarstva unutrašnjih poslova. Za postupanje po predmetima za krivična dela visokotehnološkog kriminaliteta kada je reč o sudskoj nadležnosti za teritoriju Srbije, u prvom stepenu nadležan je Viši sud u Beogradu, a u drugom stepenu Apelacioni suda u Beogradu. U Višem sudu u Beogradu za postupanje po predmetima krivičnih dela visokotehnološkog kriminaliteta organizuje se Odeljenje za borbu protiv visokotehnološkog kriminala. Kada je reč o Krivičnom zakoniku (KZ) potrebno je istaći da krivična dela koja se odnose na oblast visokotehnološkog kriminaliteta, a koja su pritom, obuhvaćena i Konvencijom. Krivična dela propisana u KZ-u, predviđena su u glavi XXVII gde su propisana krivična dela protiv bezbednosti računarskih podataka: oštećenje računarskih podataka iz člana 298 KZ-a, računarska sabotaža iz člana 299 KZ-a, pravljenje i unošenje računarskih virusa iz člana 300 KZ-a, računarska prevara iz člana 301 KZ-a, neovlašćeni pristup zaštićenom računaru, računarskoj mreži ili elektronskoj obradi podataka iz člana 302 KZ-a, sprečavanje i ograničavanje pristupa javnoj računarskoj mreži iz člana 303 KZ-a, neovlašćeno korišćenje računara ili računarske mreže iz člana 304 KZ-a i pribavljanje, nabavljanje i davanje drugom sredstava za izvršenje krivičnih dela protiv bezbednosti računarskih podataka iz člana 304a KZ-a. Važno je napomenuti i krivična dela protiv intelektualne svojine iz glave XX, i to: povredu moralnih prava autora i interpretatora iz člana 198 KZ-a, neovlašćeno iskorišćavanje autorskog dela ili predmeta srodnog prava iz člana 199 KZ-a, neovlašćeno uklanjanje ili menjanje elektronskih informacija o autorskim i srodnim pravima iz člana 200 KZ-a, povreda pronalazačkog prava iz člana 201 KZ-a i neovlašćeno korišćenje tuđeg dizajna iz člana 202 KZ-a. Potrebno je i napomenuti i krivična dela iz glave XVIII gde se nalaze krivična dela protiv polnih sloboda i to: prikazivanje pornografskog materijala i iskorišćavanje dece za pornografiju iz član 185 KZ-a i iskorišćavanje računarske mreže ili komunikacije drugim tehničkim sredstvima za izvršenje krivičnih dela protiv polne slobode prema maloletnom licu član 185b KZ-a, kao i krivična dela protiv privrede iz glave XXII, i to krivično delo falsifikovanje i zloupotreba platnih kartica iz člana 225 KZ-a, koja se takođe mogu smatrati krivičnim delima indikatorima visokotehnološkog kriminaliteta. Pojedini autori još dodatno ukazuju da u znatnom broju slučajeva u praksi se javljaju krivična dela koja se odnose na takozvani govor mržnje i to putem zloupotrebe interneta i srodnih društvenih mreža, i to krivično delo izazivanje nacionalne, rasne i verske mržnje i netrpeljivosti iz člana 317 KZ-a, kao i 8

89 krivično delo rasne i druge diskriminacija iz člana 387 KZ-a, koje su takođe iz domena takozvanog govora mržnje i vrlo često prističu iz zloupotrebe interneta. [13] Zakonik o krivičnom postupku (u daljem tekstu ZKP) predstavlja lex generalis kada je reč o krivičnopravnoj proceduri. Posmatrano sa aspekta krivičnih dela visokotehnološkog kriminaliteta, najvažnije odredbe iz ovog zakonika su odredbe koje se odnose na privremeno oduzimanje predmeta (ovde se podrazumevaju uređaji za automatsku obradu podataka kao i uređaji na kojima se čuvaju elektronski zapisi) iz člana 147 ZKP-a, pretresanje stana (ovde se podrazumeva pretresanje uređaja za automatsku obradu podataka i opreme na kojoj se čuvaju ili se mogu čuvati elektronski zapisi) iz člana 152 ZKP-a. Kada je reč o posebnim dokaznim radnjama, važno je napomenuti da se one ne mogu preduzeti za krivična dela visokotehnološkog kriminaliteta. Naime, zakonodavac je nastojao da zadovolji zahteve za supsidijarnošću i srazmernošću njihove primene, dajući prednost ljudskim pravima. Ovo pitanje je i u ranijim zakonskim rešenjima izazivalo mnogo pažnje i podeljenih stavova. Međutim, zakonodavac je u odnosu na ranija zakonska rešenja ipak posebnu dokaznu radnju, tajni nadzor komunikacije, pored krivičnih dela za koja se primenjuju i ostale posebne dokazne radnje propisao i za sledeća krivična dela: neovlašćeno korišćenje autorskog dela ili predmeta srodnog prava iz člana 199 KZa, oštećenje računarskog podaka i programa iz člana 298 stav 3 KZ-a, računarska sabotaža iz člana 299 KZ-a, računarska prevara iz člana 301 stav 3 KZ-a i neovlašćen pristup zaštićenom računaru, računarskoj mreži ili elektronskoj obradi podataka iz člana 302 KZ-a. Ovo je i razumljivo jer je kod ovih krivičnih dela modus operandi korišćenje telekomunikacionih mreža i uređaja. Stoga, mišljenja smo da bi ovu posebnu dokaznu radnju bilo neophodno proširiti i na sva krivična dela koja spadaju ili predstavljaju indikatore visokotehnološkog kriminaliteta. 7. ZAKLJUČNA RAZMATRANJA Tehnološko evoluiranje savremenog čoveka, u smislu razvoja novih tehnologija ali i njihove sve veće fizičke i psihičke zavisnosti od istih, dovelo je do toga da se može smatrati da ne postoji sfera društvenog života, pri čemu se misli i na,,obično vršenje usluga i komunikacija ali i na pitanja od značaja za bezbednost države i društva u najširem smislu, u kojoj ne postoji i u kojoj nema primene računarskih sistema, te upravo zbog toga može se razumeti da su upravo zbog pomenutog, računarski sistemi, izloženi različitim vidovima zloupotrebe. Računarska tehnologija, posebno tokom poslednje decenije, ima ubrzan razvoj, a paralelno sa njom razvija se obučenost onih koji imaju za cilj da ovu tehnologiju koriste za razne oblike zloupotreba što se često manifestuje da pojedinci ili manje grupe nezakonito pristupaju nekom važnom javnom ili privatnom računarskom sistemu, ili čak kućnim računarima. Zbog pomenutog, razmatranje ove problematike u ovom radu, započeto je sa sagledavanjem motiva učinilaca krivičnih dela iz oblasti računarskih sistema, a kao jedan od osnovnih motiva je protivpravno pribavljanje imovinske koristi, ali u znatnoj meri se javljaju kao motivi i osveta, kompleks niže vrednosti, ekonomska konkurencija, želja za samodokazivanjem i postizanjem određenog uspeha, zavist, mržnja, ljubomora, zanesenost spostvenim znanjem i veštinama, politički motivi i dr. Pored pomenutih motiva, dominantni su i intelektualni izazov, radoznalost i pustolovnost, zabava, osećaj svemoći, potreba za trijumfom, omamljenost sopstvenim znanjima i veštinama, nadoknada osećaja društvene i lične manje vrednosti, elitizam, osveta, pritisak internih (hakerskih) pravila, prestiž (ugled). 9

90 Nakon razmatranja motiva, posebna je pažnja u radu posvećena profilu učinilaca krivičnih dela. Značaj i potreba ovog dela istraživanja je u predviđanju što sveobuhvatnijih preventivnih mera i zakonskih rešenja. Poslednji deo rada je posvećen razmatranju pojedinih oblika ugrožavanja računarskih sistema i zakonodavnom okviru zaštite od visokotehnološkog kriminaliteta u Republici Srbiji. S obzirom na postojanje potrebe za konciznošću u radu, akcenat razmatranja ove problematike je bio samo na najrasprostranjenijim oblicima i to krivičnom delu pravljenja i unošenja računarskih virusa kao oblika direktnog ugrožavanja računara ili računarskog sistema fizičkog lica ili pravnog lica, a posebno je bilo razmotreno pitanje kompjuterskog (cyber) terorizma kao najčešćeg oblika ugrožavanja značajnijih državnih računarskih sistema. U samom radu, posebno u poslednjem delu, izneta su pojedina zapažanja i predlozi za još efikasnije regulisanje ove problematike, a sve kako bi se unapredila prvenstveno preventiva. Nakon sagledavanja krivičnopravnog osvrta pojedinih oblika ugrožavanja računarskih sistema, može se doći do jedinstvenog zaključka da su u zakonodavstvu, a posebno krivičnom zakonodavstvu, Republike Srbije načinjeni svi savremeni pozitivnopravni evropski trendovi što je od značaja ne samo za zaštitu građana Republike Srbije, već predstavlja poseban doprinos u globalnom rešavanju ovog problema, jer razmatrani oblici kriminala u ovom radu, predstavljaju globalni problem. LITERATURA [1] Aleksić, Ž. i Škulić, M., Kriminalistika, Pravni fakultet Univerziteta u Beogradu i Javno preduzeće Službeni glasnik, Beograd, [2] Banović, B., Obezbeđenje dokaza u kriminalističkoj obradi krivičnih dela privrednog kriminaliteta, Viša škola unutrašnjih poslova, Beograd Zemun, [3] CARNET, Napadi uskraćivanjem usluga, pdf, [4] Dragojlović, J. i Krstinić, D., Evropski standardi u borbi protiv visokotehnološkog kriminaliteta i njihova implementacija u zakonodavstvu Republike Srbije, Evropsko zakonodavstvo, 13 (51/15), str , [5] Jenkins, B., International terrorism, Crescent Publications, Los Angeles, [6] Kešetović, Ž., Internet kao oruđe terorista, Revija za bezbednost stručni časopis o koripciji i organizovanom kriminalu, Centar za bezbednosne studije, Godina II, Br. 4, Beograd, [7] Krivični zakonik, Sl. glasnik RS, br. 85/05, 88/05 ispr., 107/05 ispr., 72/09 i 111/09 i 121/12, 104/13, 108/14. [8] Main problems related to the Cybercrime, 10th United Nations Congress on the Prevention of Crime and the Treatment of Offenders, [9] Matijašević-Obradović, J.,The Significance and modalities of internet abuse as the primary global communication computer networks in cyberspace, Megatrend revija, 11 (1/2014), str , [10] Matijašević-Obradović, J. i Bingulac, N., Sajber terorizam kao savremeni oblik terorizma, Regionalno naučno stručno savetovanje ZITEH-14, održano 13. juna godine, Beograd. Zbornik radova:,,zloupotreba informacionih tehnologija i zaštita". Izdavač: Udruženje sudskih veštaka za informacione tehnologije, [11] Modly, D. i Korajlić, N., Kriminalistički riječnik, Centar za kulturu i obrazovanje, Tešanj,

91 [12] Mrvić-Petrović, N., Krivično pravo-posebni deo, Beograd, Pravni fakultet Univerziteta Union i JP Službeni glasnik, [13] Nikač, Ž. i Aritonović, N., Suzbijanje visokotehnološkog kriminala u Srbiji Legislativni i operativni aspekti, Zbornik radova pod nazivom Zloupotreba informacionih tehnologija i zaštita, ur. Petrović, S. Udruženje sudskih veštaka za informacione tehnologije, Beograd, [14] Petrović, S., Kompjuterski kriminal, MUP Srbije, Beograd, [15] Petrović, S., Kompjuterski kriminalitet, MUP RS, Beograd, [16] Ranđelović, A., Kazne za pravljenje i unošenje računarskih virusa - Visokotehnološki kriminal i ima li mu leka, [17] Stojanović, Z.,Komentar Krivičnog zakonika, Beograd, JP Službeni glasnik, [18] Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala, Sl. glasnik RS, br. 61/05 i 104/09. [19] Zirojević, M., Upotreba novih informatičkih i komunikacionih medija u svrhe terorizma, Revija za bezbednost stručni časopis o koripciji i organizovanom kriminalu, Centar za bezbednosne studije, Godina II, Br. 11, Beograd,

92 Sadržaj PRAVNI I TEHNIČKI ASPEKTI PRIVATNOSTI DIGITALNIH PODATAKA LEGAL AND TECHNICAL ASPECTS OF DIGITAL DATA PRIVACY MsSc Nevena Miladinović, MSc Nataša Simić, mr Zoran Živković, dipl.inž Towers Net d.o.o. Abstrakt: U ovom radu data su tri aspekta problematike očuvanja integriteta i privatnosti digitalnih podataka o ličnosti. Prvo je dat prikaz postojećeg pravnog okvira koji zahetva od rukovaoca primenu tehničke zaštite. Potom su predstavljeni najveći rizici i vektori kiber napada na koje treba obratiti posebnu pažnju. Na kraju dati su predlozi tehničke zaštite koja se može primeniti u zaštiti podataka. Ključne reči: lični podaci, zakonski okvir, tehnička zaštita; Abstract: This paper is focused on data protection issue and its legal framework. It analyzes data protection risks in current state of cyber space and offers several recommendations for technical protection. Key words: data protection, data privacy, cyber threat. 1. UVOD Pitanje digitalne privatnosti postaje sve izraženije poslednjih godina kao društveni i tehnološki problem. Usled činjenice da se uz razvoj i široku primenu tehnologije paralelno razvija i njena zloupotreba, pojam privatnosti definisan od strane Luisa Brandeisa i Samuela Vorena krajem 19. veka kao pravo da budemo ostavljeni na miru [1], danas postaje sve više okrenut ka problematici zaštite privatnosti komunikacije i sigurnosti podataka. Da je ovo pitanje već nekoliko decenija podrazumevano kao ozbiljna tematika govori i činjenica da je privatnost definisana kao jedno od osnovnih ljudskih prava u Univerzalnoj deklaraciji o ljudskim pravima Ujedinjenih nacija. Pravni okvir zaštite privatnosti podataka počeo da se razvija još sedamdesetih godina prošlog veka u Evropi. Danas obuhvata veliki broj međunarodnih dokumenata i zakona pojedinačnih država. Od značaja za zaštitu podataka u Republici Srbiji su međunarodni dokumenti Ujedinjenih nacija, regulativa Evropske Unije i naravno Ustav, Zakon o zaštiti podataka o ličnosti donet godine i Zakon o informacionoj bezbednost donet početkom Ispunjavanje zakonskih obaveza o privatnosti podataka u digitalno doba podrazumeva i dobro poznavanje rizika koje kiber prostor donosi kao i metoda prevencije i odbrane od zloupotrebe. Kiber napadi više nisu retkost niti su jednostavno konstruisani. Brzina njihovog razvoja je vremenom sve veća pa je nepohodno da zaštita i odbrana održe barem isti tempo. Pre svega je potrebno shvatiti značaj i neophodnost pravovremene implementacije tehničke zaštite. Posledice njenog izostanka mogu biti ozbiljne i, bilo da su sudski sankcionisane ili ne, skoro uvek povlače ozbiljne financijske reperkusije. Želja autora ovog rada bila je da istraže aspekte pravne regulative koji obavezuju rukovaoce na tehničku zaštitu podataka o ličnosti kojima barataju, da ukažu na rizike koji na tom planu postoje i da ponude nekoliko rešenja koja mogu da ih preduprede. 2. PRAVNI OKVIR Zaštitu podataka o ličnosti u našoj zemlji definiše pravni okvir koji čine Ustav, Zakon o zaštiti podataka o ličnosti [2] i Zakon o informacionoj bezbednosti [3]. Zakoni su nastali po ugledu na ostale zemlje Evrope a u skladu sa regulativom Evropske Unije.

93 2.1. REGULATIVA EVROPSKE UNIJE Evropska Unija je prvi dokument kojim definiše ovu oblast donela godine. U pitanju je Direktiva 95/46/EC Evropskog parlamenta i Saveta [4] koja se odnosi na zaštitu ličnih podataka pri procesiranju. Ova direktiva je obavezujuća za sve države članice i države koje žele da postanu deo Unije. Članovima 16. i 17. definisane su obaveze rukovaoca ličnim podacima u pogledu poverljivosti i bezbednosti rukovanja. Od rukovaoca se traži da primeni adekvatne tehničke i organizacione mere koje će zaštititi lične podatke od slučajne ili nezakonite destrukcije, slučajnog gubitka, izmene, otkrivanja ili pristupa, naročito kada procesiranje uključuje prenos podataka kroz mrežu, i od svih drugih oblika procesiranja. Zaštitne mere treba da budu u skladu sa tehnološkim razvojem i troškovima koji su srazmerni riziku koje procesiranje sa sobom nosi i tipu podataka kojim se rukuje. Države članice su svoje zakone vremenom uskladile sa ovom direktivom ili donele nove koji bi ispunili potreban standard. Većina je na temu tehničke zaštite navela praktično ono što je traženo u Direktivi 95/46/EC. Nekoliko zemalja kao što su Italija, Španija, Poljska i Slovačka su postavile dodatne uslove. Njihovi zakoni se ne odnose na rukovanje ličnim podacima na našoj teritoriji ali mogu biti primer dobre prakse kada je njihova zaštita u pitanju. Tako Slovačka traži da rukovalac ima pripremljen poseban sigurnosni projekat za svoj informacioni sistem i da ima osobu posebno zaduženu za bezbesnost ličnih podataka ako zapošljava više od pet ljudi [5], Španija definiše tri tipa zaštitnih mera koje treba primeniti u zavisnosti od osetljivosti podataka [6] dok Poljska uz to traži da rukovalac poseduje dokumentaciju koja opisuje procese nad podacima i bezbednosne mere i da obavi autorizaciju i evidenciju osoblja koje ima pristup podacima [7]. Možda najrigoroznije mere zaštite zahteva italijanski zakon koji od rukovalaca eksplicitno traži primenu kompjuterske autentifikacije, implementaciju sistema za upravljanjem dozvola pristupa, upotrebu autorizacionog sistema, primenu posebnih softverskih rešenja za sprečavanje nedozvoljenog rukovanja i pristupa, primenu procedura za arhiviranje i oporavak, posedovanje redovno ažuriranog dokumenta o bezbednosnoj politici i primenu kriptografskih tehnika ili identifikacionog koda za posebne procedure rukovanja u okviru sistema zdravsvene zaštite. [8] Pored osnovnog dokumenta iz godine, potrebno je napomenuti da Evropska Unija i njene članice imaju razvijeno zakonodavstvo kada je upitanju informaciona bezbednost. Prvi takav dokument Evropska Unija je donela godine - Budimpeštanska konvencija [9]. Potom je razvoj regulative nastavljen donošenjem dokumenata o privatnosti elektronske komunikacije (2002) [10], o napadima na informacione sisteme (2013) [11], Strategije o informacionoj bezbednosti (2013) [12] kao i mnogim drugim koji se direktno ili indirektno odnose na temu zaštite privatnosti ličnih podataka. Pre svega čine nelegalnim narušavanje bezbednosti IKT sistema, ugrožavanje bezbednosti, neovlašćeni pristup podacima (bilo da su lični ili ne) ili njihovo uništavanje, dok se od operatera traži da definiše i primenjuje mere zaštite i prijavi odgovarajućim nadležnim organima ukoliko dođe do incidenata ZAKONI U REPUBLICI SRBIJI Na teritoriji Republike Srbije relevantan je Zakon o zaštiti podataka o ličnosti objavljen u Službenom glasniku RS, br. 97/2008 od godine. Članom 47. definisane su organizacione i tehničke mere zaštite ličnih podataka: Podaci moraju biti odgovarajuće zaštićeni od zloupotreba, uništenja, gubitaka, neovlašćenih promena ili pristupa. 2

94 Rukovalac i obrađivač dužni su da preduzmu tehničke, kadrovske i organizacione mere zaštite podataka, u skladu sa utvrđenim standardima i postupcima, a koje su potrebne da bi se podaci zaštitili od gubitaka, uništenja, nedopuštenog pristupa, promene, objavljivanja i svake druge zloupotrebe, kao i da utvrde obavezu lica koja su zaposlena na obradi, da čuvaju tajnost podataka. Članom 48. definisana je obaveza rukovaoca da vodi evidenciju koja, pored standardnih informacija o vrsti podataka, tipu i svrsi obrade, treba da sadrži i preduzete mere zaštite podataka. Članom 57. definisane su kaznene odredbe Zakona. Za postupanje suprotno odredbama člana 47. stav 2. predviđa se novčana kazna od do dinara za prekršaj rukovalac, obrađivač ili korisnik koji ima svojstvo pravnog lica. Pored Zakona o zaštiti podataka o ličnosti relevantan je i Zakon o informacionoj bezbednosti objavljen u Službenom glasniku RS, br. 6/16 koji je stupio na snagu 5. februara godine. Ovaj zakon se na nekoliko nivoa odnosi na IKT sisteme koji sadrže lične podatke građana Srbije. Operator IKT sistema koji sadrži podatke građana Srbije obavezan je da u slučaju incidenta koji narušava pravo na zaštitu podataka o ličnosti o tome obavesti nadležni organ a on o tome izveštava i Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. Članom 6. (tačka 2) je definisano da se IKT sistemi za obradu naročito osetljivih podataka (podaci koji se odnose na nacionalnu pripadnost, rasu, pol, jezik, veroispovest, zdravstveno stanje, primanje socijalne pomoći, žrtvu nasilja itd) kategorišu kao sistemi od posebnog značaja. Operator sistema od posebnog značaja je na osnovu člana 7. odgovoran za bezbednost IKT sistema i preduzimanje mera zaštite u cilju prevencije incidenta i prevencije i minimizacije štete koja bi tako nastala. Mere zaštite treba da obuhvate uspostavljanje organizacione strukture, klasifikaciju i ograničenje pristupa podacima, zaštitu podataka i sredstva za obradu podataka od zlonamernog softvera, zaštitu od gubitaka podataka, zaštitu od zloupotrebe tehničkih bezbednosnih slabosti sistema, postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja, edukaciju zaposlenih itd. Potrebno je da se donese akt o bezbednosti sistema u kome se navode preduzete mere zaštite, primenjeni principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti, kao i ovlašćenja i odgovornosti i da se najmanje jednom godišnje vrši provera usklađenosti primenjenih mera i da se o tome sačini izveštaj (član 8.). Primenu ovog zakona kontrolisalaće inspekcija za informacionu bezbednost pri ministarsarstvu zaduženom za telekomunikacije a kazne za nepoštovanje zakona mogu da iznose od do dinara. 3. UGROŽAVANJE PRIVATNOSTI I INTEGRITETA PODATAKA U SAVREMENOM KIBER PROSTORU Današnji kiber prostor nije okruženje u kojem je preporučljivo ostaviti bilo koji tip podataka nezaštićen, a tako nešto učiniti sa podacima o ličnosti je i zakonski kažnjivo. Rizici kojima su izloženi podaci i informacioni sistemi obuhvataju široki opseg napada. Oni mogu biti relativno jednostavni ali i visoko sofisticirani, najčešće u zavisnosti od koristi koja se napadom može ostvariti. Po zaštitu privatnosti i integriteta podataka naročito su značajni napadi koji bi doveli do neovlašćenog pristupa, izmene i preuzimanja podataka, slučajnog curenja, namernog ili nenamernog uništavanja ili, što je u poslednjih par godina naročit problem, njihovog namernog zaključavanja zarad ostvarivanja finansijske dobiti. Kiber kriminal dosegao je nivo razvoja koji daje tehničke mogućnosti napadaču da se na različite načine infiltrira u sistem koji čuva podatke i nakon toga načini štetu. Najznačajniji vektori napada su korespondencija, nebezbedan pristup internetu i presretanje transfera osetljivih podataka. 3

95 komunikacija, uprkos svojoj širokoj primeni, donosi veliki broj bezbednosnih izazova. Najveći problem poruka predstavljaju prilozi koje one sadrže ili linkovi koji se nalaze u tekstu poruke. Otvaranjem priloga ili linka zlonamerne poruke može da dovede do pokretanja skrivenog malvera različitih namena i dometa u pogledu štete koju može da načini. Zlonamerne poruke mogu najčešće da se klasifikuju u tri grupe: spam, phishing i spear-phishing. Problem spama je prisutan jako dugo. Zaštita od njega postoji i primenjuje se na tehničkom nivou ali su i sami korisnici servisa dovoljno informisani da ga u principu prepoznaju i brišu iz svog inboksa. Međutim, što zbog sve kvalitetnije konstruisanih poruka, što zbog nepažnje, pada koncentracije ili zamora korisnika neretko se događa da se spam poruke otvore i da se tako napadaču otvore vrata u informacioni sistem. Spam je vremenom evoluirano u phishing (pecanje), napredniji vid napada preko -a. Poruke su pažljivije konstruisane, njihov sadržaj i pošiljalac deluju legitimno ali ako se pažljivije pogledaju njihove karakteristike može se primetiti da su maliciozne. Za razliku od spama, phishing poruke su uglavnom napisane na jeziku koji potencijalna žrtva koristi u svojoj korespondenciji i manjeg je obima u količini poslatih poruka. Poslednji evolutivni nivo predstavljaju spear-phishing poruke koje su uglavnom u upotrebi prilikom ciljanih (APT) napada. Usmereni su ka malom broju korisnika konkretne organizacije koja je meta napadača. Internet konekcija sistema koji skladišti osetljive podatke nosi slične rizike kao i otvaranje poruka od strane njegovih korisnika. Web protokoli su sveprisutni, podržavaju web pretraživanje, mobilne aplikacije i veb servise. Međutim kompleksnost aplikacija koje ih koriste i opštost HTTP-a vodi do curenja informacija i može dovesti do zloupotrebe. Takođe pristupi nebezbednim stranicama može da dovede do prodora malvera u računar i informacioni sistem kojem on pripada. Značajan vektor napada, takođe, predstavlja prenos fajlova sa osetljivim podacima preko nebezbedne konekcije ili prijem fajlova čija struktura i sadržaj nisu podrobno provereni. 4. TEHNIČKA REŠENJA ZA OČUVANJE PRIVATNOSTI I INTEGRITETA PODATAKA Razvoj velikog broja kiber pretnji pratio je i razvoj tehničke zaštite privatnosti i integriteta podataka i informacionih sistema. Zaštitna rešenja su nastajala na osnovu potrebe da se spreče potencijalni vektori napada, određeni tipovi pretnji ali i da se ponude različiti nivoi bezbebednosti u skladu sa sigurnosnim potrebama i financijskim mogućnostima organizacije koja odluči da ih primeni. Velike kompanije i državne institucije širom sveta odavno su svesne neophodnosti očuvanja integriteta i privatnosti podataka koje čuvaju. Iskustva kompanija koje su pretrpele napade pokazuju da, pored neizbežnih pravnih konsekvenci, ni malo nije zanemarljiv gubitak poverenja klijenata i opadanje prihoda i ugleda. Tako se, iz zakonske i poslovne nužde, okreću primeni zaštitnih rešenja. Međutim, jedan od trendova godine je to što se kiber kriminal u velikoj meri okreće ka srednjim i malim preduzećima. Uzrok tome je što su bili posmatrani kao lake mete očekujući da zbog manjeg budžeta neće uložiti u zaštitu svojih podataka i sistema. Značajno je i to da tehnička zaštita potrebna bez obzira na domen kojim se kompanija/organizacija /institucija bavi. Dokle god skladišti lične podatke dužna je da se brine o njima. Izbor rešenja može biti izvršen na osnovu nivoa zaštite koji je potrebno ostvariti, vektora napada koje treba štititi i finansijskih mogućnosti kojima se raspolaže. 4

96 4.1 REŠENJE KOJE ZAUSTAVLJA VIŠE VEKTORA NAPADA Organizacije koje raspolažu manjim brojem zaposlenih, manjom infrastrukturom koju treba da štite i manjim budžetom, svoje informacije mogu da zaštite primenom rešenja koja brane od više vektora napada. Ovakva rešenja vrše proveru više različitih tipova saobraćaja i sprečavaju ulazak zlonamernog sadržaja i curenje podataka. Filtriranje je potrebno izvršiti za tri najkritičnija tipa komunikacije (mail, web i file transfer). Postavljaju se na granici sistema organizacije i štite njenu celokupnu infrastrukturu. Sprečavanje prodora zlonamernog sadržaja u sistem se pre svega može obaviti filtriranjem dolaznih datoteka vršenjem njihove dubinske provere. Dubinskom proverom analiza se unutrašnji sadržaj datoteka koji može biti različite strukture i karaktera. Datoteka može da ima u sebi druge datoteke, pa tako dubinska provera treba da bude višeslojna. Nakon provere datoteke je potrebno ponovo sastaviti uz izostavljanje pronađenih zlonamernih sadržaja. Blokiranje se primenjuje u slučaju prisustva aktivnih objekata kao što su skripte, interaktivne forme ili flash. Na taj način sprečava se da u sistem uđe spyware, ransomware ili neki drugi vid malware koji bi oštetio podatke, izbrisao ih, neautorizovano im pristupio ili omogućio njihovo curenje. Zlonamernu prirodu datoteke napadači često pokušavaju da prikriju menjanjem njene ekstenzije. Tako jedna maliciozna skripta za postavljanje backdoor-a promenom ekstenzije može da postane.pdf ili.doc tekstualni fajl poslat uz komplementarnu poruku u mail-u, pa je potrebno da zaštitno rešenje bude sposobno da to prepozna. Curenje podataka u vidu nepromišljenog ili namernog slanja osetljivih podataka van sistema može da bude sprečeno odgovarajućom administratorskom politikom definisanom pomoću ključnih reči na osnovu kojih bi se vršila provera sadržaja koji izlazi iz sistema. Jedno od rešenja koje se može preporučiti za zaštitu sistema od više vektora napada je SelectorIT [13], u proizvodnji kompanije YazamTech. Ovo rešenje vrši proveru i filtriranje različitih tipova datoteka koje ulaze u sistem. Ima mogućnost integracije sa popularnim aplikacijama za , web pretragu i transfer fajlova a skeniranje vrši pomoću 13 antivirusnih rešenja bez međusobne kolizije. 4.2 REŠENJA SPECIJALIZOVANA ZA POJEDINAČNE VEKTORE NAPADA Veliki informacioni sistemi operatora ili kompleksnih organizacija mogu imati potrebu za kompleksnijom zaštitom, pa njihove potrebe ne može uvek da podmiri jedno rešenje koje pokriva sve potencijalne vektore napada. U tom slučaju primenjuju se zasebna rešenja za određene tipove komunikacija. Kada je u pitanju zaštita privatnosti i integriteta podataka od posebnog je značaja u kompleksnim sistemima implementirati rešenja za zaštitu komunikacije, pristupa internetu i transfera fajlova. Zaštitna rešenja ovog tipa koriste različite mehanizme filtriranja saobraćaja. Preporuka autora je primena tehnologija koje pored ostalih metoda koriste i prekid TCP/IP konekcije na granici sistema. Ovaj pristup omogućava dodatni stepen izolacije štićenog sistema. Naime, za svaki dolazni tok saobraćaja prekida se TCP/IP konekcija i primljeni saobraćaj se analizira i filtrira. Nakon povere uspostavlja se nova TCP/IP konekcija koja omogućava prenos odobrenih podataka u drugu mrežu. Tako ni u jednom trenutku ne postoji TCP/IP konekcija koja povezuje obe mreže i daje napadaču uvid u nju. 5

97 4.2.1 ZAŠTITA KOMUNIKACIJE Organizacije koje raspolažu velikom količinom mail saobraćaja, kao što su telekomunikacioni operateri ili druge organizacije koje imaju svoje mail servere, mogu da primene tome posebno namenjenu zaštitu. Rešenja namenjena mail zaštiti omogućavaju administratoru da za specifične potrebe sistema formira posebna pravila za ograničavanje saobraćaja. Mogu da se definišu u zavisnosti od potreba poslovanja i da budu različita za pošiljaoca i primaoca ili različit tip poruke i sadržaja. Dolazni mail saobraćaj je potrebno filtrirati tako da se spreči ulaz nebezbednih priloga koji u sebi sadrže ransomware, spyware ili skripte koje mogu da postave backdoor, dok se odlazni saobraćaj ograničava tako da iz sistema ne izađu poruke koje sadrže osetljive podatke. Poruke koje nisu u skladu sa bezbednosnom politikom mogu biti tiho odbačene, odbačene bez slanja povratnog izveštaja ili stavljene u karantin dok administrator ne odluči pojedinačno šta treba sa njima da bude učinjeno. Zaustavljanje lažnih -ova i pokušaja socijalnog inžinjeringa se vrši proverom adrese pošiljaoca, autentifikacije i dodelom digitanih identiteta. Curenje podataka tokom tranzita poruke se dodatno može sprečiti upotrebom enkripcije. Primer rešenja koje može da obezbedi visok nivo zaštite komunikacije može biti Mail Guard proizvođača Deep Secure [14]. Ovo rešenje je dizajnirano da štiti i od veoma naprednih napada i zloupotreba fokusirajući se na sadržaj. Preporučuje se njegova primena ukoliko je potrebna stroga kontrola ovog vida komunikacije ZAŠTITA WEB SAOBRAĆAJA Organizacije čiji sistemi upravljaju velikom količinom web saobraćaja imaju potrebu da taj saobraćaj prilagode svojim bezbednosnim politikama. Rešenja za konrolu web saobraćaja vrše proveru korisnog segmenta HTTP paketa (payload) na različite vrste malvera i osetljive podatke. Dozvoljavaju administratoru da definiše bezbednosnu politiku na osnovu identiteta klijenta i servera i upotrebljene HTTP metode. To omogućava da se pravila posebno definišu da bi se ostvario najviši stepen bezbednosti. HTTP zaglavlja takođe mogu biti proverena, modifikovana ili potpuno uklonjena i zamenjena. Na ovaj način sprečava se upotreba cookies-a i tajnih tokova informacija koje bi koristio kontrolni centar naprednih napada. Kao primer rešenja koje štiti od napada koji može doći putem web saobraćaja može se uzeti srodno rešenje, Web Guard takođe proizvodnje kompanije Deep Secure [15]. Namenjen je preciznoj kontroli saobraćaja Internet pretraživanja i web protokola koje koriste različite aplikacije za razmenu podataka ZAŠTITA TRANSFERA DATOTEKA Organizacije koje imaju potrebu da pažljivo kontrolišu transfer datoteka sa Internet serverima ili imaju potrebu da razmenjuju datoteke između internih zona sistema mogu da primene rešenja za konrolu ovog vida razmene podataka. Bezbednosnim pravilima koje postavlja administrator ograničava se sadržaj i određuje kako se tretira datoteka koja se prenosi. Dubinskom proverom se uklanja malver i zaustavlja curenje osetljivih podataka. Curenje podataka može da bude sprečeno primenom bezbednosnih oznaka koje čine unapred definisane reči ili fraze. Prilikom transfera datoteka pored drugih provera vrši se i provera da li datoteka sadrži definisane reči ili fraze u svom sadržaju i pratećim karakteristikama (properties, header i footer). 6

98 Bezbednosna pravila mogu biti uslovljena identitetom klijenta koji se utvrđuju pomoću lozinke ili digitalnog potpisa. Na taj način se sprečava da neautorizovane osobe ostvare pristup datotekama sa osetljivim podacima. Primer rešenja koje može obezbediti siguran transfer datoteka sa osetljivim podacima je File Transfer Guard takođe proizvođača Deep Secure [16]. Rad ovog rešenja je zasnovan na terminaciji konekcije transfera i dubokoj proveri datoteka koje se razmenjuju pre nego što se uspostavi nova konekcija i obavi prenos do odredišta. Podržava prenos pomoću FTP protokola koji koristi različite konekcije za transfer datoteka i kontrolu sesije, pa se terminacija vrši za obe konekcije. 4.3 ZAŠTITA POSEBNO OSETLJIVIH BAZA PODATAKA Zaštita posebno osetljivih podataka se može konstruisati na različite načine. Postavlja se pitanje koji nivo zaštite je potreban, kakav pristup podacima se očekuje. Nivo zaštite se definiše na osnovu nivoa rizika koji postoji u čuvanju osetljivih podataka. Obično se u osnovnim arhitekturama koriste firewall uređaji u kobinaciji sa IPS (Intrusion Prevention System) rešenjima. U pojedinim sistemima potrebno je napraviti posebno bezbedni i izolovani backup. Tada je moguće kao poseban vid zaštite upotrebiti jednosmerne data diode. Ovi uređaji su zasnovani na jednosmernom prenosu podataka. Jednosmernost može biti obezbeđena na softverskom i hardverskom nivou. Obično se hardverski nivo obezbeđuje upotrebom jednosmernih optičkih vlakana i koristi se kao dopuna već postojećoj softverskoj jednosmernosti zarad ispunjavanja različitih standarda zaštite. Jednosmeran uređaj ovog tipa može biti postavljen na ulazu u backup sistem, tako da dozvoljava samo ulaz podataka u zaštićenu zonu. Na taj način omogućava se unos najnovijih podataka u skladištenu memoriju ali se sprečava njihovo curenje. Drugi način može biti njihovo postavljanje ispred sistema u kojem se čuvaju podaci kojima može biti dopušteno da napuste štićenu zonu ali je imperativ da njihov integritet bude apsolutno očuvan. U ovom slučaju dioda bi omogućila dostupnost podataka i sprečila njihovo kompromitovanje usled napada. Pored same jednosmernosti, bitno je da data diode u sebi sadrže i mehanizme za kontrolu sadržaja koji bi uklonio potencijalne zlonamerne softvere. U prvom scenariju, bez ovakvog mehanizma moguće je da malver dospe do štićene zone i naruši integritet podataka iako nikako ne može da dovede do njihovog curenja. Primera ovakvih uređaja ima više. Minerva dioda u proizvodnji kompanije Deep Secure [17] nudi pouzdanu softversku jednosmernost prenosa podataka uz mogućnost primene i fizičke jednosmernosti. Naime, realizovana je u vidu dva servera (prijemni i predajni) koji se ako je potrebno mogu povezati optičkim linkom. Kao drugi primer može se uzeti Arow dioda u proizvodnji kompanije Somerdata [18]. Ova data dioda je realizovana tako da je u potpunosti hardverski jednosmerna jer su predajni i prijemni moduli (dati u redundansi) međusobno povezani optičkim linkovima. Obe ove diode sadrže mehanizme za detekciju i uklanjanje zlonamernog sadržaja iz saobraćaja koji prolazi kroz njih. 5. ZAKLJUČAK Sa rapidnom ekspanzijom kiber pretnji, pitanje zaštite i privatnosti ličnih podataka postaje sve aktuelnija tema. Međutim, bez obzira ili baš uprkos sve većim izazovima principijelan pristup privatnosti mora biti očuvan. 7

99 Jedan faktor postizanja tog cilja je pravni okvir koji će primorati rukovaoce podacima o ličnosti da ozbiljno shvate neophodnost primene tehničke i organizacione zaštite. Drugi faktor predstavlja praćenje tehnološkog razvoja i složenosti kiber pretnji, njihovih vektora napada i posledica koje mogu da proizvedu. Treći faktor predstavlja adekvatna, blagovremena i sveobuhvatna primena tehničke zaštite koja treba da bude sposobna da odgovori na sve zahtevnije i kompleksnije probleme informacione bezbednosti. Sva tri faktora su podjednako neophodna da bi se ostvarila privatnost i integritet podataka. Vremenom će njihova složenost prirodno rasti jer će, sudeći po dosadašnjim prilikama, ozbiljnost kiber pretnji postati samo veća. LITERATURA [1] U. Mišljenović, B. Nedić i A.Toskić, Zaštita privatnosti u Srbiji, Partneri za demokratske promene Srbija, [2] Zakon o zaštiti podataka o ličnosti, Službeni glasnik RS, br. 97/2008, [3] Zakon o informacionoj bezbednosti, Službeni glasnik RS, br. 6/16, [4] Directive 95/46/EC of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data [5] National Council of the Slovak Republic, Act No. 122/2013 Coll. on Protection of Personal Data [6] Organic Law 15/1999 of 13 December on the Protection of Personal Data, [7] Personal Data Protection Act of 29 August 1997 (consolidated text Journal of laws of 2002, No 101, item 926) [8] Legislative Decree no. 196 of 30 June 2003, (Codice in materia di protezione dei dati personali) [9] Convention on Cybercrime, Budapest, [10] Directive 2002/58/EC of the European Parliament and of the Council concerning the processing of personal data and the protection of privacy in the electronic sector, Brussels [11] Directive 2013/40/EU of the European Parliament and of the Council on attacks against information systems, Brussels, [12] Joint Communication to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions, Cybersecurity Strategy of the European Union, Brussels, [13] [14] [15] [16] [17] [18] [19] Sophos, Our Cybersecurtiy Predictions for 2016, [20] Kaspersky Lab, Top 7 Cyberthreats, [21] Kaspersky Lab, Kaspersky Security Bulletin 2015, [22] Kaspersky Lab, Kaspersky Security Bulletin Overall statistics for 2015, overall-statistics-for-2015/ 8

100 Sadržaj ZLONAMERNI SOFTVER DIZAJNIRAN DA OMOGUĆI IZVRŠAVANJE NEOVLAŠĆENIH TRANSAKCIJA MALICIOUS SOFTWARE DESIGNED TO ENABLE THE EXECUTION OF UNAUTHORIZED TRANSACTIONS Dr Viktor Kanižai 1 1 OTP banka Srbija a.d. Novi Sad Apstrakt: Konstantnim razvojem digitalnog bankarstva, pojavljuju se i novi oblici zloupotrebe iz oblasti visokotehnološkog kriminala. Novac se ne otuđuje više samo razbojništvom, već i neovlašćenim transakcijama, da li preko računarskog sistema banke ili preko računara korisnika finansijskih usluga. Ovo drugo je mnogo lakše sa aspekta kriminalaca jer korisnici ne posvećuju dovoljno pažnje na zaštitu podataka i bezbednost računara, pa su time i lakše mete. Pravljenje i unošenje računarskih virusa dizajniranih da omoguće izvršavanje neovlašćenih transakcija su jedan od vidova zloupotrebe, koji je veoma rasprostranjen sa prouzrokovanim štetama velikih razmera, kako za finansijske institucije, tako i za njihove klijente. Autor će u ovom radu prikazati životni ciklus neovlašćene transakcije, od zaraze računare žrtava, prikupljanja njihovih kredencijala,do izvršenja neovlašćene transakcije. Prikazani primeri ovakvih malicioznih softvera prouzrokovali su štete za koje se procenjuju da su veće od 1 milijardi dolara. U trenutku pisanja rada, neki od ovih virusa su i dalje aktivni. Ključne reči: neovlašćene transakcije,finansijski malver,visokotehnološki kriminal, Dridex, Dyre, Carbanak, računarski virusi Abstract: With constant development of digital banking, there are also new forms of abuse in the field of cybercrime. Money is not only stolen with just robbery anymore, but also with unauthorized transactions, whether through a computer system of a bank or via the computer of financial services user. The latter is much easier in terms of criminals because users do not pay enough attention to data protection and computer security, and are therefore easier targets. Creating and introducing computer viruses designed to enable the execution of unauthorized transactions is one of the forms of abuse, which is very prevalent with large-scale damage, both for financial institutions and their clients. The author of this paper will show the life cycle of unauthorized transactions, from infecting computers of victims, collecting their credentials, to the execution of unauthorized transactions. Featured examples of such malicious software caused damage which is estimated to be more than 1 billion dollars. At the time of writing the paper, some of these viruses are still active. Keywords: unauthorized transactions, financial malware, cybercrime, Dridex, Dyre, Carbanak, computer viruses 1. UVOD Finansijske institucije sve više i više ulažu u razvoj i prelazak na digitalno bankarstvo. Sa aspekta korisnika veći je komfor nema čekanja redova u šalter salama, manje su provizije prilikom plaćanja, itd., a sa aspekta finansijske institucije manji su troškovi ne moraju se otvarati nove filijale tamo gde to nije isplativo, radna snaga takođe ne mora da se povećava, itd. Imajući ovo u vidu možemo slobodno reći da je digitalno bankarstvo budućnost kako za finansijske institucije, tako i za korisnike finansijskih usluga. Međutim, sajber kriminalci sve više pokušavaju da neovlašćeno pristupe onlajn nalozima korisnika finansijskih usluga. Prema istraživanju Finansijske sajber pretnje u koje je sprovela kompanija Kaspersky Lab, u godini, broj sajber napada koji koriste finansijski malver je porastao na 28.4 miliona, što je 27.6% više nego u godini [1]. Širom sveta raste zabrinutost zbog zlonamernih softvera dizajniranih da omoguće neovlašćene transakcije. Kriminalci se oslanjaju na sve više sofisticiranije tehnike da ukradu onlajn kredencijale

101 bankarskih klijenata, a zatim da ih iskoriste da preuzmu račun žrtve i izvrše neovlašćene transakcije, kao što su transfer novca na nove destinacije. Često, žrtva nije ni svesna da nešto nije u redu sa njenim računom u banci. Šta više, današnji sajber kriminalci su svesni tehnologija za prevenciju prevara implementiranih u većini finansijskih institucija, pa oni već tako dizajniraju napade da zaobiđu ove kontrole. Na primer, kriminalci mogu da zaobiđu različite oblike provere identiteta pomoću kampanja društvenog inženjeringa kako bi ubedili korisnike da otkriju svoje onlajn kredencijale. Detekcija anomalija kod transakcija i praćenje identifikatora resursa takođe mogu biti neefikasne metode, stvarajući veliki broj lažnih upozorenja koji mogu savladati ljudske resurse koji ih prate, a takođe može negativno uticati na korisničko iskustvo [2]. 2. ŽIVOTNI CIKLUS NEOVLAŠĆENE TRANSAKCIJE Zlonamerni softver omogućava prevarantima da izvrše lažne transakcije na različite načine. Najčešća dva primera su: 1. Preuzimanje računa (eng: Account takeover ATO ) U ovom tipu manuelnog napada, prevarne transakcije se izvršavaju od strane kriminalaca preko njihovog uređaja nakon prikupljanja kredencijala žrtve. 2. Sistemi automatskih transakcija (Automated transaction systems ATS) U ovom tipu automatizovanog napada, žrtve iniciraju stvarne transakcije, a zatim su te transakcije izmenjene u toku realizacije od strane zlonamernih programa. Malver menja naznačenog primaoca ili sumu transakcije bez znanja žrtve i otuđuje novac sa računa žrtve. Prevaranti koriste tehnike društvenog inženjeringa da ohrabre žrtve da izvrše razne aktivnosti od preuzimanja zlonamernog softvera na svoj računar do odavanja svojih ličnih podataka. Prevaranti manipulišu žrtvama da kliknu na linkove za koje oni poveruju da su legitimni web sajtovi ili aplikacije, ali umesto toga time zapravo preuzimaju malver automatski i neprimetno na svoje računare. Kada se instalira malver, prevaranti često izigraju žrtve da otkriju svoje lične podatke vodeći ih kroz lažne procese identifikacije. Žrtve mogu čak dobiti obaveštenje da će biti odjavljeni sa svog računa ako ne potvrde identitet, ali proces lažne identifikacije ili potvrde identiteta zapravo krade njihove lične podatke i šalje ih direktno prevarantu. Socijalni inženjering je ključni faktor prevare, bez njega prevaranti imaju malo šanse da uspeju. Tipičan životni ciklus prevare inicirane od strane malvera podrazumeva proces u tri koraka [2]: 1. Zaraza računara žrtava. 2. Prikupljanje kredencijala. 3. Izvršavanje neovlašćenih transakcija ZARAZA RAČUNARA ŽRTAVA Da bi zarazili računare, prevaranti treba da distribuiraju malver. Drugim rečima potreban je vektor za distribuciju. Vektor distribucije može biti bilo koje sredstvo kojem se može dopreti do velikog broja ljudi, uključujući [2]: Neželjene poruke (spam): Kod ovog uobičajenog vektora distribucije, krajnji korisnik dobija naizgled potpuno bezopasan koji sadrži link za preuzimanje zlonamernih programa na računar ili sadrži malver kao prilog (atačment). Slike 1. i 2. prikazuju primere ovakvih neželjenih poruka koje je autor ovog rada analizirao u praksi. 2

102 Slika 1. Virus nultog dana u prilogu a Kod prikazanog primera na Slici 2. lažirana je adresa pošiljaoca da izgleda tako kao da je primalac sam sebi poslao . Slika 2. Link u telu poruke koji ukazuje na zlonameran sajt na internetu Malvertising : Prevaranti ponekad plate za legitimni oglasni prostor kako bi podmetnuli zlonamerne reklame sa ugrađenim JavaScript-om. Maliciozni JavaScript je strukturiran na takav način da se iskoristi postojeća ranjivost ili da preusmerava korisnika na drugu lokaciju odakle se instalira malver. Pored toga, prevaranti mogu da koriste bot -ove da oglašavaju linkove ka zlonamernom softveru. Bot je u ovom slučaju alat koji može da izvršava automatizovane zadatke, kao što su postavljanje reklame na raznim legitimnim sajtovima. Ovi oglasi preuzimaju malver na računar bez znanja korisnika. Usluge infekcija (daunloderi): Zaraza računara je težak zadatak, tako da su krimninalci razvili posebnu vrstu malvera koji se koristi za distribuciju drugog zlonamernog softvera. Ove usluge infekcija dostupne su za kupovinu od drugih prevaranata. Alternativno, kriminalci mogu koristiti već postojeće botnet mreže, da bi distribuirali nove vrste malvera. Oni su poznati kao daunloderi. Iskorišćavanje ranjivosti: Kriminalci često iskorišćavaju bezbednosne ranjivosti u pretraživačima ili u drugom korisničkom softveru da zaraze računar. Oni iskorišćavaju ove ranjivosti da učitaju jedan softverski kod, koji zatim instalira željeni malver na računar bez znanja žrtve PRIKUPLJANJE KREDENCIJALA Kada su računari zaraženi zlonamernim aplikacijama, prevaranti mogu da koriste različite alate i metode za prikupljanje kredencijala žrtava. To mogu biti [2]: Snimanje ekrana: Kriminalcima je relativno jednostavno da uzimaju slike ekrana (eng: screenshot) računara krajnjih korisnika bez njihovog znanja. Prevarant može iskoristiti jednostavne funkcije kao što su Print Screen i poslati sliku ekrana serveru komandnog centra 3

103 nekog malvera (eng: Command and Control C&C server). Kriminalci obično koriste slike ekrana da bi zaobišli virtuelne tastature koje se koriste od strane nekih banaka kao sigurnosni mehanizam protiv keylogger -a (softver ili hardver koji beleži šta korisnik kuca na svojoj tastaturi). Praćenje kucanja na tastaturi (eng: keylogging): Keylogger, kao što je napred navedeno, beleži pritisnute tastere korisnika bez njihovog znanja, a zatim prenosi tu informaciju prema C&C serveru. Prevaranti mogu vršiti keylogging sa nizom tehnika, uključujući povezivanjem na interfejs za programiranje aplikacija tastature (eng: application programming interface API) ili dobijanjem administratorskog ( root ) pristupa kernelu. Otimanje sesije: Mnogo onlajn bankarskih aplikacija koriste cookies -e da bi precizirali koliko dugo traje sesija pre nego što se od korisnika traži ponovno prijavljivanje. U slučaju otimanja sesije, malver kopira ovaj cookie i omogućava prevarantu da ga koristi dok je sesija još uvek važeća. Pharming : Pharming je akcija preusmeravanja internet pretraživača krajnjeg korisnika na zlonamerni sajt koji se čini kao da je legitiman sajt banke. To se radi promenom konfiguracije DNS-a ciljanih aplikacija, ili promenom IP adresa određenih sajtova lokalno ili eksploatacijom ranjivosti DNS-a. Pored toga, relativno novi oblik pharming -a menja DNS konfiguraciju na lokalnom ruteru. U tom slučaju ruter preusmerava pretraživač krajnjeg korisnika na zlonamerni sajt. Ovaj metod ima dodatnu prednost jer utiče na sve računare koji koristite ovaj ruter, umesto da se inficira svaki pojedinačni računar. Web injections : Kod ovog tipa, prevaranti ubrizgavaju programski kod da bi izmenili sadržaj web forme i stranice, čime se omogućava krađa kredencijala krajnjeg korisnika. Malveri mogu da koriste različite tehnike web ubrizgavanja zavisno od ciljanog URL. One su definisane u konfiguracionom fajlu malvera i određuju se na osnovu podataka koji su potrebni da se izvrši neovlašćena transakcija. Man-in-the-middle (MITM) napadi ( čovek u sredini ): Ovaj širok pojam se odnosi na sposobnost treće strane da prisluškuje ili presreće privatne i poverljive komunikacije žrtve. Man-in-the-browser (MitB) napadi ( čovek u pretraživaču ): U ovom tipu napada, pretraživač krajnjeg korisnika komunicira sa onlajn bankarskom aplikacijom. Onlajn bankarska aplikacija šalje kriptovane informacije koje su dekriptovane u pretraživaču korisnika i potom su ti podaci i prikazani u pretraživaču krajnjem korisniku. Malver je zakačen za pretraživač i može da snima bankarske informacije pre nego što se oni prikazuju u pretraživaču, ili neposredno pre kriptovanja podataka koji se šalju prema bankarskoj aplikaciji. Ova vrsta napada zahteva da malver bude kompatibilan sa mnogim vrstama i verzijama samog pretraživača. Napadi na sloju/lažne forme: Ovi tipovi napada pokreću lažne forme na računaru korisnika, i od krajnjeg korisnika se traže osetljivi podaci, a koji se nakon upisivanja šalju do C&C servera. Većina ovih napada pokreću lažnu formu kada krajnji korisnik pristupa željenoj aplikaciji, postavljanjem forme preko legitimnog sajta. Forma se ne može zatvoriti ili minimizirati dok kredencijali nisu upisani. Alati za udaljenu kontrolu: Sa softverom za daljinski pristup, prevaranti mogu da kontrolišu računar krajnjeg korisnika kao da imaju fizički pristup istom. Ovo prevarantima obezbeđuje pun pristup zaraženom računaru, uključujući mogućnost čitanja lokalnih fajlova i upotrebe pretraživača krajnjeg korisnika kako bi izvršili prevarnu radnju sa njihovog računara. Ova vrsta 4

104 napada je posebno efikasna u izbegavanju mere bezbednosti koja se odnosi na praćenje identifikatora resursa (Device ID) jer se prevara vrši sa računara legitimnog korisnika usluge IZVRŠAVANJE NEOVLAŠĆENIH TRANSAKCIJA U slučaju preuzimanja računa, kada prevaranti prikupe kredencijale žrtve, oni mogu izvršiti neovlašćen transfer novca na račun money mule prevod doslovce: mazge za prenos novca, a to su ljudi koji na svoje legitimne račune primaju uplate ukradenog novca koji zatim brzo prebacuju na račune kriminalaca uz zanemarljivu nadoknadu. Money mules se često regrutuju onlajn, i to tako da oni misle da je u pitanju legitimno zaposlenje, i oni nisu ni svesni da učestvuju u kriminalnim radnjama. Novac se prenosi sa računa mule na račun kriminalca, obično u drugoj zemlji. Dana godine Europol je objavio da su od godine, аgеnciје zа sprоvоđеnjе zаkоnа, kao i prаvоsudnih оrgаnа iz Bеlgiје, Dаnskе, Grčkе, Hоlаndiје, Vеlikе Britаniје, Rumuniје, Špаniје i Pоrtugаliје sа dаlјom pоdrškom iz Моldаviје i drugih zеmаlја udružili snage u prvоj kооrdinirаnoj еvrоpskoj аkciјi prоtiv nоvčanih-mula. Оpеrаciја је pоdržаna оd strаnе Еurоpоl-a, Еurојust-a i Еvrоpskе bаnkаrskе fеdеrаciје (ЕBF). Тоkоm nеdеlје, Еvrоpski cеntаr za sајbеr kriminal Еurоpоlа (ЕC3) i Zајеdnička sајbеrkriminalna Аkciona Rаdnа grupа (Ј-Cаt), zајеdnо sа Еurојust-om i ЕBF-om, obezbedili su оpеrаtivnu i аnаlitičku pоdršku uklјučеnim pаrtnеrimа. Kао rеzultаt оpеrаciје, skоrо 700 nоvčanih-mula su idеntifikоvаni širоm Еvrоpе i 81 lice je uhаpšеno nаkоn što su 198 оsumnjičеnih intеrvјuisаni оd strаnе аgеnciја zа sprоvоđеnjе zаkоnа. Uz pоdršku višе оd 70 bаnаkа, znаčајni finаnsiјski gubici su оtkrivеni i sprеčеni, а idеntifikоvаni su prеkо 900 žrtava оvih kriminalnih delatnosti. Višе оd 90% оd priјаvlјеnih trаnsаkciја money mule -ova pоvеzаne su sа visokotehnološkim kriminаlom [3]. Nasuprot tome, automatizovani malver može izvršavati neovlašćene transakcije tokom sesije elektronskog bankarstva korisnika bez krađe njegovih kredencijala. Kada se korisnik prijavi na elektronsko bankarstvo, malver inicira transfer novca ka mule računu, dok je sesija još aktivna, i to bez znanja krajnjeg korisnika. Ovu vrstu neovlašćene transakcije je teško sprovesti jer zahteva da aktivnosti korisnika i kriminalaca budu u potpunosti koordinisane. Međutim, prevaru je takođe teško otkriti jer krajnji korisnik pokreće legitimnu onlajn bankarsku sesiju sa legitimnog uređaja [2]. Bankarski trojanci postali su deo najvažnijih pretnji u sajber prostoru. Oni predstavljaju familiju botnet mrže koje su specijalizovane za krađu informacija vezanih za finansijski sektor i podatke korisnika finansijskih usluga kako bi iste prodali, izvršavali neovlašćene transakcije ili preuzimali kontrolu nad zaraženim računarom. Svi ukradeni podaci posredstvom bankarskih trojanaca pohranjuju celu industriju koja pruža više usluga, kao što su tržišta gde kriminalci mogu prodati ukradene kredencijale, a takođe mogu i da kupe više usluga, kao što su rešenja za iskorišćavanje ranjivosti sistema ili iznajmljivanje SMTP servera sa kojih pokreću kampanje slanja neželjenih poruka kako bi distribuirali malver ili izvršili fišing napad. Industrija malvera se konstantno razvija zbog poteškoća koje postavljaju različite bezbednosne kompanije, ili konkurencije koja postoji između različitih proizvoda. Ova industrija, nažalost, raste svaki dan, uglavnom jer se i broj korisnika spojenih na Internet povećava svakodnevno, i tako u stvari raste i broj potencijalnih meta [4]. Na trenutnom tržištu bankarskih trojanaca, Dyre i Dridex, kao i u prethodnom periodu Carbanak su najopasniji usled velikog broja zaraza od kada su otkriveni, i zbog primenjenih mehanizama koji ih čini otpornijim. Glavni vektor napada kod ovih virusa je veoma sličan. Radi se o velikim fišing kampanjama sa zlonamernim linkovima (URL), Microsoft Office dokumentima, ZIP fajlovima, kao i drugim atačmentima. Obično, ove fišing kampanje ciljaju različite zemlje. 5

105 3. DYRE Dyre, poznat i kao Dyreza, je bankarski trojanac koji cilja Windows platforme sa namerom da ukrade bankarske kredencijale korisnika. Ovaj malver se infiltrira u legitimne procese, uključujući i poznate pretraživače kao što su Chrome, Firefox i Internet Explorer. Kada je računar korisnika zaražen, malver krade kredencijale preko man-inthe-browser napada između klijenta i servera banke. Dyre takođe ima mogućnost za razmenu fajlova, kao i da deluje kao VNC server (omogućava udaljen pristup računaru) [4]. Na Slici 3. prikazan je primer a preko kojeg se ovaj maliciozni softver širio [5]. Slika 3. Primer distribucije Dyre malvera Kada Dyre na zaraženom računaru otkrije vezu sa bankom, započinje man-in-the-middle napad, preusmeravanjem korisnika na server gde će mu se očitati podaci na taj način prisiljava korisnika da pošalje svoje kredencijale na taj server ili da se izvrši neželjena/neovlašćena transakcija [4]. Dana godine objavljena je vest da je nekoliko izvora prenelo Rojtersu, bez zvanične potvrde, da su novembra godine ruske vlasti upale u kancelarije moskovske firme 25. sprat koja se bavi filmskom produkcijom i distribucijom filmova i da je to bio deo akcije protiv jedne od najozloglašenijih finansijskih hakerskih operacija u svetu, operacije u čijem je sedištu bio bankarski trojanac Dyre. Kako se dalje navodi, stručnjaci veruju da je ovaj maliciozni softver odgovoran za gubitke u iznosu od više desetina miliona dolara koje su pretrpele finansijske institucije među kojima su Bank of America Corp i JPMorgan Chase & Co. Slika 4. prikazuje 15 država sa najviše zaraza ovim malicioznim softverom [4]. Dyre je prvenstveno ciljao američko tržište, što se vidi i na Slici 4. prema broju zaraza za ovu državu. 6

106 4. DRIDEX Slika 4. Najvećih 15 država prema broja zaraza sa Dyre malverom Dridex je onlajn bankarski malver koji krade lične podatke preko HTML injekcija. Prvenstveno gađa korisnike finansijskih institucija sa sedištem u Evropi. Prvi put je uočen oko novembra godine, a smatra se da je direktni naslednik Cridex onlajn bankarskog malvera. Ima nove zlonamerne rutine, kao i tehnike da izbegne otkrivanje. Napad funkcioniše na način da žrtva dobije sa Microsoft Word ili Excel dokumentom u prilogu. Ovaj dokument sadrži kod koji preuzima malver pod nazivom Dridex, koji je dizajniran da traži onlajn bankarske informacije. Napadi imaju za cilj da namame žrtve da otvore prilog a koristeći imena legitimnih kompanija koje se nalaze u Ujedinjenom Kraljevstvu. Neki od ova se odnose na priložen račun navodeći da dolazi od softverske kompanije, onlajn prodavca ili banke. Kada korisnik otvori prilog, Dridex malver je instaliran. Korisnici moraju omogućiti makro funkcije kako bi se zlonamerni kod aktivirao, a neki od tih dokumenata sadrže uputstva upravo o tome kako da se to uradi [6]. Na Slici 5. prikazan je primer a preko kojeg se ovaj maliciozni softver širio, i koji je autor ovog rada analizirao u praksi. sadrži atačment sa nazivom Invoice J doc, a koji u sebi sadrži daunloder za preuzimanje Dridex malvera. Prilog a je prošao kroz dva dobro poznata proizvođača antivirusnog rešenja i kao nedetektovan virus isporučen je korisniku. Slika 5. Primer distribucije Dridex malvera preko W97M Downloader-a 7

107 Kriminalna grupa koja stoji iza ovog napada koristila je svaku vrstu spam napada i vektore širenja malvera, od jednostavnih priloga sa malverom, linkovima u telu poruke koji ukazuju/vode na internet stranicu sa malverom, zlonamernih PDF priloga, dokumentima sa makro funkcijama, itd. Dana godine je objavljeno da je godine Andrey Ghinkul, uhapšen na Kipru kao jedan od članova grupe koja razvija i širi bankarski malver Dridex, a koje hapšenje je bilo rezultat zajedničke akcije britanske Nacionalne agencije za kriminal, američkog FBI i Europolovog Centra za sajber kriminal (EC3), kao i da su onemogućili tada poznate Dridex servere. Međutim, kao što je i na Slici 6. prikazano, ovim ovaj malver nije ugašen [6]. Slika 6. Razotkrivanje Dridex servera u oktobru godine imalo malo uticaja na broj zaraza Procenjuje se da je Dridex do godine prouzrokovao štetu u iznosu od oko 30 miliona dolara na području UK i oko 10 miliona dolara na području SAD. Na Slici 7. prikazan je odnos zaraze sa Dridex prema drugim, sličnim malverima u godini, prema Symantec-u [6]. Slika 7. Zaraze sa Dridex malverom u odnosu na slične malvere u Dana godine objavljena je vest da je kompromitovan jedan od servera za preuzimanje Dridex malvera. Neko je uspeo da kompromituje server sa koga se malver preuzima na računare žrtava, i da zameni loader Dridexa originalnim, ažuriranim Avira web instalerom. Tako sada kada određeni korisnici otvore spam , preuzmu Word dokument sa malicioznim makroima, i otvore ovaj dokument, umesto infekcije računara malverom oni dobijaju dodatnu antivirusnu zaštitu [7]. 8

108 Slika 8. prikazuje 15 država sa najviše zaraza ovim malicioznim softverom [4]. Kao što je i navedeno, Dridex je prvenstveno ciljao evropsko tržište, što se vidi i na Slici 8. prema broju zaraza za ovaj kontinent. Slika 8. Najvećih 15 država prema broja zaraza sa Dridex malverom Dridex je u trenutku pisanja ovog rada i dalje aktivan. Kriminalci konstantno razvijaju ovaj malver kako bi ga uvek usavršavali. Trenutno je u stanju da prikupi kredencijale klijenata od preko 300 banaka i drugih finansijskih institucija u više od 40 zemalja. 5. CARBANAK Carbanak je zlonamerni softver (tipa backdoor ), namenjen za špijunažu, prisvajanje podataka i da obezbedi daljinski pristup zaraženim računarima. Vrhunac aktivnosti je zabeležen godine. Kada se ostvari pristup, napadači ručno izvrše izviđanje žrtvine računarske mreže. Na osnovu rezultata ove operacije, napadači koriste različite alate kako bi dobili pristup kritičnim sistemima u žrtvinoj infrastrukturi. Oni zatim instaliraju dodatni softver kao što je Ammyy Remote Administration Tool za udaljenu administraciju, ili čak i kompromituju SSH server. Infekcije računara se postižu korišćenjem fišing i spam ova koji izgledaju kao da su legitimne bankarske komunikacije, sa Microsoft Word (.doc) i Control Panel Applet (.cpl) fajlovima u prilogu. Najčešći primeri imena fajlova su: Соответствие ФЗ-115 от г.doc, Запрос.doc, new.doc, Анкета-Заявление.doc, Приглашение.doc, Соответствие ФЗ-115 от г..doc, itd. [8]. Na Slici 9. prikazan je primer a preko kojeg se ovaj maliciozni softver širio [9]. Slika 9. Primer širenja Carbanak malvera 9

109 Kada je ranjivost (CVE , CVE , CVE ) uspešno iskorišćena izvršava se malver (Carbanak). Kada su napadači uspešno kompromitovali računarsku mrežu žrtve, primarne interne destinacije su usluge za obradu novca (procesing centri), bankomati (eng: Automated Teller Machines ATM) i finansijski računi. U nekim slučajevima, napadači su koristili SWIFT (eng: Society for Worldwide Interbank Financial Telecommunication) za prenos novca na svoje račune. ATM mreža je takođe korišćena za izdavanje gotovine iz određenih bankomata u tačno određenim vremenskim periodima kada su money mule bili spremni da preuzmu novac (bankomat izdaje novac kroz dispenzer bez prethodno ubačene platne kartice). Najveći broj žrtava se nalazi u Rusiji, SAD, Nemačkoj, Kini i Ukrajini. Razmere gubitaka su značajne, procenjuje se na kumulativan iznos od 1 milijardu dolara [8]. 6. NAMENSKE INDUSTRIJE VISOKOTEHNOLOŠKOG KRIMINALA Dyre, Dridex i Carbanak malveri ne bi bili mogući da nije bilo cele podzemne industrije iza njih. Da autori malvera nisu mogli da iskoriste kompromitovane SMTP servere i usluge za slanje neželjenih poruka koristeći novac stečen prodajom ukradenih kredencijala na nelegalnim tržištima, ili direktnim skidanjem novčanih iznosa sa bankarskih računa, oni ne bi predstavljali takvu opasnost kao što su uspeli da stvore. Takođe, pored kompromitovanih SMTP servera iskorišćeni su i daunloderi, money mule -ovi, itd. Drugim rečima, posmatrano pojednostavljeno: jedni razvijaju daunloder, drugi sam virus, treći kompromituju SMTP servere i šalju neželjene poruke, četvrti koriste ukradene kredencijale, a peti prebacuju novac na krajnje destinacije, u šesti unovčavaju posao. Pri tome, ovo se sve dešava u kiber prostoru, na međunarodnom nivou. Iako se bezbednosna industrija konstantno bori sa ovim pretnjama, nakon višegodišnjih pokušaja broj zaraženih korisnika se stalno povećava, nadmašujući antivirusna rešenja, fajervolove i zdrav razum, a to je zato što smo navikli da se bavimo sa malim grupama ili čak pojedincima po pitanju pravljenja malvera. Ali pretnja se promenila, i tako treba i mi da se promenimo u pogledu mera za suprotstavljanje ovim pretnjama [4]. Interesantan je i podatak koji ukazuje da ako bi Microsoft uklonio administratorska prava iz Windowsa, 86% svih bezbednosnih pretnji prijavljenih tokom bi postale bezvredne, a 99,5% svih pretnji za Internet Explorer bi bile neupotrebljive za hakere [10]. 7. ZAKLJUČAK Razvojem informacionih tehnologija pojavljuju se i novi oblici visokotehnološkog kriminala. Digitalno bankarstvo omogućuje veliki komfor korisniku finansijskih institucija, kao i uštede tim institucijama, ali sa druge strane daje nove mogućnosti za kriminalno delovanje zlonamernih korisnika. Maliciozni softver koji omogućava izvršavanje neovlašćenih transakcija naneo je procenjenu štetu od preko milijardu dolara, i to za relativno kratko vreme. Pravljenje, distribucija, upravljanje ovakvim malverima, kao i krajnje unovčavanje rezultata, predstavlja posebnu industriju, svaka za sebe, kao i organizovanost ogromnih, međunarodnih razmera. Samim tim, zaštita i borba protiv istih takođe mora imati nove dimenzije i međunarodni karakter. A korisnici računara uvek treba da se pridržavaju osnovnih načela: da budu veoma oprezni i ne otvaraju priloge ova i ne klikću na linkove iz ova koje nisu očekivali ili koji stižu od nepoznatih pošiljalaca; da nikada ne ostavljaju osetljive podatke na web/internet stranama ili ih šalju kao odgovor na upit u u; redovno da ažuriraju antivirusna rešenja i operativni sistem koji koriste; i da prilikom upotrebe računara koriste nalog koji nije administratorski. 10

110 LITERATURA [1] Broj napada u kojima su korišćeni finansijski malveri porastao na 28 miliona u 2013., , 28-miliona-u-2013/, poslednji put pristupano godine [2] Financial malware explained, IBM Corporation, decembar [3] Europe-wide action targets money mule schemes, , poslednji put pristupano godine [4] Chasing cybercrime: network insights of Dyre and Dridex Trojan bankers, Cyber threat intelligence report, Blueliv, poslednji put pristupano godine [5] poslednji put pristupano godine [6] Dridex: Tidal waves of spam pushing dangerous financial Trojan, , Dick O Brien, Symantec Corporation [7] Dridex botnet distributor now serves Avira, , poslednji put pristupano godine [8] Carbanak APT The great bank robbery, Ver 2.0, Kaspersky Lab HQ, poslednji put pristupano godine [9] poslednji put pristupano godine [10] 2015 Microsoft Vulnerabilities Study: Mitigating risk by removing user privileges, Avecto report, poslednji put pristupano godine [11] Bugat Botnet Administrator Arrested and Malware Disabled, , poslednji put pristupano godine [12] Da li su ruske vlasti zaustavile širenje bankarskog trojanca Dyre?, , poslednji put pristupano godine [13] DRIDEX and how to overcome it, , poslednji put pristupano godine [14] Dridex takedown sinks botnet infections, , poslednji put pristupano godine [15] Exclusive: Top cybercrime ring disrupted as authorities raid Moscow offices sources, , poslednji put pristupano godine [16] FBI takes down Dridex botnet, seizes servers, arrests suspect, , poslednji put pristupano godine [17] 'Money mules': Kriminalci ili žrtve bankarskih prevara na internetu, , poslednji put pristupano godine 11

111 Sadržaj RAČUNALNI KRIMINAL KROZ PRIZMU ZAKONSKIH ODREDBI U SVIJETU I BiH mr. kriminalistike Branka Mijić Fakultet za kriminalistiku, kriminologiju i sigurnosne studije Sarajevo brankica_mijic@net.hr SAŽETAK: Do jedne jedinstvene i prihvatljive definicije računalnog kriminaliteta teško je doći iz nekoliko razloga. Vrste izvršenih kaznenih djela koja spadaju u računalni kriminalitet je izuzetno velik, tako da ih je nemoguće obuhvatiti jednom jedinstvenom definicijom. Računalni kriminal je opći pojam koji obuhvaća kaznena djela koja se vrše posredstvom računalnog sustava ili mreže, u računalnom sustavu ili mreži, ili protiv računalnog sustava ili mreže. U principu on uključuje bilo koje kazneno djelo koje se vrši u digitalnom ambijentu. Pored definiranja i objašnjavanja osnovnih pojmova koji se vezuju za računalni kriminal, cilj ovog rada je prikazati zakonsku regulativu odabranih država svijeta, s posebnim osvrtom na Bosnu i Hercegovinu. Ključne riječi: računalni kriminal, pravna regulativa, Internet, zlouporaba, tehnologija. 1. UVOD Kriminal postoji od davnina, a danas dobiva nove oblike i novo okruženje. Sa razvojem računalne tehnologije postaje globalan, brišući razlike između zemalja, područja, kontinenata. Računari u ranim fazama njihovog razvoja nisu baš bili pogodni za neke veće zlouporabe zbog toga što je njihovo korištenje podrazumijevalo specijalističko obrazovanje, tako da se njima bavio samo relativno uzak krug informatičkih stručnjaka, i zbog toga što se oni ranije nisu nalazili u masovnoj upotrebi. Tijekom posljednje dvije decenije, računalna industrija je doživjela veliku transformaciju od zatvorenih mreža oformljenih oko središnjih računala do otvorenih mreža koje koriste Internet. Značaj Interneta je u tome što pored lakoće korištenja, dopušta interakciju korisnika, znatno ubrzava transakcije, štedi vrijeme i omogućuje pristup informacijama 24 sata, sedam dana u tjednu, 365 dana u godini. Možda najbolja karakteristika Interneta je što se neprestano razvija, raste i prima nove korisnike, pa povezivanjem na Internet, postajete član zajednice korisnika jednog ogromnog sustava, koji nadilazi značaj pojedinca i u kome vrijeme i prostor gotovo ništa ne znače. Tehnologija i računari omogućavaju nam jednostavniji i učinkovitiji život, ali pri tome i prilike za zloupotrebu, kao i opasnosti od zlonamjernih korisnika. Brzi razvoj informacijskih tehnologija i brojne promjene koje one sa sobom donose, pogoduju kriminalnim aktivnostima i čak potiču njihovo nastajanje, širenje i intenzitet. Moguće negativne posljedice proizlaze iz činjenice da se

112 sve više vrijednih društvenih dobara (novac, roba, podaci i sl.) pretvara u pakete i smješta u računalne sustave, a poznato je da kriminalci uvijek kreću ka mjestima gdje se takve vrijednosti nalaze. Kriminalci su odavno uočili da su idealna polja za kriminalnu djelatnost područja u kojima se pojavljuju nove tehnologije i idealno vrijeme prije nego što je društvo u toj oblasti uspjelo izgraditi i razviti adekvatne sustave zaštite. Kako je riječ o novom obliku kriminalnog ponašanja, računalni kriminalitet se još uvijek nije iskristalizirao u odnosu na druge vrste kriminalnog ponašanja. Iako je u posljednje vrijeme povećan broj država koje su donijele zakone o borbi protiv računalnog kriminaliteta, kaznenopravna znanost i kriminologija se ne mogu u određivanju računalnog kriminaliteta oslanjati na zakonsku definiciju. Veliki broj autora je dao svoje viđenje definicije računalnog kriminala, pa ćemo prema tome i objasniti pojmove računalnog kriminala i njemu slične koji su uskoj vezi sa ovom oblašću. 2. POJAM RAČUNALNOG KRIMINALA 2.1. Definiranje računalnog kriminala U teoriji kaznenog prava mogu se naći i mnogobrojne definicije računalnog kriminala formulirane od strane pojedinaca. U tu skupinu definicija spadaju pojmovna određenja računalnog kriminala od strane autora: Don B. Parker, Slobodan R. Petrović, Vladica Babić idr. U svijetu se koriste mnogi termini koji označavaju ovu pojavu a njeni izvori se kriju u computer abuse, computer fraud, crime by computer. Definiranje pojma formulirano od strane UN Računalni kriminal je opći pojam koji obuhvaća kaznena djela koja se vrše posredstvom računalnog sustava ili mreže, u računalnom sustavu ili mreži, ili protiv računalnog sustava ili mreže. U principu on uključuje bilo koje kazneno djelo koje se vrši u digitalnom ambijentu. 1 Također i druge međunarodne organizacije i pojedinci su se bavili definiranjem pojma računalnog kriminala. Iz toga se najbolje može zaključiti koliki se značaj pridaje izučavanju ove vrste kriminala diljem svijeta. Definicija usvojena od strane OECD glasi: Kriminal povezan s računalom je svako ilegalno, neetičko ili neovlašteno ponašanje koje uključuje automatsku obradu podataka ili prijenos podataka. 2 Grupa domaćih autora daje definiciju kao Računalni kriminal je protupravna povreda imovine kod koje se računalni podaci s predumišljajem mijenjaju (manipulacija s računala), razaraju (računalna sabotaža), do njih se neovlašteno dolazi iz koristi (računalna špijunaža) ili se koristi zajedno s hardverom. 3 1 United Nations Office on Drugs and Crime (2013). Comprehensive Study on Cybercrime. New York: United Nations. 2 OECD (2002). OECD Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security. Pariz: OECD. 3 Veinović, M., Milosavljević, M. i Grubor, G. (2009). Informatika. Beograd: Univerzitet Singidunum. 2

113 2.2. Razvoj i struktura računalnog kriminala S obzirom da se radi o globalnom problemu, za učinkovito suzbijanje nisu dovoljni samo stručnjaci za sigurnost, ekspertne grupe i ostala tijela za sprječavanje i suzbijanje računalnog kriminala, već je potrebno ostvariti potpunu koordinaciju i sveobuhvatnu akciju zakonodavstva i snaga reda u prevenciji računalnog kriminala u području elektroničkog poslovanja. Za razvoj raznih metoda napada na informacijske sustave, ključnu ulogu ima veća zlouporaba komunikacijskih sredstava koja prethodi konkretnom kriminalnom djelu, brži razvoj i širenje telekomunikacijskih uređaja, razvoj i sve teže korištenje operativnih metoda i tehnika kriminalističke analitike, sve veća dostupnost računala osobama bez velikog stručnog znanja, pojava medija koji često neopravdano veličaju hakerske vještine i napade, sporost i relativna složenost donošenja pravne regulative u cilju prevencije računalnog kriminala. Statistički pokazatelji kroz izvješća iz godine, u kojima Norton navodi da računarski kriminal nema granica i da se najveći broj žrtava nalazi u Rusiji (85%), Kini (77%), Južnoj Africi (73%). Godišnji broj žrtava računalnog kriminala, procjenjuje se na 378 milijuna (Securitate affairs 2013). 4 Procjena je da financijski troškovi koji se pojavljuju kao posljedica računarskog kriminala iznose: SAD (38 milijardi dolara), Europa (13 milijardi dolara), Kina (37 milijardi dolara), Brazil (8 milijardi dolara), Indija (4 milijarde dolara), Meksiko (3 milijarde dolara), Australija, Japan i Rusija (1 milijarda dolara) itd. Najčešći oblici računalnog kriminala koji se koriste u spomenutim zemljama su: prijevare (38%), krađa podataka (21%), izmjena podataka (24%) i ostali oblici (17%). Pored toga, Norton navodi da razvoj i uporaba mobitela značajno utječe na povećanje obima računalnih napada Pojam i vrste računalnog kriminala Uspjeh u borbi protiv računalnog kriminala podrazumijeva, kako stalnu zaštitu informacijskog sustava, tako i zaštitu podataka i informacija koje se pri njegovom radu pohranjuju, obrađuju i prenose. Računalni kriminal može se definirati kao sveukupnost kaznenih djela počinjenih na određenom području, kroz određeno vrijeme, kojima se neovlašteno utječe na korištenje, cjelovitost i dostupnost tehničke i programske potpore, kao i na integritet i tajnost digitalnih podataka. Nadalje, prema Babiću računalni kriminal obuhvaća dvije grupacije na tradicionalnu i neotradicionalnu podjelu računalnog kriminala sa svojom kategorizacijom pojavnih oblika računalnog kriminala: 6 4 Yle Uutiset. Dostupno na: Datum pristupa: godine. 5 Yle Uutiset. Dostupno na: Datum pristupa: godine. 6 Bowker, A. (2012). The Cybercrime Handbook for Community Corrections: Managing Risk in the 21st Century. Springfield: Charles C. Thomas Publishers, Ltd. 3

114 Tradicionalni oblici Premetanje po podacima Virusi Trojanski konj (Trojan Horse) Sjeckanje (Salami-Techniques) Superzappping Računalni kriminal Neotradicionalni oblici Hacking Dječja pornografija Cyber terorizam Cyber rat Prisluškivanje i kompjuterska špijunaža Stupice (Trap Doors) Neovlašteno korištenje usluga elektronskog računala Logičke (programske) bombe Neovlašteno kopiranje i reprodukcija kompjuterskog programa Asinkroni napadi (Asynchronous Attacks) Neovlašeno mijenjanje podataka i/ili programa (kompjuterska prijevara krivotvorenje isprava i ovjeravanje neistinitog sadržaja) "Strvinarenje" (Scavenging) Kompjuterska prijevara Odljev podataka (Data Leakage) Kompjuterski falsifikati "Prikrpavanje" i prerušavanje Krivotvorenje kreditnih kartica (Piggybacking & Impersonating) "Ožičavanje", prisluškivanje (Wire- Kompjuterska ucjena i iznuda Tapping) Simulacija kažnjivih djela računalom kao njihova pripremna faza Neovlašteno uklanjanje i1i upropaštavanje podataka i /ili, programske i strojne podrške elektronskog računala (kompjuterska sabotaža) Kompjuterska krađa Organizirani hackerski kriminal Tablica 1. Tradicionalni i neotradicionalni oblici računalnog kriminala Zlouporabe i prevare primjenom novih tehnologija Računalo predstavlja jednu od najznačajnijih i najrevolucionarnijih tekovina razvoja tehničkotehnološke civilizacije. No, pored svih prednosti koje sobom nosi i ogromne koristi čovječanstvu, računalo je brzo postao i sredstvo zlouporabe nesavjesnih pojedinaca, skupina čak i organizacija. Tako nastaje računalni kriminalitet kao poseban i specifičan oblik suvremenog kriminaliteta po strukturi, obujmu i osobitostima. Nove tehnologije pružaju velike mogućnosti za razne vrste zlouporaba i prijevara, najviše iz razloga što mehanizmi zaštite poslovanja na 7 Babić, V. (2009). Kompjuterski kriminal, Sarajevo, Rabic, str

115 Internetu još uvijek nisu dovoljno razvijeni. Danas mnogi prevaranti koriste Internet za različite vrste zloupotreba i prijevara. Prema istraživanju američkog udruženja za zaštitu potrošača (NLC), čak 98% ispitanih je reklo da su bar jednom dobili u kojem su im bile ponuđene financijske usluge ili neobični poslovni prijedlozi. Prijevare čini skup aktivnosti koje karakteriziraju obmana, lažno predstavljanje, prikrivanje činjenica, manipulacija, izgubljeno povjerenje i slično. Ova kategorija je poznata i pod nazivom kriminal bijelog okovratnika. Osnovno obilježje ovog djela je dovođenje nekog u zabludu da bi se time pribavila protupravna imovinska korist. U suštini se svode na lažno prikazivanje činjenica ili prešućivanje činjenica. Automatizacijom klasičnih i nastajanjem novih metoda ovaj vid zlouporaba dobiva i na kvalitetu i na kvantitetu. Sve to zaslužuje pažnju države i njenih organa pa i cijele međunarodne zajednice, jer zlouporaba informacijsko-komunikacijskih tehnologija predstavlja realnost koja se ne smije ignorirati. Upravo zbog toga sigurnosna komponenta nikako ne bi smjela biti zapostavljena, a ona podrazumijeva poduzimanje preventivnih mjera, koje bi morale biti podržane i represivnim mjerama. Dugoročno gledano, ovo bi bila najkorisnija i najisplativija investicija u informacijsku budućnost ZAKONSKO ODREĐENJE RAČUNALNOG KRIMINALA U MEĐUNARODNIM UGOVORIMA I KOD NAS 3.1. Međunarodnopravni aspekt računalnog kriminaliteta Kako je računali kriminalitet oblast koji zavređuje pažnju ne samo jedne države, već cijele međunarodne zajednice, došlo je donošenja međunarodnih pravila koja su regulirala ovu oblast. Ujedinjene nacije su na Osmom kongresu za sprječavanje kriminala, održanom u Havani godine, donijele posebnu Rezoluciju u kojoj je konstatirana potreba za inkriminiranje različitih zloupotreba. Njome je državama članicama dana obveza uspostaviti sustav mjera za sprečavanje različitih zloupotreba. Ova Rezolucija je prihvaćena i od Generalne skupštine UN. Godine OESS je preporučio državama članicama da inkriminiraju različite zlouporabe vezane za unošenje mijenjanje ili brisanje podataka ili programa radi ostvarivanja kriminalnih ciljeva. 9 Isto tako, Vijeće Europe je godine donijelo Preporuku R(89)9 kojom se zahtijeva od država članica da inkriminiraju djela koja se nalaze na posebnoj tzv. Minimalnoj listi. Preporukom je dana mogućnost državama članicama da uvedu u svoja zakonodavstva kaznena djela i to sa tzv. Opcijske liste. Najznačajniji dokument u ovom području donesen je godine od strane Vijeća Europe i nosi naziv Konvencija o kibernetičkom kriminalu Tpšić, M., Radivojević, M. i Rešić, L. (2011). Kriminal u uslovima primjene informacione tehnologije. Bijeljina: 8. Naučni skup sa međunarodnim učešćem Sinergija Simonović, B. (2004). Kriminalistika. Kragujevac: Pravni fakultet u Kragujevcu. 10 Kambovski, V. (2005). Organiziran kriminal. Skoplje: 2-ri Avgust. 5

116 Također, tijekom godine donesen je Dopunski protokol o kriminalizaciji akata rasizma i ksenofobije izvršenih preko računalnih sustava. Konvencija o kibernetičkom kriminalu predstavlja prvi i jedini multilateralni ugovor koji regulira suradnju i istrazi i optuženju u vezi kaznenih djela visokotehnološkog kriminala. Prvi dio Konvencije nosi naziv Mjere koje će se provesti na nacionalnoj razini. U ovom dijelu se reguliraju kaznena djela koja države potpisnice trebaju uvesti usvoje zakonodavstvo. 11 Kaznena djela su u Konvenciji određena na takav način da daju mjesta državama-potpisnicama da bliže odrede biće kaznenog djela. Drugi dio Konvencije regulira procesne ovlasti državnih tijela prilikom procesuiranja kaznenih djela računalnog kriminaliteta, i shodno tome nosi naziv Procesno pravo. Na osnovu Konvencije državni organi imaju pravo zapljene i jasne prijedloge za uvođenje procedura prilikom pregleda računala ili drugog prenosivog medija. 12 Također, Konvencijom je dano ovlaštenje državnim tijelima da se od pružatelja usluga traže podatci koji se odnose na uporabu kreditnih kartica i Interneta da bi se došlo do potrebnih digitalnih podataka. Ono što izaziva veliku raspravu jeste i ovlaštenje državnih organa da vrše nadzor elektroničkih komunikacija. Kako računalni kriminal nadilazi granice jedne države, nužno je postojanje suradnje između država radi njegovog suzbijanja. Zbog toga treći dio Konvencije regulira suradnju u država razmjeni informacija koje se tiču izvršenja kaznenog djela koje regulira Konvencija. Konvencijom je predviđena mogućnost izručenja izvršitelja ovog kaznenog djela između država potpisnica. Jedna od glavnih zamjerki Konvenciji je nepostojanje odredbe koja bi predviđala obvezu državama-potpisnicama da osnuju posebne organe koji bi se bavili istragom računalnog kriminala. Međutim, u članku 35. Konvencije, se predviđa osnivanje CERT službe u svakoj državi-potpisnici, koja bi bila dostupna svakog dana u tjednu, tijekom cijelog dana, s ciljem asistiranja državnim organima tijekom istrage ili optuženju visokotehnološkog kriminala. Također, tijela Europske Unije se donijeli odgovarajuće dokumente kojim se regulira područje računalnog kriminaliteta. Tako je tijekom Samita EU godine donesena odluka kojom se traži od država članica da izvrše unifikaciju kaznenog prava, pa između ostalog i kaznena djela koja se odnose na računalni kriminalitet. 13 Iako je prijetnja od računalnog kriminala uočena na razini EU još početkom novog tisućljeća i stvoreno jasno opredjeljenje suprotstavljanju ovom obliku kriminala, u pogledu relevantnih pravnih okvira, a prije svega uslijed strukture i nadležnosti EU u okviru nekadašnjeg trećeg stuba, još uvijek nema obvezujući izvor prava koji bi se izravno primjenjivao u državama članicama. Europska komisija je Vijeću EU godine uputila prijedlog da se regulira na određeni način nezakonit pristup i postupanje u vezi s informacionim sustavima, da bi Vijeće EU 24. veljače godine usvojilo Okvirnu odluku o napadima na informacijske sustave (Framework Decision 2005/222 / PUP on attacks against information systems). Svrha spomenute odluke bila je približavanje nacionalnog zakonodavstva i unapređenje međunarodne policijske i pravosudne suradnje država članica u pogledu predviđanja kao kaznenih djela određenih aktivnosti povezanih s informacionim sustavima. Okvirna odluka je stvorila skup pravnih definicija i 11 Konvencija o kibernetičkom kriminalu (eng. The Convention on Cybercrime), Budapest, 23.XI Konvencija o kibernetičkom kriminalu (eng. The Convention on Cybercrime), Budapest, 23.XI Kambovski, V. (2005). Organiziran kriminal. Skoplje: 2-ri Avgust. 6

117 odredila koje su to protupravne aktivnosti u vezi s elektronskim mrežama, računalima i drugim uređajima povezanim s mrežom (npr. mobilni telefoni), kao i u vezi s podacima i programima u tim uređajima i mrežama. U tipologiji kaznenih djela, Okvirna odluka se oslanja na tipologiju utvrđenu Konvencijom, pa pred države članice postavlja zahtjev da poduzmu mjere da se kao kaznena djela predvide i kao takve sankcioniraju. 14 Spomenuta okvirna odluka zapravo je prvi korak ka uređenju računalnih kaznenih djela u okviru EU. Okvirna odluka nije izvor prava koji se neposredno primjenjuje u državama članicama, nego je neophodna implementacija u nacionalna zakonodavstva. Rok za provedbu ove Okvirne odluke bio je 16. ožujka godine, a Povjerenstvo je završilo procjenu razine implementacije u srpnju godine, i to samo za 20 zemalja članica koje su dostavile dokumentaciju. U izvještaju je navedeno da nije izvršena potpuna implementacija niti jedne odredbe u svih 20 država, te je procijenjeno da je bilo potrebno 50% više vremena za implementaciju Okvirne odluke nego što je državama prvobitno ostavljeno. Zbog nezadovoljavajućeg uspjeha u provedbi Okvirne odluke, a uslijed tehnološkog napretka i pojave novih oblika izvršavanja računalnih kaznenih djela, uočena je potreba za izmjenom postojećih i stvaranjem takvih pravila i mehanizama koji bi zaista doprinijeli otkivanju i dokazivanju tih kaznenih djela Kaznenopravni aspekt računalnog kriminala u Bosni i Hercegovini Kaznena djela iz oblasti računalnog kriminala regulirana su podijeljenom nadležnošću zakona u BiH kroz: Kazneni zakon Bosne i Hercegovine, Kazneni zakon Federacije Bosne i Hercegovine i Krivični zakon Republike Srpske i Kazneni zakon Brčko Distrikta Bosne i Hercegovine. Međutim, posebnost kaznenih djela koja se odnose na glavu XXXII KZ FBiH, a u kojoj se navode kaznena djela protiv sustava elektronske obrade podataka, uvedenih preporukom Konvencije o kibernetičkom kriminalu: 16 Član 393. Oštećenje računalnih podataka i programa, Član 394. Računalno krivotvorenje, Član 395. Računalna prijevara, Član 396. Ometanje rada sustava i mreže elektronske obrade podataka, Član 397. Neovlašteni pristup zaštićenom sustavu i mreži elektronske obrade podataka, Član 398. Računalna sabotaža. Pored navedenog, tu su i druga djela vezana za kompjuterski kriminal, a koja se tiču oblasti dječje pornografije i interneta, zaštite autorskih prava, krivotvorenje kreditnih kartica, terorizma, i sl Official Journal of the European Union, L 69/67, Dostupno na: LexUriServ.do?uri=OJ:L:2005:069:0067:0071:EN:PDF. Datum pristupa: godine. 15 Kerlin- Karnell, E. (2008). The Treaty of Lisbon and the Criminal Law: Anything New Under the Sun?, European Journal of Law Reform, 3/2008, Kazneni zakon Federacije Bosne i Hercegovine (Sl. novine Federacije Bosne i Hercegovine, br. 36/03.) 17 Babić, V. (2009). Kompjuterski kriminal, Sarajevo, Rabic, str

118 4. ZAKLJUČAK Kako ne postoji apsolutna zaštita i kako je svaki informacijski sustav izložen vrlo ozbiljnim rizicima, najbolji način borbe protiv računalnog kriminala je u njezinoj prevenciji. Prevencija mora biti tako organizirana da odvrati potencijalne izvršioce računalnog kriminala od izvršenja kaznenog djela na taj način što bi se poduzele adekvatne mjere za izbor ljudi koji bi se bavili radom na računalu do mjera fizičke i softverske zaštite. Kako najveći broj izvršitelja računalnog kriminala potječe iz službi koje su povezane s radom na informacijskim sustavima, potrebno je posebnu pažnju posvetiti samom izboru ljudi koji će raditi na takvim poslovima. Fizičkim mjerama potrebno je zaštiti informacijske sustave od slučajnih oštećenja računalne opreme, ali i od namjernih oštećenja i neovlaštenih upada u prostorije u kojima se nalaze informacijski sustavi. Softverske mjere zaštite trebaju biti usmjerene ka sprečavanju neovlaštenog upada u informacijski sustav preko Interneta i preko pristupnih jedinica unutar informacijskog sustava. Što su važniji podaci koji se čuvaju u informacijskom sustavu, to mjere softverske zaštite moraju biti veće. Stoga se uvode stepenasti sustavi zaštite. Međutim, bez obzira na preventivni sustav, računalni kriminalitet je u sve većoj ekspanziji. Sigurno je da mjere zaštite neće utjecati na smanjenje stope izvršenja ovog tipa kriminaliteta, ali je također sigurno da će učinkovita prevencija utjecati na usporavanje rasta stope računalnog kriminaliteta. Kako suvremeno društvo postaje sve više ovisno od upotrebe računala, države diljem svijeta morat će da nauče da se bore protiv računalnog kriminaliteta ne samo preventivnim mjerama već njihovo kazneno pravosuđe mora dostići takav stupanj otkrivanja i procesuiranja izvršenih kaznenih djela protiv sigurnosti računalnih podataka da potencijalni izvršioci ovih kaznenih djela budu odvraćeni stopom osuđenih izvršitelja ovog tipa kriminaliteta. SUMMARY It is hard to arrive to a single, overall and acceptable definition of cyber crime for several reasons. The types of perpetrated criminal acts that fall under cyber crime are large in numbers, so it is impossible to use one single definition to include all. Cyber crime is a general term that includes criminal acts perpetrated via computer system or a network, within the computer system or a network, or against a computer system or a network. In essence, it includes any criminal act performed in a digital environment. Beside defining and explaining the basic terms linked to cyber crime, the aim of this work is to present the legal regulation of selected countries with special reference to Bosnia and Herzegovina. Key words: cyber crime, legal regulation, Internet, misuse, technology 8

119 5. REFERENCE [1] Babić, V. (2009). Komojuterski kriminal, Rabic, Sarajevo. [2] Bowker, A. (2012). The Cybercrime Handbook for Community Corrections: Managing Risk in the 21st Century. Springfield: Charles C. Thomas Publishers, Ltd. [3] Kambovski, V. (2005). Organiziran kriminal. Skoplje: 2-ri Avgust. [4] Kerlin- Karnell, E. (2008). The Treaty of Lisbon and the Criminal Law: Anything New Under the Sun?, European Journal of Law Reform, 3/2008, 328. [5] Konvencija o kibernetičkom kriminalu (eng. The Convention on Cybercrime), Budapest, 23.XI [6] Kazneni zakon Federacije Bosne i Hercegovine (Sl. novine Federacije Bosne i Hercegovine, br. 36/03.) [7] OECD (2002). OECD Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security. Pariz: OECD. [8] Official Journal of the European Union, L 69/67, Dostupno na: LexUriServ.do?uri=OJ:L:2005:069:0067:0071:EN:PDF. Datum pristupa: godine. [9] Ruyver,B., Vermeulen, G. i Beken, T. (2002). Strategies of the EU and the US in combating transnational organized crime, Maklu 2002, 219 [10] Simonović, B. (2004). Kriminalistika. Kragujevac: Pravni fakultet u Kragujevcu. [11] Tepšić, M., Radivojević, M. i Rešić, L. (2011). Kriminal u uslovima primjene informacione tehnologije. Bijeljina: 8. Naučni skup sa međunarodnim učešćem Sinergija [12] United Nations Office on Drugs and Crime (2013). Comprehensive Study on Cybercrime. New York: United Nations. [13] Veinović, M., Milosavljević, M. i Grubor, G. (2009). Informatika. Beograd: Univerzitet Singidunum. [14] Yle Uutiset. Dostupno na: Datum pristupa: godine. [15] Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala ("Sl. glasnik RS", br. 61/2005 i 104/2009). 9

120 Sadržaj OPASNOST OD KIBER TERORIZMA RISK OF CYBER TERRORISM Msc Katarina Jonev 1, dr Hatidža Beriša 2 Apstrakt: Svet nikada nije bio povezaniji zahvaljujući globalizaciji, Internetu i IKT tehnologijama. Ipak, naš svet je i sve ranjiviji. Tehnologija je omogućila i pregršt zlonamernih aktivnosti čiji počionioci često ostaju nepoznati, a šteta koju izazovu ostavlja kardinalne posledice kako po individue, finansijski sektor, organozacije kao i države. Kiber bezbednost je u vrhu liste prioriteta najmoćnijijih država sveta. Opasnost od kiber terorizma je sve veća. Poslednjih godina vlade država, organizacije i pojedinci suočavaju se sa novom pretnjom - kiber terorizmom I postaju svesni da su kritične nacionalne infrastrukture sve ugroženije novim pravcem delovanja terorista. Kiber napadi se kreću od vandalizacije web sajtova, hakovanja da bi se došlo do izvesnih podataka, do ometanja sistema mreža. Postavlja se pitanje koji se kiber napad može okarakterisati kao akt kiber terorizma. Ključne reči: opasnost, terorizam, kiber, mreža, Interent, tehnologija Abstract: The world has never been linked as it is nowadays, thanks to globalization, the Internet and ICT technologies. However, our world is at the same time increasingly vulnerable. Technology has enabled a handful of malicious activities which often remain unknown offender, and the damage they cause leaves cardinal consequences both for individuals, financial sector, and organizations of the country. Cyber security is the top priority of the most powerful states. The danger of cyber terrorism is growing. In recent years, governments, organizations and individuals are faced with a new threat - cyber terrorism, I become aware that the critical national infrastructure all the more vulnerable to new directions of activity of terrorists. Cyber-attacks can range from shutting down a websites, to hacking into a computer to steal data, to disrupting a network system. But when a cyber attack is considered to be a original terrorist act is still a disputable issue. Key words: danger, terrorism, cyber, network, interent, technology UVOD Poslednju deceniju obeležile su različite vrste kiber pretnji: od haktivizma, kiber kriminala, kiber špijunaže, pa do kiber sabotaže i kiber terorizma. Države su izložene serijom napada u kiber prostoru. Velike kiber operacije poput Titanium Rain ( Titanijumska kiša ) u kojoj je ukraden veliki broj podataka kompanija I organizacija ili Rocra ( Red October ) koja je imala za cilj krađu informacija industrijskog I diplomatskog sektora, spadaju pod dela kiber špijunaže. Najveći DDoS napad sproveden na jednu državu pretrpela je Estonija godine a meta su bile vladini, medijski, finansijski i medijski sajtovi. Uprkos oštrom rečniku zvaničnika baltičke države da je počeo kiber rat i tvrdnjama da je Ruska Federacija odgovorna za napad, ceo slučaj je potonje okarakterisan kao kiber incident a samo je jedna osoba krivično odgovarala. Ne treba zaboraviti crva Stuxnet, najpoznatije kiber oružje čiji je cilj bio da aktivira u određenim programskim konfiguracijama sisteme mašine nuklearne kontrole u Iranu. Sjedinjene Američke države na dnevnoj bazi pretrpe na hiljade napada na svoje mreže 3. 1 Diplomirani politikolog za međunarodne odnose, Master međunarodnog prava. Mejl: jonev.katarina@gmail.com 2 Nastavnik u Školu nacionalne odbrane, Vojna akademija, mail: hatidza.berisa@mail.mod.gov.rs 3 Prema rečima DŽejmsa Klepera, direktora američke Nacionalne obaveštajne službe, svakog dana u SAD se registruje oko upada u kompjutere Sekretarijata za odbranu i velikih kompanija.

121 Kiber prostor i pitanje i kiber odbrane postali su ključni u bezbedonosnim agendama. Napad na kritičnu infrastrukturu u kiber prostoru SAD tretiraju kao otvoreni ratni napad, dok ga Evropska unija tretira kao kriminalitet Uprkos medijskom senzacionalizmu kao i ponekad oštrom rečniku političara, postoji razlika velika razlika između bezazlenih dela propagande i vandalizacije i strateške opasnosti od koordinisanog napada na IKT sisteme sponzorisane od strane države ili terorističke organizacije. Međutim, nijedan sprovedeni napad do danas nije potvrđen kao akt kiber terorizam. Uspon novih bezbednosnih mera u vezi sa Internetom dobija rastući značaj u političkom, društvenom, finansijskoj ali I svakodnevnom životu. Razlike između kiber špijunaže, kiber sabotaže, kiber kriminala i kiber terorizma su zamućenje. Teško je odrediti da li neprijatelj samo razgleda, krade ili se priprema za budući napad. Opasnost od kiber terorizma može biti preterana, ali ne može biti negirana niti ignorisana. Teroristički akti u kiber prostoru kao što su izazivanje fizičkog oštećenja ili gubitak ljudskih života napadom na infrastukturu država će za neke može biti mit, ali realna opasnost od ovakvog scenarija postoji. KARAKTERISTIKE KIBER TERORIZMA Povećano korišćenje Interneta i IKT tehnologija doneo je društvu velike mogućnosti ali i izazove. Izazovi se pre svega odnose na bezbednost. Države su prihvatile kiber prostor kao nov potencijalni domen gde se mogu odvijati sukobi. Kiber napadi su okarakterisani kao potencijalno najveća pretnja po mir i bezbednost. Internet je u ruke pružio teroristima nove alate za borbu I za nanošenje povreda i oštećenja, uništenja. Sa druge strane,doneo je mogućnost i da se ti isti teroristi otkriju, lociraju i pravovremeno spreče (kiber) napadi i izbegnu žrtve i fizička oštećenja. Vlade širom sveta suočavaju se sa zadatkom stvaranja ili prilagođavanja novih načina borbe protiv kiber pretnji. Postoji mnogo zabluda šta zapravo kiber terorizam podrazumeva. Kiber pretnje, kiber incidenti i kiber vandalizam poput oštećenja sajtova nisu terorizam. Sama zabrinutost u vezi kiber terorizam potiče od kombinacije straha, neznanja ali o tome što se na globalnom nivou nisu suštinski definisali taksativno nabrojali akti koji se mogu okarakterisati kao takvi. Vezija različitih definicija kiber terorizma je mnogo. Definisan je između ostalog kao "planirana štetna aktivnost, ili pretnje, u kiber prostoru, sa namerom da se ostvare socijalni, ideološki, verski, politički ili slični ciljevi, ili da se zastraše građani u cilju ostvarenja tih ciljeva 4. Doroti E. Denning je opisala kiber terorizam kao konvergenciju terorizma i kiber prostora. Po njenim rečima nezakonit napad na računare, mreže i informacije koji mogu da zastraše ili prisile Vladu ili građana u cilju ostvarenja političkih I društvenih interesa. Napad bi trebalo da dovede do nasilja nad licima ili imovinom ili da bar prouzrokuje dovoljno štete za generisanje straha 5 ". Federalni Istražni Biro ( FBI ) je u svojim dokumentima definisao kiber - terorizam kao smišljen, politički motivisan napad subnacionalnih grupa ili tajnih agenata na informacije, računarske sisteme, računarske programe, I podatke, koji dovode do nasilja nad nevojnim ciljevima Pollitt, Mark M. CYBERTERRORISM Fact or Fancy. Georgetown University. Department of Computer Science. 10 June 2009 dostupno na: ww. cs.georgetown.edu/~denning/infosec/ pollitt.html,

122 Kiber terorizam je, dakle, nezakoniti napad na računare, mreže i podatke. On mora da zastraši ili prisili vladu, organizacije i institucije na prihvatanje svojih politički ili društvenih motiva. Napad bi trebao da dovede do nasilja protiv lica ili imovine, ili pak da prouzrokuje dovoljno štete da izazove strah i panku. Ozbiljni napadi na kritične infrastrukture mogu biti akti kiber terorizam u zavisnosti od odnosno stepena oštećenja i posledica koje izazovu. Važno je napomenuti da kiber terorizam nije isto što i hakerisanje. Kiber teroristički napadi su politički motivisani, i počinile su ih organizovane terorističke grupe. Cilj im je da skrenu pažnju na sebe, šire strah, i na takav način utiču na javnost i donosioce odluka. Hakeri međutim provaljuju u kompjuterske sisteme iz mnogo razloga, iako im je generalno cilj da prikažu svoju tehničku veštinu ili da ukažu na propuste bezbednosti računara I sistema. Samo oštećenje sajtova se može smatrati kao remetilačko, ali suštinski nije nasilno I ne može dovesti do ozbiljnih posledica ko što je smrt ili fizičko uništenje. POTENCIJALNE METE KIBER TERORISTA Važni elementi državne uprave, nacionalne kritične infrastrukture, preduzeća i društvenih, finansijskih i ekonomskih sistema su sve više međusobno zavisni i, štaviše, svi su umreženi u osetljive digitalne sisteme. Na dnevnom nivou, kiber napadi su na rastućem nivou učestalosti i različitih efekata koje ostvaruju. Potiču od neprijateljskih vlada država pa do političkih motivisanih ili kriminalnih grupa. Međutim, kao najveća potencijalna opasnost u kiber prostoru označen je kiber terorizam. Potencijalne pretnje napada terorista fokusiraju se na sisteme i mreže koje čine ključnu infrastrukture države. Nezakonitim pristupom, prisluškivanjem, ometanjem sistema i podataka, postavljanjem različitih malvera mogu se ugroziti integritet, poverljivost I dostupnost sistema i mreža 6. Obično takvi napadi mogu imati različite oblike: teroristi mogu da provaliti u računarske mreže i time izazvati haos funkcionisanja kompanije ili mogu napasti finansijske institucije 7. Ozbiljno ometanje funkcionisanja računarskih sistema i mreža kritične informacione infrastrukture jedne države ili vlade koje zavise od informacionih i komunikacionih tehnologija stvara istovremeno ranjivost koja predstavlja izazov za kiber bezbednost. Napadi ključnih informacionih infrastruktura može izazvati ozbiljne smetnje rada sistema i predstavljaju ozbiljnu pretnju koja može imati najteže posledice za društvo. Takođe, napadi na informacione sisteme nacionalnih infrastuktura, njihove računarske sisteme, programe i podatke mogu izazvati povreda, gubitak života i uništavanje imovine. Potencijalne mete mogu biti vladini sistemi, vojne mreže, telekomunikacione mreže, navigacioni sistemi za pomorski i vazdušni saobraćaj, kontrolne sisteme za pročišćavanje vode, energetski sistemi, i finansijski sistemi, ili druge funkcije od vitalnog značaja za društvo. Teroristi mogu ometanjem ili prekidom pravilnog funkcionisanja, uticati na aktivnost kompjuterskog sistema, naprimer mogu da izazovu pad mreže ili prekid rada. Kompjuterski sistemi mogu biti zatvoreni na kraće ili duže vreme. Sistem usled napada može da manjom brzinom obrađuje kompjuterske podatke ili ostati bez memorije, ili da pak neispravno funkcioniše 8. Prekid normalnog funkcionisanja sistema može biti privremen,trajan, delimičan ili potpun. Infastruktura od kojih moderno društvo zavisi je ranjivo. Tu slabost kiber akteri mogu da iskoriste. Cilj 6 Stein Schjolberg Terrorism in Cyberspace Myth or reality?, NATO Advanced Research Workshop on Cyberterrorism, Sofia, Bulgaria (October 2006), str, 3 dostupno na 7 Fawzia Cassim, Addresing the spectre of cyber terrorism: a comperative perspective, 2012, dostupno na: Fawzia Cassim, Addresing the spectre of cyber terrorism: a comperative perspective, 2012, dostupno na: 3

123 takvih nezakonitih napada je da zastraši ili ubede vladu da se povinuje njihovim željama I na taj način ostvare ili politički ili društvene ciljeve. Nijedan od javnosti poznatih incidenata danas se ne kvalifikuje kao terorizam u kiber prostoru. Ali uvek mora da bude razlog da se mere predostrožnosti i da se spreči protiv, u istoj meri kao i zaštita ključnih informacionih infrastruktura. GLOBALNI PROBLEM Terorizam je dramatično evaluirao proteklih decenija. To je nadnacionalna međunarodna nelegalna aktivnost i pretnja po celu globalnu zajednicu. Može se reći da metode kiber napada imaju mnoge prednosti u odnosu na konvencionalne metode koje teroristi upotrebljavaju. Za početak, sajbr napadi su mnogo jefitiniji I brži nego operacije u fizičkom svetu. Napada može biti sproveden sa bilo koje tačke na planeti, a lokacija napadača kao I njegov identitet mogu ostati anonimni. Terorista može da koristi informaciono komunikacionih tehnologije (IKT) i internet za različite namene: propaganda, informacije prikupljanje, priprema napada u realnom svetu, objavljivanje materijala za obuku, komunikacija, finansiranje i napadi na kritičke infrastrukture. Mogu da izvrše razna krivična dela kao što su krađe identiteta, kompjuterskih virusa, hakovanja, malvare, uništavanje ili manipulacija podacima. Bitno je podvući razliku između kiber terorizam kao nelegalnog akta i korišćenje digitalnih sredstava za organizacionu svrhu terorističke grupe poput regrutacije ili korišćenje socijalnih mreža za promovisanje sopstvene propagande. Iako su ovi problemi izazvali organizacije I države da postanu svesne opasnosti, postavlja se pitanje da li postoje adekvatni odgovori na ove pretnje. Da li su sadašnje tehnologije, metode I strategije adekvatne? Svakako je da su neophodna kvalitetnija sredstva za kreiranje preventivnih mera u borbi protiv kiberterorizam. U cilju efikasne borbe neophodno je uvođenje na globanom nivou odgovarajuće stategije, počev od kiber terorističkog zakonodavstva preko kreiranja dovoljno bezbednih softvera zaštite. Treba imati u vidu da je uklanjanje informacija sa Interneta kao što su informacije o tome kako da se izvrše teroristički napadi ili napravi eksploziv, ne daje adekvatnu garanciju zaštite. Organizacije su sada shvataju da nove tehnologije, pretpostavlja se da spreči kiber napada, u stvari imaju svoje zamke i slabosti. Kao potreba da se obezbedi tehnološke infrastrukture i informacionih sredstava iz kiber napada raste, mora se priznati da je više nego jednostavno ulaganje u nove tehnologije, organizacije moraju razviti kompletna strategija, rešenja i metode. Trenutni tehnologije kao što su firewalls, sistemi zaštite lozinkom, tajni ključevi za šifrovanje (3DES), javni ključ za šifrovanje ( RSA) steganografija, sistemi za detekciju upada, SSL, IPSec, ACL, itd..samo su neki od sigurnosnih mera koje se koriste u zaštiti od autsajdera i potencijalnih pretnji kiber 9. 9 Christopher Beggs, Matthew Butler Developing New Strategies to Combat Cyber-Terrorism Innovations Through Information Technology, 2004, str 388 4

124 Kiber prostor je za obaveštajne službe poslužio kao oslonac I značajni savetnik u borbi protiv terorista. Mobilni telefoni su korisni za praćenje terorista, snimanje razgovora kao I lociranje. Teroristički sajtovi su takođe pod pojačanim nadzorom. ZAKLJUČAK Moramo biti svesni da će se debata o pretnjama kiber terorizam nastaviti u budućnosti. Kiber terorizam je globalna pretnja koja zahteva jedinstven, globalni odgovor. Države moraju kroz aktivnu saradnju da rade na uvođenju formiranja ključnog konsenzusa kada je u pitanju kiber terorizam. Potrebno je pronaći nova rešenja I preventivne mere u cilju borbe protiv kiber terorizma. Potrebno je da se obezbedi tehnološka infrastruktura I nađe način zaštite informacije kako kiber napadi rastu po obimu, učestalosti I sofisticiranosti. Ulaganja u IKT nove tehnologije kao I pojačana saradnja na međunarodnom nivou nužni su za razvijanje novih strategija, rešenja i metoda borbe. LITERATURA: [1] Fawzia Cassim, Addresing the spectre of cyber terrorism: a comperative perspective, 2012, dostupno na: [2] Christopher Beggs, Matthew Butler Developing New Strategies to Combat Cyber-Terrorism Innovations Through Information Technology, 2004 [3] [4] Pollitt, Mark M. CYBERTERRORISM Fact or Fancy. Georgetown University. Department of Computer Science. 10 June 2009 dostupno na: ww. cs.georgetown.edu/~denning/infosec/ pollitt.html [5] Stein Schjolberg Terrorism in Cyberspace Myth or reality?, NATO Advanced Research Workshop on Cyberterrorism, Sofia, Bulgaria (October 2006), dostupno na 5

125 Sadržaj PREKRŠAJNA ODGOVORNOST USLED KRŠENJA ZAKONA O ZAŠTITI PODATAKA O LIČNOSTI MINOR OFFENCE LIABILITY DUE TO VIOLATIONS OF THE LAW ON PERSONAL DATA PROTECTION Nenad Bingulac Pravni fakultet za privredu i pravosuđe u Novom Sadu, Univerzitet Privredna akademija Apstrakt: Zaštita ličnih podataka predstavlja veoma kompleksno pitanje. Opasnost od svesnog i nesvesnog davanja ličnih podataka drugim licima na njihov direktan ili prikriveni način, poslednjih godina, je u centru pažnje stručne ali i šire javnosti.problematika koja će se razmatrati u ovom radu prvenstveno se odnosi na prikupljanje i obradu podataka o ličnosti na osnovu Zakona o zaštiti podataka o ličnosti, ali sa posebnim osvrtom na kaznenu politiku u slučajevima kršenja predviđenih zakonskih odredbi.značaj razmatranja ove problematike nije samo u sagledavanju i razmatranju prekršajne odgovornosti usled kršenja pomenutog zakona, već je i u prvim preventivnim merama zaštite podataka o ličnosti koji su pribavljeni na zakonom predviđen način. Ključne reči: prekršajna odgovornost, lični podaci, prikupljanje i obrada, zloupotreba Abstract: Protection of personal data is a very complex issue. Risk of conscious and unconscious giving personal data to other persons on their direct or disguised way, in recent years,is in the focus of the professional and the general public. The issue to be discussed in this paper primarily refers to the collection and processing of personal data under The Law On Personal Data Protection, but with a special emphasis on penal policy in cases of violation of legal provisions provided. The importance of considering these issues not just in the assessment and consideration of minor offence liability for violation of the mentioned law, but also in the early preventive measures to protect personal data that have been obtained in a legal manner. Key words: minor offence liability, personal data, collection and processing, abuse 1. UVODNA RAZMATRANJA Vekovni društveni razvoj doveo nas je do toga da smo danas skoro u potpunosti zavisni od upotrebe računara u privatne i poslovne svrhe počevši od međusobnog komuniciranja, korišćenja i pružanja usluga, ali upotreba je izražena i u sferama u kojima se računari koriste za razonodu, edukaciju i sl. Značaj upotrebe računarskih sistema, kao što je već rečeno u mnogim sferama života savremenog čoveka, dovelo je do toga da kao i mnoga druga tehničko i tehnološka dostignuća u istoriji čovečanstva, budu korišćena i izložena različitim vidovima zloupotrebe. Tendencija razvoja tehnologija, a samim tim i novih načina upotrebe računara i računarskih sistema, je u uzlaznoj skali, te je stoga jasno da će načini i razni oblici zloupotreba nastaviti uporedni razvoj, posebno kada te nove tehnologije budu dostupne širem krugu korisnika. Problem koji se potencijalno javlja ogleda se u tome da ni danas sa postojećim tehnološkim razvojem i postojećom pravnom zaštitom nije moguće obezbediti sveobuhvatnu sigurnost korisnika računarskih sistema, a nije sporno da se apsolutna bezbednost ne može postići, pa se nameće pitanje da li će nove tehnologije ugroziti postojeće bezbednosne mere, sve dok se ne razviju novi načini zaštite u tehnološkom (hardverskom i softferskom) i u pozitivno pravnom smislu.

126 Sa razvojem računarskih tehnologija paralelno se razvija obučenost lica za njenu upotrebu. Neki od njih će imati za cilj iskorišćavanje tehnologije za razne oblike zloupotreba. Poznato je da pojedinci ili manje organizovane grupe nezakonito pristupaju nekom važnom javnom ili privatnom računarskom sistemu, ili kućnim računarima, i to iz raznih pobuda (sticanje protivpravne imovinske koristi, razni oblici krađe podataka, narušavanje privatnosti, iz drugih niskih pobuda i sl.). Ovaj oblik savremenog kriminaliteta ne poznaje granice, posebno kada se zloupotrebe ili napadi na neki računarski sistem vrše preko interneta. Iz dosadašnjeg izlaganja, može da se videti kompleksnost ove problematike, te će se upravo zbog toga ovaj rad usmeriti ka zakonskoj zaštiti i prekršajnoj odgovornosti prilikom elektronskog prikupljanja i obrade podataka o ličnosti, kao jednog od posebno osetljivog i veoma važnog problema iz oblasti visokotehnološkog kriminala. Prvi zakonodavni pokušaj uređivanja ove oblasti načinjen je godine kada je u Saveznoj Republici Jugoslaviji usvojen Zakon o zaštiti podataka o ličnosti (Službeni list SRJ, broj 24/98), koji je kasnije nastavio da važi i u pravnom poretku Državne zajednice Srbije i Crne Gore, a kasnije Republike Srbije. Pojedini autori ukazuju da u periodu važenja ovog zakona (oko deset godina) nije bilo njegove praktične primene niti su korišteni predviđeni mehanizmi zaštite.[5] Novi Zakon o zaštiti podataka o ličnosti donešen je godine, njegova primena je otpočela godine. Potrebno je još ukazati da je Republika Srbija potpisаlа i rаtifikovаlа Konvenciju Sаvetа Evrope broj 108 o zаštiti licа u odnosu nа аutomаtsku obrаdu podаtаkа o ličnosti godine i da je potpisаlа je i rаtifikovаlа Dodаtni protokol uz Konvenciju 108 u vezi sа nаdzornim orgаnimа i prekogrаničnim protokom podаtаkа godine, a sve sa ciljem harmonizacije domaćeg zakonodavstva sa evropskim.[5] 2. PODACI O LIČNOSTI Opasnost od svesnog i nesvesnog davanja ličnih podataka drugim licima na njihov direktan ili prikriveni način, poslednjih godina, je u centru pažnje stručne ali i šire javnosti. Nevoljno tj. nesvesno davanje ličnih podataka je sve zastupljenije preko prevara putem interneta, kada korisnici nekih internet usluga ili prostim odgovaranjem na lažne mailove (banaka, članskih organizacija i dr.) prosleđuju svoje lične podatke. [2] Naravno, ovo nisu jedini oblici, ali spadaju u jedne od najčešćih. Na samom početku potrebno je naglasiti šta se sve pod podacima o ličnosti podrazumeva. Podatak o ličnosti je svaka informacija koja se odnosi na fizičko lice, bez obzira na oblik u kojem se taj podatak prikuplja ili predaje, čuva ili pribavlja, ali i bez obzira na druga svojstva te informacije. Podatak se može prikupljati ili predavati na različitim oblicima nosača informacije počevši od papira, traka, filma, elektronskog medijuma i dr. Načini pribavljanja informacije su isto raznovrsni, a mogu biti slušanjem, gledanjem, putem uvida u dokument i sl.[6] Podaci o ličnosti se odnose samo na fizičko lice, kao što je već i navedeno, a pod fizilkim licem (u ovom smislu) se smatra čovek na koga se odnosi podatak, a čiji se identitet može utvrditi ili odrediti na osnovu ličnog imena, jedinstvenog matičnog broja građana (JMBG), adresnog koda ili drugog obeležja njegovog fizičkog, psihološkog, duhovnog, ekonomskog, kulturnog ili društvenog identiteta. Na ovaj način se fizičko lice određuje tj. na osnovu identifikacionih brojeva koji su već pomenuti (JMBG i dr.) ali postoje i drugi identifikacioni brojevi koji određuju fizičko lice, a to su i poreski broj, broj zdravstvenog 2

127 osiguranja, broj fiksnog ili mobilnog telefona, broj lične karte, broj pasoša i dr. Pored ovih faktora, pojedini autori ukazuju da lice može biti određeno ili odredivo i na osnovu starosti, zaposlenja i drugih sličnih afiniteta, ali i uz pomoć slika, glasa, otisaka prstiju, pa sve preko drugih biometrijskih karakteristika fizičkog lica. U ove karakteristike spadaju telesne, fiziološke i druge karakteristike ponašanja, koje poseduju svi pojedinci, a koje su jedinstvene i na osnovu čega je moguće identifikovati fizičko lice (a posebno već pomenuti otisci prstiju ali i dužica oka, mrežnjače oka, obraza, ušiju, DNK i dr.). Potrebno je posebno naglasiti da se podaci o ličnosti ne smatraju oni koji su neprepoznatljivi, izmanipulisani ili na neki drugi način izmenjeni i kada na osnovu njih nije moguće odrediti osobu na koju se odnose.[6] Iako je u određenoj meri logično, nisu svi podaci koji se dobijaju od ličnosti podaci koji se smatraju da su lični podaci. Kao primer se može navesti podaci o stvarima, kao što su pokretna imovina, ali neke od tih stvari kao što su recimo automobili sa svojim podacima (broj šasije, registarski broj i sl.) mogu biti podaci i o ličnosti samo kada se oni mogu povezati sa ličnošću (npr. vlasnikom vozila). Slično je i sa podacima o pravnim licima ili podacima o nrp. životinjama gde mogu postojati mnogi podaci (o rasi, godini rođenja, indentifikacionom broju i dr.) Neki od podataka o ličnosti se smatraju za posebno osetljivim, a u njih spadaju podaci o: nacionalnoj pripadnosti, rasi, polu, jeziku, veroispovesti, pripadnost političkoj stranci, sindikalnom članstvu, zdravstvenom stanju, primanju socijalne pomoći, statusu žrtve nasilja, osudi za krivično delo i seksualni život.[4] Iz do sada svega iznetog može da se vidi do koje mere se rasprostire obuhvatnost podataka koji spadaju u grupu podataka o ličnosti. Hipotetički se može postaviti pitanje do koje je mere prosečan građanin svestan koji sve podaci mogu da budu povezani direktno sa njim. 3. PRIKUPLJANJE, OBRADA I ZLOUPOTREBA LIČNIH PODATAKA Postoje mnogi oblici prikupljanja podataka o ličnosti i upravo zbog toga postoji realna opasnost od njihove zloupotrebe. Prikupljanje podataka na koji god način da se izvrši (usmenim pribavljanje, pismenim pribavljanjem, u obliku elektronskog formulara i dr.) uvek se obrađuje i čuva u nekoj od elektronskih baza podataka. Prikupljanje i obrada podataka o ličnosti mora biti u skladu sa zakonom. Zakon koji uređuje ovu oblast je Zakon o zaštiti podataka o ličnosti (ZZPL).[10] Ovim zakonom pored toga što se uređuju uslovi za prikupljanje i obradu podataka o ličnosti uređujuju se i prava lica i zaštita prava lica čiji se podaci prikupljaju i obrađuju, ograničenja zaštite podataka o ličnosti, postupak pred nadležnim organom za zaštitu podataka o ličnosti, obezbeđenje podataka, evidencija, iznošenje podataka iz Republike Srbije i nadzor nad izvršavanjem zakona. Pomenutim zakonom (ZZPL) u članu 14. stav 1. predviđa se da se podaci o licu prikupljaju od lica od strane organa uprave koji su zakonom ovlašćeni za njihovo prikupljanje. U stavu 2. predviđa se izuzetak koji se odnosi na to da se podaci mogu prikupljati i od drugog lica ako: 1) je to predviđeno ugovorom zaključenim sa licem na koje se podaci odnose; 2) je to propisano zakonom; 3) je to neophodno s obzirom na prirodu posla; 4) prikupljanje podataka od samog lica na koje se odnose zahteva prekomerni utrošak 3

128 vremena i sredstava i 5) se prikupljaju podaci radi ostvarenja ili zaštite životno važnih interesa lica na koje se odnose, posebno života, zdravlja i fizičkog integriteta. Načelno posmatrano, prikupljanje podataka o ličnosti predstavlja samo jedan od oblika obrade podataka, stoga je ukazano zakonsko predviđanje iz člana 14. predstavlja samo opštu odredbu, dok se konkretna dozvoljenost obrade podataka o ličnosti uređuje članovima od 8. do 13. ZZPL. Bazično posmatrano, moguće je prikupljati samo one podatke o ličnosti za koje postoji pristanak lica ili kada je obrada određena zakonom. Pod terminom obrada podataka ZZPL (član 3. stav 3) podrazumeva da je to svaka radnja preduzeta u vezi sa podacima kao što su: prikupljanje, beleženje, prepisivanje, umnožavanje, kopiranje, prenošenje, pretraživanje, razvrstavanje, pohranjivanje, razdvajanje, ukrštanje, objedinjavanje, upodobljavanje, menjanje, obezbeđivanje, korišćenje, stavljanje na uvid, otkrivanje, objavljivanje, širenje, snimanje, organizovanje, čuvanje, prilagođavanje, otkrivanje putem prenosa ili na drugi način činjenje dostupnim, prikrivanje, izmeštanje i na drugi način činjenje nedostupnim, kao i sprovođenje drugih radnji u vezi sa navedenim podacima, bez obzira da li se vrši automatski, poluautomatski ili na drugi način. Nakon kraćeg pojmovnog preciziranja, nastavlja se sa razmatranjem ove problematike na način što je potrebno posebno istaknuti član 8. kojim se predviđa nedozvoljenost obrade podataka i to kada: 1) fizičko lice nije dalo pristanak za obradu, odnosno ako se obrada vrši bez zakonskog ovlašćenja; 2) se vrši u svrhu različitu od one za koju je određena, bez obzira da li se vrši na osnovu pristanka lica ili zakonskog ovlašćenja za obradu bez pristanka, osim ako se vrši u svrhu prikupljanja sredstava za humanitarne potrebe; 3) svrha obrade nije jasno određena, ako je izmenjena, nedozvoljena ili već ostvarena; 4) je lice na koje se podaci odnose određeno ili odredivo i nakon što se ostvari svrha obrade; 5) je način obrade nedozvoljen; 6) je podatak koji se obrađuje nepotreban ili nepodesan za ostvarenje svrhe obrade; 7) su broj ili vrsta podataka koji se obrađuju nesrazmerni svrsi obrade i 8) je podatak neistinit i nepotpun, odnosno kada nije zasnovan na verodostojnom izvoru ili je zastareo. Može da se vidi da postoje okolnosti kada je obrada podataka dozvoljena i bez pristanka (član 12.), a da se obrada vrši od strane rukovodioca koji ne predstavlja organ vlasti i to: 1) da bi se ostvarili ili zaštitili životno važni interesi lica ili drugog lica, a posebno život, zdravlje i fizički integritet; 2) u svrhu izvršenja obaveza određenih zakonom, aktom donetim u skladu sa zakonom ili ugovorom zaključenim između lica i rukovaoca, kao i radi pripreme zaključenja ugovora; 2a) u svrhu prikupljanja sredstava za humanitarne potrebe i 3) u drugim slučajevima određenim ovim zakonom, radi ostvarenja pretežnog opravdanog interesa lica, rukovaoca ili korisnika. Pre nego što se nastavi dalje, potrebno je bliže odrediti termin rukovodilac. Po ZZPL (član 3. stav 5) rukovalac podataka je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke. Obrada podataka o ličnosti od strane organa vlasti predviđena je članom 13. i to na način da organ vlasti obrađuje podatke bez pristanka lica, ako je obrada neophodna radi obavljanja poslova iz svoje nadležnosti određenih zakonom u cilju ostvarivanja interesa nacionalne ili javne bezbednosti, odbrane zemlje, sprečavanja, otkrivanja, istrage i gonjenja za krivična dela, ekonomskih, odnosno finansijskih interesa države, zaštite zdravlja i morala, zaštite prava i sloboda i drugog javnog interesa, a u drugim slučajevima na osnovu pismenog pristanka lica. [3] 4

129 Pojedini autori ukazuju da obrada podataka o ličnosti od strane organa vlasti bez pristanka pojedinca je postavljena previše široko i da daje prevelika diskreciona ovlašćenja organu vlasti koji je u odnosu na pojedinca mnogo moćnija stranka (vrši funkciju vlasti) te upravo zbog toga je,,prilično neprirodno, da organi vlasti mogu obrađivati podatke o ličnosti bez pristanka pojedinca i bez bilo kakve zakonske osnove. [6] Pored do sada ukazanog, posebno se mora istaknuti da kada se podaci o ličnosti obrađuju na osnovu nekog drugog zakona, u tom zakonu se mora detaljno odrediti i predvideti koje je podatke potrebno prikupiti i obrađivati, ali i način i svrhu njihove obrade, pri čemu se moraju poštovati sve odredbe ZZPL. Naredni segment pravne zaštite podataka o ličnosti se odnosi na obaveštenje o obradi koje mora da načini rukovodilac prilikom prikupljanja podataka. Članom 15. ZZPL predviđa se da rukovalac koji podatke prikuplja od lica na koje se odnose, odnosno od drugog lica, pre prikupljanja, upoznaće lice na koje se podaci odnose, odnosno drugo lice o: 1) svom identitetu, odnosno imenu i adresi ili firmi, odnosno identitetu drugog lica koje je odgovorno za obradu podataka u skladu sa zakonom; 2) svrsi prikupljanja i dalje obrade podataka; 3) načinu korišćenja podataka; 4) identitetu lica ili vrsti lica koja koriste podatke; 5) obaveznosti i pravnom osnovu, odnosno dobrovoljnosti davanja podataka i obrade; 6) pravu da pristanak za obradu opozove, kao i pravne posledice u slučaju opoziva; 7) pravima koja pripadaju licu u slučaju nedozvoljene obrade i 8) drugim okolnostima čije bi nesaopštavanje licu na koje se odnose podaci, odnosno drugom licu bilo suprotno savesnom postupanju. Članom 19. ZZPL predviđa se pravo na obaveštenje lica o obradi podataka i to na način da rukovalac ima obavezu da istinito i potpuno obavesti o tome: 1) da li rukovalac obrađuje podatke o njemu i koju radnju obrade vrši; 2) koje podatke obrađuje o njemu; 3) od koga su prikupljeni podaci o njemu, odnosno ko je izvor podataka; 4) u koje svrhe obrađuje podatke o njemu; 5) po kom pravnom osnovu obrađuje podatke o njemu; 6) u kojim zbirkama podataka se nalaze podaci o njemu; 7) ko su korisnici podataka o njemu; 8) koje podatke, odnosno koje vrste podataka o njemu koriste; 9) u koje svrhe se koriste podaci o njemu; 10) po kom pravnom osnovu koristi podatke o njemu; 11) kome se podaci prenose; 12) koji podaci se prenose; 13) u koje svrhe se podaci prenose; 14) po kom pravnom osnovu se podaci prenose i 15) u kom vremenskom periodu se podaci obrađuju. Zatim, lice ima pravo na uvid (član 20) i pravo na kopiju (član 21). Nakon izvršenog uvida, lice na osnovu člana 22. ima pravo da od rukovaoca zahteva ispravku, dopunu, ažuriranje, brisanje podataka, kao i prekid i privremenu obustavu obrade. Istim članom bliže se određuje pravo na brisanje podataka i to ako: 1) svrha obrade nije jasno određena; 2) je svrha obrade izmenjena, a nisu ispunjeni uslovi za obradu za tu izmenjenu svrhu; 3) je svrha obrade ostvarena, odnosno podaci više nisu potrebni za ostvarivanje svrhe; 4) je način obrade nedozvoljen; 5) podatak spada u broj i vrstu podataka čija je obrada nesrazmerna svrsi; 6) je podatak netačan, a ne može se putem ispravke zameniti tačnim i 7) se podatak obrađuje bez pristanka ili ovlašćenja zasnovanog na zakonu i u drugim slučajevima kada se obrada ne može vršiti u skladu sa odredbama ovog zakona. Visok je značaj zaštite ličnih podataka. Ono predstavlja garanciju prava na privatnost, kao jednog od osnovnih ljudskih prava. Uspostavljanje prava na privatnost, posebno u savremenom društvu koje je oslonjeno na računarske sisteme posebno u sferi razmene podataka i komunikacije (mailovi, društvene mreže i dr.) predstavlja priličan izazov. Zloupotreba podataka o ličnosti može da ima mnoge štetne posledice. Neki od posledica koji mogu da uslede su krađa identiteta. [1] Pod krađom identiteta podrazumeva se radnja kojom neko koristi, prikuplja ili obrađuje tuđe lične podatke protivzakonito, usled čega se povređuje pravo na privatnosti, sve sa ciljem 5

130 da se dođe do neke protivpravne materijalne koristi što se postiže otvaranjem,,lažnih bankovnih računa, podizanje kredita, otvaranje firmi, lažno predstavljanje,,,neosnovano potraživanje određenih prava i sl., ali krađa identiteta može da bude na prvi pogled i bezazlena, a za primer se može navesti otvaranje lažnog profila na nekoj od društvenih mreža što može da prouzrokuje povredu ugleda, časti ili nanošenje nekog drugog oblika štete. Zloupotreba podataka o ličnosti može da bude u svrhu izvršenja krivičnih dela, a najčešće prevare (lažno predstavljanje, zaključivanje ugovora i dr.). Krađa podataka o ličnosti u internet okruženju često se odnosi na elektronsku trgovinu i to iz više uglova. U slučajevima kada se radi o lažnim sajtovima za elektronsku kupovinu, prilikom registracije naloga, traže se mnogi lični podaci koji će kasnije biti zloupotrebljeni. Zatim, na proverenim takvim sajtovima mogu se otvoriti lažni nalozi sa tuđim podacima što je kasnije podložno raznim oblicima protivpravnog ponašanja. Na pojedinim oficijalnim sajtovima bazama podataka, JMBG, predstavlja šrifru za pristup nalogu. Poznavanje tuđeg JMBG-a može se iskoristiti za lažnu online indentifikaciju usled čega mogu da uslede razni oblici zloupotreba. Upravo zbog pomenutog, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti [8] se u više navrata zalagao da se JMBG zameni sa nekim drugim, promenjivim brojem, jer JMBG sam po sebi sadrži određene podatke o ličnosti (dan, mesec i godinu rođenja; region rođenja; pol), pri čemu je navodio primer nekih evropskih država kao što su to Hrvatska koja je,,odustala od JMBG-a ili Portugalija koja je takav broj Ustavom zabranila. Zloupotreba podataka o ličnosti često je usmereno ka njihovoj prodaji ili ustupanju u komercijalne svrhe. Na taj način, prate se određene online navike prilikom posećivanja raznih sajtova, pretraživanja ili elektronske kupovine što dovodi do toga da mnogobrojne komercijalne kompanije upravo nude usluge ili određenu robu u skladu sa analiziranim navikama. Najčešći oblik ove zloupotrebe je tzv. spam mail, ali ne zaostaju ni elektronske reklame u vidu banera na sajtovima i sl. Pojedina istraživanja pokazuju da neželjena elektronska pošta (spam) je poslata od strane nepoznatog pošiljaoca, tj. od pošiljaoca sa kojim se do tada nije stupilo u kontakt. [7] 4. NADZOR NAD SPROVOĐENJEM ZAKONA O ZAŠTITI PODATAKA O LIČNOSTI Nadzor nad sprovođenjem ZZPL predviđa se samim zakonom i to članom 54. u kojem se propisuje da se nadzor nad sprovođenjem, ali i nadzor nad izvršavanjem zakona poverava Povereniku. Poverenik poverene poslove koji proizilaze iz ovog Zakona, može da vrši preko ovlašćenih lica. U tim sličajevima, ovlašćeno lice je dužno da nadzor vrši stručno i blagovremeno i da o izvršenom nadzoru sačini zapisnik. Istim članom se predviđa još i da u vršenje nadzora, ovlašćeno lice, postupa na osnovu saznanja do kojih je došao po službenoj dužnosti, od strane podnosioca žalbe ili trećeg lica. Kada se tokom obavljanja nadzora utvrdi da su povređene odredbe zakona kojima se uređuje obrada, Poverenik ima obavezu da upozori rukovaoca na nepravilnosti prilikom obrade podataka (član 56). U pomenutom slučaju (a na osnovu istog člana) Poverenik može: 1) narediti da se nepravilnosti otklone u određenom roku; 2) privremeno zabraniti obradu koja se obavlja suprotno odredbama ovog zakona; 3) narediti brisanje podataka prikupljenih bez pravnog osnova. Pored iznetog, predviđa se da je Poverenik dužan da podnese prekršajnu prijavu zbog povreda odredaba ZZPL. Potrebno je bliže ukazati i na nadležnosti Poverenika koje proizilaze na osnovu člana 44. ZZPL. Poverenik: 1) nadzire sprovođenje zaštite podataka; 2) odlučuje po žalbi u slučaju propisanim ovim 6

131 zakonom; 3) vodi Centralni registar; 4) nadzire i dozvoljava iznošenje podataka iz Republike Srbije; 5) ukazuje na uočene zloupotrebe prilikom prikupljanja podataka; 6) sastavlja listu država i međunarodnih organizacija koje imaju odgovarajuće uređenu zaštitu podataka; 7) daje mišljenje u vezi sa uspostavljanjem novih zbirki podataka, odnosno u slučaju uvođenja nove informacione tehnologije u obradi podataka; 8) daje mišljenje, u slučaju kada postoji sumnja da li se neki skup podataka smatra zbirkom podataka u smislu ovog zakona; 9) daje mišljenje Vladi u postupku donošenja akta o načinu arhiviranja i o merama zaštite naročito osetljivih podataka; 10) prati primenu mera za zaštitu podataka i predlaže poboljšanje tih mera; 11) daje predloge i preporuke za unapređenje zaštite podataka; 12) daje prethodno mišljenje da li određeni način obrade predstavlja specifičan rizik za prava i slobode građanina; 13) prati uređenje zaštite podataka u drugim zemljama; 14) sarađuje sa organima nadležnim za nadzor nad zaštitom podataka u drugim zemljama; 15) određuje način daljeg postupanja sa podacima kada je rukovalac prestao da postoji, osim ako je propisano drukčije i 16) obavlja i druge poslove iz svoje nadležnosti. Istim članom još se predviđa da izveštaj koji podnosi Narodnoj skupštini, Poverenik dostavlja predsedniku Republike, Vladi i Zaštitniku građana i na odgovarajući način stavlja na uvid javnosti. 5. PREKRŠAJNA ODGOVORNOST NA OSNOVU ZAKONA O ZAŠTITI PODATAKA O LIČNOSTI Prekršajni sud na osnovu člana 57. ZZPL u slučajevima kada se utvrdi prekršajna odgovornost može da izrekne novčanu kaznu u za to predviđenom rasponu. Novčanom kaznom od do dinara kazniće se za prekršaj rukovalac, obrađivač ili korisnik koji ima svojstvo pravnog lica ako: 1) obrađuje podatke bez pristanka suprotno uslovima iz člana 12. (obrada bez pristanka); 2) obrađuje podatke suprotno uslovima iz člana 13. (obrada od strane organa vlasti); 3) prikuplja podatke od drugog lica suprotno uslovima iz člana 14. stav 2. (na način koji se predviđa zakonom); 4) pre prikupljanja podataka ne upozna lice na koje se podaci odnose, odnosno drugo lice o uslovima iz člana 15. stav 1. (rukovalac koji podatke prikuplja ima obavezu da upozna to lice o svom identitetu, odnosno imenu i adresi ili firmi, odnosno identitetu drugog lica koje je odgovorno za obradu podataka u skladu sa zakonom ); 5) obrađuje naročito osetljive podatke suprotno čl. 16. do 18.; 6) ne učini dostupnim sve podatke u stanju u kakvom se nalaze suprotno članu 27. stav 2.; 7) ne izda kopiju podatka u obliku u kojem se informacija nalazi suprotno članu 28. stav 1.; 8) ne obriše podatke iz zbirke podataka suprotno članu 36. ovog zakona; 9) ne izvrši rešenje Poverenika po žalbi član 41. stav 1.; 10) postupi suprotno obavezi čuvanja tajne iz člana 46. st. 1. i 2.; 11) postupi suprotno obavezi preduzimanja mera iz člana 47. stav 2. (organizacione i tehničke mere); 12) ne obrazuje evidenciju, odnosno ne ažurira evidenciju suprotno članu 48. st. 1. i 3.; 13) ne obavesti Poverenika o nameri uspostavljanja zbirke podataka u propisanom roku suprotno članu 49. stav 1.; 14) ne dostavi Povereniku evidenciju, odnosno promene u zbirci podataka u propisanom roku, član 51. stav 1.; 15) iznosi podatke iz Republike Srbije suprotno članu 53.; 16) ne omogući ovlašćenom licu nesmetano vršenje nadzora i ne stavi mu na uvid i raspolaganje potrebnu dokumentaciju, član 55. i 17) ne postupi po nalozima Poverenika, član 56. stav 2. Kao što može da se vidi, prethodno izneto se odnosi za pravno lice. Za pomenute prekršaje, kazniće se preduzetnik novčanom kaznom od do dinara, dok će se fizičko lice, odnosno odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinice lokalne samouprave novčanom kaznom od do dinara. 7

132 Iz prethodno iznetog, može da se vidi da za prekršajnu odgovornost usled kršenja odredbi ZZPL su predviđene samo novčane kazne. S obzirom da se ovde radi isključivo o kaznama usled kršenja pomenutog zakona, a ne o kasnijim eventualnim zloupotrebama podataka o ličnosti, mišljenja smo da postoji srazmernost između predviđene kazne i dela, počevši od vrste prekršajne sankcije pa sve do određivanja raspona novčane kazne. Prema pojedinim poslednjim dostupnim podacima, tokom perioda od 2013 do godine, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti pokrenuo je nadzor nad sprovođenjem i izvršavanjem ZZPL od strane privrednih društava i preduzetnika koji su u evidenciji Regulatorne agencije za elektronsk e komunikacije i poštanske usluge - RATEL registrovani za pružanje usluga pristupa internetu i internet usluga. Nadzor je vršen popunjavanjem upitnika i dostavljanjem traženih priloga. Od ukupno 184 operatora, 162 operatora je dostavilo popunjen upitnik, dok je protiv 22 operatora pokrenut prekršajni postupak u skladu sa već ukazanim članom 57. Po dostupnim podacima, izrečeno je 14 prvostepenih presuda.[9] 6. ZAKLJUČNA RAZMATRANJA Savremeni način života doveo je do toga da nije moguće zamisliti dan bez upotrebe računara. Ova potpuna zavisnost čoveka od računarskih sistema umnogome unapređuje životni standard posebno kada se radi o ostvarivanju međusobnih komunikacija, upotrebi računara za korišćenje i pružanje usluga, edukaciju i dr. Upravo ova rasprostranjenost i zastupljenost u primeni dovelo je i do negativnih posledica koje se ogledaju u različitim vidovima zloupotrebe savremenih računarskih tehnologija i navika. Računarska tehnologija, posebno tokom poslednje decenije, ima ubrzan razvoj, a paralelno sa njom razvija se obučenost onih koji imaju za cilj da ovu tehnologiju koriste za razne oblike zloupotreba što se često manifestuje kroz nezakonito pristupanje nekom važnom javnom ili privatnom računarskom sistemu, ili kućnim računarima. Problematika koja je razmatrana u ovom istraživanju prvenstveno se odnosi na prekršajnu odgovornost usled kršenja odredbi Zakona o zaštiti podataka o ličnosti koji ima za cilj da svakom fizičkom licu obezbedi ostvarivanje i zaštitu prava na privatnost. S obzirom da postoje mnogi oblici prikupljanja podataka o ličnosti i upravo zbog toga postoji realna opasnost od njihove zloupotrebe. Prikupljanje podataka na koji god način da se izvrši (usmenim pribavljanje, pismenim pribavljanjem, u obliku elektronskog formulara i dr.) uvek se obrađuje i čuva u nekoj od elektronskih baza podataka. Upravo zbog pomenutog nužno je zakonski urediti načine prikupljanja, obradu i čuvanje podataka o ličnosti kako bi se povećao stepen zaštite lica. Zakonom o zaštiti podataka o ličnosti predviđena je prekršajna odgovornost za kršenje odredbi ovog zakona, a sve sa ciljem kako ne bi došlo do nesavesnog ili samovoljnog ponašanja lica ili organa koji te podatke prikuplja u skladu sa zakonom. Na ovaj način ujedno se vrši i prevencija zloupotrebe tih podataka, koji su prikupljeni, kao što je već rečeno, na zakonom predviđen način. Pribavljanje podataka o ličnosti je moguće izvršiti i na načine koji nisu u skladu sa zakonom, ali takve radnje se uređuju Krivičnim zakonikom ili Zakonom o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala. 8

133 Za prekršajnu odgovornost usled kršenja odredbi Zakona o zaštiti podataka o ličnosti su predviđene samo novčane kazne. S obzirom da se ovde radi isključivo o kaznama usled kršenja pomenutog zakona, a ne o kasnijim eventualnim zloupotrebama podataka o ličnosti, mišljenja smo da postoji srazmernost između predviđene kazne i dela, počevši od vrste prekršajne sankcije pa sve do određivanja raspona novčane kazne. Tokom istraživanja ove problematike, uvideli smo da ne postoji dovoljno naučnih i stručnih polemika koje se odnose na ovu temu. Jedan od ciljeva ovog rada je podizanje svesti nestručne javnosti po ovom pitanju ali i pokušaj da se u određenoj meri tema ovog rada aktualizuje jer često se pokreće pitanje kod šire javnosti ko sve ima pravo da pribavlja lične podatke, na koji način se to zakonom predviđa i do koje mere je to neophodno, a samim tim i bezbedno. LITERATURA [1] Agencija za zaštitu osobnih podataka, Krađa identiteta, [2] Matijašević-Obradović, J. i Bingulac, N., Sajber terorizam kao savremeni oblik terorizma, Regionalno naučno stručno savetovanje ZITEH-14, održano 13. juna godine, Beograd. Zbornik radova:,,zloupotreba informacionih tehnologija i zaštita". Izdavač: Udruženje sudskih veštaka za informacione tehnologije, [3] Mijalković, S., Bezbednosno proveravanje lica - tradicionalni modeli i primeri dobre prakse, Nauka, bezbednost, policija, Kriminalističko-policijska akademija, vol. 20, br. 2, [4] Ministarstvo finansija Republike Srbije Uprava Carina, Primena zakona o zaštiti podataka o ličnosti, [5] Mišljenović, U., Nedić, B. i Toskić, A., Zaštita privatnosti u Srbiji, Partneri za demokratske promene Srbija, Beograd, [6] Pirc Musar, N, Vodič kroz zakon o zaštiti podataka o ličnosti,poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Beograd, [7] Popović, V. i Bojković, Z., Zaštita podataka o ličnosti i zaštita privatnosti za online usluge, Društvo za telekomunikacije, JP Ptt saobracaja,,srbija" i,,telekom Srbija" A.D. u saradnji sa Elektrotehničkim fakultetom u Beogradu i Jugoslovenskom sekcijom i COM Chapter-om IEEE, Beograd, [8] Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Krađa identiteta najlakša preko JMBG, [9] Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Izveštaj o nadzoru nad sprovođenјem i izvršavanјem Zakona o zaštiti podataka o ličnosti od strane operatora elektronskih komunikacija koji pružaju usluge pristupa internetu i internet usluge, Beograd, [10] Zakon o zaštiti podataka o ličnosti, Službeni glasnik Republike Srbije, br. 97/2008, 104/ dr. zakon, 68/ odluka US i 107/2012 9

134 Sadržaj PREVENCIJA CURENJA PODATAKA PREVENTION OF DATA LEAKAGE MSc Nataša Simić, MSc Nevena Miladinović, mr Zoran Živković Towers Net d.o.o. Abstrakt: U doba modernih tehnologija sve više informacija se čuva u bazama podataka i u vidu elektronskih dokumenata. Ovaj pristup omogućuje brzo i lako deljenje informacija sa poslovnim partnerima i klijentima bez obzira na njihovu lokaciju. Sa druge strane, jedan od ključnih problema predstavlja curenje podataka. Hakerski napadi na veb aplikacije i baze podataka, ljudske greške, krađa ili gubljenje hardverskih medijuma su samo neke od situacija koje mogu dovesti do curenja podataka. U ovom radu je dat pregled uzroka i posledica curenja podataka kao i opis sistema koji se mogu koristiti u cilju prevencije ovog problema. Ključne reči: curenje podataka, SQL injection, Cross-site scripting, IRM, WAF Abstract: In the age of modern technologies more and more information is stored in databases and digital documents. This approach enables fast and simple sharing of information with business partners and clients regardless of their location. On the other hand, one of the main problems is data leakage. Hacker s attack on web applications and data bases, human errors, theft and hardware medium loses are some of situations that can cause data leakage. This paper will describe some of causes and consequences of data leakage. Also, it gives description of systems that can be used for prevention of this problem. Key words: data leakage, SQL injection, Cross-site scripting, IRM, WAF 1. UVOD Otkrivanje osetljivih poslovnih podataka, može da ima ozbiljne posledice po poslovanje jedne kompanije, njenu reputaciju ili čak opstanak. U pitanju mogu da budu osetljive poslovne informacije ili intelektualna svojina čije otkrivanje narušava uspeh daljeg poslovanja kompanije, ili finansijski i lični podaci klijenata na čije čuvanje je kompanija obavezna. Najveći rizik po poverljive poslovne informacije predstavlja pojam curenja podataka, tj neprimetno iznošenje podataka van granica sistema kojem pripadaju. Curenje podataka se definiše kao neautorizovana transmisija informacija (ili podataka) iz organizacije (kompanije, institucije) ka eksternoj adresi ili primaocu [1]. Za adekvatan pristup rešavanju ovog problema potrebno je shvatiti njegove uzroke, bilo da su oni tehnički ili pripadaju ljudskoj prirodi i ponašanju. Odgovor na tehničke izazove treba da prati razvoj rastućeg broja pretnji ali tako da bude u skladu sa svim aspektima organizacije poslovanja. Samo tako osetljive informacije mogu da budu sprečene da napuste granice sistema bez većeg opterećivanja poslovnih procesa.

135 2. UZROCI I POSLEDICE CURENJA PODATAKA Sa aspekta intencije curenje podataka može da bude namerno ili slučajno. Namerno curenje izazvano je od strane napadača koji ima korist od podataka koje preuzima. Sa tehničkog aspekta može da ima različite uzroke. Umetanje zlonamernog softvera poput spyware-a ili backdoor-a omogućava napadaču da neovlašćeno pristupi sistemu i preuzme osetljive podatke. Slično se može postići presretanjem kriptografski nezaštićenie komunikacije ili običnom fizičkom krađom hardverskog mediuma koji sadrži nezaštićene podatke (laptop, USB, prenosni hard diskovi). Osim toga, curenje može biti posledica zlonamerne aktivnosti jednog od zaposlenih koji ima pristup sistemu sa određenim stepenom autorizacije. Najčešći uzroci ovakvog ponašanja su nezadovoljstvo na poslu, čak 92%, ali u pitanju mogu da budu i industrijska špijunaža i finansijska dobit. [2] Slučajno curenje podataka je uglavnom uzrokovano nepažnjom, nemarom ili neinformisanošću zaposlenih koji nemaju za cilj nanošenje štete. Zapravo, istraživanja pokazuju da je ovo mnogo češći uzrok (99%) kada su unutrašnji rizici u pitanju. [2] Dominantni problem je slanje osetljivih dokumenata putem elektronske pošte primaocu koji nema pravo uvida u primljene podatke ili gubitak prenosnog hardverskog medijuma sa osetljivim sadržajem. Zaposleni mogu biti nesvesni rizika pri nepromišljenom slanju dokumenata jer, na primer, nisu upoznati sa nivoom osetljivosti podataka koje dokumenta sadrže, rizicima koji postoje ako se ti podaci otkriju ili bezbednosnom politikom kojom je definisana njihova upotreba. Uz to, uvek postoji mogućnost slučajne greške pri slanju usled nepažnje ili zamora. Posledice gubitaka podataka mogu biti direktne ili indirektne. Direktne posledice se mogu sagledati na konkretan finansijski način. One nastaju nakon gubitka ličnih i finansijskih podataka klijenata. Kompanije kojima su podaci ukradeni primorane su da plaćaju visoke odštete i zakonom propisane kazne. Indirektne posledice je teže sagledati jer se javljaju tokom dužeg perioda i njihovu finansijsku težinu ne možemo uvek precizno da odredimo. Ove posledice nastaju nakon gubitka kritičnih poslovnih podataka i intelektualne svojine a uzorkuju narušavanje reputacije kompanije, okretanja klijenata ka konkurentim kompanijama i smanjivanje obima poslovanja. 3. PREVENCIJA CURENJA PODATAKA Prevencija curenja podataka treba da bude usmerena ka najrizičnijim aspektima poslovne prakse. U ovom radu fokus je stavljen na dva zasebna rizika: baratanje osetljivom poslovnom dokumentacijom i očuvanje integriteta baza podataka. 3.1 ZAŠTITA ELEKTRONSKE DOKUMENTACIJE Zaštita elektronskih dokumenata se može obaviti strogom kontrolom pristupa i dodelom dozvola odnosno pristupnih prava za svaki dokument. Tehnika dodele prava za pristup i manipulaciju dokumentima naziva se IRM (Information Rights Management). IRM predstavlja skup tehnologija za zaštitu osetljivih informacija od neovlašćenog pristupa. Sistemi koji su zasnovani na IRM tehnologijama rade na principu dodeljivanja prava pristupa korisnicima sistema. Administrator IRM sistema bi trebalo da ima mogućnost dodele prava odnosno dozvola za pristup dokumentu, modifikaciju, kopiranje, štampanje, screenshot i slično. Takođe, IRM sistemi 2

136 bi trebalo da pružaju mogućnost klasifikacije dokumenata prema stepenu osetljivosti. Osim radnji koje korisnik može da sprovodi nad dokumentima IRM sistemi bi trebalo da imaju i mogućnost definisanja dozvola za vremensko trajanje dokumenta i lokacija sa kojih se pristupa dokumentu. Administrator može postaviti rok trajanja dokumenta pri čemu se, nakon isteka tog roka, blokira pristup. Dozvole koje se odnose na lokaciju sa koje se pristupa dokumentu mogu biti definisane na osnovu serijskog broja uređaja ili IP adrese. Nakon dodele dozvola za pristup datoteci, IRM sistem vrši enkripciju te datoteke kako bi se sprečio neovlašćeni pristup. Kod većine IRM sistema samo administrator može da dodeljuje, uklanja i modifikuje dozvole. Jednom dodeljene dozvole bi trebalo da ostanu trajno na zaštićenoj datoteci bez obzira na način deljenja i platforme sa koje se pristupa toj datoteci. Permanentnost pristupnih prava odnosno dozvola sprečava curenje poverljivih podataka u slučaju krađe ili gubitka prenosnih hardverskih medijuma. Naime, ukoliko dođe do gubitka ili krađe prenosnog medijuma (USB, hard disk) bilo koji korisnik koji pokuša da pristupi zaštićenim datotekama na tom medijumu neće biti u mogućnosti da to učini ukoliko nema definisana pristupna prava. Osim toga, sistem za zaštitu datoteka treba da ima mogućnost praćenja zaštićenih datoteka odnosno treba da pruži administratoru uvid u sve akcije izvršene nad dokumentom uključujući i pokušaje neovlašćenog pristupa. Ukoliko dođe do krađe ili gubitka zaštićenih datoteka administrator će imati informaciju o pokušajima neovlašćenog pristupa kao i o svim akcijama koje napadač ili sličajni pronalazač pokuša nad zaštićenim datotekama. Radi autentifikacije korisnika i praćenja aktivnosti zaštićenih dokumenata poželjno je da IRM sistem ima mogućnost integracije sa LDAP sistemom kao što je MS Microsoft Windows Active Directory, IBM Tivoli Directory Services i slično. IRM sistemi bi trebali da imaju i mogućnost integracije sa softverskim paketima koji se koriste u poslovnom okruženju kao što su sistemi za prevenciju gubitaka podataka, poslovne komunikacije i upravljanje dokumentima. Jedno od vodećih svetskih IRM rešenja je rešenje Seclore FileSecure kompanije Seclore iz Indije. Ovo rešenje je ima mogućnost integracije sa LDAP sistemima kao što je MS Microsoft Windows Active Directory. Fleksibilnost sistema se ogleda u činjenici da sva ugrađena pravila i klasifikacije mogu da se menjaju i prilagode bilo kom poslovnom okruženju. Seclore FileSecure pruža mogućnost dodele svih standardnih dozvola koje IRM sistem treba da podržava. Dozvole koje su definisane ovim sistemom ostaju na zaštićenoj datoteci sve dok ih administrator ne ukloni ili modifikuje i ne zavise od načina deljenja datoteke i platformi koje se koriste za pristup. Nakon dodele dozvola datoteka biva enkriptovana kako bi se sprečio neautorizovani pristup i može se podeliti sa drugim korisnicima. Čak i posle deljenja datoteke sa drugim korisnicima administrator može da modifikuje, ukine ili postavi novu dozvolu na datoteku bez potrebe za ponovnim deljenjem jer se sve promene rade na serveru samog sistema. Za pristup datotekama zaštićenim Seclore FileSecure sistemom korisnik mora da se autentifikuje svojm korisničkim imenom i lozinkom. Zaštićenim datotekama se može pristupati preko Seclore aplikacije i tada se datoteka otvara u svojoj matičnoj aplikaciji (word, excel, adobe ). Drugi način pristupa datoteci je preko veb pregledača i na taj način datoteka može samo da se pregleda ali ne i da se modifikuje. Ukoliko se zaštićena datoteka šalje korisniku koji još uvek nije u sistemu njegov profil će automatski biti generisan i on će dobiti obaveštenje o prijemu zaštićene datoteke i načinu pristupa datoteci. Administrator, preko upravljačke konzole, ima uvid u sve akcije sprovedene nad zaštićenom datotekom. U tabelarnom prikazu aktivnosti dat je pregled akcija preduzetih nad zaštićenom datotekom, vreme i datum kao i trenutno i originalno ime datoteke i sve to je povezanom sa odgovarajućim korisnikom. Ukoliko korisnik 3

137 pokuša da izvede akciju za koju nema dozvolu ili da neovlašćeno pristupi datoteci administrator će dobiti e- mail obaveštenje o tome a korisnik će na ekranu dobiti upozorenje. Seclore FileSecure podržava rad sa brojnim tipovima datoteka kao što su MS Office (.doc,.docx,.xls,.ppt,.pptx), Adobe, AutoCad, tekstualni i formati slika. Osim toga, ovaj sistem ima mogućnost integracije sa sistemima za upravljanje dokumentima kao što su FileNet, SharePoint, Newgen i Documentum, sistemima za prevenciju gubitaka podataka kao što su Symantec, McAfee, Websence, GTB technologies i MyDLP i sistemima za poslovnu komunikaciju kao što su SAP, Lotus Notes i Outlook. [3] Fleksibilnost kod dodele pristupnih prava, kompatibilnost sa velikim brojem tipova podataka i mogućnost integracije sa poslovnim softverskim rešenjima su osobine koje ovaj sistem čine vrlo dobrim rešenjem za zaštitu elektronskih dokumenata. 3.2 ZAŠTITA BAZA PODATAKA Poverljive informacije se, osim u vidu elektronskih dokumenata, mogu čuvati i u bazama podataka. Baze podataka na sajtovima su česta meta napada. Napadi na veb aplikacije smatraju se jednim od najvećih problema organizacija poput institucija zdravstvene zaštite, finansijskih institucija i banaka kao i kompanija koje u svom poslovanju koriste veb aplikacije. Napadači koriste Cross-site scripting (XSS) i SQL injection napade kako bi došli do poverljivih informacija o korisnicima koji se čuvaju u bazama podataka veb aplikacija. Cross-site scripting (XSS) predstavlja jedan od najvećih bezbednosnih problema kad je reč o veb aplikacijama a samim tim je i jedan od najčešćih tipova napada jer eksploatiše ranjivosti u veb aplikacijama, serverima i plug in-ovima. Ovaj tip napada pripada klasi napada koji koriste tehniku insertovanja koda. XSS napadi se izvode tako što napadač insertuje maliciozni skript u legitimni sajt. Ovaj skript će se automatski izvršiti kada korisnik u svom veb pregledaču otvori zaraženu stranu. Pri svom izvršenju maliciozni skript može da pristupi svim osetljivim informacijama koje se razmenjiju između veb pregledača i zaraženog sajta (cookies, season tokens). Ova vrsta napada se koristi rad zaobilaženja kontrole pristupa i/ili kako bi se došlo do osetljivih informacija o korisnicima. [4] SQL injection, takođe, pripada klasi napada koji koriste tehniku insertovanja koda. Naime, napadač menja ključne reči ili operatore u već postojaćem SQL upitu kako bi došao do informacija koje se nalaze u bazi podataka. SQL ranjivosti opisane su kao jedna od najozbiljnijih pretnji po veb aplikacije i servere. Veb aplikacije i serveri koji su ranjivi na ovu vrstu napada otvaraju mogućnost napadaču da pristupi celokupnim bazama podataka koje se na njima nalaze. Ove baze podataka uglavnom sadrže osetljive informacije o klijentima i korisnicima pa posledice SQL injection napada mogu da budu krađa identiteta, gubitak poverljivih informacija ili finansijske prevare. [5] Kako bi se zaštitile baze podataka na veb serverima i veb aplikacijama potrebno je, osim firewall-a i IPS sistema, postaviti i Web Application Firewall - WAF. Firewall vrši nadzor i analizu saobraćaja na osnovu definisanih pravila, a IPS sistem odbija maliciozne pakete ali nijedan od ovih sistema nema mogućnost razumevanja logike veb protokola. Upravo iz tog razloga često napadači uspevaju da zaobiđu ove barijere i uspeju da dođu do podataka iz baza na veb serverima. WAF je dizajniran upravo da štiti veb aplikacije i servere od napada tako što analizira pakete na aplikativnom sloju odnosno vrši dubinsku analizu sadržaja odlaznih i dolaznih paketa. 4

138 WAF treba da bude ima mogućnost detekcije SQL injection i XSS napada ali i novih i nepoznatih napada odnosno Zero day attacks. Napade nultog dana WAF detektuje uočavanjem neočekivanih ili neobičnih dešavanja nakon čega treba da bude u mogućnosti da blokira napad i pošalje upozorenje administratoru. Sistem pogodan za zaštitu baza podataka na veb serverima je Towers Net Defender TND. TND je sistem za detekciju i prevenciju upada sa integrisanim WAF-om. U ovom sistemu su objedinjene funkcionalnost IPS-a odnosno nadgledanje saobraćaja i blokiranje malicioznih paketa sa funkcionalnostima WAF-a odnosno analiza paketa na aplikativnom nivou. Shodno tome, TND štiti sistem od DoS i DDoS napada, SQL injection, XSS, Brute-force napada, SYN floods, Zero day napada i rootkits-a. Osim zaštite, TND ima i funkciju automatizovanog i prilagođenog izveštavanja o aktivnostima na mreži. Ovaj sistem pruža efikasnu zaštitu bazama podataka na veb serverima a ne usporava saobraćaj jer zahteva vrlo malo resursa (memorija, procesorsko vreme ). [6] 4. ZAKLJUČAK Curenje podataka je jedan od najvećih problema današnjice. Kompanijama i institucijama koje rukuju osetljivim informacijama je u interesu da te informacije čuvaju na promišljen način jer posedice otkrivanja takvih informacija mogu da budu nesagledive. Krađa identiteta, finansijske prevare i krađa intelektualne svojine su samo neke od potencijalnih posledica curenja podataka. Osim ovih direktnih postoje i indirektne posledice kao što su kazne predviđene zakonom zbog nepropisnog čuvanja poverljivih podataka, gubitak intelektualnog vlasništva, narušavanje reputacije i slično. Sa aspekta kiber bezbednosti, najveće pretnje po osetljive podatke su loše baratanje poslovnom dokumentacijom, krađa/gubitak hardverskih prenosnih medijuma i kiber napadi kao što su SQL injection i Cross-site scripting. Ovi napadi ali i slučajne greške zaposlenih mogu se u znatnoj meri sprečiti primenom odgovarajućih sistema zaštite. Za kvalitetnu prevenciju curenja podataka neophodno je shvatiti sve faktore rizika i pravovremeno primeniti odgovarajući nivo zaštite u skladu sa svim aspektima poslovanja. REFERENCE [1] [C. Eckstein, R. Carbone, Preventing data leakage: A risk based approach for controlled use of the use of administrative and access privileges, SANS Institute, 2015 [2] P. Gordon, D. Adrizanto Hindarto, Data Leakage Threats and Mitigation, SANS Institute, [3] Seclore FileSecure brošura, [4] A.Vernotte, F. Dadeau, F. Lebeau, B. Legeard, F. Peureux, F. Piat, Efficient Detection of Multi-step Cross-Site Scripting Vulnerabilities, 10 th International Conference on Information Security Systems (ICISS 2014), Indija, decembar [5] W.Halfond, J.Viegas, A.Orso, A Classification of SQL Injection Attacks and Countermeasures, IEEE International Symposium on Secure Software Engineering (ISSSE 2006), [6] [6] Towers Net Defender brošura, 5

139 Sadržaj Neke mogućnosti prikrivenog islednika kao posebne dokazne radnje u primeni kod elektronskih dokaza 1 doc. dr Zvonimir Ivanović Kriminalističko-policijska akademija Apstrakt: U poslednje vreme u našem širem okruženju odvijaju se polemike u pogledu primene najrazličitijih novina u okviru posebnih dokaznih radnji, kako ih naš aktuelni Zakonik o krivičnom postupku određuje, a ranije poznatih kao specijalnih istražnih mera. U našem radu pokušavamo da damo prikaz aktuelnog stanja u srpskom zakonodavstvu u pogledu primene mere prikrivenog islednika, neke njene kriminalističke karakteristike, uz upoređivanje razvoja u nekim drugim zakonodavstvima i primeni u praksi specifičnih oblika ove mere u digitalnom okruženju. Nedostatke koje primećujemo podcrtavamo i pokušavamo da damo predloge za budućnost u cilju primene u praksi prikrivenog islednika kao posebne dokazne radnje u digitalnom okruženju i za krivična dela koja spadaju u tzv. visokotehnološki kriminal. U tom smislu ukazujemo na prakse drugih značajnih zemalja u primeni specijalnih istražnih mera među kojima analiziramo Španiju, Nemačku i Italiju. Uvođenjem argumenata jurisprudencije i dobre prakse zemalja koje smo analizirali unapređujemo uz analizu i sintezu sa praksom case law Evropskog suda za ljudska prava čime dajemo potupnu i zdravu osnovu za buduće zakonodavne i praktične okvire posebne dokazne radnje prikrivenog islednika u Republici Srbiji. Ključne reči: prikriveni islednik, posebne dokazne radnje, digitalno okruženje, digitalni dokazi Uvod Mnoge radnje predviđene Zakonikom o krivičnom postupku ("Sl. glasnik RS", br. 72/2011, 101/2011, 121/2012, 32/2013, 45/2013 i 55/2014) - ZKP om mogu se grupisati u tri osnovne vrste. Te tri vrste su potražne, dokazne i posebne dokazne radnje. Preduzimanjem ovakvih radnji okvir za delovanje organa postupka u predistražnom i istražnom postupku u rasvetljavanju krivičnih dela i otkrivanju njihovih izvršilaca je potpun. Prilikom odlučivanja o preduzimanju radnji značajnu ulogu ima po prirodi stvari nadležni Javni Tužilac, on je rukovodilac i predistražnog postupka i istrage, pa prema tome je ovde njegova uloga presudna. Ono što je problem u ovakvim slučajevima jeste da organ postupka koji se upravo nalazi na terenu treba da ima mogućnost samostalnog odlučivanja i procene u situacijama koje su po svojoj prirodi veoma hitne i iziskuju veoma brzu odluku. U pogledu posebnih dokaznih radnji ovo je od izuzetnog značaja. Kao što će se videti u primeni ove mere postoji niz pitanja od čijih odgovora zavise posledice po rezultate rada svih organa nadležnih za postupanje u datoj stvari. Prikriveni islednik Kao posebne dokazne radnje organa gonjenja za otkrivanje i dokazivanje krivičnih dela iz člana 162 ZKP, uz kontrolisanu isporuku ( ) i računarsko pretraživanje podataka (čl ZKP), nacionalno zakonodastvo predviđa i simulovane poslove ( ZKP), a kao posebne mere organa gonjenja za otkrivanje i dokazivanje krivičnih dela iz čl. 162 ZKP prikrivenog islednika ( ZKP) i okrivljenog saradnika ( ZKP), odnosno osuđenog saradnika ( ). Uz to, zakonodavac je naglasio: Prilikom odlučivanja o određivanju i trajanju posebnih dokaznih radnji organ postupka će posebno ceniti da li bi se isti rezultat mogao postići na način kojim se manje ograničavaju prava građana (čl.161 st.3.).; da organ koji je realizovao meru dostavlja javnom tužiocu celokupnu dokumentaciju o preduzetoj meri, video, zvučne ili elektronske zapise i sve druge dokaze koji su prikupljeni primenom mere; Posebnu dokaznu radnju angažovanja prikrivenog islednika (PI), na obrazloženi zahtev javnog tužioca, sud može odobriti kada su ispunjeni uslovi iz čl.161, st.1. i 2. ZKP a u odnosu na krivična dela iz čl.162. ZKP ako se korišćenjem drugih posebnih dokaznih radnji ne mogu prikupiti dokazi za krivično gonjenje ili bi njihovo prikupljanje bilo znatno otežano. Prikrivenog islednika, na osnovu naredbe suda, pod pseudonimom ili šifrom 1 Rad je rezultat aktivnosti na projektu KPA, pod nazivom: Kriminalitet u Srbiji i instrumenti državne reakcije kojim rukovodi prof. dr Dragana Kolarić

140 određuje ministar nadležan za unutrašnje poslove, direktor Bezbednosno informativne agencije ili direktor Vojnobezbednosne agencije, odnosno lice koje oni ovlaste. Posebnu dokaznu radnju određuje sudija za prethodni postupak obrazloženom naredbom. Naredba sadrži podatke o licima i grupi prema kojima se primenjuje, opis mogućih krivičnih dela, način, obim, mesto i trajanje posebne dokazne radnje. Naredbom može biti određeno da PI može upotrebiti tehnička sredstva za fotografisanje ili tonsko, optičko ili elektronsko snimanje 2. Angažovanje prikrivenog islednika traje koliko je potrebno da se prikupe dokazi, a najduže godinu dana. Na obrazložen predlog javnog tužioca sudija za prethodni postupak može produžiti trajanje posebne dokazne radnje za najduže šest meseci. Angažovanje prikrivenog islednika se prekida čim prestanu razlozi za njegovu primenu PI je, po pravilu, ovlašćeno službeno lice policije, Bezbednosno informativne agencije ili Vojnobezbednosne agencije, a ako to zahtevaju posebne okolnosti slučaja, i drugo lice koje može biti i strani državljanin (čl. 185, st. 2. ZKP). Radi zaštite identiteta prikrivenog islednika, nadležni organi mogu izmeniti podatke u bazama podataka i izdati lične isprave sa izmenjenim podacima. Ovi podaci predstavljaju tajne podatke. Zabranjeno je i kažnjivo da PI podstrekava na izvršenje krivičnog dela. PI u toku angažovanja podnosi periodične izveštaje svom neposrednom starešini. U tom cilju neophodno je predvideti i načine ostvarivanja kontakta i predaje tih izveštaja kao i prijem instrukcija od starešine u ovom smislu i obezbediti protok informacija od i ka tužilaštvu koje rukovodi ovom istragom. U cilju zaštite prikrivenog islednika veoma je značajno predvideti i načine povlačenja prikrivenog islednika (nakon izvršene PDR) ili njegovo izvlačenje u hitnim situacijama i angažovanje dodatnih kapaciteta povodom tih situacija. Po završetku angažovanja prikrivenog islednika starešina dostavlja sudiji za prethodni postupak fotografije, optičke, tonske ili elektronske snimke, prikupljenu dokumentaciju i sve pribavljene dokaze i izveštaj koji sadrži: vreme početka i završetka angažovanja prikrivenog islednika; šifru ili pseudonim prikrivenog islednika; opis primenjenih postupaka i tehničkih sredstava; podatke o licima obuhvaćenim posebnom dokaznom radnjom i opis postignutih rezultata. Sudija za prethodni postupak će materijal i izveštaj dostaviti javnom tužiocu (čl.186 ZKP) PI se pod šifrom ili pseudonimom može izuzetno ispitati u krivičnom postupku kao svedok. U ovakvim aktivnostima islednik može pojasniti okolnosti primene i uslove pod kojima su korišćeni pojedini metodi, tehnike i sredstva u cilju približavanja rezultata PDR. Ispitivanje će se obaviti tako da se strankama i braniocu ne otkrije istovetnost prikrivenog islednika. Smisao prikazanog načina ispitivanja vezuje se za zaštitu ličnosti prikrivenog islednika, a sve je organizovano na način na koji se omogućava da činjenice prikupljene u primeni PDR budu saopštene verodostojno i od strane lica koje je učestvovalo u radnjama koje su dokumentovane, i na taj način sazna istina iz ugla prikrivenog islednika. U ovakvom ispitivanju je takođe dozvoljeno unakrsno ispitivanje suprotne strane, te je omogućeno i da se ostvari primena specifičnih pitanja u cilju pokušaja diskreditacije ove kategorije svedoka. PI se poziva preko starešine (član 186. stav 1 ZKP.) koji neposredno pre ispitivanja svojom izjavom pred sudom potvrđuje istovetnost prikrivenog islednika. Podaci o istovetnosti prikrivenog islednika koji se ispituje kao svedok predstavljaju tajne podatke. Sudska odluka se ne može zasnivati isključivo ili u odlučujućoj meri na iskazu prikrivenog islednika. Cilj i smisao ovih odredaba jeste da se više različitih metoda, tehnika i sredstava iskoriste u pravcu utvrđivanja istine a kroz primenu ove PDR moguće je pribaviti više različitih dokaza, zbog njenje kompleksnosti. Tako je moguće u primeni prikrivenog islednika pribaviti audio vizuelne snimke kontakata i događaja u kojima su određena lica učestvovala, različite oblike njihove korespondencije i komunikacije putem elektronskih sredstava ili u njihovoj blizini, različite oblike dokumentacije i sl. Sve ovo predstavlja dopunu osnovnog sredstva dokazivanja i predstavlja sponu sa nekim drugim dokazima i činjenicama kojima se može komplementarno upotpuniti primena samo PDR prikrivenog islednika. 2 Dakle ova radnja je po svojoj prirodi kompleksna radnja i može obuhvatiti i druge PDR. A prema nekim teoretičarima kao npr. Sinđelić, Ž, Tajni nadzor komunikacija i tajno praćenje i snimanje analiza stanja, međunarodni standardi i mere za unapređenje, str Savremeni obici suprotstavljanja kriminalitetu, analiza stanja, međunarodni standardi i mere za unapređenje, Zbornik radova Naučno stručnog skupa sa međunarodnim učešćem, Tara, Maj 2015.god. KPA, Fondacija Hans Zajdel, pojedine radnje ili njihovi oblici u ranijoj praksi sprovođeni ne mogu se prema tumačenju ZKP sprovoditi i sada već je preostalo jedino da ih može primeniti PI radnja snimanja živih razgovora. U svrhu ostvarivanja ovih ciljeva PI može koristiti različita tehnička sredstva za snimanje od kojih je za nas u ovom radu značajno elektronsko snimanje. Ono može obuhvatiti niz različitih metoda i sredstava u cilju snimanja koja obuhvataju pored audio i vizuelnog sadržaja (tonskog ili optičkog). 2

141 Angažovanje prikrivenog islednika u mnogome ima isti normativni okvir i osnova kao i druge posebne dokazne radnje. Specifičnosti PDR PI sa aspekta kriminalsitike Stručni profil prikrivenog islednika nije apsolutno određen, mada nije sporno da se mora raditi o licu koje je dobro osposobljeno za složene i opasne zadatke koji ga očekuju, kao i da takvo lice (radi obezbeđenja da njegov iskaz, ako bude saslušan kao svedok, može u krivičnom postupku postići neophodan stepen dokaznog kredibiliteta), ne sme biti lice iz kriminalne sredine. Ali, naravno, takav pedigre mora se u okvirima legendiranja ipak stvoriti, i prilikom takvog kreiranja legende ovo se mora učiniti veoma realnim i verovatnim. Kriminalistički posmatrano, sa praktičnog aspekta izbora, angažovanja i delovanja prikrivrnog islednika, potrebno je rešiti sledeća bitna pitanja: izbor odgovarajućih lica za prikrivenog islednika, njihova spoljnja fizička svojstva, izgled, karakteristike, stručnost, inteligencija, snalažljivost, psihička stabilnost, sposobnost za prilagođavanje načinu života u kriminalnoj sredini, odnosno u novim i neočekivanim okolnostima i situacijama kao i druga bitna svojstva vezana za takva lica, ali i za određenu kriminalnu sredinu; obuku prikrivenog islednika i njegovu pripremu za rad, snabdevanje odgovarajućom dokumentacijom, opremom, tehnikom, legendiranje i dr.; načine održavanja veze, davanja uputstava i dopunskih informacija i koordinaciju sa prikrivenim islednikom; načine ubacivanja u kriminalnu sredinu; prognozu mogućih situacija u kojima se može zateći PI (hipotetički okviri) i načine postupanja u slučaju potrebe; načine izvlačenja iz kriminalne sredine i mere uključivanja u realan život, kako u slučajevima zaključivanja aktivnosti PDR, tako i u slučajevima hitnosti u cilju zaštite života islednika, njegovog pokrivanja u slučajevima kada postoji nužnost izvlačenja; mere zaštite prikrivenog islednika. PI za vreme angažovanja može naići na dve velike opasnosti, ako ne bude maksimalno koncentrisan, inteligentan, vispren, promućuran i što je vrlo često i najvažnije, snalažljiv, da se iz svake takve takve situcije, odnosno opasnosti, elegantno izvuče, a da ne bude otkriven. Te dve opasnosti su: da ne bude otkriven i da ne izvrši krivično delo. Obe opasnosti on mora držati pod kontrolom i uspešno ih eskivirati. Zato unapred mora imati pripremljenu i razrađenu legendu za svaku moguću varijantu ovih opasnosti, kao i operativno sposobnog starešinu i jedinicu koja u takvim slučajevima mora promptno reagovati u cilju izvlačenja. PI ima određena ovlašćenja koja će primenjivati, vodeći pre svega računa da pri tome ne bude otkriven. Zato izbor pripadnika bezbednosnih službi za izvršavanje ovakvih zadataka mora biti prilagođen u potunosti uslovima i okolnostima koje će mu biti na raspolaganju za vreme angažovanja. Mora se voditi računa o potrebnim stručnim, profesionalnim, psihičkim i fizičkim kvalitetima takvih pripadnika. Oni moraju biti dobro obučeni da ovlašćenja u primeni ove mere koriste na način i onako kako je to pozitivnim propisima dozvoljeno. Jedno od tih ovlašćenja odnosi se i na primenu savremenih tehničkih sredstava za snimanje i fotodokumentovanje određenih kriminalnih ponašanja, a što može predstavljati kvalitetan dokaz u krivičnom postupku. PI za vreme angažovanja može da prikuplja dve vrste podataka. To su, pre svega, oni koji mogu imati neposrednu dokaznu vrednost i koji su svakako i značajniji. Misli se na pribavljanje raznih važnih dokumenata, računa, potvrda, izjava, računarskih podataka, fotografija, crteža, otpremnica, koje on obezbeđuje fotokopiranjem ili na drugi način. Takođe, to su i tajno obezbeđeni foto i video snimci lica, objekata, prostora, vozila, kao i snimci razgovora unutar jedne kriminalne grupe ili razgovora pojedinih njenih pripadnika sa drugim licima, koji joj ne pripadaju. Ovde se mogu ubrajati i različiti elektronski podaci audio, video zapisi, dokumenta, podaci o komunikaciji i različitim vezama sa određenim licima Druga vrsta podataka jesu razna 3

142 saznanja, informacije, činjenice i slično, koji svoj značaj dobijaju ako ih PI iznese na sudu u svojstvu svedoka, a nije ih mogao dokumentovati savremenim tehničkim i dugim sredstvima. Ova PDR je višefunkcionalna po smislu dokaznih rezultata u obliku rezultata dokazne radnje ispitivanja svedoka, pribavljenih snimaka praćenih i snimanih lica tajnog praćenja i snimanja, snimanja komunikacija telefonskim i dugim tehničkim sredstvima odnosno ostvarnih komunikacija sa elektrosnkih ili drugih adresa određenih lica tajnog nadzora komunikacije, pribavljanja različitih isprava i dokumenata kao i računarskih podataka kroz daokzivanje ispravom i privremeno oduzimanje predmeta.posebno treba napomenuti da sve aktivnosti u cilju ovakvog dokazivanja moraju bii odrešene u naredbi o sprovođenju ove mere. Po pravilu najveći problem prilikom angažovanja prikrivenog islednika, jeste to kako ga infiltrirati u jednu dobro organizovanu kriminalnu grupu, a da se ne izazove sumnja njenih pripadnika. Pri preduzimanju ovih mera i radnji, ima nekoliko spornih pitanja koje se moraju jasno razgraničiti. U prvom redu misli se na način prikupljanja podataka snimanjem razgovora uz korišćenje određenih tehničkih sredstava ili vršenjem elektronskog snimanja. Važno je istaći da PI može vršiti snimanje telefonskih i drugih razgovora ukoliko je to navedeno u naredbi za angažovanje. Druga velika opasnost na koju PI realno može da naiđe, je da izvrši neko krivično delo. Ova opasnost je sasvim realna, vrlo često i izvesna, jer on ulazi u kriminalnu grupu koja se organizovano bavi vršenjem krivičnih dela. Ako ne izvrši ili odbije da izvrši krivično delo, PI samo zbog toga odaje sumnju ostalim pripadnicima grupe, pre svega njenim vođama. S druge strane, on ne sme da izvrši krivično delo jer se time izlaže krivičnoj odgovornosti. Domaće zakonodavstvo izričito zabranjuje prikrivenom isledniku i da podstrekava na izvršenje krivičnih dela (čl.185.st.4. ZKP). To znači, da PI ne može biti agent provokator i ne sme ni na koji način podsticati na izvršenje krivičnih dela, odnosno ne sme preduzimati ni radnje podsticanja na vršenje krivičnih dela. Ovaj aspect PDR je jedan od najsloženijih, obzirom da se ovakva informacija veoma lako koristi od strane kriminalne sredine u koju je neophodno ubaciti PI a radi njegovog razotkrivanja. Ovakve mere su od strane kriminalnih grupa veoma česte kao uslov provere novih članova, koji se dokazuju vršenjem krivičnih dela kao osnovnim uslovom za ulazak i napredovanje u hijerarhiji grupe. U tom cilju neophodno je ovo pokriti operativno na različite načine. Prikriveni islednici (istražitelji) se u literaturi definišu kao policijski službenici, kojima je dodeljen promenjen identitet (legenda) u određenom vremenskom periodu, da bi, delujući tajno, u kontaktu sa određenim kriminalnim krugovima, prikupljali informacije koje će moći da se koriste za otkrivanje, razjašnjavanje i sprečavanje krivičnih dela i to pre svega onih koja se odnose na organizovani kriminalitet 3. U predistražnom postupku je uloga prikrivenog islednika orijentisana na prikupljanje dokaza u vezi delatnosti organizovanog kriminaliteta. U stvari, PI tada prikuplja određene podatke do kojih svojim prikrivenim, odnosno tajnim aktivnostima (u smislu snimanja, dokumentovanja i učestvovanja), a suštinski uobičajenim angažovanjem u kriminalnoj grupi, može da dođe. Njegova je delatnost obaveštajnog karaktera, po samoj svojoj prirodi tajna, te usmerena kako na otkrivanje krivičnih dela, tako i na prikupljanje podataka na osnovu kojih se već otkrivena krivična dela mogu razjasniti i dokazati, ali se njegovim aktivnostima mogu i sprečiti krivična dela, koja bi inače bila izvršena od strane pripadnika kriminalne organizacije. U tom smislu njegova aktivnost je najranjivija, pa je ovo veoma teško sprovesti u praktičnom postupanju. Preporuka za primenu ovakvih mera PI je da to sme činiti na način i u okolnostima koje omogućavaju njegovu adekvatnu zaštitu a ne da po svaku cenu sprečava i osujećuje vršenje krivičnih dela. Slični subjekti postoje i u drugim krivičnoprocesnim zakonodavstvima. Može se reći da angažovanje prikrivenog islednika, više nego bilo koja druga kriminalistička mera i radnja, odnosno posebna dokazna radnja, podrazumeva temeljne i opsežne pripreme i precizno planiranje, a u slučajevima angažovanja u dužem vremenskom periodu i trošenje značajnih materijalnih sredstava. 3 Škulić, M. PI - zakonsko rešenje i neka sporna pitanja, Bezbednost, br. 3, Beograd, 2005, str

143 Definisanje predmeta istraživanja koji ukazuje na nužnost angažovanja prikrivenog islednika, pretpostavlja prethodno operativno - obaveštajno angažovanje povodom kriminalnog ponašanja pojedinaca ili grupa čija se aktivnost nastoji istraživati. Saglasno rečenom, u momentu predlaganja angažovanja i donošenja odluke o tome, mora se raspolagati određenom količinom podataka o kriminalnim aktivnostima koje su predmet istraživanja, i o njihovim akterima (vrsti i obimu kriminalnog delovanja, broju i identifikacionim i drugim karakteristikama osumnjičenih). Obzirom na složenost zadatka, delikatnost situacije u koju se upušta i rizik kom se svesno izlaže, izboru i pripremi prikrivenog islednika treba posvetiti posebnu pažnju. Jedna od ključnih pretpostavki uspešnog angažovanja i bezbednog i efikasnog delovanja u kriminalnom miljeu je odabir i priprema pojedinca kog odlikuju inteligencija, solidan mentalni kapacitet, pamćenje likova, imena, događaja i drugih detalja, sposobnost da brzo misli, pravilno procenjuje i rasuđuje (naročito u stresnim situacijama), hrabrost, samouverenost, energičnost, inicijativnost, odgovornost, savesnost, smirenost, izdržljivost, komunikativnost, prilagodljivost, pronicljivost i sposobnost prepoznavanja i kontrole emocija, sposobnost vladanja situacijom bez nepotrebnog izazivanja tenzija i sl. Nakon sagledavanjem situacije u kojoj se planira angažovanje prikrivenog islednika i oda-bira pojedinac koji može da se uklopi se u planirani scenario, da u potpunosti uđe u ulogu koja mu je određena i da je uspešno odigra, 4 službeno lice koje rukovodi angažovanjem (njegov kontakt oficir iz nadležne službe), PI i službena lica koja će mu pružati podršku tokom angažovanja, pristupaju definisanju detalja značajnih za uspešno prodiranje u kriminalnu sredinu i izvršenje postavljenog zadatka. Tokom ove faze angažovanja razmatraju se najnoviji kriminalističko-obaveštajni podaci, do najsitnijih detalja definiše, legendira i podržava lažni identitet prikrivenog islednika, planiraju i pripremaju metode uspostavljanja kontakta sa licem koje je predmet istraživanja. 5 Tajno i legendirano delovanje prikrivenog islednika, čije su granice definisane odlukom o primeni mere, neretko podrazumeva i preduzimanje odgovarajućih poslova i usluga koje su, generalno gledano, to jest mimo primene ovog procesnog instituta i izvan njegovih okvira, nezakonite. U uslovima simuliranja, jedino stvarno u njima vezuje se za radnje i umišljaj osumnjičenog. Kao delatnosti i radnje koje mogu dobiti atribut simulovanosti (fingiranja), i na osnovu toga se realizovati kao specifična isledna tehnika i dokazni metod, izdvajaju se simulovana kupovina predmeta i lica, simulovano davanje i primanje mita. Među uslugama koje se najčešće simuliraju izdvajaju se usluge prevoza, prebacivanja, čuva-nja, skladištenja i distribucije opojnih droga, oružja ili radioaktivnih i drugih supstanci, predmeta i materijala čiji su proizvodnja i promet strogo kontrolisani, ili, pak, robe široke potrošnje, koja se, u cilju izbegavanja plaćanja carine ili poreza, krijumčari. Neke od navedenih simulovanih usluga mogu se odnositi i na lica uvučena u lanac trgovine ljudima, odnosno krijumčarenje ljudi. Simulovane usluge se mogu odnositi i na odgovarajuće novčane transakcije i usluge kojima se nastoji prikriti poreklo prljavog novca, ili omogućiti ostvarenje drugog samostalnog krivičnog dela u oblasti finansija ili privrednog poslovanja (zloupotreba položaja), na ulaganja prljavog novca u privredne projekte ili nepokretnosti. 6 Kada se pažljivo odabere ovlašćeno lice koje će biti angažovano, pristupa se definisanju detalja značajnih za uspešno prodiranje u kriminalnu sredinu i izvršenje zadatka. Potrebno je razmotriti najsitnije podatke koji će podržati lažni identitet prikrivenog islednika. Najsitniji detalji moraju se uklopiti. 4 Od značaja mogu biti pol, godine starosti, rasna, nacionalna i etička pripadnost, iskustvo, znanje jezika i poznavanje slenga sredine, fizički izgled, vladanje određenim veštinama i sl. 5 Tajni identitet treba da bude, koliko god je to moguće, prilagođen stvarnim osobinama pri-krivenog islednika, njegovom poreklu i psihofizičkim karakteristikama. Ovo je od značaja, kako u postupanju koje kraće traje, tako i u slučajevima duboke infiltracije i angažovanja u dužem vremenskom periodu. Šire: D. Marinković, Kriminalistički aspekti angažovanja prikrivenog islednika Bezbednost, Beograd 2009, vol. 51, br. 1-2, str U tom cilju mogu se formirati i posebni, kamuflirani trgovinski subjekti, ili pravna li-ca (prodavnice, radnje i sl.), rukovođeni od strane policije i pod kontrolom tužioca ili suda, koji će takve usluge realizovati za potrebe kriminalne klijentele. To znači da simu-lovane poslovne usluge, jednako kao i pravne poslove, mogu obavljati kako fizička, tako i pravna lica, odnosno subjekti. D. Marinković, op. cit., str

144 Mogućnosti primene prikrivenog islednika u elektronskom okruženju U uporedno pravnoj praksi angažovanje prikrivenih islednika moguće je i u vidu prikrivenog elektronskog identiteta određenih lica u cilju mamljenja, otkrivanja i hvatanja učinilaca krivičnih dela protiv polnih sloboda iz čl.185, 185a i 185b. Naše zakonodavstvo ostalo je nemo u ovom pogledu, šta više ZKP u čl.161, st.2. ukazuje da se PI primenjuje samo u odnosu na dela iz st.1, koja spadaju u nadležnost posebnih tužilaštava (organizovani kriminal i ratne zločine). Mislimo da je ovde veoma neophodno da se na ovu PDR treba odnositi i st.3 tj da se pod uslovima iz člana 161. ovog zakonika posebna dokazna radnja iz člana 166. (u našoj logici i čl.183, ali i druge PDR) ovog zakonika može se odrediti i za sledeća krivična dela: neovlašćeno iskorišćavanje autorskog dela ili predmeta srodnog prava (član 199. Krivičnog zakonika), oštećenje računarskih podataka i programa (član 298. stav 3. Krivičnog zakonika), računarska sabotaža (član 299. Krivičnog zakonika), računarska prevara (član 301. stav 3. Krivičnog zakonika) i neovlašćeni pristup zaštićenom računaru, računarskoj mreži i elektronskoj obradi podataka (član 302. Krivičnog zakonika). Uvođenjem prostora za primenu ove mere dobili bismo mnogo obuhvatniji front primene PDR PI kao i mogućnost šireg zahvata u kriminalnoj sredini kroz primenu mera i na krivičnim delima koja realno mogu biti samo lateralna dela organizovanih kriminalnih grupa kod kojih pažnja izvršilaca može biti značajno umanjena u odnosu na glavna. Uslovi izvesnosti primene ove mere i njene neophodnosti u demokratskom društvu zahtevani u praksi ECHR time su ispunjeni. Poređenja radi treba pogledati Španski zakonik o krivičnom postupku (ŠZKP) čl.282 i 282 bis (u vezi prikrivenog islednika šp. agente encubierto a konkretno 282 bis tač.6. u vezi računarski prikrivenog islednika), a u vezi čl.189. Krivičnog zakonika (u vezi sa iskorišćavanjem dece u pornografske svrhe). Pored dosta sličnosti sa našim institutom postoje i značajne razlike, prva se, za ovaj rad značajna, odnosi na pravnu tehniku unošenja mogućih aktivnosti koje prevazilaze primenu ove mere i iziskuju dublje zadiranje u ljudska prava i slobode. Pravno tehničko rešenje o kojem je reč predviđeno u čl.282 bis tač.3 po kojem PI može, kada njegovo postupanje može predstavljati takvo zadiranje u oblasti ljudskih prava i sloboda, zahtevati odobrenje ili naredbu nadležnog suda predviđene ustavom i zakonom kako bi primenio dodatne mere određene u takvoj naredbi. Druga dimenzija tiče se formulacije ovlašćenja sudije (za prethodni postupak) u istom članu, tač.6. koji može ovlastiti pripadnika policije da postupa pod izmenjenim identitetom i ostvaruje komunikaciju u okvirima zatvorenih ili zaštićenih oblika komunikacije a u svrhu rasvetljavanja krivičnih dela predviđenih st.4. 7 kao i drugim delima predviđenim čl.588 ŠZKP. Računarski PI kako se određuje ovim odredbama ovlašćeno službeno lice (OSL) ovlašćeno je, putem posebne naredbe, da razmenjuje ili šalje nedozvoljene datoteke, zbog sadržaja istih, i da analizira rezultate algoritama primenjene u cilju identifikacije takvih nedozvoljenih datoteka. Pravna tehnika primenjena u španskom slučaju mnogo je elegantnija za primenu i nadopunjuje nedostatke koji se mogu u praksi dešavati. Naime, sve što se odnosi na prikrivenog islednika je u osnovi isto vezano za naše zakonodavstvo. Ono što ovakvoj koncepciji daje prednost u odnosu na srpsku jeste širi krug krivičnih dela na 7 4. U svrhe predviđene st.1. ovog člana udruženje od tri ili više lica u cilju umišljanog vršenja trajno ili povremeno aktivnosti i radnji usmerenih na vršenje jednog ili više sledećih krivičnih dela, smatraće se krivičnim delima organizovanog kriminala: a. Krivičnog dela zabranjene trgovine ljudskim organima i transplantacije predviđenih čl.156a KZ Španije b. krivičnog dela otmice čl KZ Španije c. trgovine ljudima čl.177a KZ Španije d. dela prostitucije (u koje spada i iskorišćavanje dece u pornografske svrhe) e. dela protiv imovine i društveno-ekonomskog uređenja čl. 237, 243, 244, 248 i 301 KZ f. dela vezana za intelektualnu svojinu čl g. dela protiv prava zaposlenih čl. 312 i 313. h. dela usmerena protiv prava stranih državljana iz čl.318. i. dela nedozvoljene trgovine ugroženih vrsta biljaka i životinja iz čl.332 i 334. KZ j. Nedozvoljene trgovine i transporta nuklearnih i radioaktvnih materijala iz čl.345 k. dela protiv javnog zdravlja iz čl KZ l. dela falsifikovanja novca iz čl.386 KZ i zloupotrebe platnih i kreditnih kartica ili čekova iz čl.399. KZ m. dela nedozvoljenog skladištenja i transporta, kao i trgovine oružjem municijom i eksplozivimaiz čl KZ n. dela terorizma iz čl KZ o. dela predviđena čl. 2.1.e Organskog zakona 12/1995 u vezi suzbijanja krijumčarenja 6

145 koja se odnosi primena PDR, propisivanjem u dve ili više odredaba u ŠZKP. Možda propisivanje u toliko odredaba istog zakona može predstavljati problem, ali u odnosu na naš sistem ipak predstavlja manji, obzirom da se postupanje propisuje sa najmanje četiri zakona: ZKP, Zakon o organizaciji i nadležnosti državnih organa u borbi protiv organizovanog kriminala ("Sl. glasnik RS", br. 42/2002, 27/2003, 39/2003, 67/2003, 29/2004, 58/ dr. zakon, 45/2005, 61/2005, 72/2009, 72/ dr. zakon, 101/ dr. zakon i 32/2013), Zakon o organizaciji i nadležnosti državnih organa u postupku za ratne zločine ("Sl. glasnik RS", br. 67/2003, 135/2004, 61/2005, 101/2007 i 104/2009), Zakon o organizaciji i nadležnosti državnih organa u borbi protiv visokotehnološkog kriminala ("Sl. glasnik RS", br. 61/2005 i 104/2009). Pored opisanih zakona najmanje još jedan mora biti konsultovan u cilju pravilne primene mera o kojima govorimo, to je zakon o elektronskim komunikacijama ("Sl. glasnik RS", br. 44/2010, 60/ odluka US i 62/2014). Pored opisane situacije vezane za španski ZKP veoma je značajno uporediti situaciju i sa nemačkim ZKP Stgp i rešenjima postojećim u zakonodavstvu i pravosudnoj -sudskoj praksi Nemačke. Naime u javnosti Nemačke već duže vreme aktuelni su uslovi predviđeni ZKP-om vezani za unošenje računarskih virusa i trojanaca u računare osumnjičenih lica. Prvi put u Nemačkoj institut primene posebne dokazne radnje u formi specijalne istražne radnje je bio uveden u Severnoj Vestfaliji 2006.god. paragrafom 5 b.11, u vidu prikrivene radnje. On je glasio: Prikriveno posmatra... Internet aktivnosti, a posebno prikriveno učestvuje u nadzoru komunikacijskih uređaja i u pretrazi istih, kao i prikriveni pristup informaciono tehnološkim sistemima kao i ostalim tehničkim sredstvima godine Ustavni sud Nemačke je rešavajući po inicijativi za ocenu ustavnosti i zakonitosti ustanovio principe po kojima postoji dužnost specifikacije mera, ciljeva, meta i okolnosti za postupanje organa gonjenja u ovim ili sličnim situacijama, praćena određenje sudije ili veća u ovom pogledu u naredbi za sprovođenje radnje 9. Upravo ovakav radio legis stoji u pogledu primene pojedinačnih aktivnosti svih mera i radnji koje uključuju primenu računara kao sredstva pretrage, analize i podrške u odlučivanju. Prikaz sudske prakse u Nemačkoj u pogledu primene der federalische trojaner ukazuje na logiku koja u budućnosti mora imati primenu i kod nas. Ovim je prema mišljenju teoretičara kreirano novo osnovno ljudsko pravo, koje spada u takozvanu četvrtu generaciju ljudskih prava, koju neki teoretičari nazivaju osnovnim ličnim pravom pravom na integritet i poverljivost podataka informaciono tehnoloških sistema 10. Bez obzira na rasprave oko uvođenja termina generacija ljudskih prava, smatramo da je veoma značajno ići u pravcu ostvarivanja ovakvih garancija u pogledu zaštite privatnosti pojedinaca, kao i njihovih komunikacija, ali i stvaranja dovoljno mogućnosti za primenu jedne mere koja ima veoma intruzivnu prirodu i može zahvatiti veoma značajne sfere lične i porodične prirode i okruženja koja štite sve Konvencije i Ustavi. Iz ovakvih razloga primena takve mere mora ispunjavati značajne uslove. U smislu uporedno pravne analize moguće je razmotriti i presude sudova u Italiji. Jedna presuda Vrhovnog suda Italije od , gde je inače primena određenih mera prikrivenog islednika moguća odnosi se na pravo da se ubacivanjem trojanca u telefonski uređaj nove generacije, tzv. smart pametni telefon može isti aktivirati u cilju snimanja bilo kakvog razgovora koji meta ove mere ostvaruje. Presudom je utvrđeno da se ovakvom merom ide previše daleko u intruzivnosti u prava i slobode građana, te da se primenom ovakve mere ne krši samo Zakonik o krivičnom postupku Italije, već i Ustav Italije konkretno čl. 15. kojim se proklamuje pravo na slobodu u komuniciranju pravo slobodu izražavanja i razmene mišljenja 11. Upravo suprotna situacija je u presudi Vrhovnog suda Italije velikog veća od 28. aprila 2016.god. dijametralno suprotno posmatra stvar vezanu za prava i slobode u ovom smislu gde primenu trojanca podržava u svakom prostoru gde se pametni telefon ili tablet ili računar osumnjičene osobe nalaze ali samo u odnosu na krivična dela organzovanog kriminala i terorizma. Ograničenja u vezi primene mere 8 12/20/2006 Constitutional Protection Act 9 27/2/2008 vr 370/07 BvR 595/07 10 Preuzeto sa predavanja Giovanni Battista Gallus u Klužu Napoki, Rumunija pod nazivom Trojans and criminal investigation: is it possibile to find a balance with fundamental rights, i Joanna Kulesza, Assistant Professor at University of Lodz, predavanje sa istog mesta pod nazivom 11 Isto u vezi predavanja Giovanni Battista Gallus 7

146 Mera se prema praksi Evropskog suda za Ljudska prava (ECHR) u slučajevima Weber i Saravia protiv Nemačke, Iordachi i drugi protiv Moldavije, Saratov protiv Rusije mora primenjivati u skladu sa smernicama predstavljenim i ustanovljenim u ovim odlukama. Smernice se odnose na: - prirodu krivičnih dela kojima se obezbeđuje osnovana sumnja za izdavanje naredbe za nadzor nad komunikacijama ili drugim oblikom PDR definisanje kategorija lica koja se merom mogu obuhvatiti ograničavanje mere u smislu dužine trajanja proceduru koja se ima pratiti u vedi osmatranje, korišćenje i snimanje podataka kod primene PDR uslove prilikom razmene podataka sa drugim službama u vezi ove mere, kao i dostavljanje tih podataka okolnosti i uslove pod kojima se rezultati primene mere moraju uništiti i obrisati Predlozi de lege ferenda Pravna regulativa u vezi primene prikrivenog islednika i u digitalnoj sferi mora odslikavati one postojeće i utvrđene pravne standarde predviđene u do sada postojećim pravnim rešenjima naše zemlje u pogledu primene PDR. Pored odslikavanja i poštovanja standarda u našoj zemlji neophodno je da se prate standardi drugih zemalja koje u ovom pravcu prednjače u odnosu na našu kao pomenuta Nemačka i Italija, ali i ECHR. U smislu podcrtavanja određenih domašaja veoma je bitno navesti da se prilikom propisivanja ovog oblika mere prikrivenog islednika u digitalnom okruženju moraju pravnom tehnikom ustanoviti veoma striktna ograničenja koja se odnose na: to da se mogu primeniti samo kada postoje činjenične indicije o postojanju konkretne opasnosti u specifičnom slučaju opasnosti po život, telo ili slobode lica, odnosno za ustavni poredak zemlje, ili postojanje ljudi. Tek u takvim slučajevima organi gonjenja mogu primeniti ove mere a koje se mogu primenjivati samo na osnovu odluke suda. U tako prikazanim slučajevima pretpostavka (koja mora biti ispunjena ukoliko su svi uslovi ispunjeni na osnovu analize predloga mere od strane sudije) je da će sud predstavljati branu zaštite ljudksih prava i osnovnih sloboda. Takođe ukoliko postoje konkretne indicije u slučaju da određena mera prikupljanja podataka može dotaći suštinsku oblast u pogledu zaštite privatnog života on to mora ostati. Ukoliko se primenom PDR slučajno prikupe podaci o kojima se govori, oni se moraju obrisati odmah i ne mogu biti korišćeni ili prosleđeni ni u kom slučaju. Osnovna pitanja tiču se: ustanovljavanja striktnih pravila procedure i smernica za primenu PDR; obezbeđenje i ostvarivanje transparentnosti u primeni mere tj. da se tačno zna kada se mera može primeniti u kojim uslovima odnosno da mera bude predvidiva; mogućnosti nadzora nad primenom mere od strane organa koji ju je naredio, koji je sprovodi i koji je direktan izvršilac; ustanovljavanja odgovornosti svih u primeni ovakve mere; postojanja proporcionalnosti tj. da se mere ne primenjuju u odnosu na sva dela, već samo u odnosu na teža, kao i da se na drugi način nisu mogli pribaviti dokazi kao i na supsidijarnosti u primeni mere tj, da se mera koristi samo kada tro na dugi način nije moglo biti urađeno, odnosno da se nekom drugom PDR nije moglo ostvariti; naravno i da postoji striktna neophodnost primene ovakve PDR Zaključak Ukoliko razmatramo primene najnovijih tehničkih mera u svrhu zaštite ljudskih prava i sloboda čoveka i građanina nije samo dovoljno primeniti meru i postići rezultat u evidentiranju nezakonitih aktivnosti i time dokazati krivično delo povezivanjem nedozvoljenih aktivnosti osumnjičenog lica sa njegovom ličnošću. Neophodno je to uraditi pravno perfektno na način koji odgovara smernicama koje postavljaju značajni pravni entiteti u svetu. U tom smislu veoma je značajno analizirati sudsku praksu zemalja koje su imale slične probleme od kojih smo mi uzeli dve Nemačku i Italiju, a takođe i praksu Evropskog suda za ljudska prava. Prostom apstrakcijom argumenata u presudama prikazanim u našem radu moguće je ustanoviti pravila koja mora ispunjavati primena ove mere i utvrđivanje posebnih smernica za uvođenje mere prikrivenog islednika u elektronskoj sredini može veoma lako tim putem biti uneto u naše zakonodavstvo. 8

147 Uz malo pravne kreativnosti i volje zakonodavca, pored postojećih pravila vezanih za postojeće PDR biće veoma prosto unet i PI u elektronskom okruženju. Literatura [1] Marinković, D. Kriminalistički aspekti angažovanja prikrivenog islednika Bezbednost, Beograd 2009, vol. 51, br. 1-2, str [2] Sinđelić, Ž, Tajni nadzor komunikacija i tajno praćenje i snimanje analiza stanja, međunarodni standardi i mere za unapređenje, str Savremeni obici suprotstavljanja kriminalitetu, analiza stanja, međunarodni standardi i mere za unapređenje, Zbornik radova Naučno stručnog skupa sa međunarodnim učešćem, Tara, Maj 2015.god. KPA, Fondacija Hans Zajdel [3] Škulić, M. Prikriveni islednik - zakonsko rešenje i neka sporna pitanja, Bezbednost, br. 3, Beograd, 2005, str

148 Sadržaj RANSOMVER EVOLUCIJA I ZAŠTITA RANSOMWARE EVOLUTION AND PROTECTION MSc Nataša Simić, MSc Nevena Miladinović, Mr Zoran Živković, dipl.inž. Abstrakt: Rastući trend ransomver napada i sve sofisticiraniji tipovi ransomvera predstavljaju jedan od većih problema pretežno u svetu poslovnih informacija. Preko 30% poslovnih sistema bi, u slučaju ove vrste napada, platili zahtevani otkup kako bi dobili nazad svoje podatke. Ovakav pristup dovodi do novog problema. Naime, plaćanjem otkupa direktno se finansira razvoj novih ransomvera i evolucija postojećih. U ovom radu je dat opis načina funkcionisanja ransomvera na primeru CryptoLocker-a i CryptoWall-a kao i preporuke za prevenciju ransomvera.takođe, dat je i predlog sistema koji se mogu koristiti kao efikasna odbrana od ransomvera. Ključne reči: Ransomver, CryptoLocker, CryptoWall Abstract: Ransomware is a growing trend in the world of business information. Over 30% of business systems would pay the ransom for their files in the case of ransomware. This approach leads towards a new problem. However, by paying the ransom victim is directly financing evolution and development of ransomwares. This paper describes the working principle of ransomware using CryptoLocker and CryptoWall as examples and gives the recommendation for ransomware prevention. Also, it suggests the systems that can be used for effective defence against ransomware attacks. Key words: Ransomware, CryptoLocker, CryptoWall 1. UVOD Ransomver je klasa malvera koja ograničavanjem ili onemogućavanjem korisnika da pristupi podacima na svom računarskom sistemu iznuđuje novac (otkup). Ova vrsta malvera može da zaključa sistem ili da enkriptuje datoteke i dokumenta koja se čuvaju u samom sistemu. Nakon zaključavanja sistema ili enkripcije podataka, ovaj malver prikazuje poruku u kojoj se zahteva otkup (ransom). Poruka o otkupu može biti u formi tekstualne datoteke, slike ili se može prikazati kao veb strana. Sam otkup može biti u vidu vaučera za plaćanje, PayPal transakcije ili plaćanje pomoću Bitcoin elektronske valute. Ransomver se može svrstati i u klasu scareware jer zastrašivanjem korisnika pokušava da iznudi novac. [1] U ranijim verzijama ransomvera korišćena je tehnika zaključavanja sistema dok se kod novijih verzije češće primenjuje tehnika enkriptovanja datoteka. Oba načina omogućuju da korisnik dobije obaveštenje o radnjama koje su se odvile u njegovom sistemu. Nakon enkripcije datoteka malver najčešće sam sebe izbriše a za sobom ostavi samo poruku o otkupu. U poruci o otkupu korisnik dobija detaljne informacije o načinu plaćanja otkupa u cilju dekriptovanja blokiranih datoteka. Neke varijante ransomvera u okviru poruke o otkupu imaju i tajmer koji odbrojava vreme za plaćanje otkupa. Kod poruka sa tajmerom napadač često preti da će izbrisati sve datoteke pri isteku vremena ili će uvećati iznos otkupa. [2] Ransomver može dospeti u sistem preko zaraženih veb strana, kao deo nekog drugog malvera ili preko phishing kampanja. Kreatori ransomvera su veoma inovatnivni i neprekidno smišljaju nove taktike napada. Radi boljeg razumevanja načina rada ransomvera potrebno je znati i evoluciju ovog tipa malvera. U nastavku rada biće dat pregled evolucije ransomvera sa posebnim akcentom na CryptoLocker i CryptoWall kao i preporuke za prevenciju ove vrste napada. 2. KRATKA ISTORIJA RANSOMVERA Prvi slučajevi ransomvera zabeleženi su u periodu godine u Rusiji. Ovaj ransomver (TROJ_CRYZIP.A) je koristio tehniku zipovanja sa lozinkom da onemogući korisnika da pristupi svojm datotekama. Naime, ransomver bi određene datoteke grupisao u jednu zipovanu datoteku koja bi bila zaštićena loznkom. Osim toga, u sistemu bi se kreirala i tekstulana datoteka sa porukom u kojoj se

149 zahteva otkup u iznosu od 300$. U početku ransomver je korišćen za enkripciju samo određenih vrsta datoteka (pr. DOC, EXE, DLL, XL). Prvi SMS ransomver ( TROJ_RANSOM.QOWA) se pojavio godine. Ovaj ransomver, nakon inficiranja sistema, takođe je generisao poruku o otkupu koja se pojavljivala sve dok korisnik ne plati otkup. Naziv SMS ransomver potiče od tehnike koja se koristila za naplatu otkupa. Naime, korisnik bi dobio broj premium SMS servisa koji je trebao da nazove kako bi platio otkup i dobio svoje datoteke nazad. U ovom periodu pojavila se još jedna vrsta ransomvera čija je meta bila Master Boot Record (MBR) ranjivog sistema. Napadom na MBR ransomver ubacuje svoj maliciozni kod u boot sektor i automatski restartuje računar. Nakon restarta sistema na ekranu bi se ispisala poruka o otkupu na ruskom. Prvih nekoliko godina ransomver je bio pojava vezana isključivo za područje Rusije, ali već ovi napadi počinju da se događaju širom sveta. U martu godine primećeno je masovno širenje ransomver napada u Evropi, SAD-u i Kanadi. Osim širenja napada na druge regione, došlo je do promena u tehnikama za propagaciju napada. Ransomver napadi su emitovani u vidu watering-hole napada, odnosno, usmeravani su na kompanije ili organizacije. Kod ove taktike napadač inficira veb stranu za koju je članovi ciljane ogranizacije često posećuju kako bi došlo do masovnog širenja ransomvera čak i kod organizacija koje su otporne na phishing napade. [3] Reveton ransomver se pojavio godine i spade u grupu ransomver Trojan. Ovaj ransomver je poznat i pod imenom policijski ransomver jer se, u svojoj poruci o otkupu, predstavlja kao lokalna policijska služba. U poruci o otkupu navodi se da je računar korišćen za ilegalne aktivnosti kao što su piraterija ili dečja pornografija i da korisnik mora da plati kaznu. U poruci se navodi i IP adresa računara ili snimak sa kamere kako bi se žrtva uverila u autentičnost poruke. Napadači su prilagođavali poruke o otkupu na osnovnu geografske lokacije žrtve, koristili službeni jezik tog područja pa čak i lažne digitalne sertifikate. U septembru godine se pojavila nova vrsta ransomvera koja je osim zaključavanja sistema koristila i tehniku enkriptovanja datoteka. Zbog tehnike koju koristi ovaj ransomver je nazvan CryptoLocker. [3] 3. CRYPTOLOCKER CryptoLocker se prvi put javlja u spetembru godine. Ovaj ransomver je dizajniran za napad na sisteme koji rade na Windows operativnom sistemu. Za razliku od ranijih vrsta ransomvera, CryptoLocker enkriptuje datoteke koje se nalaze u zaraženom sistemu. Za propagaciju CryptoLockera korišćene su poruke i bot mreža. Naime, meta napada dobije sa prilogom koji je u zipovanom formatu. Ove poruke su takve sadržine da na prvi pogled deluju kao da dolaze iz legitimnog izvora. U direktorijumu iz priloga se nalazi izvršna datoteka prikrivena pdf ikonicom. Ukoliko korisnik otvori tu datoteku malver će se instalirati u user direktorijum korisnikovog računara i dodati ključ u registar. Zatim, malver će pokušati da se konektuje sa jednim od komandnih servera bot mreže. Nakon povezivanja sa komandnim serverom, server će generisati 2048-bitni RSA par ključeva (javni i privatni) i onda će javni ključ poslati nazad ka zaraženom računaru. Komunikacija između komandnog servera i zaraženog računara se preusmerava preko više različitih tačaka kako bi se onemogućilo praćenje i otkrivanje lokacije servera. Nakon dobijanja javnog ključa, malver će enkriptovati datoteke i upisaće logove svih enkriptovanih datoteka u registar ključeva. CryptoLocker enkriptuje samo datoteke sa određenom ekstenzijom odnosno dokumente (MS Office, Open Office...), formate slika i AutoCad formate. Nakon enkripcije datoteka, na ekranu korisnika se pojavljuje poruka u kojoj se traži otkup u vrednosti od 400$ u bitcoin-ima ili preko pre-paid vaučera. Ovaj otkup treba da se plati u određenom vremenskom roku (tipično sati) ili će ključ za dekripciju biti uništen. Nakon plaćanja otkupa, korisnik dobija program za dekripciju sa upisanim odgovarajućim ključem za dekripciju. 2

150 Neke od žratava ovog ransomvera su tvrdile da i nakon plaćanja otkupa nisu dobili program za dekripciju pa su kreatori CryptoLocker-a kreirali online servis za dekripciju. Ovaj servis je pružao mogućnost dekripcije datoteka nakon kupovine ključa za dekripciju kao i kupovinu ključa nakon isteka predviđenog roka za plaćanje otkupa. Ovaj ransomver je kreirala i kontrolisala bot net grupa pod nazivom Gameover ZeuS, koja je uhvaćena sredinom godine u sklopu operacije Tovar. Operacija Tovar je okupila bezbednosne agencije više zemalja, kompanije i stručnjake iz oblasti bezbednosti kao i pojedine univerzitete kako bi otkirli grupu koja stoji iza CryptoLocker ransomvera. Nakon razotkrivanja Gameover ZeuS grupe, bezbednosne kompanije su uspele da dođu do baze podataka ključeva za dekripciju koju je ova grupa pokušala da pošalje na bezbednu lokaciju. Stručnjaci su iskoristili ovu bazu i napravili online portal za dekriptovanje datoteka enkriptovanih CryptoLocker-om. Kao vođa Gameover ZeuS grupe identivikovan je Evgenij Bogačev. On i Gameover Zeus grupa su, širenjem CryptoLocker-a i naplatom otkupa, zaradili oko $. Nakon izolacije CryptoLocker-a pojavilo se više ransomvera koji rade na istom principu. Neki od njih su: Crypt0L0cker virus, CryptoLocker-v3, Cryptografic Locker, PCLock ransomware, CryptoTorLocker 2015, CryptoWall. 4. DALJI RAZVOJ Početkom godine pojavio se novi ransomver iz grupe ransomvera koji koriste tehniku enkripcije datoteka Crypto Wall. U svom radu koristi AES enkripciju, CHM mehanizam za propagaciju i Tor anonimnu mrežu. Postoji više varijanti Crypt Wall-a i to: Cryptorbit, CryptoDefense, CryptoWall 2.0, 3.0 i 4.0. Prve verzije CryptoWall-a su najčešće bile distribuirane preko exploit kit-a ili poruka sa malicioznim prilogom. U prilogu ovakve poruke obično se nalazi.rar direktorijum koji sadrži CHM datoteku. CHM datoteka je interaktivna html datoteka spakovana u CHM kontejner. Nakon pokretanja CHM datoteka preuzima binarnu verziju CryptoWall-a i kopira samu sebe u %temp% direktorijum. Ovo preuzimanje malvera se obavlja u pozadini, odnosno, bez znanja korisnika. poruke koje se koriste za propagaciju CryptoWall-a najčešće pokušavaju korisnika da ubede da je reč o legitimnom obaveštenju koje šalje banka ili druga finansijska institucija. Još jedna odlika CryptoWall ransomvera je poruka o otkupu na više jezika. Naime, kreatori ovog ransomvera su prilagodili poruku o otkupu geolikaciji napadnutog sistema. Kod CryptoWall 2.0 ransomvera datoteke su enkriptovane pomoću algoritama enkripcije sa javnim ključem dok se kod verzije 3.0 ovog ransomvera koristi 265-bitni AES ključ za enkripciju. Zatim se ovaj AES ključ enkriptuje novim javnim ključem kako bi se smanjila mogućnost njegovog otkrivanja. Prilikom enkripcije datoteka, CryptoWall 3.0 prvo kopira datu datoteku sa dodatnim slučajnim karakterom, zatim enkriptuje sadržaj datoteke i upiše ga i na kraju obriše originalnu datoteku. Svaka enkriptovana datoteka počinje sa heširanom vrednošću javnog ključa koji je dobijen od servera a zatim sledi 256-bitni AES ključ koji je enkriptovan pomoću algoritma enkripcije sa javnim ključem. Sva imena dodeljena enkriptovanim datotekama skladište su u registar ključeva HKCU\Software\<unique Identifier>\. Na osnovu javnog ključa CryptoWall 3.0. generiše jedinstveni ID za svaku zaraženu datoteku dok su starije verzije ovog ransomvera javne ključeve skladištile na komandnom i kontrolnom centru. Nakon enkripcije datoteka CryptoWall emituje poruku o otkupu u kojoj opisuje svoje akcije i daje instrukcije za plaćanje. U sklopu poruke o otkupu nalaze se i Tor linkovi i jedinstveni ID specijalno generisan za odgovarajućeg korisnika. Ova poruka se može generiše na tri različita načina: kao datoteka za prikaz u veb pregledaču, u tekstualnom formatu i u formatu slike. Zahtevani otkup je najčešće u Bitcoin-ima a uplata se vrši preko Tor-a. [4] 3

151 U najnovijoj verziji CryptoWall ransomvera, verziji 4 unete su neke značajne promene. Naime, jedna od novina kod ovog ransomvera je što osim datoteka enkriptuje i njihova imena kako bi se otežao process dekripcije bez plaćanja otkupa. Osim toga, sam process instalacije CryptoWall-a 4.0 se sastoji od brojnih komandi koje se izvršavaju kako bi kako bi se zavarao anti-virus program i nesmetano izvršila instalacija ransomvera i enkripcija datoteka. Ova izmena je dovela do znatnog smanjenja detekcije CryptoWall ransomvera. Izmene se primećuju i u poruci o otkupu koja je preimenovana u Help your files i sadrži i FAQ sekciju za korisnika. [5] CryptoWall i njegove varijante detektovane su širom sveta. Najveći procenat detekcije je u Severnoj Americi i Kanadi (13%), zatim u Velikoj Britaniji, Holadniji i Nemčkoj (po 7%). Procenjuje se da su napadači, samo pomoću CryptoWall 3.0 iznudili preko $. Osim CryptoWall-a veliku rasprostranjenost imaju i: TeslaCrypt koji se fokusira na korisnike online igrica, SamSam koji prvenstveno napada sektor zdravstva, Locky koji je fokusiran uglavnom na region Nemačke i Holandije, Petya ransomver koji napada boot sektor sistema, KeRanger koji je dizajniran za ios sisteme kao i ransomveri koji napadaju Android sisteme. 5. PREPORUKE I PREDLOG ZAŠTITE Ransomver napadi se mogu izbeći primenom određenih dnevnih praksi. Korišćenjem legitimnih antivirus programa i firewall-a sa dobrom reputacijom kao i njihovim redovnim ažuriranjem, zatim kreiranjem rezervne kopije podataka na eksternim memorijama i slično. Preporuke za prevenciju ransomvera ili ublažavanje posledica ransomvera su: Redovno kreiranje rezervne kopije podataka. Poželjno je čuvanje rezervne kopije podataka na eksternim medijumima jer postoje tipovi ransomvera koji brišu rezervne kopije iz sistema, Sistem treba radovno ažurirati kako bi se smanjio rizik od napada, Posećivati samo proverene veb sajtove, Preuzimati samo one priloge koji su poslati sa proverenih adresa, Koristiti anti-virus i firewall proverenih vendora, Instalirati program za blokiranje pop-up programa, Onemogućiti System Restore opciju, Obavestiti nadležne o napadu. [1] Korišćenje anti-virus programa i firewall-a proverenih vendora je dobra praksa u zaštiti od kiber napada ali često nije dovoljna. Šteta koju mogu da nanesu ovi napadi zavisi od tipa i značaja podatka koji se skladište u napadnutom sistemu. Kod rezidencijalnih korisnika materijalna šteta je najčešće simbolična jer enkriptovane datoteke obično sadrže fotografije ili profile za igranje online igara (TeslaCrypt). Kod poslovnih korisnika šteta je znatno veća. Podaci koje ransomver enkriptuje kod poslovnih korisnika mogu da budu poslovni planovi, nacrti, finansijskih podaci, lični podaci, odnosno podaci koji su poverljivi. Malver za pokretanje instalacije ransomvera najčešće se distribuira phishing kampanjam i to u vidu priloga. Prilozi kod phishing ova su obično datoteke u word ili eksel formatu sa ugrađenim aktivnim sadržajem (macros) koji se koristi za pokretanje instalacije ransomvera. Efikasan sistem za prevenciju ransomvera trebao bi da uoči ovakav sadržaj i da ga ukloni ili blokira. Jedan od pristupa za pravenciju ransomvera je filtriranje datoteka i blokiranje svih aktivnih sadržaja kao i skrivenih i 4

152 nedozvoljenih sadržaja. Drugi pristup za prevenciju ransomvera je dubinska analiza sadržaja i uklanjanje potencijalno opasnih sadržaja. Primer sistema koji koristi tehniku filtriranja datoteka je Selector IT proizvođača YazamTech. Selector IT je sistem za filtriranje različitih tipova datoteka. Rad ovog sistem se bazira na kontroli i filtriranju svih datoteka koje se unose u sistem, bilo preko mreže ili preko medijuma (CD, USB ). Kontrola i filtriranje datoteka se vrše na osnovu: ekstenzije datoteke sa lažnim ekstenzijama se odbacuju, pretrage teksta zahtevane reči, zabranjene reči, skriveni sadržaj, zabranjenog sadržaja uklanjanje aktivnog sadržaja. Ovaj sistem ima podršku za više od 10 anti-virus programa različitih vendora i u svom radu koristi njihove anti-virus mehanizme. Datoteke koje Selector IT može da filtrira su: MS office tipovi, pdf, tekstualni formati, audio formati i formati slika, formati arhiva (zip, rar ), HTML, XML, CAD, GIS, formati poruka ( , kontakti, kalendari), datoteke nepoznatog tipa.[6] Selector IT je preporučeno rešenje za prevenciju ransomvera zbog načina filtriranja datoteka. Naime, ovaj sistem radi filtriranje na osnovu ekstenzije i odbacuje datoteke sa lažnom ili zabranjenom ekstenzijom. Ovaj način filtriranja onemogućuje malicioznim datotekama da uđu u sistem. Osim toga, filtriranje se vrši i na osnovu aktivnog sadržaja, odnosno, aktivni sadržaj se isključuje. Veliki deo ransomvera u sistem dospeva upravo preko aktivnih sadržaja (macros) koji su ugrađeni u tekstualne dokumente. Još jedna prednost korišćenja Selector IT sistema i činjenica da su mehanizmi više anti-virus programa različitih vendora ugrađeni u ovaj sistem. Kao primer rešenja koja koriste tehniku dubinske provere sadržaja radi uočavanja i uklanjanja opasnih i potencijano opasnih sadržaja mogu se navesti rešenja za bezbednu komunikaciju kompanije Deep Secure. Web guard, rešenje kompanije Deep Secure, konroliše veb saobraćaj organizacije i vrši odbranu od naprednih pretnji i napada. U svom radu Web guard, kao i ostala Deep Secure rešenja koriste Transhipment tehniku. Transhipment tehnika se zasniva na dekompoziciji podataka i njihovoj detaljnoj analizi. Naime, kod ove tehnike na prijemu dolazi do prekidanja dolaznog protokola i potpune dekompozicije podataka. U dekomponovanom stanju podaci prolaze kroz verifikator koji vrši proveru i sve nepotrebne ili potencijalno opasne podatke eliminiše. Svi podaci koji prođu validaciju bivaju rekonstruisani i, pomoću nove konekcije, se prenose kao odredištu. Na ovaj način Web guard vrši proveru zaglavlja svih HTTP zahteva i odgovora. Ukoliko se u njima nalaze osetljivi podaci (pr.cookies) oni bivaju odbačeni a ostatak podataka rekonstruisan i prenet dalje do odredišta. Web guard podržava autentifikaciju klijenata preko Windows Integrated Authentifications ili digitalnih potpisa i na taj način omogućuje da samo autentifikovani klijenti mogu da vrše komunikaciju u mreži. Osim HTTP protokola, Web guard podržava i HTTPS protokol što omogućuje prenos enkriptovanog saobraćaja. 5

153 Još jedna od pogodnosti Web guarda je mogućnost obaveštavanja administratora o detekciji nedozvoljenog ili sumnjivog sadržaja. Web guard sistem je efektivna zaštita od ransomvera jer potpuno dekomponuje sve podatke i odbacuje sve osim poslovnih informacija. [7] Osim Web guarda postoje i druga specijalizovana rešenja za zaštitu na aplikativnom nivou kao što je rešenje Mail guard za zaštitu saobraćaja, File Transfer guard za bezbedan prenos datoteka, XML guard za kontrolu XML saobraćaja, TransGap Import Export za kontrolu datoteka koje se uvoze/izvoze na medijume, itd. Kod kompleksih sistema najbolja zaštita od ransomvera ali i drugih kiber napada bi bila kombinacija više rešenja iz domena zaštite na aplikativnom nivou. Za što viši stepen bezbednosti preporučuje se višeslojna zaštita mreže korišćenjem Web guard-a kao prvi sloj zaštite celokupne mreže, zatim Mail guard-a za zaštitu saobraćaja, File Transfer gurad-a za bezbedan prenos datoteka i TransGap ImpEx za bezbedan uvoz/izvoz datoteka sa medijuma. Ukoliko sistem poseduje servis za skladištenje datoteka preporučuje se korišćenje i TransGap SFS (Shared File Store) za zaštitu podataka u skladištima datoteka. U uslovima savremenih kiber pretnji kao prvi i obavezan stepen zaštite mreže od kiber napada preporučuje se i kombinacija anti-virus programa, firewall-a i sistema za detekciju i prevenciju kiber napada Intrusion Detection and Prevention Systems, skraćeno IDPS. Sve je više izvanrednih softverskih rešenja za detekciju i prevenciju kiber napada koji koriste više unakrsnih metoda za detekciju uključujući i specijalne metode za otkrivanje čak i napada nultog dana Zero Day Attacks, koji sve masovnije zamenjuju tradicionalna serverska (IPS Server type) i mrežna rešenja (IPS Gataway type) poznatih brendiranih, veoma kompleksnih a samim tim i skupih rešenja. Jedno od izvanrednih rešenja za detekciju i prevenciju kiber napada predstavlja Towers Net Defender TND, potpuno automatski IPDS sistem koji veoma efikasno štiti mrežu, lako i brzo se implementira, prilagođen je za rad na svim operativnim sistemima i hardverskim platformama. Ovaj sistem nadgleda mrežu, blagovremeno identifikuje maliciozne aktivnosti i blokira ih. Zahteva vrlo malo resursa (memorija, potrošnja) i ne usporava rad sistema. Uspešno blokira DoS i DDoS napade, SYN floods, SQL injections, Brute-force napade, Rootkits, XSS napade, Zero Day napade i malvere za uspostavljanje backdoor-a. [8] Kombinacijom predstavljenih rešenja i pravilnom edukacijom zaposlenih sistem se može zaštititi od bilo kog kiber napada ili kombinacije napada. 6. ZAKLJUČAK Poslednjih godina zapažen je rastući trend ransomver napada. U današnje vreme postoje i ciljani ransomveri, odnosno ransomveri koji napadaju institucije iz sektora finansija, zdravstvenog sektora, korisnike online igara i slično. Osim toga, kreatori ransomvera koriste sve prefinjenije tehnike zavaravanja korisnika. Neke od tih tehnika su prilagođenje napada geolokaciji korisnika kao što su phishing ovi na različitim jezicima i sa oznakama kompanija i institucija u zavisnosti od lokacije ciljanog korisnika. Osim tehnika napada i tehnike blokiranja sistema i enkripcije podaka evoluiraju velikom brzinom. Do ubrzanog razvoja je došlo i kod tipa sistema na kojima može da se izvrši napad pa tako imamo ransomvere prilagođene Windows, Linux i ios sistemima ali i Andorid sistemima pa osim računara i servera ransomver napad se može izvršiti i na mobilnim uređajima. Imajući u vidu da ransomveri mogu da nanesu veliku štetu kako finansijsku tako i štetu po reputaciju kompanija i pojedinaca jako je bitno raditi na edukaciji korisnika. Svaki internet korisnik treba da bude edukovan o načinu propagacije i rada ransomvera i preporukama za bezbednost sistema. Takođe, svaka kompanija bi, u zavisnosti od kompleksnosti svoje mreže, trebala da primeni jedno ili više rešenja za prevenciju kako ransomvera tako i ostalih kiber napada. 6

154 REFERENCE [1] Dr.P.B. Pathak, A Dangerous Trend of Cybercrime: Ransmoware Growing Challenge, International Journal of Advanced Research in Computer Engineering and Technology (IJARCET), Volume 5 Issue 2, Maharashtra, India, February 2016, [2] Ransmoware: Past, Present, and Future, Cisco Talos Blog, April 2016, [3] Ransomware, Trend Micro, [4] [4] J.Wyke, A.Ajjan, The Current State of Ransomware, SophosLabs technical paper, decembar 2015, [5] A.Allievi, H.Unterbrink, W. Mercer, CryptoWall 4.0 the Evolution Continues, Cisco Talos white paper, mart 2016, [6] Selector IT brošura, [7] Web Guard brošura, [8] Towers Net Defender brošura, 7

155 Sadržaj ISTRAŽIVANJA KLJUČNIH TERMINA U LITERATURI O INFORMACIONOJ BEZBEDNOSTI ADAPTIVE APPROACH TO RESEARCH OF THE KEY TERMS OF LITERATURE ON INFORMATION SECURITY Zoran Milanović 1, Časlav Mitrović 2 1 Kriminalističko-policijska akademija, Beograd, 2 Mašinski fakultet, Univerziteta u Beogradu, Sažetak: Eksplozivni razvoj informacionih tehnologija, a posebno Interneta, kao i njihova primena u svim sferama života i rada nametnuli su informacionu bezbednost kao jedan od najvažnijih segmenata celokupne društvene zajednice. U tom smislu, cilj ovog istraživanja je utvrđivanje tema koje dominiraju u stručnoj literaturi iz ove oblasti i potencijalnih nedostataka. Posebno je naglašena potreba podizanja svesti krajnjih korisnika o potrebi zaštite podataka, informacija i znanja. Istraživanje je sprovedeno korišćenjem specifičnog metoda analize tipičnih ključnih termina i njihova učestalost pojavljivanja u stručnoj literaturi koja se bavi izučavanjem fenomena informacione bezbednosti i to kroz različite aspekte njenog sveobuhvatnog delovanja. U analizi je primenjen metod sumativne analize sadržaja. Rezultati istraživanja ukazuju na postojanje i učestalost bezbednosnih termina, na aktuelnost koju su im autori pridavali, kao i na termine koji nisu prepoznati kao bitna dimenzija informacione bezbednosti, kao što su deca i mladi, pornografija i pedofilija, kao i društvene mreže. Ključne reči: Literatura o informacionoj bezbednosti, bezbednosni termini, sajentometrija. Abstract: The explosive development of information technology, especially the Internet, as well as their application in all spheres of life and work imposed information security as one of the most important segments of the entire community. In this sense, the goal of this research is to determine the topics that dominate the scientific literature in this field and potential drawbacks. In particular, they emphasized the need to raise awareness of end-users about the need to protect data, information and knowledge. Research was conducted using a specific method of analysis typical of key terms and their frequency of appearance in the scholarly literature that deals with the study of the phenomenon of information security, and to the various aspects of its overall performance. The analysis methods applied summative content analysis. Results suggest the existence and frequency of security terms, actuality that the authors attributed to them, as well as the terms which are not recognized as an essential dimension of information security, such as children and young people, pornography and paedophilia, as well as social networks. Keywords: Information Security, Literature, Security Terms, Scientometric. 1. UVOD Informaciona bezbednost je u prethodnoj deceniji jedna od najvažnijih aktivnosti i najčešće spominjanih pojmova u računarskoj industriji. Ekspanzija Interneta i informacionih tehnologija promenila je percepciju komunikacije, informisanja, rada, obrazovanja, i ostalih društvenih aktivnosti čineći društvo u celini zavisno od informacione tehnologije. Međutim, kako je rastao uticaj informacionih tehnologija na poslovanje, rastao je i informaciono-bezbednosni rizik, jer su se i pretnje u sajber prostoru našle u fazi burnog razvoja i dinamičkih promena [1, 2], što je dovelo do pojave "instant stručnjaka" koji objavljuju knjige i članke o informacionoj bezbednosti, a koji nikada nisu bili odgovorni za zaštitu velikih organizacija [3].

156 Posledice svega navedenog se ogledaju u tome što se gotovo svakodnevno otkrivaju propusti i metode napada na informacione tehnologije. Takođe, na značaj i aktuelnost ove teme ukazuje i to što američka kompanija Amazon (najveća internet prodavnica knjiga), koja u svojoj bazi ima preko knjiga od kojih je iz oblasti informacione bezbednosti. [4] S druge strane, u proučavanju informacione bezbednosti često se prepliću kvantitativne i kvalitativne metode, postavljajući izazove empirijskim istraživanjima. Kombinovanje ovih metoda i multidisciplinarnost mogu se objediniti sajentometrijskim pristupom. Sajentometrija (Scientometrics) ili nauka o nauci [5] predstavlja studiju merenja i analize nauke, tehnologije i inovacija. Glavna istraživačka pitanja uključuju merenje uticaja, reference grupe članaka koji istražuju uticaj časopisa i ustanova, razumevanje naučnih citata, mapiranje naučnih oblasti i generisanja indikatora za korišćenje u kontekstu politike i menadžmenta. Ono što je počelo godine kao ideja Judžina Garfilda (Eugene Garfield) o korišćenju indeksa za unapređenje pronalaženja informacija, rezultiralo je stvaranjem Science Citation Index (SCI) [6, 7] koji je ubrzo priznat kao novi instrument u empirijskom proučavanju nauke [8, 9]. Sajentometrija se može definisati i kao kvantitativno proučavanje nauke, komunikacije u nauci, i politike u nauci 1 [10, 11], pri čemu se naglasak stavlja na istraživanja u kojima se razvoj i mehanizmi nauke izučavaju statističkim matematičkim metodama [12]. Za razliku od bihevioralnih 2 nauka i teorije informacione bezbednosti, sajentometrija se fokusira na tekstove (dokumenta, časopise, literaturu), kroz analizu empirijskih celina. Taj odnos sa drugim naučnoistraživačkim disciplinama prikazan je na slici 1. Zbog činjenice da se naučni tekstovi ne mogu ograničiti samo na autore, jer ih može biti više (koautori), niti se teorije mogu svesti na publikacije u kojima su objavljene, mera (ocena) u jednoj dimenziji može se koristiti kao zamena ili pokazatelj za druge aspekte ili dimenzije istraživanja. Duž ove tri dimenzije i odgovarajućih jedinica analize, mogu se vršiti grupisanja i proučavanja na različitim nivoima. Na primer: reči su organizovane u tekstovima, naučni članci u časopisima, časopisi pripadaju arhivama; Naučnici sastavljaju istraživačke grupe, a istraživačke grupe pripadaju naučnim zajednicama; Utvrđeno znanje se temelji na teorijama, teorije su uključene u discipline. [13]. Saznanje Razumevanje BIHEVIORALNA NAUKA TEORIJA informacione bezbednosti Tekstovi Časopisi Literatura Naučnici Naučne institucije 1 Cilj politike u nauci je da se razmotri kako nauka i tehnologija mogu najbolje služiti javnosti. 2 Bave se istraživanjem objektivnog ponašanja i načinom rada ljudi [15]; 2

157 Slika 1. Multidimenziona šema sveta nauke prilagođena prema Leydesdorff, 2001 Grupa autora na čelu sa Flešmanom [14] navode da su sajentometrijske studije sprovedene na širokom spektru tema vezanih za istraživanje informacionih sistema, kao što je npr.: informacioni sistemi kao referentna disciplina ili epistemiološka 3 struktura informacionih sistema uopšteno, a Hasan i ostali [16] su primenili sajentometrijski metod (analizu sadržaja) na istraživanje ekonomije u informatici. Brojna istraživanja su sprovedena i u oblasti informacione bezbednosti, a tek neznatan broj je koristio sajentometrijske metode [14, 17, 18] tj. sumativnu analizu sadržaja (summative content analysis) kojom se utvrđuje učestalost pojavljivanja određenih termina. Presad [19] navodi da se analiza sadržaja može koristiti i za razumevanje širokog opsega tema kao što su društvene promene, simboli kulture, promene trendova u teoretskom sadržaju različitih disciplina, a svrsishodnost ove metode daje Morgan [20] koji je predstavlja kao kvantitativnu analizu kvalitativnih podataka. Na osnovu gore iznetih teorijskih razmatranja, autori su kreirali ideju o primeni sajentometrijskih metoda (sumativna analize sadržaja) u traženju tipičnih bezbednosnih termina i njihovih sinonima (njihovog postojanja i učestalosti pojavljivanja) u literaturi koja se bavi informacionom bezbednošću. Cilj je utvrđivanje tema koje dominiraju u stručnoj literaturi i na kojima se zasnivaju stečena znanja u vezi sa informacionom bezbednošću. Takođe, rad ima za cilj podiznje svesti krajnjih korisnika o potrebi zaštite podataka, informacija i znanja. 2. METODOLOGIJA ISTRAŽIVANJA I PRIKUPLJANJE PODATAKA U literaturi se mogu naći različite klasifikacije sajentometrijskih metoda, a jednu od njih dao je Hajtin [21], koji ih razvrstava na: statističke metode, metode prebrojavanja publikacija, indeks citiranosti i analize teksta (analiza sadržaja, rečnici i sleng metode). Istraživački model zasnovan je na traženju ključnih termina i njihovih sinonimima, kao i njihove frekventnosti pojavljivanja u stručnoj literaturi koja se bavi izučavanjem fenomena informacione bezbednosti. U okviru definisanja obima istraživačkog procesa (slika 2) pošlo se od: ideje (definisanog cilja), prikupljanja i izučavanja literature, istraživanja ključnih termina i statističke analize dobijenih rezultata, koji će potvrditi ili osporiti validnost polazne ideje ili stvaranje neke nove. IDEJA Literatura i istraživanje Dobijeni podaci Analizirani podaci ISTRAŽIVAČKI REZULTATI Slika 2. Istraživački proces od ideje do rešenja 3 Oblast filozofije koja istražuje mogućnosti, korene nastanka i krajnje domete ljudskog saznanja. 3

158 Izbor elektronske literature koja je korišćena za proučavanje i istraživanje određenih ključnih termina veoma je raznovrsna i obuhvata tipične sfere delovanja informacione bezbednosti od hardvera (serveri, desktop, laptop, mobilni uređaji ), softvera (različiti operativni sistemi i korisničke aplikacije ), mreže (bežične i žične, lokalne i interneta, kao i njihove opreme), politike i standarde, pa sve do različitih nivoa zaštite korisničkih podataka i informacija, kao i zaštitu privatnosti i intelektualne svojine. Adekvatnost i pogodnost izabrane literature za testiranje, potvrđena je primenom kontrolnih termina (secur, safe, defen, protect, assur). Korišćena elektronska literatura je u pdf-u, i njihov ukupni broj u prvoj probnoj fazi testiranja inicijalne ideje bio je 164, koji je dodatnom selekcijom sveden na konačan broj od 130 analizirane i obrađene literature. Proces istraživanja ključnih termina i njihovih sinonima u elektronskoj literaturi obavljen je uz softversku podršku programa Adobe Acrobat XI Pro 4 iz koga su dobijeni podaci sačuvani u csv 5 formatu, za svaku varijablu i za svaki niz reči posebno (ključni termini i 20 rezultata). Objedinjavanje csv fajlova u jednu tabelu obavljeno je u programu Microsoft Excel Tako sređeni podaci su importovani u program za statističku analizu IBM SPSS Ključni termini i njihovi sinonimi su birani po više kriterijuma i to po važnosti, zatim po sličnosti primene i oblasti delovanja, a u tabeli 1 su razvrstani u četiri varijable (aspekta): 1. Kontrolni aspekt, čine kontrolni termini koji su logični za izbor literature koja se bavi informacionom bezbednošću, jer su svi termini eksplicitno vezani za bezbednost, sigurnost, zaštitu i osiguranje. 2. Aspekt edukacije i podizanje svesti o informacionoj bezbednosti, je sigurno najvažnija i najznačajnija varijabla u ovom istraživanju, koja treba da pokaže činjenično stanje koliko se u literaturi posvećuje pažnja (posredno ili neposredno) samim ljudima: korisnicima, zaposlenima i drugom osoblju koje koristi IT, a posebno deci i mladima koji su jedni od najčešćih korisnika Interneta. Oni su svakodnevno izloženi velikom broju neprijatnih i opasnih sadržaja. Oni su najranjivija grupa koja koristi Internet, delom zbog naivnosti koja je karakteristična za taj uzrast, delom zbog toga što počinioci krivičnih dela postaju sve veštiji u načinu da se približe deci i pridobiju njihovo poverenje. Gledano sa druge strane, interesantni su i termini vezani za direktno podizanje svesti o potrebi zaštite, kroz nove vidove znanja i kompetentnosti, obrazovanja i usavršavanja specijalnih veština, kao i kroz kontinualne bezbednosne treninge. Takođe, analizom je obuhvaćen još jedan termin koji je danas široko rasprostranjen u literaturi i koji predstavlja nešto što je esencijalno za upravljanje bezbednošću u organizacijama menadžment. 3. Aspekt informaciono-bezbednosnih standarda, obuhvata termine koji su direktno proistekli iz različitih međunarodnih standarda. Za ovo istraživanje standardi su od velike važnosti, jer su njihovi dokumenti nastajali i razvijali su se kao rezultat dostignuća u nauci i tehnici, kao i na osnovu iskustava, odnosno najboljih rešenja iz prakse, a sve to da bi se povećala efikasnost, efektivnost, kvalitet proizvoda i usluga, i da bi se izašlo u susret potrebama korisnika. Sistem najbolje prakse podrazumeva dostupnost, povezanost sa drugim standardima, edukaciju i sertifikaciju, ponovljivost i rentabilnost, efektivnost, fleksibilnost, monitoring, usaglašenost sa regulativom i sveobuhvatnost [22]. Inače, poštovanje bezbednosnih standarda nije garancija potpune zaštite informacionih sistema, već minimum koji mora da bude ispunjen da bi računare u mrežnom okruženju uopšte imalo smisla koristiti. U tom kontekstu svaki realan sistem informacione bezbednosti zahteva kontinuiranu nadogradnju i usavršavanje, bez obzira na do tada ostvareni kvalitet [23]. Pristupi pri rešavanju problema informacione bezbednosti mogu biti različiti, ali ono u čemu se svi slažu je da su standardi polazna tačka u razumevanju i upoznavanju osnovnih koncepata i terminologije iz ove oblasti. Njihova ključna uloga je u transferu 4 Adobe Acrobat XI Pro, 5 Comma Separated Values Zapetom razdvojene vrednosti 6 Microsoft Excel 2013, 7 IBM SPSS 22, 4

159 savremenih tehnologija, jer ih definišu jasnim, konciznim jezikom i u njima su ugrađena najbolja iskustva i zamisli svetskih eksperata [24]. 4. Tehničko-tehnološki i drugi aspekti informacione bezbednosti, bez koga ovo istraživanje ne bi moglo biti zaokruženo u jednu logičku celinu, predstavlja termine sa kojima se svakodnevno susrećemo i protiv čijih implikacija se borimo sa više ili manje uspeha. Ovi termini su svrstati u dve grupe i to oni koji štite i oni koji ugrožavaju informacionu bezbednost. Može se reći da su termini i njihovi sinonimi koji se bave zaštitom dobro poznati širem krugu IT 8 korisnika, ali njihova nedovoljna, neraznovrsna i nedosledna primena (hardversko-softverska zastarelost i njihovo ne ažuriranje, loša i neadekvatna podešavanja zaštitnih parametara, kao i bahatost korisnika kod njihove primene isključivanje antivirusne i fajervol zaštite, radi ubrzanja nekih drugih aktivnosti na računaru) dovode do bezbednosnih propusta (ranjivosti sistema), rizičnih i katastrofalnih situacija. Zato posebnu pažnju u novijoj literaturi treba posvetiti važnosti i praktičnoj primeni tehničko-tehnoloških metoda, jer bez dobrih i kvalitetnih mera zaštite nema ni ostvarenja primarnog cilja bezgraničnog korišćenja savremenih IT. Kao najčešće pojavne oblike ugrožavanja informacione bezbednosti Marković [25] navodi: uništavanje, gubljenje i krađa podataka, otkazi IT opreme, softvera, energetskog napajanja, napadi računarskih malicioznih programa, presretanje i neovlašćen nadzor nad komunikacijom, lažno predstavljanje, elektronsko prisluškivanje, krađa identiteta, krađa i kršenje autorskih prava, nedostupnost servisa i informacija; neautorizovani pristup računarskim sistemima; otkrivanje i korupcija informacija; gubitak veba i mrežnog pristupa; slanje neželjene elektronske pošte, pretećih i diskriminišućih mejlova; dečija pornografija; javne neugodnosti; loš publicitet i pobeda suparnika u tržišnoj trci. Pojavljuju se i mnogobrojni novi oblici pretnji koji se nazivaju informacioni rat. To su pretnje intelektualnom vlasništvu, znanju i informacijama, a među brojnim oblicima delovanja posebno su izražene kao kiber-špijunaža, kiber-terorizam i kiber-ratovanje. Njihov je izvor zanimljivost informacionih sadržaja na temelju kojeg pojedinci ili grupe mogu ostvariti korist. Ovde se izdvaja ključni termin kiber kao prefiks za sve i svašta na Internetu od kriminala do elektronskog poslovanja (kiber-prostor, kiber-seks, kiber-kultura, kiber-lopov, kiber-banka, kiber-škola,...). Takođe, u okviru ove varijable su i termini kojima su označeni zlonamerni korisnici, bez kojih sve ovo ne bi imalo smisla. Termini i njihovi sinonimi koji su korišćeni za testiranje, kao što se vidi iz tabele 1, nisu napisani u punom svom obliku, već je u nekim slučajevima korišćen njihov koren reči 9, dok u nekim retkim situacijama zbog sličnosti sa nekim drugim terminima, napisane su sve varijacije te reči (jednina-množina, imenica-pridevglagol). Takođe, neki od termina su traženi u punom svom nazivu (npr. access control, social engineering i social network) i to tačno te dve vezane reči ili izrazi zajedno (match exact word or phrase). Pouzdanost istraživanja se manifestuje kroz: stabilnost, ponovljivost i tačnost generisanih podataka. Sve navedeno treba da bude u funkciji saglasnosti (poklapanja) između posmatrača, kodera, ocenjivača, ili mernih instrumenata (alata). U literaturi [14, 26, 27] za analizu sadržaja kao najopštija mera saglasnosti sa odgovarajućom pouzdanošću tumačenja se preporučuje Kripendorfov alfa koeficijent (Krippendorff s alpha coefficient). Takođe, ovaj alfa koeficijent pronalazi primenu i u svim istraživanjima u kojima se na isti skup objekata ili jedinica analize primenjuju dve ili više metoda generisanja podataka, a potrebno je zaključiti koliko se rezultirajućim podacima može verovati. [26]. 8 Informaciona tehnologija (information technology) termin koji obuhvata sve oblike tehnologije (računare, TV, telefone i telekomunikacionu opremu) koja se koristi za kreiranje, prenošenje, obradu, čuvanje, bezbedno slanje i primanje informacija, kao i korišćenje informacije u svim svojim različitim oblicima, uključujući poslovne podatke, razgovore, slike, filmove i multimedijalne prezentacije. 9 Zajednički deo reči za celu porodicu reči 5

160 Tabela 1. Struktura istraživačkog procesa VARIJABLE -Kategorije- Kontrolni aspekt Aspekt edukacije i podizanje svesti o informacionoj bezbednosti Aspekt informacionobezbednosnih standarda Tehničkotehnološki i drugi aspekti informacione bezbednosti ISTRAŽIVAČKI TERMINI I NjIHOVI SINONIMI SVRHA I ZNAČAJ - istraživački parametri security-protect Kontrolni termini ukazuju na adekvatnost i pogodnost izabrane literature za testiranje. 1. people-user 2. child-kid 3. employ-personal 4. customer-client 5. education-knowledge 6. standard-policy 7. ISO-NIST 8. data-information 9. risk-incident 10. network-wireless 11. internet-mail 12. cloud-mobile 13. pornography-pedophilia 14. social network-social engineering 15. antivirus-firewall 16. cryptograph-encrypt 17. password-biometric 18. signature-stamp 19. backup-restore 20. recover-forensic Podizanje svesti i potrebe za zaštitom podataka, informacija i znanja, kroz stručno i kontinualno obrazovanje IT korisnika, kao najvažnijeg, najosetljivijeg i najranjivijeg segmenta informacione bezbednosti. Standardizacija i sertifikacija kao najviši segment informacione bezbednosti i polazna tačka u razumevanju i upoznavanju sa osnovnim konceptima i terminologijom iz ove oblasti. Primena međunarodnih standarda je pogodna za sve tipove organizacija (komercijalna preduzeća, vladine agencije, neprofitne organizacije), jer su oni generički, a i ne preporučuju specifičnu metodologiju za menadžment informacione bezbednosti. Informaciona bezbednost u prethodnoj deceniji jedna je od najvažnijih aktivnosti i najčešće spominjanih pojmova u računarskoj industriji. Prevelik značaj i potreba za IT bezbednošću ogleda se u tome što se gotovo svakodnevno otkrivaju propusti i metode napada i pretnji na informacione sisteme. Ovako široka lepeza ranjivosti informacionih sistema i mogućih pojavnih oblika rizika, utiču na sve segmente IT i ukazuju na veoma složen problem informacione bezbednosti. Shodno tome upotreba niza specifičnih zaštitnih aktivnosti treba da omogući nesmetano, slobodno i potpuno korišćenje IT. Praktično potvrđivanje pouzdanosti istraživačkog alata za prikupljanje podataka u ovom radu je izvršeno u tri faze. Prvo testiranje je obavljeno korišćenjem dva programa firme Adobe (Acrobat i Reader) i dobijeni su isti rezultati, zatim je testiranje ponovljeno sa istim alatima i rezultati su bili identični. Treći način provere je obavljen programima firme Foxit 10 (Phantom i Reader), čiji su se podaci delimično razlikovali od prvo dobijenih rezultata. Zbog postojanja razlike između dobijenih podataka urađen je Kripendorfov test gde je alfa koeficijent iznosio 0,9985, što zadovoljava uslov da alfa treba da bude veća od 0,8 [28]. Validnost sadržaja predstavlja stepen zasnovanosti istraživanog problema na prethodnim teorijskim radovima [29], ne može se meriti numerički, već se uspostavlja prema prethodnim istraživanjima i na osnovu mišljenja eksperata iz oblasti. Validnost sadržaja ovog rada je obezbeđena obimnim pregledom literature (referenci) i ekspertskom procenom šest naučnih radnika iz uže oblasti stuke. Validnost kriterijuma ispituje stepen asocijacije srednjih vrednosti egzogenih i endogenih varijabli korelacionom analizom [30]. Egzogene varijable su prediktori ili uzročnici ostalih varijabli u modelu [31]. Endogene varijable su zavisne od drugih varijabli i na njih deluje najmanje jedna uzročna veza [31]. Validnost kriterijuma je utvrđena iz korelacione analize pri čemu se uočava da je korelacija između parametara (izražena preko koeficijenta korelacije r) 11 u 86 % (78% sa nivoom značajnosti p< % 10 Foxit, 11 Koeficijen korelacije r pokazuje stepen i smer povezanosti između dve ili više promenljivih (Westgard, 1999) 6

161 sa nivoom značajnosti p<0.05) 12 slučajeva statistički značajna što ukazuje na postojanje uzročno posledičnih veza ispitivanih varijabli (parametara). U analizi rezultata data su: deskriptivna 13 (Tabela 2) i korelaciona 14 (Tabela 3). 3. ANALIZE REZULTATA Provera prethodno postavljenog cilja, a na osnovu predloženog istraživačkog procesa, sprovedena je uz podršku statističkih metoda (statistička obrada podataka sa tabelarnom i grafičkom prezentacijom). Rezultati ukazuju na postojanje i učestalost bezbednosnih termina u proučavanoj literaturi. Deskriptivna statistika pokazuje da je istraživanje sprovedeno sa 130 knjige (kolona N) i bezbednosnih termina. Dobijeni rezultati prikazuju maksimalan broj pojavljivanja određenih termina u rastućem nizu. Kolona N* pokazuje broj knjiga u kojima se ključni bezbednosti termini pojavljuju bar jednom. Takođe, može se videti da se svi ključni bezbednosni termini ne pojavljuju u 40% knjiga, tj. autori im nisu pridavali značaj, kao i da ti termini nisu prepoznati kao bitne dimenzije informacione bezbednosti. Tabela 2. Deskriptivna statistika N N* Range Minimum Maximum Mean Std. Deviation Variance K Nivo značajnosti p predstavlja verovatnoću grške tvrđenja da između varijabli postoji povezanost izražena preko koeficijenta korelacije r (Westgard, 1999) 13 Predstavlja uređivanje, grupisanje, tabelarno i grafičko prikazivanje dostupnih podataka i izračunavanje parametara zadanih na konačnoj populaciji čije su sve vrednosti (obeležja) poznate. 14 Predstavlja skup statističkih metoda kojima se istražuje jačina veze između posmatranih pojmova. Korelacija predstavlja međusobnu povezanost obeležja posmatranih pojmova. 7

162 Na osnovu analize deskriptivne statistike direktno se može zaključiti da su teme (parametri 8, 10 i 1) koje se najviše prožimaju kroz literaturu informacione bezbednosti: globalna mreža, njeni korisnici i njihovi podaci i informacije. Ono zbog čega je ovo istraživanje imalo presudan značaj i čime se potvrđuje svrsishodnost polazne ideje je da se autori analizirane literature najmanje bave (parametri 13, 2, i 14) gorućim problemima savremene informacione bezbednosti: decom i mladima, pedofilijom i pornografijom, kao i društvenim mrežama. Iz deskriptivne analize se može uočiti da je koeficijent varijabilnosti veliki, odnosno da se radi o nehomogenom uzorku u odnosu na posmatrana obeležja (varijable) i u daljoj analizi biće primenjena neparametarska metoda tj. Spermanova korelacija. Spearman s and Pearson s correlation coefficients se interpretiraju na isti način, a njihove granice su tumačene prema Vestgardu [32]: Za r < 0,3 sasvim neznatna veza; 0,3 r < 0,5 niska korelacija, povezanost mala; 0,5 r < 0,7 umerena korelacija, bitna povezanost; 0,7 r < 0,9 visoka korelacija, izrazita povezanost; 0,9 r < 1 veoma visoka korelacija. Od ukupno analiziranih 210 podataka: ** korelacija je signifikantna sa nivoom značajnosti p<0.01, u 163 slučajeva ili 78 % * korelacija je signifikantna sa nivoom značajnosti p<0.05, u 17 slučajeva ili 8 % i statistički nije značajno 30 slučajeva ili 14 %. Tabela 3. Rezultati korelacione analize K K Korelacija je signifikantna sa nivoom značajnosti Korelacija je signifikantna sa nivoom značajnosti

163 Međutim, ako se posmatra samo korelacija kontrolnih i analiziranih termina može se uočiti: korelacija je signifikantna u 18 od 20 slučaja ili 90 %, i statistički nije značajno 2 slučaja ili 10 % (parametri 2 i 13 deca i mladi, pedofilija i pornografija). Ova anliza pokazuje da je svaka veza između pomenutih parametara i informacione bezbednosti slučajna, tj. da deca i mladi, kao pedofilija i pornografija nisu povezani sa informacionom bezbednošću. Sa druge strane, istraživanje bezbednosnih rizika laboratorije Kasperski [33] pokazuje da su deca najugroženiji korisnici interneta, koji predstavljaju opasnost i za njihove roditelje. Korelacionom analizom su potvrđeni zaključci koji su proistekli iz analize deskriptivne statistike, tj. da su autori analizirane literature, problem informacione bezbednosti razmatrali pre svega kroz podatke i informacije, standarde i bezbednosne politike, rizike, pretnje i ranjivosti (koeficijenti korelacije su približno ili veći od 0,5 što ukazuje na bitnu povezanost), dok sa druge strane, problemima dece i mladih, pornografije i pedofilije, kao i pretnjama sa društvenih mreža nisu pridavali odgovarajući značaj (koeficijenti korelacije su manji od 0,3 što ukazuje na neznatnu povezanost ili su statistički beznačajni). 4. ZAKLjUČAK I PREPORUKE U radu je potvrđena svrsishodnost polazne ideje i cilja istraživanja. U okviru same analize su se izdvojile dve grupe parametara: prvu čine oni najfrekventniji koji pokazuju trenutni trend literature koja se bavi informacionom bezbednošću, dok druga grupa (najmanja frekvencija pojavljivanja) ukazuje na nedostatke iste. Druga grupa parametara (deca i mladi, društvene mreže ) tretira oblast koja je aktuelna i veoma osetljiva u savremenom informacionom društvu, a koja za sada nije prepoznata kao bitna dimenzija informacione bezbednosti. Ovo otvara niz pitanja koja mogu biti predmet nekih budućih istraživanja. Predložena istraživačka metoda primenljiva je i u drugim sferama naučno-istraživačkog rada, a jedna od konkretnih primena bila bi kod praktičnog istraživanja velikog broja grupisanih literatura, članaka i drugih elektronskih publikacija, gde bi traženjem određenih referenci, indeksa, termina ili čitavim iskaza, rečenica, definicija dobili brzi izveštaj sa rezultatima ko je, gde i na kojoj strani to već napisao, objasnio ili citirao. Autori pripremaju još dve slične studije u kojima će takođe biti primenjena sajentometrijska analiza, užeg ali specifičnog sagledavanja informacione bezbednosti, čija će literatura pokrivati oblast digitalne forenzike i informacionih rizika, i to kroz analizu: pojedinačnih članaka, časopisa, zbornika, specijalnih publikacija, knjiga, doktorata, standarda i najbolje prakse. U narednim istraživanjima pored literature na engleskom jeziku, biće posebno obrađena i literatura na srpskom jeziku, radi mogućih kasnijih uporednih analiza. Očekivani efekti od uporedne analize rezultata istraživanja iz tri oblasti: zaštite, rizika i forenzike, su dobijanje dovoljnog broja kvantitativnih pokazatelja koji bi mogli: 1. da pokažu postojanje direktne međusobne zavisnosti, značajnog uticaja i preklapanja između spomenute tri oblasti i 2. da mapiraju najvažnije bezbednosne termine i pojave (tzv. taksonomija informacione bezbednosti) koji bi unapredili ovu oblast, a što je za autore najvažnije, uticali bi i na delimično podizanje svesti o potrebi zaštite podataka, informacija i znanja, kao i druge intelektualne svojine. Konačan cilj je poznat i uvek je isti, poboljšanje trenutno lošeg stanja informacione bezbednosti u Srbiji i edukacija korisnika. 9

164 LITERATURA [1] Magnusson C., Hedging Shareholders Value in an IT dependent Business Society: The framework BRITS, Ph. D Thesis, Department of Computer and Systems Science, University of Stockholm and the Royal Institute of Technology, Stockholm, [2] Cavusoglu H., Cavusoglu H., Raghunathan S., Economics of IT Security Management: four improvements to current security practices, Communications of the Association for Information Systems, Volume 14, pp , [3] Kovacich G., The Information Systems Security Officer s Guide, Establishing and Managing a Cyber Security Program, third edition, Elsevier, [4] Svigals, J., SECURE YOUR INTERNET USE, Xlibri, pp. 13, [5] Zavaraqi, R., Fadaie, G. R., Scientometrics or science of science: quantitative, qualitative or mixed one, [Online] Available: ( ). [6] Garfield, E., Citation Indexing: Its Theory and Application in Science, Technology, and Humanities. New York: John Wiley, [7] Wouters, P., The Citation Culture. Amsterdam: Unpublished Ph.D. Thesis, University of Amsterdam, [8] Price, D. J. de Solla, Networks of scientific papers. Science, 149 (no. 3683), pp , [9] Cole, J. R., & Cole, S., Social Stratification in Science. Chicago/London: University of Chicago Press, [10] Hess, D. J., Science Studies: An advanced introduction. New York: New York University Press, [11] Wilson, C. S., Informetrics. Annual Review of Information Science and Technology. Volume 34, pp , [12] Poornima, A., Surulinathi, M., Amsaveni N., Vijayaragavan M., Mapping the Indian research productivity of food science and technology: A scientometric analysis, Food Biology 1(1), pp , [13] Leydesdorff, L., The Challenge of Scientometrics: The development, measurement, and selforganization of scientific communications. Leiden: DSWO Press, Leiden University, [Online] Available: ( ). [14] Fleischmann, M., Amirpur, M., Benlian, A., Hess, T., Cognitive biases in information systems research: a scientometric analysis, Twenty Second European Conference on Information Systems, Tel Aviv, [15] Robbins S. P., Organizational behavior, Prentice-Hall international, inc, New Jersey, [16] Hasan A., Zahra K., Rasoul N., Susan B., Propose Components of Information Economy: Bibliometric and Content Analysis of Article Abstracts in Scopus and Web of Science, Transylvanian Review, Vol 24, No 4, [17] Lee W. H., How to identify emerging research fields using scientometrics: An example in the field of Information Security, Scientometrics, Vol. 76, No. 3, pp , [18] Stech, F., Heckman, E. K., Hilliard P., Ballo R. J., Scientometrics of Deception, Counter-deception, and Deception Detection in Cyber-space, Psychology Journal, Volume 9, Number 2, pp ,

165 [19] Prasad, D., Content analysis: A method of Social Science Research, In D.K. Lal Das (ed) Research Methods for Social Work, pp , New Delhi: Rawat Publications, [Online] Available: ce_research_in_dk_lal_das_ed_research_methods_for_social_work_pp _new_delhi_rawat_publications_2008 ( ). [20] Morgan, D. L., Qualitative content analysis: A guide to paths not taken. Qualitative Health Research, 3, pp , [21] Haitun, S., Scientometrics: state and outlook (in Rus.). Nauka, Moscow, [22] Protić D., Informaciona bezbednost: standardi ili pravila, Vojno delo, Beograd, 2013, [Online] Available: VD_2013- prolece/ protic.pdf. [23] Milanović, Z., Radovanović R., Informaciona bezbednost ključni problem savremene organizacije, TRANZICIJA I EKONOMSKI KRIMINAL II - TEMATSKI ZBORNIK RADOVA, Kriminalističko-policijska akademija, Beograd, pp , [24] Stojanović G., Pantović V., Standardizacija sigurnosti finansijskih transakcija, Prvi stručni skup Zaštita podataka u računarskim sistemima, Zbornik radova, str , Savez inženjera i tehničara, Beograd, , [25] Marković, N., Razvoj svesti o informacionoj bezbednosti, Međunarodni naučno-stručni skup Informaciona bezbednost, Beograd, [26] Krippendorff, K., Computing Krippendorff s Alpha-Reliability. Annenberg School for Communication Departmental Papers (ASC), University of Pennsylvania, [27] Hayes, A. F., Krippendorff, K., Answering the Call for a Standard Reliability Measure for Coding Data, Communication Methods And Measures, 1(1), pp , [28] Krippendorff, K., Content Analysis: An Introduction to Its Methodology. 2nd ed. Thousand Oaks, CA: Sage Publications especially Chapter 11, pp. 241, [29] Kaynak H., Hartley J., Using replication research for just in time purchasing construct development, Journal of Operations Maagement, 24, pp , [30] Grandzol J., Gershon M., A survay for standardizing TQM modeling research, Int. J. of quality Science, Vol. 3, No. 1, pp , [31] Hair J., Anderson R., Tatham R., Black W., Multivariate Data Analysis, 5 th edition, Prentice Hall Edition, London, [32] Westgard, J. O. Basic Method Validation. Madison, WI: Westgard QC, Inc, [33] Kaspersky, Consumer security risks survey: multi-device threats in a multi-device world, [Online] Available: ( ). 11

166 Sadržaj KRITIČKI PRISTUP INTERNETU STVARI U KIBER PROSTORU DRŽAVA CRITICAL APPROACH TO INTERNET OF THINGS IN THE CYBERSPACE OF THE STATES Miroslav Stevanović 1, Dragan Đurđević 2 1 Bezbednosno-Informativna Agencija 2 Akademija za Nacionalnu bezbednost Apstrakt: Internet stvari je koncept koji nalazi sve širu i masovniju primenu u različitim oblastima života i rada. Predmet članka je analiza izazova koje nekritička primena ovog koncepta može imati na državu i građane. Cilj rada je da se na objektivan način utvrde oblasti u kojima je potrebna normativna intervencija, kako bi se u nacionalnom kiber prostoru, mogla obezbediti zaštita bezbednost građana i države. U tom cilju, bitne odlike Interneta stvari su strukturalno-funkcionalistički analizirane sa aspekta funkcionisanja države u kiber prostoru, kao i ostvarivanja položaja individue. Dobijeni rezultati ukazuju da Internet stvari, iako ne predstavlja veštačku inteligenciju, ima potencijal da bitno utiče na vrednosni sistem i ostvarivanje vrednosnih interesa u državi, kao i da nema izvesnosti da aktuelna praksa uvažava te interese. Nalazi pružaju osnova za zaključak da je neophodno utvrditi pravila implementacije Interneta stvari, u obimu i u okviru u kome država ima nadležnost, pre raširene primene, i u segmentima koji se odnose na autorizaciju korisnika, pristup i korišćenje informacija, kao i transparentnost. Ključne reči:internet stvari, interoperabilnost, standardizacija, autentifikacija, međupovezanost Abstract: The Internet of Things (IoT) is a concept that ever more widely and massively applied in various areas of human life and work. The subject of the article is to analyze the challenges that uncritical implementation of this concept can have on the state and citizens. The aim is to identify areas of objectively necessary regulatory interventions in national cyberspace which would ensure the protection of the security of citizens and the state. To this end, the essential characteristics of the IoT are structural-functionally analyzed, in the aspects of functioning of the state in cyberspace, as well as of the security of individuals. The results show that the IoT, although not an artificial intelligence, has the potential to significantly affect the value system and the realization of the value interests in the country, and that there is no certainty that the current practice upholds those interests. The findings provide a basis for the conclusion that it is necessary to determine rules of implementation of the IoT, to the extent and in the framework in which the state has jurisdiction, before the widespread application in the segments related to user authentication, access and use of information, as well as transparency. Key words: Internet of Things, interoperability, standardization, authentification, interconnectedness 1. UVOD Informacione tehnologije omogućile su, s jedne strane, da se kao učesnici na Internetu, pored ljudi, međusobno povežu i jedinstveno identifikovani objekti (stvari), 3 a sa druge, razmenu podataka između međusobno povezanih ljudi, ljudi i stvari, i stvari u globalnom kiber prostoru. 4 Antropocentrično posmatrano, dve međupovezane globalne mreže (ljudi i Interneta stvari) na globalnoj mreži nužno će uticati na procese upravljanja u organizovanim ljudskim društvima, kao i na mnoge sfere ljudske delatnosti. 1 Doktorand Fakulteta političkih nauka Univerziteta u Beogradu, mstvnv297@gmail.com 2 Profesor strukovnih studija, djurdjevic.dragan@gmail.com 3 Tommasetti, Aurelio; Vesci, Massimiliano; Troisi, Orlando, The Internet of Things and Value Co-creation in a Service-Dominant Logic Perspective, in: Data Management in Pervasive Systems, Colace, Francesco et al. (eds.), Springer, 2015, p Ta razmena podataka iziskuje standardizovan "jezik komunikacije", medijum (Internet vezu) i Internet protokol odgovarajućeg kapaciteta da obuhvati nepredvidiv broj potencijalnih učesnika (IPv6 adresa).

167 Globalna mreža nije veštačka inteligencija i, u funkcionalnom smislu, predstavlja alat, sredstvo i način kojima ljudska vrsta povećava svoje mogućnosti. Da bi, kao takva, doprinela unapređenju kvaliteta života i održivog razvoja, ona iziskuje odgovarajuće normativno uređenje niza oblasti na nivou država, koje su i dalje osnovni oblik organizovanja političkih zajednica. Tako posmatrano, globalne mreže i napredne informacione tehnologije donose nove izazove u pogledu, ne samo bezbednosti mreže, već i zaštite ličnosti i demokratskih vrednosti. Suočavanje sa tim izazovima podrazumeva organizaciju upravljanja novim dimenzijama brzine i količine informacija. Veliki rast broja senzora i korisnika (posebno kroz Internet stvari ) u globalnoj mreži mreža, sve više međusobno uvezanih sistema, ljudi i stvari podrazumeva rast broja tačaka na kojima je moguće neovlašćeno pristupiti sistemu. Takođe, protok informacija u okruženju ovog koncepta nužno postaje dinamičan i promenljiv, 5 zbog čega i percepcija u kiber prostoru postaju sve veći problem. Dodatne izazove, u suočavanju na nacionalnom nivou predstavlja činjenica da ni jedna država nema suverenitet u prostoru decentralizovanih komunikacija, odnosno nad Internetom. 2. PROBLEMI NORMATIVNOG UREĐIVANJA KIBER PROSTORA Danas, učesnici Internet komunikacije postaju vozila, aparati, uređaji, zgrade, objekti infrastrukture i druge stvari, koje na mreži mogu razmenjivati informacije o sebi i okruženju sa drugim stvarima ili ljudima. Ova mogućnost nalazi sve širu primenu u brojnim oblastima ljudskog života i rada. Tako se multiplicira obim učesnika na globalnoj mreži koji su istovremeno potencijalni stvaraoci i korisnici sadržaja i prevazilazi okvire umreženih računara, težeći da postane Internet povezanih stvari. Do kraja godine, anologna vrednost ukupnih digitalizovanih podataka na globalnoj mreži prevazišao je jedan jotabajt (10 na 24). 6 Količina dostupnih podataka, zanemarujući problem njihovog skladištenja, sama po sebi nameće suštinsku praktičnu dilemu kako će se njima upravljati, u smislu obezbeđivanja postizanja racionalne percepcije stvarnosti. Tehnološki posmatrano, Internet stvari omogućava kvalitativne promene ljudskog okruženja, od pametnih staništa i drugih stvari, do boljeg opažanja globalnih prirodnih fenomena. Da bi se taj potencijal ostvario, neophodan je jednoobrazni kod sporazumevanja na međunarodnom nivou. Za istraživanje, razvoj i komercijalizaciju rezultata na ovom polju, međutim, odgovarajuća sredstva i kapacitete imaju isključivo najveće kompanije na tržištu informacionih tehnologija. 7 Ta okolnost dovodi do dve vrste izazova za nacionalne kiber prostore. S jedne strane, postoji objektivan rizik da dominantne kompanije (i države njihovog sedišta) teže da nametnu standardizaciju, 8 što može otežati funkciju država u pogledu ostvarivanja zaštite svojih građana i pravnih poredaka. Sa druge, dominantni učesnici, takođe nastoje da svoj proizvod ili uslugu nametnu kao faktički standard, ali istovremeno mogu nastojati i da ih učine nekompatibilnim sa proizvodima i uslugama drugih učesnika, čime se sužava ili onemogućava izbor. 9 Zaštitu od dominantne pozicije i monopolističkog (ili kartelskog) ponašanja predstavlja interoperabilnost sistema. Kako Internet stvari počiva na velikom broju različitih tehnologija i uređaja čije 5 Minoli, Daniel, Building the Internet of Things with IPv6 and MIPv6: The Evolving World of M2M Communications, New Jersey: Wiley, 2013, p pristup: Cisco - Internet svega, Ericsson - Umreženo društvo, IBM Pametnija Planetu ; Intel Inteligentni sistemi, itd. 8 Riillo, Cesare, Profiles and Motivations of Standardization Players, in: Standards and Standardization: Concepts, Methodologies, Tools, and Applications: Concepts, Methodologies, Tools, and Applications Management Association, Information Resources Management Association (ed.), Hershey: IGI Global, 2015, pp Kim, Sangbae; Hart, Jeffrey, The Global Political Economy of Wintelism: A New Mode of Power and Governance in the Global Computer Industry, in: Information Technologies and Global Politics: The Changing Scope of Power and Governance, Rosenau, James; Singh, N. J. P. (eds.), New York: University of New York Press, pp

168 mogućnosti i upotrebu danas nije moguće naslutiti, bez konsenzusa o transparentnom, otvorenom kodu i o pravilima ponašanja učesnika, standardizacija predstavlja izazov za države. Mnoga tehnološka rešenja Interneta stvari mogu biti od značaja za privatnu (napr. praćenje stanja pacijenata, bankovnih računa) i za javnu sferu (napr. praćenje kritične infrastrukture, saobraćaja). Imajući u vidu da se mogu odnositi na informacije osetljivog karaktera, za pitanja bezbednosti informacionih sistema, na kojima se zasniva Internet stvari, su značajna za svaku državu. Rastuća potreba za podacima, brz protok informacija i masovna upotreba informacionih tehnologija zahtevaju funkcionalne modele zaštite podataka o ličnosti građana. Država, kao jedan od najvećih potrošača i investitora na svojoj teritoriji, a ujedno i odgovorna za bezbednost građana i zajednice, može direktno favorizovati određene karakteristike funkcionisanja Internata stvari u nacionalnom kiber prostoru, pre svega u pogledu unapređivanja transparentnosti, a time i zaštite ličnosti i poverenja građana. 10 Način na koji će biti izgrađivan sistem poverenja zavisi od zakonodavca. Danas većinu digitalizovanih podataka na Internetu još uvek proizvode ljudi, kao učesnici. Internet stvari, kao koncept, obuhvata nezavisnost od informacija i ljudi. 11 Stvari, kao učesnici, dobijaju senzore i/ili aktuatore koji se mogu koristiti za prikupljanje podataka, kao i za nadgledanje i kontrolisanje njihovih okruženja, a prikupljeni podaci mogu se obrađivati lokalno i mogu biti poslati na centralizovane servere ili oblak radi čuvanja i obrade. 12 Internet stvari je sredstvo digitalizacije stvarnosti, a digitalizacija se mopže koristiti za personalizaciju, čime se povećava količina raspoloživih podataka o ponašanju pojedinaca. Sistemi za prikupljanje i obradu su koncipirani tako da se spreči gubitak ili oštećenje podataka, dok uredjaji vremenski neograničeno prate i pohranjuju informacije, zbog čega, s obzirom na uplitanje u privatnu sferu, pa čak i telesni integritet pojedinaca ili stanovništva, postoji rizik od zloupotrebe Interneta stvari za prismotru u realnom vremenu. 13 Neograničena dostupnost utiče i na individualno kognitivno procesuiranje, tako što kod korisnika dovodi do tendencije, da zbog te pogodnosti zaboravljaju informacije. 14 Stoga, primena tehnologije, koja po prirodi nije dovoljno fleksibilna i ne uči na greškama, mora biti pravno uređena i funkcionalno alocirana da bi se obezbedila zaštita ličnosti. Dosadašnji metodi zaštite informacione bezbednosti su neadekvatni za sistem kakav bi predstavljao Internet stvari. Kiber napadi, poput uskraćivanja servisa, neautorizovanog pristupa, kontrola nad uređajem radi ubacivanja korumpirane informacije i upravljanja stvarima, za razliku od njihovih posledica danas, predstavljali bi rizik za ceo sistem, 15 zato je važno da se anticipiraju pre implementacije Interneta stvari. Bezbednost, kao politička vrednost, danas obuhvata individualne i društvene sisteme vrednosti, u objektivnom smislu, kao izraz odsustva pretnji za određene vrednosti, a u subjektivnom, odsustva percepcije da će biti ugrožene. U međunarodnom sistemu, bezbednost predstavlja ishod procesa društvene i političke interakcije, u kojima su neophodni društvene vrednosti i norme, kolektivni identitet i kulturna tradicija, te je sa aspekta učesnika uvek intersubjektivna. 16 Nove neizvesnosti, asocirane sa globalnom 10 Kummer, Markus; Seidler, Nicolas, Internet and Human Rights: The Challenge of Empowered Communities, in: Human Rights and Internet Governance - MIND 4, Kleinwächter, Wolfgang (ed.), Berlin: Internet & Gesellschaft Collaboratory, 2012, p Ashton, Kevin, That 'Internet of Things' Thing, RFID Journal, June 22, pristup: Dogan, Ibrahim, Internet stvari, Beograd: EHO, Bibri, Simon Elias, The Shaping of Ambient Intelligence and the Internet of Things: Historico-epistemic, Sociocultural, Politico-institutional and Eco-environmental Dimensions, Amsterdam: Atlantis Press, 2015, p Lagemaat, Richard van de, Theory of Knowledge for the IB Diploma, 2nd Edition, Cambridge: Cambridge University Press, 2015, p Dhanjani, Nitesh, Abusing the Internet of Things: Blackouts, Freakouts, and Stakeouts, Sebastopol CA: O'Reilly, p Alexander Wendt, Anarchy Is what States Make of It: The Social Construction of Power Politics, International Organization, 46:2/1992, pp

169 mrežom, ne potiču od nosilaca koji se mogu sprečiti merama represije i političkim merama. Njih odlikuje postojanje društvenih rizika, koji generišu drugačiji tip izazova, usled čega bezbednost prevazilazi situaciju bez (percepcije) opasnosti, a uslov upravljanja postaje unapred obezbeđenje od rizika, tehnikama upravljanja rizicima. Zbog usmerenja na osiguranje od apstraktnih opasnosti, bezbednost postaje opšta društvena ideja o vrednosti i univerzalni normativni koncept, koji se na nacionalnim nivoima primenjuju sa drugačijim značenjima. 17 U tom kontekstu, države su suočene sa potrebom međunarodnog konsenzusa na dva nivoa: prvo, određenja pretnji, izazova, ranjivosti i rizika globalne mreže mreža, kako bi se legitimisale političke mere usmerene na ostvarenje usaglašenih ciljeva; i drugo, sistematizacije zajedničkih pretnji, izazova, ranjivosti i rizika vojne, diplomatske, ekonomske, društvene i interese životne sredine, kao i za bezbednost ljudi, hrane, zdravlja, energije i uslova života. 18 U tom smislu, implementacija Interneta stvari u kiber prostoru države podrazumeva ex ante percepciju rizika, koja mora da obuhvati probleme vrednosnih posledica nadzora, količine, pristupa i skladištenja podataka, troškova Internet bezbednosti, javne kontrole i upravljanja podacima. 19 Na međunarodnom planu, u kiber prostoru zaštitu uživa bezbednost ličnosti, kao vrednost u okviru koncepta nacionalne bezbednosti, kroz dva procesa. Prvi je pravna delegitimizacija nekontrolisane upotrebe ličnih podataka, poput zabrane njihovog slanja u države koje ne obezbeđuju odgovarajuću zaštitu privatnosti. 20 Objavljivanje podataka na Internetu, međutim, ne smatra se slanjem informacija u drugu državu, iako je pristup globalan, odnosno dostupan i državama u koje se takvi podaci ne bi smeli slati. Drugi je vezan za obradu ličnih podataka i zaštitu poverljivosti komunikacija, poput zahteva da se garantuje poverljivost komunikacija usvajanjem nacionalnih propisa kojima se zabranjuje neovlašćeno prisluškivanje, priključivanje, čuvanje ili na drugi način presretanje komunikacija, a pojedinac ima pravo da budu izostavljan iz štampanih ili elektronskih telekomunikacionih direktorijuma. 21 Konkrene mere svode se na obaveze operatera da objave informaciju vezane za korišćenje ličnih podataka, uključujući o tome, koji će informacije biti obrađivane, da li se nadzire lokacija i rizike po privatnost i zaštitu podataka. Ove direktive se ne primenjuju kada se radi o interesima javne bezbednosti, odbrane ili gonjenja za krivična dela, što je posledica kompromisa između interesa zaštite integriteta ličnosti i potrebe da se obezbedi okruženje, spreči izvršenje krivičnog dela, ili uhvate izvršioci. Kada se, pak, radi o mogućim pretnjama za nacionalnu bezbednost, države su sklone da ova ograničenja tumače veoma usko. Internet stvari dodatno usložnjava problem zaštite privatnosti, tako što dovodi do neuporedivo šireg i autonomnijeg obima komunikacija, što pred države postavlja problem da, uz zaštitu vrednosnog sistema zasnovanog na pojedincu, definišu i standarde od interesa za svoju odbranu i bezbednost. 3. CILJEVI UREĐENJA NACIONALNE INFRASTRUKTURE INTERNETA STVARI Primena koncepta Interneta stvari obuhvata strategije interdisciplinarnog pristupa projektovanju, realizaciji i upravljanju složenim sistemima, koji u interakciji stvaraju novu dimenziju virtuelnog 17 Makropoulos, Michael, Sicherheit, in: Historisches Wörterbuch der Philosophie, Volume 9, Ritter, Joachim; Grunder, Karlfried (eds.), Basel: Schwabe Verlag, 1995, s Brauch, Hans Günter, Concepts of Security Threats, Challenges, Vulnerabilities and Risks, in: Coping with Global Environmental Change, Disasters and Security: Threats, Challenges, Vulnerabilities and Risks, Brauch, H.G. et al. (eds.), Berlin/Heidelberg: Springer, 2011, p Patil, Sunil et al., Public Perception of Security and Privacy: Results of the comprehensive analysis of PACT's pan-european Survey, Santa Monica: Rand Corporation, Directive 95/46/EC of the European Praliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal L 281, 23/11/ Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector, Official Journal L 201, 31/07/

170 okruženja. Međutim, trenutne inženjerske prakse uvode sisteme koji još nisu potpuno strukturno okarakterisani, niti se njihovo funkcionisanje može u potpunosti predvideti. Internet stvari uključuje aspekt poverenja, etički okvir poverenja stvara odgovornost državi, kao dominantnoj organizacionoj formi političkih zajednica, da obznani željene norme i standarde i da ih ugradi u okvir poverenja. Oblast epistemologije, kad se radi o tehnologiji, suočava se sa potrebom novog pristupa, jer znanje nije samo društveni fenomen, već i tehnološki. Etičko poverenje u mogućnosti koje donosi Internet stvari, kao neophodnost, nameće obavezu zakonodavcu i predstavnicima vlasti da predoče sve dobre iloše stvari okvira nove tehnologije. 22 Razvoj Interneta stvari u praksi daje osnova za pretpostavku, da će upotrebna moć računarstva, sve više biti uključena u svakodnevni život. To što, usled toga, životno okruženje može postati kvalitetnije, ili pogoršano, čini filozofski posmatrano, suštinu Interneta stvari. Stvari prestaju da budu nezavisni objekti, nezavisnih subjekata i postaju ono, što se subjektu predstavlja, a sa druge strane: postaje ono što se nadzire, kontroliše, itd. Stoga, nužno se menja i filozofska paradigma normativnog poretka, koja mora da obuhvati i međusobne odnose između subjekata i objekata. Posledice promene paradigme mogu se naslutiti u pogledu automatizacije staništa, brige o starima, nadzora nad decom, organizacije života u gradovima itd, ali se postavlja i pitanje posledica zakonodavnog uplitanja kroz tumačenje sa kojom opštom normom se regulativa uskladjuje, odgovor se mora naći u etičkom okviru. 23 Konceptualno ostvarivanje Interneta stvari daleko je od punog i neophodnog uključivanja svih usluga i tehnologija koje se spajaju, već je orijentisano na obezbeđivanje integrisanih rešenja, a pre svega na odliku koja omogućava spajanje - interoperabilnost. Ova orijentacija, semantički posmatrano, upravljanje uslugama širokog obima trenutno stavlja u prvi plan Interneta stvari. 24 Normativno uređenje Interneta stvari, osim pitanja šta je dobro, a šta pogrešno u individualnom i društvenom ponašanju, mora da obuhvati i aksiološki aspekt, odnosno novu estetiku koju nameću posledice primene Interneta stvari. 25 Broj uređaja i senzora na mreži, koji potencijalno čine Internet stvari, u konekciji sa milionima uređaja i opreme koju instaliraju i proizvode različiti proizvođači, navodi na zaključak da je naizgled, nemoguće ostvariti bezbednost. Zato su nadzor, upravljanje i bezbednost Interneta stvari oblasti koje iziskuju dodatne troškove. Radi se o praktičnom obezbeđivanju protoka u kome podatak koji je usmeren u bilo kom pravcu, dovedi do reakcije samo onog korisnika koji je programiran da ga primi, odnosno o funkcionalnosti samog sistema, pre svega u pogledu identiteta primaoca. Poseban problem, sa aspekta garantovanja bezbednosti isporuke, predstavljaju osetljive aplikacije, za vlade, službe bezbednosti i finansije, što predstavlja neposredni izazov sa kojim se države moraju suočiti. Prvi i najneposredniji nivo zaštite je kombinacija markera i klasifikacija prijemnika. Zahtevi koji se postavljaju pred mrežu se ogledaju u tri aspekta komunikacije između samih uredjaja: reakcija u realnom vremenu, determinističke performanse, i bezbednost. Radi se o tome da, s jedne strane, postoji trend intenzivne primene bezbednosnih kamera i senzora u cilju povećanja stepena javne bezbednosti i nacionalne sigurnosti, a s druge strane, upravljanje njihovom primenom treba da ispuni kriterijum privatnosti podataka i bezbednosti ličnosti. Kao racionalno rešenje, u literaturi se zagovara obezbeđivanje integracione funkcije 22 Freiman, Ori, Towards the Epistemology of the Internet of Things: Techno-Epistemology and Ethical Considerations Through the Prism of Trust, International Review of Information Ethics, 22:12/2014, p. 6; takođe, McCraw, Benjamin, The Nature of Epistemic Trust, Social Epistemology, 29:4/2015, pp Haarkötter, Hektor; Weil, Felix, Editorial, International Review of Information Ethics, 22:12/2014, p Serrano, Martín et al., Executive Summary, in: IoT Semantic Interoperability: Research Challenges, Best Practices, Recommendations and Next Steps, Serrano, Martín et al. (eds.), Brussels: European Research Cluster on the Internet of Things/European Commission, 2015, p Bibri, Simon Elias, The Shaping of Ambient Intelligence and the Internet of Things: Historico-epistemic, Sociocultural, Politico-institutional and Eco-environmental Dimensions, Amsterdam: Atlantis Press, 2015, p

171 na lokalnom nivou, budući da će sami uređaji imati pristup mnogo širem krugu uređaja. 26 Pojedinačne sisteme koji se odnose na kontrolu klauda u zdravstvu, energetici, transportu, proizvodnji, obrazovanju, razvijaju uglavnom kompanije, rezultat toga je potreba za uspostavljanjem standarda kod definisanja grupa, autorizacije i autentifikacije. 27 U uslovima kada društvo i globalna mreža postaju kompleksniji, izloženi novim rizicima i pretnjama, a time i ranjiviji, ugrožavajući nacionalna i javnu bezbednost, donošenje pravne regulative, postaje sve urgentniji zahtev. Internet stvari se po rasprostranjenosti može protezati kroz niz poslovnih i vrednosnih domena, uključujući i otvoreno okruženje. 28 Zato je potrebno da se kroz odgovarajuće standarde tehnoloških rešenja omogući poverenje korisnika u bezbednost na mreži mreža. To iziskuje uređenje pravila, kojima se garantuje anonimnost privatnih podataka, ali i pravila o neophodnom obimu pristupa podacima i informacijama nadležnih za nacionalnu i javnu bezbednost. Nacionalna bezbednost, pred infrastrukturu Interneta stvari postavlja, osim poverenja, i zahteve u pogledu zaštite procesa odlučivanja u državi. Eksponencijalni rast uređaja koji prikupljaju statistike za procese automatskog odlučivanja ograničavju ljudsku intuiciju, otuda potreba da se zaštite osnovne komponente odlučivanja: prikupljanje podataka; prenos podataka i analiza podataka. Neizvesno je da li će automatizam nekih odluka omogućiti uklanjanje heurističkog metoda odlučivanja, ili će samo biti usko grlo procesa odlučivanja, ali je izvesno, da bezbednosni aspekt odlučivanja, dodatno usložnjava rizik od većih mogućnosti hakovanja i konektivnosti. 29 Međupovezanost na mreži nameće niz pitanja oko uređenja bezbednosti same mreže kao što su: nadzor, kontrola, pribavljanje podataka, distribuiranih kontrolnih sistema i drugih sistema koji obavljaju kontrolnu funkciju. Činjenica je da kompanije lansiraju svoje bezbednosne inovacije, ali je sporno koliko one imaju interes i domet da obuhvate sve izazove koje Internet stvari nameće pred države, tim pre što imaju prvenstveno komercijalni interes. 30 Bezbednost obuhvata uređenje tačke ulaza u mrežu operatora, gde se obezbeđuje autentifikacija, kao i manipulaciju podatkom koji se unosi, poput sertifikata za prolaz koji izdaje operater kojim se validira korisnik. 31 Kako se radi o oblasti u koju korisnici nisu dužni da se razumeju, zaštita se mora obezbeđeni unapred i automatski. Otuda, aspekti kao što su poverljivost, integritet i autentifikacija, moraju biti obuhvaćeni u fazi inicijalnog uspostavljanja centralizovanih rešenja. 32 Javna administracija obavlja brojne funkcije ustanovljene zakonom. Neki kiber sistemi imaju potencijal da optimizuju korišćenje procesorskih i memorijskih resursa, poput virtuelizacije (izvođenje aplikacija van hardvera), klaud tehnologije (zasnovane na virtuelizaciji), i omogućavaju deobu resursa između 26 Costa, Francis da, Rethinking the Internet of Things: A Scalable Approach to Connecting Everything, New York: Apress, 2013, p Bahga, Arshdeep; Madisetti, Vijay, Internet of Things: A Hands-On Approach, Atlanta: VPT, 2014, p Holler, Jan et al., From Machine-to-Machine to the Internet of Things: Introduction to a New Age of Intelligence, Oxford/Waltham: Academic Press, 2014, p Kellmereit, Daniel; Obodovski, Daniel, The Silent Intelligence: The Internet of Things, New York: DnD Ventures, Behmann, Fawzi; Wu, Kwok, Collaborative Internet of Things (C-IoT): For Future Smart Connected Life and Business, London/New Jersey: John Wiley & Sons, 2015, p Vermesan, Ovidiu; Friess, Peter, Internet of Things: Converging Technologies for Smart Environments and Integrated Ecosystems, Aalborg: River Publishers, 2013, p Rita, Maria et al., 6TiSCH Wireless Industrial Networks: Determinism Meets IPv6, in: Internet of Things: Challenges and Opportunities, Mukhopadhyay, Subhas Chandra (ed.), Dordecht: Springer, 2014, p. 129; takođe, Fazio, Maria et al., An Integrated System for Advanced Multi-risk Management, in: Advances onto the Internet of Things: How Ontologies Make the Internet of Things Meaningful, Gaglio, Salvatore; Lo Re, Giuseppe (ed.), Dordecht: Springer, 2013, p

172 različitih administrativnih entiteta. 33 Hostovanje resursa državnih organa na klaudima koji su izvan institucionalne i demokratske kontrole predstavlja izazov sa aspekta nacionalne bezbednosti. Drugi problem je funkcionalni izazov koji proističe iz opšteprisutnosti i trenutne dostupnosti infrastrukturnog okruženja koje podrazumeva Internet stvari, kroz klaud računarstvo koje je fleksibilno, svuda primenjivo, u nauci, zdravstvenoj zaštiti, ekonomiji i svakodnevnom životu." 34 Sigurniji i privatniji Internet postaje pravni problem koji je teško uređivati ex post. Naime, pravni problem sa kojim se na planu nacionalne bezbednosti suočavamo, je vrednosno normiranje međupovezanih mreža koje, prema nekim procenama do godine moći u realnom vremenu da povežu 50 do 100 milijardi objekata, 35 odnosno svakoga i virtuelno sve. Ova sposobnost nužno će uticati na osnovne komunikacione norme današnjice, koje su humanocentrične, na način koji je teško predvideti. Entiteti koji autonomno deluju u ime drugih korisnika ili programa mogu da modifikuju način ostvarivanja ciljeva. 36 U kontekstu servisno orijentisane arhitekture mreže, izazov za države predstavlja to što veštačka inteligencija omogućava rešavanje nekih konkretnih problema, odnosno odlučivanje, pri čemu pozicionira fizičke i virtualne entitete da autonomno ostvaruju ciljeve i zadatke, što predstavlja rizik za javne poslove i privatnost u određenim oblastima, posebno u zdravstvu. 4. USPOSTAVLJANJE MEĐUNARODNOG VREDNOSNOG PORETKA INTERNETA STVARI Umrežavanje različitih tehnologija i domena, u dizajniranju arhitektura međupovezanih objekata, generiše izazove u pogledu upravljivosti, bezbednosti i privatnosti. Posebno se ističe bezbenosni aspekt primene senzora u hemiji, biologiji, radiologiji i nuklearnom sektoru, zbog čega se obrazuju posebna tela koja se bave mrežnom i informativnom bezbednošću na međunarodnom planu, poput Evropske agencije za mrežnu i informacionu bezbednost (European Network and Information Security Agency). S druge strane, u velikim gradovima se razvijaju sistemi nadzora, 37 koji, sa aspekta vrednosnih izazova međupovezanosti, predstavljaju izazov zbog uvezivanja u svrhu vojnog nadzora, 38 odnosno potencijalnih posledica militarizacije urbane arhitekture, a u širem smislu i zbog ogromnog broja aplikacija, dobavljača i interesnih grupa, postojeće standarde teško prilagoditi, kako bi ceo sistem bio interoperabilan. 39 Interoperabilnost je, sama za sebe, posebna oblast rizika iz dva razloga: zbog disonance između zahteva upravljanja i inženjerstva, s jedne, i percepcije odlučilaca i praktične primenljivosti za koje razvijeni obrasci ne obezbeđuju pouzdano rešenje, s druge strane. Čini se da je bezbednost, posmatrana izolovano, protivna ideji interoperabilnosti, koja teži globalnoj inkluzivnosti i tako globalizuje i izazove. 40 Pitanje nacionalnih i međunarodnih politika, upravljanja Internetom iz ugla očuvanja suvereniteta, odnos 33 Beltrame, Francesco; Dagostino, Virginia, Advances in Internet of Things as Related to the e-government Domain for Citizens and Enterprises, in: Advances onto the Internet of Things: How Ontologies Make the Internet of Things Meaningful, Gaglio, Salvatore; Lo Re, Giuseppe (ed.), Dordecht: Springer Science & Business Media, 2013, pp Neelie Kroes, Creating tomorrow's Internet, Speach at "Launch of Future Internet Labs", London, 3 September 2013, European Commission, p Becker, Albrecht; Sénéclauze, Grégoire; Purswani, Purshottam; Karekar, Sudharma; Internet of Things, AtosWhite Paper, 2013, p ( ). 36 Talia, Domenico, Towards Internet Intelligent Services Based on Cloud Computing and Multi-agents, in: Advances onto the Internet of Things: How Ontologies Make the Internet of Things Meaningful, Gaglio, Salvatore; Lo Re, Giuseppe (ed.), Dordecht: Springer Science & Business Media, 2013, p Pristup: ; Pristup: Ovidiu, Vermesan et al., Building the Hyperconnected Society: Internet of Things Research and Innovation Value Chains, Ecosystems and Market, Vermesan, Ovidiu; Friess, Peter (eds.), Aalborg: River Publishers, 2015, p Minoli, Daniel, Building the Internet of Things with IPv6 and MIPv6: The Evolving World of M2M Communications, London/New Jersey: John Wiley & Sons, 2013, p Waher, Peter, Learning Internet of Things, Birmingham/Mumbai: Packt Publishing, 2015, p

173 kiber prostora i ljudskih prava, otvorilo se nakon otkrića koja je Edvard Snouden obznanio o kampanji masovnog nadzora Agencije za nacionalnu bezbednost SAD. Kiber odbrana je u ušla u strategiju NATO godine, povod su bila iskustva odbrane u kiber prostoru protiv akcija ove organizacije tokom ilegalnog bombardovanja Jugoslavije godine (posebno Radio-televizije Srbije, čija je zgrada sedišta bombardovana). NATO, članicama i partnerskim državama nudi različite mehanizme "upravljanja krizom" i pomoć da se ojačaju nacionalne sposobnosti kiber odbrane, čime države članice uvodi u jednoobrazni, praktično kolektivni, mehanizam kiber odbrane vrednosti na kojima počiva sama organizacija: sloboda, zajednička baština i civilizacija njihovih naroda. 41 Pitanja normativnog uređenja nacionalnog kiber prostora su, u okviru Saveta bezbednosti i drugim telima UN samo površno dotaknuta i, za sada, nema naznaka da se u okviru međunarodne organizacije radi na integrisanom i zajedničkom postizanju održavanja kiber bezbednosti. Kiber prostor se, naime, često predstavlja kao vanpravni domen i konceptualizuje kao otvoren i decentralizovan. Međutim, izveštaj grupe vladinih eksperata UN potvrđuje da se međunarodno pravo, u kontekstu međunarodne bezbednosti, a posebno Povelja UN, odnosi i na kiber prostor, da se suverenitet, međunarodna pravila i načela primenjuju nad ICT infrastrukturom na teritoriji države. 42 U vrednosnom smislu, kiber prostor se može percipirati u dve ravni. S jedne strane, predstavlja globalni domen u okviru informacione sredine čiji je karakter uokviren korišćenjem elektronike i elektromagnetnog spektra da se stvore, čuvaju, obradjuju, razmenjuju i koriste informacije posredstvom nezavisnih, međupovezanih mreža koristeći tehnologije informacionih komunikacija. 43 S druge, radi se o međupovezanoj mreži infrastrukture informacionih tehnologija i obuhvata Internet, telekomunikacione mreže, kompjuterske sisteme i ugrađene procesore i kontrolore u kritičnim industrijama, 44 koja u opštoj upotrebi obuhvata i virtuelno okruženje informacija i interakcije između ljudi. Mogu se uočiti tri nivoa kiber prostora: fizički (kompjuteri, integralna kola, kablovi, komunikaciona infrastruktura i sl); softverska logika; i paketi podataka i elektronike. 45 U tom prostoru, paralelno se odvijaju proces teritorijalizacije kiber prostora i kiber aktivnosti, u smislu teritorijalne nadležnosti i ovlašćenja, kao i deteritorijalizacije, u smislu izvlačenja regulatorne nadležnosti sa određenih teritorija. 46 Kako kiber prostor prožima svaki aspekt modernog društva i predstavlja ujedno domen i medijum kojim se sprovode, ostvaruju aktivnosti u oblasti ekonomije, javne bezbednosti, građanskog društva i nacionalne bezbednosti, 47 države imaju interes da mreže koje podržavaju njihovu nacionalnu bezbednost i ekonomski prosperitet budu sigurne i otporne. Kao primeri neprijateljske upotrebe Interneta na međunarodnom nivou u literaturi se navode primeri Estonije, koja je godine bila predmet masovnog koordiniranog hakovanja koji je zaustavio 41 Ziolkowski, Katherina, NATO and Cyber Defence, in: Research Handbook on International Law and Cyberspace, Tsagourias, Nicholas; Buchan, Russell (eds.), heltenham/northampton: Edward Elgar Publishing, 2015, p UN General Assembly, Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, UN doc. A/68/98 (24 June 2013), paras Kuehl, Daniel, From Cyberspace to Syberpower: Defining the Problem, in: Cyberpower and National Security, Kramar, Franklin; Starr, Stuart; Wentz, Larry (eds.), National Defence University Press, 2009, p National Security Presidential Directive 54; isto Homeland Security Presidential Directive 23 (NSPD-54/HSPD 23). 45 Tobanksy, Lior, Basic Concepts in Cyber Warfare, Military and Strategic Affairs, 3:1/2011, pp Brolmann, Catherine, Deterritorializating International Law: Moving Away from the Divide between National and International Law, in: New Perspectives on the Divide between National and International Law, Nijman, Janne; Nollkaemper, Andre (eds.), Oxford: Oxford University Press, 2007, pp Primer je Internet korporacija za dodelu imena i brojeve (ICANN) inkorporirana u pravni poredak SAD, ugovorom sa Sekretarijatom privrede, ali je samostalno odgovorna za održavanje bezbednog, stabilnog i interoperabilnog Interneta. 47 The White House, Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastructure,

174 privredu, rad administracije nedeljama i kompjuterskog virusa "Stuxnet" koji je godine izazvao značajan zastoj u razvoju nuklearnog programa Irana. 48 Masovna proizvodnja digitalnih sadržaja stvara preduslove za obimno javno i privatno memorisanje, obradu, analizu, korišćenje i nadzor, koji dovode do inicijativa za pristup i pretragu kako za komercijalne, procesne tako i za interese nacionalne bezbednosti. Zaštita privatnosti, kiber kriminal i špijunaža, usložnjavaju zaštitu Interneta i podataka od neovlašćenog pristupa i eksploatacije. Države, ponekad, sadržaj na Internetu ograničavaju i cenzurišu bez pravnog osnova ili na osnovu širokih i nejasnih propisa, bez opravdanja ili potrebe. U oblasti izražavanja primenjuju se mere, kao što su: blokiranje ili filtriranje sadržaja, uključujući i sajtove društvenih medija; kriminalizovanje političkog, društvenog ili religioznog sadržaja; nametanje odgovornosti ISP koji hostuju ili propuste da blokiraju ilegalni sadržaj; diskonektovanje korisnika; kiber napadi na Internet sajtove; nadzor online aktivnosti; manipulacije online komunikacijama; širenje dezinformacija Legitimne svrhe ovih mera predstavljaju nadzor radi krivičnog gonjenja, kontra-obaveštajni rad, potrebe nacionalne bezbednosti, dok proceduralni zahtevi podrazumevaju pravni osnov za nadzor, odobrenje za sprovođenje nadzora (napr. nalog suda) i neophodnost nadzora, odnosno ugrožavanje privatnosti proporcionalno cilju. U tom smislu se nameće potreba zaštite poverljivih informacija i nacionalne infrastrukture od transnacionalnih pretnji za zajedničke vrednosti međunarodne zajednice, 50 pre svega kroz strateški pristup. Obezbediti da krajnji uređaj može da se poveže sa mrežom, a da su ostali onemogućeni, nametnulo je potrebu definisanja nacionalnih standarda interoperabilnosti koji se, čini se, moraju rešavati u lokalnoj mreži. 51 Širi broj učesnika i komunikacija mogu da ugroze vrednosni sistem društava. 52 Izvršne vlasti država ne mogu same da obezbede nacionalni kiber prostor, ali za to imaju odgovornost. Da bi se suočile sa potencijalnim rizicima, one nužno moraju da normativno utvrde kontrolu rizičnih sektora sa kojima u dodir dolaze građani, privreda, javna administracija, ali i svi učenici koji narušavaju osnovne vrednosti društva. 53 To dovodi do problema linije odbrane, ograničavanja učesnika i širenja bezbednosnih modela. Proces donošenja odluka, danas, podrazumeva problem percepcije i ljudskog kapaciteta da se uoče detalji; kao i moći, koja sada prolazi kroz preformulisanje, kao mekana moć i obuhvata istraživačke centre i kompanije, 54 ali i redefinisanje spoljnopolitičkih ciljeva, u smislu ograničenja, zaštite privatnosti i pristupa. 48 Buchan, Russell, Cyber Attacks: Unlawfull Uses of Force or Prohibited Interventions?, Journal of Conflict and Security Law, 17:2/2012, pp UN Human Rights Council, Report of the Repporteur on the Promotion and Protection of the Right to Freedom of Opinion and Expression, UN dok A/HRC/17/27 (16 May 2011), para. 24; isto, Human Rights Committee, General Comment 34 on Article 19: Freedom of Opinion and Expression, UN dok. CCPR/C/GC/34 (12 September 2011), paras Buchan, Russell, Cyber Espionage in International Law, in: Research Handbook on International Law and Cyberspace, Tsagourias, Nicholas; Buchan, Russell (eds.), heltenham/northampton: Edward Elgar Publishing, 2015, p Masek, Pavel; Muthanna, Ammar; Hosek, Jiri, Suitability of MANET Routing Protocols for the Next-generation National Security and Public Safety Systems, in: Internet of Things, Smart Spaces, and Next Generation Networks and Systems, 15th International Conference, NEW2AN 2015, and 8th Conference, rusmart 2015, St. Petersburg, Russia, August 26-28, 2015, Proceedings, Balandin, Sergey; Andreev, Sergey; Koucheryavy, Yevgeni (eds.), Dordecht: Springer, 2015, pp Dunn Cavelty, Myriam, Is Anything Ever New? - Exploring the Specificities of Security and Governance in the Information Age, pp U tom smislu, Đurđević, Dragan; Stevanović, Miroslav, Problemi sa kojima se suočava IT sektor u borbi protiv pranja novca u Srbiji, FBIM Transactions 3:1/2015, p Hart, Jeffrey, Information and Communications Technologies and Power, in: Cyberspaces and Global Affairs, Perry, Jake; Costigan, Sean (eds.) Aldershot/Burlington: Ashgate Publishing, 2013, pp

175 5. ZAKLJUČAK Trendovi pristupa, dostupnosti, brzine i rekurzivne jednostavnosti imaju implikacije na odnose između ljudi u smislu ovlašćenja individue i u organizaciji državne dimenzije. Potencijalne vrednosne izazove Interneta stvari koje bi trebalo normativno urediti u suočavanju sa društvenim rizicima koje sa sobom nosi primena Interneta stvari nije moguće utvrditi sasvim pouzdano. Ono što je izvesno je da ovi izazovi potiču od aplikacije nove dimenzije brzine, količine informacija i učesnika u kiber prostoru. Odgovornost država prema građanima i njihova uloga u međunarodnoj zajednici, nalažu odgovoran pristup, najmanje u pogledu zaštite privatnosti i transnacionalnih pretnji. To podrazumeva da bi oblast Interneta stvari trebalo da bude predmet nacionalne strategije informacionog razvoja, na osnovu koje bi bilo moguće normativno uređenje nacionalnog kiber prostora, bar u segmentu standardizacije, međupovezanosti i kontrole mreže. Iz odgovornosti javne vlasti za poverene poslove, proističe da deo vrednosnih ciljeva, u pogledu dostupnosti podataka, prava ličnosti i zaštite nacionalnog kiber prostora, mora biti obuhvaćen strategijom nacionalne bezbednosti, a normativno uređenje ovih pitanja podrobno uređeno. Prilagođavanje potrebama i izazovima u kiber prostoru iziskuje osposobljavanje nosilaca javnih poslova za primenu koncepta Interneta stvari. To obuhvata stručno osposobljavanje korisnika na svim nivoima javne administracije za bezbedno učešće u kiber prostoru i razvijanje kritičke svesti o dometima i rizicima Interneta stvari. Pravno uređivanje parametara nužno je pre primene novih tehnologija, budući da je zbog izražene globalne inkluzivnosti kiber prostora skoro nemoguće vršiti njegovo naknadno regulisanje bez štete po međupovezane učesnike, a sa posledicama koje su trenutno nesagledive. LITERATURA: 1. Minoli, Daniel, Building the Internet of Things with IPv6 and MIPv6: The Evolving World of M2M Communications, New Jersey: Wiley, 2013, p pristup: Kummer, Markus; Seidler, Nicolas, Internet and Human Rights: The Challenge of Empowered Communities, in: Human Rights and Internet Governance - MIND 4, Kleinwächter, Wolfgang (ed.), Berlin: Internet & Gesellschaft Collaboratory, 2012, p Ashton, Kevin, That 'Internet of Things' Thing, RFID Journal, June 22, pristup: Dogan, Ibrahim, Internet stvari, Beograd: EHO, Dhanjani, Nitesh, Abusing the Internet of Things: Blackouts, Freakouts, and Stakeouts, Sebastopol CA: O'Reilly, p Alexander Wendt, Anarchy Is what States Make of It: The Social Construction of Power Politics, International Organization, 46:2/1992, pp Makropoulos, Michael, Sicherheit, in: Historisches Wörterbuch der Philosophie, Volume 9, Ritter, Joachim; Grunder, Karlfried (eds.), Basel: Schwabe Verlag, 1995, s Bibri, Simon Elias, The Shaping of Ambient Intelligence and the Internet of Things: Historicoepistemic, Socio-cultural, Politico-institutional and Eco-environmental Dimensions, Amsterdam: Atlantis Press, 2015, p Costa, Francis da, Rethinking the Internet of Things: A Scalable Approach to Connecting Everything, New York: Apress, 2013, p Bahga, Arshdeep; Madisetti, Vijay, Internet of Things: A Hands-On Approach, Atlanta: VPT, 2014, p

176 12. Holler, Jan et al., From Machine-to-Machine to the Internet of Things: Introduction to a New Age of Intelligence, Oxford/Waltham: Academic Press, 2014, p Kellmereit, Daniel; Obodovski, Daniel, The Silent Intelligence: The Internet of Things, New York: DnD Ventures, Behmann, Fawzi; Wu, Kwok, Collaborative Internet of Things (C-IoT): For Future Smart Connected Life and Business, London/New Jersey: John Wiley & Sons, 2015, p Vermesan, Ovidiu; Friess, Peter, Internet of Things: Converging Technologies for Smart Environments and Integrated Ecosystems, Aalborg: River Publishers, 2013, p Neelie Kroes, Creating tomorrow's Internet, Speach at "Launch of Future Internet Labs", London, 3 September 2013, European Commission, p Becker, Albrecht; Sénéclauze, Grégoire; Purswani, Purshottam; Karekar, Sudharma; Internet of Things, AtosWhite Paper, 2013, p ( ). 18. Ovidiu, Vermesan et al., Building the Hyperconnected Society: Internet of Things Research and Innovation Value Chains, Ecosystems and Market, Vermesan, Ovidiu; Friess, Peter (eds.), Aalborg: River Publishers, 2015, p Minoli, Daniel, Building the Internet of Things with IPv6 and MIPv6: The Evolving World of M2M Communications, London/New Jersey: John Wiley & Sons, 2013, p Waher, Peter, Learning Internet of Things, Birmingham/Mumbai: Packt Publishing, 2015, p Ziolkowski, Katherina, NATO and Cyber Defence, in: Research Handbook on International Law and Cyberspace, Tsagourias, Nicholas; Buchan, Russell (eds.), heltenham/northampton: Edward Elgar Publishing, 2015, p National Security Presidential Directive 54; isto Homeland Security Presidential Directive 23 (NSPD- 54/HSPD 23). 23. The White House, Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastructure, Buchan, Russell, Cyber Attacks: Unlawfull Uses of Force or Prohibited Interventions?, Journal of Conflict and Security Law, 17:2/2012, pp UN Human Rights Council, Report of the Repporteur on the Promotion and Protection of the Right to Freedom of Opinion and Expression, UN dok A/HRC/17/27 (16 May 2011), para. 24; isto, Human Rights Committee, General Comment 34 on Article 19: Freedom of Opinion and Expression, UN dok. CCPR/C/GC/34 (12 September 2011), paras Buchan, Russell, Cyber Espionage in International Law, in: Research Handbook on International Law and Cyberspace, Tsagourias, Nicholas; Buchan, Russell (eds.), heltenham/northampton: Edward Elgar Publishing, 2015, p

177 Sadržaj SAVREMENE VISOKOTEHNOLOŠKE PRETNJE: O RANJIVOSTI SOFTVERSKIH PROIZVODA I PRETNJAMA MODERN CYBER SECURITY THREATS: ON SOFTWARE VULNERABILITIES AND THREATS Miloš Jovanović 1, Nemanja Maček 2, Igor Franc 3, Dragan Mitić 4 1 OpenLink Grupa, mjovanovic@openlink.rs 2 SECIT Security i Visoka škola elektrotehnike i računarstva strukovnih studija u Beogradu; nmacek@secitsecurity.com 3 SECIT Security i Fakultet informacionih tehnologija Univerziteta Metropolitan u Beogradu, ifranc@secitsecurity.com 4 OpenLink Grupa, dmitic@openlink.rs Apstrakt: U ovom radu izvršena je analiza savremenih visokotehnoloških pretnji koje nastaju kao posledica sigurnosnih propusta u softveru i ranjivosti softverskih proizvoda. Ranjivosti u softverskim proizvodima često nastaju kao posledica primene metodologije brzog razvoja i predstavljaju pretnje koje napadači sa odgovarajućim znanjem i računarskim resursima mogu da iskoriste kako bi stekli neovlašćeni pristup računarskim sistemima i mrežama, a samim tim i poverljivim podacima koji se na njima nalaze. Shodno tome, u radu su date neke preporuke koje se odnose na ublažavanje posledica koje mogu nastati kao i preporuke za smanjenje broja potencijalnih ranjivost tokom razvoja softvera. U radu su takođe analizirani načini za objavljivanje informacija o otkrivenim ranjivostima i skrenuta je pažnja na neke pravne aspekte koje treba uzeti u obzir prilikom objavljivanja. Ključne reči: softver, ranjivost, pretnja, ublažavanje posledica, objavljivanje informacija Abstract: In this paper, an analysis of modern cybercrime threats that arise as a result of security flaws and vulnerabilities in software products is given. Vulnerabilities in software products often arise as a result rapid development and represent threats that adversaries with hands-on knowledge and resources can use to gain unauthorized access to computer systems and networks, and thus confidential information inside. Accordingly, the work provides some recommendations concerning the mitigation of the consequences that may arise as well as recommendations on how to reduce the number of potential vulnerabilities that may occur during software development. The paper also analyzes the ways of vulnerability disclosure and attention was drawn to some legal aspects to be taken into account when disclosing information. Key words: software, vulnerability, threat, mitigation, disclosure 1. Uvod Pre masovnog korišćenja Interneta, jedan od načina koji su napadači najčešće koristili da se povežu na privatnu mrežu i steknu pristup poverljivim informacijama bio je biranje telefonskog broja modemom preko javne telefonske mreže. Zato pitanju zaštite udaljenog pristupa nije posvećivano mnogo pažnje. Postoji verovanje da se kriminal seli tamo gde ima novca, a sama činjenica da je Internet danas infrastrukturna osnova elektronskog poslovanja donosi brojne sigurnosne rizike i otvara nove mogućnosti koje potencijalni napadači mogu da iskoriste [1]. Christ je još pre 15 godina u svojoj doktorskoj disertaciji naveo da je brzina rasta, odnosno širenja Interneta eksponencijalna, ukoliko se kao metrika koristi broj Web servera dostupnih preko javnih IP

178 adresa [2]. Ta činjenica kao posledicu nameće izazove u razvoju tehnologija koje čine okosnicu Interneta. Tehnologija mora brzo da evolvira kako bi u scenariju naglog povećanja broja korisnika ostala upotrebljiva. Tadašnji komunikacioni standardi i protokoli zamenjeni su novim verzijama, rešenjima koja su većim delom redizajnirana ili potpuno novim rešenjima. Brzo evolviranje je takođe nametnuto i komunikacionom softveru: upravljačkim programima za mrežne adaptere, softveru koji obezbeđuje funkcije rutiranja, kao i serverima koji pružaju servise na aplikacionom sloju OSI referentnog modela [3], poput Web servera i servera za elektronsku poštu. U nastavku rada navodi se nekoliko primera evolviranja protokola, standarda i softvera. Prva verzija Hypertext Transfer protokola, HTTP/1.0 zamenjena je verzijom HTTP/1.1 koja danas predstavlja dominantni metod opsluživanja korisnika Web stranicama. Protokol HTTP/2 [4], zasnovan na eksperimentalnoj Google SPDY tehnologiji [5], trenutno podržava 7,6% Web stranica [6]. Protokoli koji obezbeđuju usluge poverljivosti i autentičnosti sadržaja, poput SSL (trenutno u verziji SSLv3 [7]) i TLS (trenutno u verziji TLSv1.2 [8]) se često ažuriraju, uglavnom zbog identifikovanih sigurnosnih propusta. Najzačajnije promene, uslovljene povećanjem kvaliteta sadržaja, načinjene su na standardima koji se koriste za razvoj front-end dela Web prezentacija: HTML5 [9], CSS3 i ECMAScript 6 [10]. Važno je napomenuti da je verzija u ovom slučaju više formalne prirode, s obzirom da se često menjaju postojeće funkcije i dodaju nove na osnovu predloga, shodno potrebama prilagođavanja Web pretraživačima i standardizacije. Što se softvera tiče, značajna unapređenja načinjena su na upravljačkim programima za mrežne adaptere koje koriste serverski operativni sistemi i operativni sistemi posebne namene koji se izvršavaju na ruterima, mrežnim barijerama i drugim mrežnim uređajuma. Unapređenja se uglavnom odnose na prilagođavanje većem protoku podataka i povećanje brzine odziva bez potrebe za značajnijim povećanjem ostalih resursa. Prema istraživanjima W3Tech W3Techs Web Technology Surveys, HTTP serversko tržište je danas, i pored činjenice da Apache i dalje dominira, znatno više fragmentisano nego ranije. Nove tehnologije (uglavnom Nginx) zauzimaju više od 30% ukupnog dela tržišta. Brza evolucija i iterativna poboljšanja reflektuju se u polje softverskog inženjerstva i nameću pravce poput brzog razvoja softvera (engl. agile software development) [11]. Nepotpun proces kontrole kvaliteta softverskih proizvoda ostavlja dovoljno prostora za greške, sigurnosne propuste i ranjivosti koje se mogu iskoristiti. 2. Uzroci ranjivosti u softverskim proizodima Ranjivost se definiše kao slabost u nekoj vrednosti, resursu ili imovini koja može biti iskorišćena, tj. eksploatisana. Pretnja je protivnik, situacija ili splet okolnosti sa mogućnošću i/ili namerama da eksploatiše ranjivost. Na primer, finansijski sponzorisani protivnik sa jasno definisanim ciljem i formalnom metodologijom smatra se strukturiranom pretnjom. Ova definicija pretnje stara je nekoliko decenija i konsistentna je s načinom opisivanja terorista [1]. Ukoliko se izuzme društveni inženjering [12], proboj u računarske sisteme i mreže, sticanje neovlašćenog pristupa poverljivim informacijama i narušavanje integriteta najčešće se izvodi iskorišćavanjem ranjivosti koje nastaju tokom razvoja softvera. Ranjivosti nastaju kao posledice brzog razvoja softvera i korišćenja metodologije sigurnost zasnovana na skrivanju (engl. security by obscurity) prilikom razvoja višenivovskih, odnosno modularnih sistema. Kriminal karakterističan za informatičko doba je znatno ozbiljnija pretnja u odnosu na to kako ga pojedini entiteti doživljavaju [13]. Za kompanije koje razvijaju i održavaju softverske proizvode prethodno pomenuta percepcija pretnje je neprihvatljiva: osim održavanja konstantne ili rastuće stope tehnološkog razvoja, od takvih kompanija se očekuje da obezbede razumni nivo sigurnosti softvera i blagovremeno sprečavanje iskorišćavanja ranjivosti koje mogu nastati tokom razvoja. Iako industrija ima mehanizme za identifikaciju pretnji, veliki broj sigurnosnih propusta i iskorišćenih ranjivosti u poslednjih nekoliko godina ukazuju na činjenicu da postoji dovoljno mesta za dalje unapređenje i pojačano nametanje tih mehanizama. Metodologija brzog razvoj softvera isključuje mogućnost dovoljno detaljne provere 2

179 postojanja sigurnosnih propusta. Softverski proizvod se na tržištu pojavljuje sa potencijalnim ranjivostima koje se naknadno identifikuju i uklanjaju. U međuvremenu, softver ostaje ranjiv a ranjivosti se mogu iskoristiti ukoliko ih napadač otkrije pre nego što ih proizvođač identifikuje i otkloni. Metodologija sigurnost zasnovana na skrivanju odnosi se na činjenicu da se potencijalna ranjivost krije od javnosti. Drugim rečima, ako protivnik otkrije ranjivost, mehanizam koji bi sprečio njeno iskorišćavanje ne postoji. Ova metodologija je suprotnost sigurnosti zasnovanoj na dizajnu (engl. security by design). Uopšteno, prilikom projektovanja bilo kakvog višesnivovskog sistema ili softverskog proizvoda, potrebno je razmotriti posledice prisustva napadača na bilo kom nivou. Razlike u primeni ovih metodologija prilikom projektovanja mogu se jednostavno objasniti na primeru generičkog modularnog biometrijskog autentifikacionog sistema. Generički sistem za biometrijsku kontrolu pristupa sastoji se od senzora, modula za ekstrakciju atributa, modula za poređenje i baze podataka o identitetima korisnika i odgovarajućim biometrijskim uzorcima. Korisnik koji želi da pristupi određenim resursima navodi svoj identitet. Senzor prikuplja biometrijski uzorak korisnika. Iz uzorka se izdvajaju atributi i računa sličnost između prikupljenog uzorka i uzorka smeštenog u bazi podataka koji odgovara navedenom identitetu. Na osnovu dozvoljene granice greške sistem donosi odluku, tj. određuje da li je to zaista taj korisnik i shodno odluci dozvoljava ili blokira pristup resursima. Ovakav modularni sistem može se zaobići na nekoliko načina, izvođenjem vrlo sofisticiranih napada [14, 15]: 1. Napadač prilaže lažni biometrijski uzorak (na primer, otisak prsta) senzoru. 2. Napadač izvršava napad ponavljanjem: snimljeni signal sa izlaza senzora prosleđuje se ostatku sistema (zaobilazi se senzor). 3. Napadač upotrebljava zlonamerni softver kako bi kompromitovao modul za ekstrakciju atrubuta; kompromitovani modul generiše vektore atribute koje odabira napadač. 4. Napadač prosleđuje sintetički vektor atributa modulu za poređenje. 5. Napadač modifikuje rezultat koji generiše modul za poređenje. 6. Napadač modifikuje biometrijske uzorke legitimnih korisnika u bazi podataka; ovaj napad osim sticanja neovlašćenog pristupa rezultuje odbijanjem usluga legitimnim korisnicima. 7. Napadač presreće komunikacioni kanal između baze podataka i modula za poređenje i podmeće lažne biometrijske uzorke modulu za poređenje. 8. Napadač stiče administrativne privilegije i menja konačnu odluku sistema. Ovaj primer ilustruje ranjivost sistema koji su projektovani primenom metodologije sigurnost zasnovana na skrivanju. U ovom slučaju je jasno da projektant nije predvideo postojanje napadača u prethodno pomenutih osam tačaka. Projektant koji predvidi postojanje napadača primenjuje metodologiju sigurnosti zasnovana na dizajnu što znači da može da identifikuje potencijalne ranjivosti, implementira dodatne zaštitne mehanizme i samim ti spreči izvođenje prethodno pomenutih napada. Na primer, napad prosleđivanjem sintetičkog vektora modulu za poređenje je moguće sprečiti ukoliko se modul za ekstrakciju atributa i modul za poređenje realizuju kao jedna komponenta ili ukoliko je veza imeđu njih kriptografski zaštićena. Šifrovanje veze između baze podataka i modula za poređenje sprečava napad presretanjem komunikacionog kanala i podmetanja lažnih uzoraka modulu za poređenje [16]. 3. Pregled značajnijih ranjivosti softverskih proizvoda U ovom delu rada ukratko su opisane značajnije ranjivosti koje su otkrivene 2014 godine (Heartbleed, Shellshock, POODLE), 2015 godine (GHOST, Freak). Ranjivosti CVE i CVE su, zbog svoje ozbiljnosti i pažnje medija koju su privukle, detaljnije opisane od ostalih. 3

180 Tabela 1. Preled značajnijih ranjivosti softverskih proizvoda u periodu godine CVE Naziv Otkrivena Softver Posledica iskorišćenja Heartbleed 2014 OpenSSL Čitanje poverljivih podataka iz memorije sistema, preuzimanja kriptografskih ključeva Shellshock 2014 Bash Izvršenje proizvoljnog koda, neovlašćeni pristup udaljenom računarskom sistemu POODLE 2014 SSLv3 Dešifrovanje poruka GHOST 2015 glibc Preuzimanje kontrole nad udaljenim Linux sistemom FREAK 2015 SSL/TLS Krađa podataka kriptoanalizom zasnovanom nametanjem kratkih RSA ključeva Diskusiju vezanu za ranjivost započinjemo analizom sigurnosnog propusta CVE , pozantijeg u javnosti kao Heartbleed. CVE je sigurnosni propust u softverskoj biblioteci OpenSSL, koja obezbeđuje potpuno rešenje za implementaciju SSL/TLS protokola na serverskoj i klijentskoj strani. OpenSSL na najvišem nivou, obezbeđuje transparentnu kriptografski zaštićenu komunikaciju između krajnjih tačaka u mreži i time sprečava pasivne napade prisluškivanja i aktivne napade izmene sadržaja. Da bi se to postiglo, u softveru je implementiran veliki broja kriptografskih primitiva, poput simetričnih blokovskih algoritama, kriptografije zasnovane na eliptičkim krivama i protokola za razmenu ključeva, kao i kompletna podrška za rad sa X.509 sertifikatima. Imajući to u vidi, može se zaključiti da je OpenSSL složena biblioteka sa velikim brojem elemenata koji međusobno interaguju na različite složene načine, što povećana šansu za pojavu sigurnosnih propusta. Iako se nezvanično navodi da postoji od 2011 godine, kao i da potiče od studenta doktorskih studija koji je bio zadužen za implementaciju Heartbeat ekstenzije, ranjivost je Heartbleed otkrio Neel Mehta, inženjer Google sigurnosnog tima 2014 godine. Ranjivost je posledica greške u kodu koja se iskorišćava na sledeći način: slanjem posebno oblikovanog upita serveru nazvanog Heartbeat bug moguće je izazvati čitanje podataka sa lokacija van memorijskog bafera [17]. Ranjivost je nazvana Heartbleed zato što upit iskorišćava nedostatak u proširenju Heartbeat, čime napadač stiče mogućnost da čita poverljive podatke iz memorije sistema zaštićenih ranjivim verzijama OpenSSL softvera. Testovima je čak pokazano da napadači mogu, bez korišćenja bilo kojih privilegovanih informacija ili akreditiva, da preuzmu privatni ključ servera i simetrične sesijske ključeve. To znači da serveri koji primene sigurnosnu zakrpu koju je ponudio OpenSSL, moraju takođe nadograditi sve svoje ključeve ili će i dalje biti ranjivi. Pošto veliki broj Web servera koristi OpenSSL biblioteku koja pruža kriptografske usluge HTTPS protokolu, otkrivanje ove ranjivosti imalo je značajne posledice [18]: na tržištu su se pojavile alternativne verzije OpenSSL biblioteke drugih proizvođača (engl. fork), poput LibreSSL (OpenBSD) i BoringSSL (Google), u kojima su u prečišćenom kodu implementirane drugačije metode umanjenja ovakvih sigurnosnih rizika u budućnosti. Ranjivost CVE je takođe privukla značajniju pažnju medija i dobila prepoznatljivo ime Shellshock, odnosno Bash bug. Komandni interpreter je komponenta prisutna u svim UNIX zasnovanim sistemima. GNU Bash (Bourne-again shell) je komandni interpreter objavljen 1989 godine kao zamena za tada dominantni Bourne shell, koji nije pripadao kategoriji softvera otvorenog koda. Analiza istorije izvornog koda za Bash ukazuje na činjenicu da je ova ranjivost prisutna u kodu od verzije 1.03 (septembar 1989), što znači da se u kodu nalazila 25 godina. Drugim rečima, računari na kojima se izvršava bilo koji UNIX zasnovani operativni sistem (na primer, Linux ili Mac OS X), uključujući i rutere i NAS uređaje, bez adekvatne zakrpe za Bash komandni interpreter bili su sve vreme ranjivi. Ranjivost je izazvana činjenicom da Bash nenamerno izvršava komande kada su komande dodate na kraj definicija funkcija koje se čuvaju u vrednostima promenljivih okruženja [19]. Namenski generisane promenljive okruženja mogu izazvati izvršenje proizvoljnog koda u kontekstu korisničkog naloga, odnosno procesa koji je pokrenuo komandni interpreter. Kakve su posledice ove ranjivosti? Hrvatski nacionalni CERT 4

181 objavio je u oktobru 2014 godine sledeću vest: Napadači iz Rumunije uspešno su iskoristili Shellshock ranjivost kako bi kompromitovali servere kompanija Yahoo!, Lycos i WinZip, prema rečima sigurnosnog stručnjaka Future South Technologies-a [20]. Stručnjaci u domenu računarske sigurnosti navode da je Shellshock nešto veći problem od Heartbleed ranjivosti: Heartbleed omogućava napadačima da, na primer, ukradu korisnička imena i lozinke, ali ne i da pokrenu zlonamerne programe na ranjivim sistemima. Kompanija Rapid7, koja se bavi razvojem softvera za testiranje proboja, upozorava da je ranjivost ocenjena sa 10 kada je reč o ozbiljnosti, kao i da je napadač može relativno lako iskoristiti i preuzeti kontrolu nad operativnim sistemom. Problem postaje još ozbiljniji ukoliko se u obzir uzme činjenica da je za funkcionisanje nekih serverskih aplikacija, poput Web servera koji koriste CGI, neophodan komandni interpreter. To omogućava napadačima da iskoriste ranjive verzije Bash alata i udaljeno izvrše proizvoljnih komande. Dakle, navedena ranjivost može omogućiti napadaču da dobije neovlašćeni pristup udaljenom računarskom sistemu. Broj javno dostupnih servera ranjivih u ovom kontekstu nije zanemarljiv [21]. Nakon otkrivanja Shellshock ranjivosti, usledile su vesti o načinu rešavanja i objavljene su zakrpe, a zazim su se pojavile informacije o novim dodatnim ranjivostima koje su dobijale interesantna imena, kao što su Aftershock i slično. Krajem septembra 2014 godine otkrivena je još jedna ranjivost u verziji 3 SSL protokola koja se može iskoristiti za krađu poverljivih informacija. CVE , odnosno POODLE ( Padding Oracle On Downgraded Legacy Encryption ) ranjivost je algoritamske prirode i omogućava izvođenje napada tipa čovek u sredini (engl. man-in-the-middle). SSLv3 ne sprovodi validaciju određenih delova podataka koji prate svaku poruku. Napadači mogu da iskoriste tu ranjivost sa ciljem dešifrovanja individualnog bajta u jednom trenutku, tako da se može ekstrahovati otvoreni tekst poruke dešifrovanjem bajt po bajt [22]. TLSv1.0 i novije verzije sprovode robusniju validaciju dešifrovanih podataka i kao takve nisu osetljive na isti problem. Problem postoji zato što određeni broj Web servera i Web pretraživača i omogućavaju korišćenje SSL v3 protokola s ciljem održavanja kompatibilnosti sa IE6. Kompanija Qualys objavila je godine vest o ranjivosti u Linux GNU C biblioteci (glibc), koja je deo gotovo svih distribucija Linux operativnog sistema. Ranjivost CVE dobila je ime GHOST, koje potiče od mogućeg prekoračenja bafera unutar glibc GetHOST funkcije. Pomenuta funkcija je zadužena za razrešavanje mrežnih adresa, i kao takva potencijalno ugrožava sigurnost gotovo svog softvera koji se na neki način odnosi na mrežu. GHOST ranjivost se smatra kritičnom zato što napadač može da je iskoristi i preuzme kontrolu nad ciljnim Linux sistemom bez potrebe za prethodnim znanjem sistemskih akreditiva, tj. lozinki naloga sa administrativnim privilegijama. Na primer, napadači mogu da iskoriste ranjivost, udaljeno izvrše zlonamerni kod i preuzmu kontrolu nad Web serverom. Qualys, kompanija koja je otkrila ovu ranjivost, tvrdi da korišćenjem zlonamernog koda koji iskorišćava ovu ranjivost može izvršiti prozvoljni kod preko Exim servera za elektrosku poštu [23]. U martu 2015 godine otkrivena je nova SSL/TLS ranjivost, CVE , koja dozvoljava napadaču da presretne HTTPS konekcije između ranjivih klijenata i servera i nametne im korišćenje slabe kriptografske zaštite, što za dalju posledicu može imati krađu osetljivih podataka [24]. Ranjivost FREAK ( Factoring RSA Export Keys ) indirektna je posledica usaglašavanja sa kriptografskim izvoznim regulativana Sjedinjenih Američkih Država. Ove regulative ograničavaju dužine ključeva koje se koriste cilj je omogućiti Američkoj nacionalnoj agenciji za bezbednost (NSA) da izvršiti kriptoanalitičke napade i onemogućiti druge organizacije sa manjim računarskim resursima da izvrše iste. Na primer, moduo u RSA algoritmu može biti najveće dužine 512 bita (takozvani RSA izvozni ključevi). Kriptoanaliza RSA algoritma sa kratkim ključevima izvodljiva je pomoću Number Field Sieve algoritma, koristeći računarske servise u oblaku za ne više od 100 dolara. Kombinovanje napada čovek u sredini u cilju manipulisanja incijalnog dogovora o kriptografskim algoritmima koji će se koristiti u toku sesije i prethodno pomenutog algoritma koji se izvršava na cloud servisima, nameće činjenicu da napad može ugroziti bezbednost bilo kog Web sajta koji omogućava korišćenje RSA ključeva dužine 512 bita uz upotrebu relativno skromnih računarskih resursa. 5

182 4. Ublažavanje mogućih posledica Koraci koje je potrebno izvesti kako bi se iskoristila bilo koja od pomenutih ranjivosti nisu složeni i može ih izvesti svaki ozbiljniji programer ili istraživač koji se bavi računarskom sigurnošću. Kada se ove slabosti subjektivno posmatraju, lako se može steći utisak da su nastale nepažnjom programera ili projektanata. Međutim, ovakve greške i propusti dešavaju se bez obzira na to da li je do nepažnje došlo ili ne. U ovom delu rada identifikovano je nekoliko ključnih elemenata na koje treba obratiti pažnju kako bi se mogućnost pojave ranjivosti i njenog iskorišćavanja sveo na minimum: testiranje softvera, revizija sigurnosti, pravilan odabir programskih jezika i ekonomski podsticaji. Automatsko testiranje softverskih proizvoda upražnjava se i njegov značaj je poznat duži niz godina [25]. Razvoj naprednih alata za fazi testiranje, poput American Fuzzy Lop [26] olakšava pronalaženje neočekivanih grešaka i propusta koji se ne mogu otkriti standardnim metodologijama testiranja. Značajno unapređeni alati za statičku analizu mogu da predvide i ukažu na moguće posledice grešaka koje se javljaju u ranom periodu razvoja određene komponente. Razvojni timovi, međutim, navodno ne koriste ove alate onoliko često koliko bi trebali da ih koriste [27]. Potpuna provera koda koji evolvira zahteva, s druge strane, dosta kontinualnog truda u obzir treba uzeti i činjenicu da veliki broj programera testiranje koda doživljava kao izuzetno nemaštovitu upotrebu svog vremena. Ovaj problem se može rešiti ekonomski, odnosno stimulacijom programera koji rade na kodu koji je kritičan po pitanju sigurnosti ukoliko je kod u potpunosti tesiran i pokriven. Alternativno, ovaj zadatak se može delegirati kompetentnim inženjerima za kontrolu kvaliteta, čiji će jedini zadatak biti da proizvod detaljno testiraju nakon svake promene. Nezavisni istraživači, vođeni ekonomskim razlozima, entuzijazmom ili radi održanja ugleda, često sprovode sigurnosne revizije popularnog zaštitnog softvera ili komponenti sistema koje u značajnoj meri mogu da naruše sigurnost ukoliko su ranjive na određene napade. Često ovakve revizije sprovode kompanije ili organizacije specijalizovane za sigurnost softvera, sprečavanje visokotehnološkog kriminala i slične oblasti, kako bi u budućnosti bile poznate kao entiteti koji su otkrili ranjivosti i ukazali na moguće napade, ili iz čisto ideoloških razloga. Polarizovanost u domenu sigurnosti, međutim, može dovesti objektivnost revizije u pitanje. Objasnićemo ovo na primeru softvera TrueCrypt. Na zvaničnoj stranici proizvođača softvera TrueCrypt naznačeno je da je razvoj prekinut u maju 2014 godine. Jedan od razloga koji je naveden je izjava NSA da je na zahtev proizvođača izvršila analizu sigurnosti softvera i otkrila sigurnosne propuste. Dokazi o sigurnosnim propustima nisu objavljeni, a pomenuti razlog je kontradiktoran sa izjavama Bruce Schneiera i Edwarda Snowdena koji su podržavali razvoj i preporučivali upotrebu softvera, zato što nije omogućavao pristup šifrovanim podacima ni jednom entitetu (uključujući NSA) koji nije imalo odgovarajući ključ. U ovakvim situacijam potrebno je uložiti veća finansijska sredstva u nezavisnu komaniju koja je specijalizovana za reviziju sigurnosti. Potrebno je takođe naznačiti da sigurnosne revizije nisu ograničene isključivo na potpune revizije, već i na nivou modula, kao i da revizija koda treba da bude obavezna, a ne opciona. OpenSSL, biblioteka u kojoj je otkriven veći broj ranjivosti i koja je takođe bila meta velikog broja napadača napisana je u jezika C. U jeziku C su takođe napisana i jezgra svih UNIX zasnovanih operativnih sistema, koja, prema istraživanjima W3Tech W3Techs Web Technology Surveys čine okosnicu 68% web servera [28], kao i pametnih telefona, rutera i hardverskih mrežnih barijera. Jezik C je nastao 1978 godine, a osnovni standard od tada nije značajno ažuriran. Jasno je da jezik koji ne obezbeđuje zaštitu memorijskog prostora i u odnosu na savremene programnske jezike predstavlja blagu apstrakciju asemblera nije pogodan izbor za izradu softvera koji je kritičan po pitanju sigurnosti. Danas je raspoloživ veći broj bezbednijih programskih jezika koji su otporni na greške a istovremeno ne nameću degradaciju performansi softvera. Ukoliko se za dugoročni cilj postavi upotreba tih jezika umesto alternativa niskog nivoa (gde je moguće), može se očekivati znatno smanjenje broja kritičnih ranjivosti koje se danas često otkrivaju. Među jezicima koji su pogodni za upotrebu u ovom scenariju može se izdvojiti Rust [29], koji je eksplicitno dizajniran za sigurno mrežno i sistemsko programiranje, i čiji dizajn 6

183 sprečava one kategorije ponašanja koje su identifikovane kao najčešći uzrok pojave kritičnih ranjivosti (prekršaji vezani za zaštitu memorijskog prostora i stanje trke). Softver koji napaja većinu savremenog Web-a je najčešće besplatan softver ili softver otvorenog koda, poput operativnog sistema Linux, Apache Web servera, MySQL baze podataka, PHP-a i dr. Prednosti softvera otvorenog koda su mnogobrojne, ali treba u obzir uzeti i činjenicu da programeri koji rade na besplatnom softveru ili softveru otvorenog koda nemaju adekvatnu kompenzaciju za svoj rad. Doniranje i podsticanje entitete koji su ostvarili korist na doniranje tim projektima dozvoliće onima koji rade na projektu da posvete više vremena razvoju, održavanju i poboljšanju kvaliteta softvera, kako po pitanju performansi, tako i po pitanju bezbednosti. 5. Načini objavljivanja informacija o otkrivenoj ranjivosti i pravni aspekti Objavljivanje informacija o otkrivenoj ranjivosti (engl. vulerability disclosure) ima svoje dobre i loše strane. Drugim rečima, ukoliko nezavistan istraživač ili kompanija koja se bavi informacionom sigurnošću u javnosti iznese podatke o otkrivenoj ranjivosti, posledice su dualne prirode. Dobre strane objavljivanja informacija o ranjivosti su sledeće: javnost se upoznaje sa sigurnosnim rizikom. sistem administratori i administratori zaduženi za sigurnost mogu blagovremeno da reaguju, proizvođač softvera je motivisan da kreira i objavi zakrpu i na taj način sačuva svoj ugled, eliminiše se bilo kakva mogućnost prelaska na princip sigurnosti zasnovane na skrivanju. Objavljivanje informacija o ranjivosti ima i svoje loše strane: šanse za napad na sisteme koji su ranjivi su znatno uvećane ukoliko sistem administratori, administratori zaduženi za sigurnost ili menadžment nisu obratili pažnju na činjenicu da su informacije o ranjivosti javno dostupne, ugled proizvođača softvera može biti narušen proporcionalno količini štete koja je naneta ukoliko u ugovoru o korišćenu softverskog proizvoda nije prezizno i potpuno definisano odricanje od odgovornosti. Postoji nekoliko generičkih kategorija u koje se otkrivanje informacija o ranjivosti može svrstati [30, 31]: bez objavljivanja, potpuno i delimično. Prvu kategoriju je najjednostavnije objasniti na primeru nezavisnog istraživača koji je ranjivost identifikovao ali o tome nije obavestio proizvođača softvera ili odgovarajuće autoritete zadužene za sigurnost. Ova kategorija je iz očiglednih razloga tipična za zajednice hakera sa crnim šeširom. U slučaju potpunog objavljivanja, nezavisni istraživač sve informacije o ranjivosti prosleđuje kako proizvođaču softvera, tako i javnosti kako je otkrivena, koji su softverski proizvodi i koje verzije ranjive, a u nekim slučajevima čak i odgovore na sledeća pitanja: kako se ranjivost može iskoristiti i kako se sistemi mogu zaštititi od iskorišćavanja ranjivosti. Delimično objavljivanje, koje se takođe naziva i odgovornim otkrivanjem je objavljivanje informacija na način koji u najmanjoj mogućoj meri ugrožava korisnike. Drugim rečima kada je ranjivost otkrivena, istraživač obaveštava proizvođača softvera; ukoliko se proizvođač ne odazove nakon 30 dana, osnosno ne obezbedi zakrpu, pristupa se potpuom objavljivanju. Više podataka o delimičnom objavljivanju dostupno je u radu Stephen Shepherd-a [30]. Detaljnu analizu pravnih aspekata objavljivanja informacija o ranjivosti može se naći na stranici udruženja Electronic Frontier Foundation [32], a u daljem tekstu su navedene neke činjenice koje su pravno najkritičnije po istraživače. 7

184 Što je više činjenica iznešeno u javnost, postupak je rizičniji. Potrebno je postaviti pitanje koliko savet istraživača može pomoći potencijalnom napadaču. Što je više funckionalnog koda dato u savetu i iznešeno u javnost, postupak je rizičniji. Potrebno je postaviti pitanje da li se kod može prevesti u izvršni kod koji može iskoristiti ranjivost. Objavljivanje je rizičnije ukoliko ima više entiteta koji te informacije mogu da iskoriste kako bi prekršili zakon. U ovom slučaju se postavlja pitanje da li se informacije otkrivaju javnosti ili grupi od poverenja. Ukoliko se sigurnosni propust odnosi na softver za upravljanje digitalnim pravima (engl. digital rights management, DRM) ili softver koji kontroliše pristup delima zaštićenim zakonom o autorskim pravima (poput autentifikacionih protokola i maskiranja koda) objavljivanje informacija može biti vrlo rizično. U ovom slučaju neophodno je zatražiti savet od pravnika da li se objavljivanjem infromacija krži Digital Millennium Copyright Act (DMCA). Ukoliko se objavljivanjem informacija prekrši zakon ili objavljivanje dokaz nezakonitih aktivnosti, istraživač se smatra krivim, bez obzira što je objavljivanje informacija o ranjivosti bilo dobronamernog karaktera. 6. Zaključak Na osnovu izloženog može se zaključiti da u softverskim proizvodima postoje sigurnosni propusi koji napadačima pružaju mogućnost uspešnog izvođenja napada na informacione sisteme. Veliki broj ranjivosti nastaje kao nedostatak radne snage na složenim softverskim prozvodima (što je, na primer, slučaj sa OpenSSL bibilotekom) i/ili nedovoljno testiranog nasleđenog koda iz starijih verzija (što je, na primer, slučaj sa komandnim interpreterom Bash). Autori rada smatraju da se indentifikovani elementi ublažavanja mogućih posledica mogu pokazati efektivnim na duže staze, uzevši u obzir da se pomenute metode, poput automatskog testiranja softvera i revizije sigurnosti, koriste u softverskoj industriji. Iako pomenute metode zahtevaju veća finansijska ulaganja u sam proces razvoja softvera, autori smatraju da su ta ulaganja opravdana ukoliko razultuju otklanjanjem sigurnosnih propusta, a samim tim i delimično ili potpuno ublažavanje posledica nastalim iskorišćavanjem ranjivosti Literatura [1] Pleskonjić, D., Maček, N., Đorđević, B., Carić, M., Sigurnost računarskih sistema i mreža, Mikro knjiga, Beograd, [2] Christ, H. D-K. M., Lay Internet Usage-An Empirical Study with Implications for Electronic Commerce and Public Policy, doktorska disertacija, Humboldt-Universität, Berlin, Nemačka [3] ISO/IEC :1994, Information technology Open systems interconnection Basic reference model: The basic model, [4] Belshe, M., Peon, R., Thomson, E. M., Hypertext Transfer Protocol Version 2 (HTTP/2), RFC 7540, [5] Chromium Project, SPDY: An experimental protocol for a faster web, dostupno na Web lokaciji: Poslednji put posećeno 20. maja, [6] W3Techs Web Technology Surveys, Usage of HTTP/2 for websites, dostupno na Web lokaciji: Poslednji put posećeno 20. maja,

185 [7] Freier, A., Karlton, P., Kocher, P., The Secure Sockets Layer (SSL) Protocol Version 3.0, RFC 6101, [8] Dierks, T., Rescorla, E., The Transport Layer Security (TLS) Protocol Version 1.2, RFC 5246, [9] W3C, HTML5: A vocabulary and associated APIs for HTML and XHTML, dostupno na Web lokaciji: Poslednji put posećeno 20. maja, [10] ECMA, ECMA-262 6th Edition: ECMAScript 2015 Language Specification, dostupno na Web lokaciji: Poslednji put posećeno 20. maja, [11] Cohen, D., Lindvall, M., Costa, P, Agile software development, DACS SOAR Report, 11, [12] Mitnick, K. D., Simon, W. L., The art of deception: Controlling the human element of security, John Wiley & Sons, [13] Wall, D., Cybercrime: The transformation of crime in the information age (Vol. 4), Polity, [14] Biggio, B., Adversarial Pattern Classification, doktorska disertacija, University of Cagliari, Cagliari, Italija, [15] Ratha N. K., Connell J. H., Bolle R. M., An analysis of minutiae matching strength, In Josef Bigün and Fabrizio Smeraldi, editors, AVBPA, volume 2091 of Lecture Notes in Computer Science, pages Springer, [16] Maček, N., Detekcija upada mašinskim učenjem / Machine Learning in Intusion Detection, Zadužbina Andrejević, Beograd, [17] CVE Dostupno na Web lokaciji: Poslednji put posećeno 20. maja, [18] Durumeric, Z., Kasten, J., Adrian, D., Halderman, J. A., Bailey, M., Li, F., Paxson, V., The matter of Heartbleed, In Proceedings of the 2014 Conference on Internet Measurement Conference, pp , ACM, [19] CVE Dostupno na Web lokaciji: Poslednji put posećeno 20. maja, [20] Nacionalni CERT, Napadači uspješno iskorištavaju Shellshock ranjivost, dostupno na Web lokaciji: Poslednji put posećeno 20. maja, [21] Delamore, B., Ko, R. K., A Global, Empirical Analysis of the Shellshock ulnerability in Web Applications, In Trustcom/BigDataSE/ISPA, 2015 IEEE, 1, pp , [22] CVE Dostupno na Web lokaciji: Poslednji put posećeno 20. maja,

186 [23] CVE Dostupno na Web lokaciji: Poslednji put posećeno 20. maja, [24] CVE Dostupno na Web lokaciji: Poslednji put posećeno 20. maja, [25] Zhu, H., Hall, P. A., May, J. H., Software unit test coverage and adequacy, ACM Computing Surveys (csur), 29(4), pp , [26] Zalewski, M., American Fuzzy Lop., dostupno na Web lokaciji: Poslednji put posećeno 14. marta, [27] Johnson, B., Song, Y., Murphy-Hill, E., Bowdidge, R., Why don't software developers use static analysis tools to find bugs?, in Software Engineering (ICSE), 2013, 35 th International Conference on (pp ). IEEE. [29] Mozilla Foundation, The Rust Programming Language, dostupno na Web lokaciji: Poslednji put posećeno 14. marta, [30] Shepherd S., Vulnerability Disclosure: How do we define Responsible Disclosure?, SANS Institute, [31] Vidstrom A., Full Disclosure of Vulnerabilities Pro/Cons and Fake Arguments, Net Security, [32] Electronic Frontier Foundation, Coders Rights Project Vulnerability Reporting FAQ, dostupno na Web lokaciji: Poslednji put posećeno 20. maja,

187 Sadržaj DOPRINOS STRUČNOG SAVETNIKA DOKAZIVANJU U OBLASTI INFORMACIONIH TEHNOLOGIJA CONTRIBUTION OF THE EXPERT ADVISOR IN PROVING IN THE AREA OF INFORMATION TECHNOLOGY Milan Milošević 1, Momir Ostojić 2 Apstrakt: Polazeći od objektivne potrebe za pružanjem stručne pomoći okrivljenom i njegovom braniocu, a po ugledu na konkretno rešenje u italijanskom krivičnom postupku, zakonodavac Republike Srbije je u Zakoniku o krivičnom postupku iz godine normirao institut stručnog savetnika. Time je realno omogućio okrivljenom licu da u mnogim situacijama ostvari svoje pravo na kritičku ocenu iskaza veštaka, što je jedno od najkontraverznijih pitanja savremene krivične procedure. Ovo se definitivno odnosi i na veštačenja iz oblasti informacionih tehnologija. Međutim, konačni odgovor na pitanje o svrsishodnosti i doprinosu tehničkih savetnika utvrđivanju istine i zaštiti prava okrivljenom u krivičnom postupku Republike Srbije može dati jedino praksa. Ključne reči: Krivični postupak, okrivljeni, stručni savetnik, IT veštak, dokazivanje. Abstract: Starting from the objective need for providing technical assistance to the defendant and his defender, in imitation of a concrete solution in the Italian criminal proceedings, the legislature of the Republic of Serbia in the Code of Criminal Procedure in 2011 also regulated the institute of professional counselors. Thus, the real defendant allowed that in many situations realize their right to a critical assessment of the testimony of the court expert, which is one of the most controversial issues of modern criminal procedure. This certainly applies to the expertise in the field of information technology. However, the final answer to the question of the appropriateness and technical advisors contribution to ascertain the truth and protect the rights of the defendant in the criminal procedure of the Republic of Serbia can be given only by practice. Keywords: Criminal proceedings, defendant, consultant, IT court expert, proving. 1. UVODNA RAZMATRANJA Nesporno je da rasvetljenje i rešenje krivične stvari u velikoj meri, a često i fundamentalno, zavisi od veštaka za informacione tehnologije (u daljem tekstu: IT veštak). Ovo se naročito odnosi na dela kompjuterskog kriminaliteta, za koja u pravnom sistemu Republike Srbije postoji i poseban vid krivičnog postupka. S druge strane, u savremenim uslovima se potreba za poznavanjem informacionih tehnologija ne može poreći ni okrivljenom i njegovom braniocu. Naime, postavlja se pitanje kako da oni kritički ocene činjenice sadržane u iskazu IT veštaka i stave adekvatne primedbe na taj iskaz, kada je jasno da su realno nestručni za dato vanpravno područje. U međuvremenu je praksa ukazala na neophodnost modaliteta po kome bi se okrivljeni sa svojim braniocem mogao koristiti stručnim znanjem putem angažovanja stručnjaka kod izvođenja i ocene dokaza, a uvođenje tužilačko-policijskog modela istrage je takvu neophodnost i dodatno apostrofiralo. Poznato je, naime, da krivičnoprocesne stranke doprinose utvrđivanju pravno relevantnih i drugih činjenica, kako stavljanjem 1 Fakultet za poslovne studije i pravo u Beogradu, Univerzitet Union - Nikola Tesla. 2 Isto.

188 predloga organu postupka da izvede određene dokaze, tako i kritičkim prilazom već izvedenim dokazima. To posebno važi za činjenice koje se utvrđuju veštačenjem, uključujući i IT veštačenja. Prema tome, stručna pomoć okrivljenom i njegovom braniocu ima puno opravdanje sa aspekta ispunjenja zadataka krivičnog postupka jer je nesporno da doprinos IT ekspetra u utvrđivanju činjenica, svejedno u čiju korist, objektivno doprinosi uspešnijem rasvetljenju i rešenju krivične stvari. Pošto institucionalizovana mogućnost za tako nešto do skora nije postojala, realno je bila ograničena i mogućnost da okrivljeni sa svojim braniocem ostvari značajniji doprinos u razjašnjavanju stručnih pitanja iz oblasti informacionih tehnologija. Istina, postojala je mogućnost da stranke, a naročito okrivljeni i oštećeni kao subsidijarni i privatni tužilac, angažuju stručnjake - specijaliste u svojstvu neformalnog konsultanta (tzv. stranački konsultanti). Takvi stručnjaci su strankama bili najpotrebniji u situacijama kada je trebalo kritički oceniti rezultate delovanja veštaka ili specijaliste, te prilikom razgledanja procesnih spisa u kojima su fiksirani ti rezultati (zapisnik o uviđaju, pismeni izveštaj veštaka, zapisnik o saslušanju veštaka, zapisnik o saslušanju specijaliste u svojstvu svedoka...) Međutim, stručnjaci koje su faktički privatno angažovale stranke definitivno nisu mogli direktno učestvovati u postupku, niti biti saslušani kao stručni svedoci. Njihovo angažovanje, obim delatnosti i nagrada bili su interna stvar stranke. Osim toga tzv. stranački konsultanti nisu imali celovit uvid u spise predmeta i materijale koji su bili veštačeni, niti su u poziciji da neposredno prisustvuju veštačenju, a podatke za svoje sugestije dobijali su od samih stranaka koje, po prirodi stvari, ne mogu biti objektivne i nepristrasne, niti su dovoljno verzirane da takve podatke interpretiraju sa potrebnom preciznošću. Očigledno je, prema tome, da je doprinos ovakvih stručnjaka utvrđivanju istine realno bio ograničen, a samim tim bile su male i koristi za stranku koja ih je angažovala. S druge strane, u Zakoniku o krivičnom postupku Republike Srbije iz godine [5] bila je ostavljena je mogućnost da stručno lice - specijalista pruži strankama bliža objašnjenja kod izvođenja pojedinih procesnih radnji, naravno pod uslovom da su prisutne i da zatraže takva objašnjenja. Isto važi i za Zakonik o krivičnom postupku Republike Srbije iz godine [6], koji u najvećem delu nikada nije ni bio u primeni. Ni ovako koncipirana stručna pomoć strankama nije mogla biti adekvatna, budući da je po svojoj suštini uzgredna i samo uslovna. Osim toga, ona je po definiciji izostajala kod veštačenja, dakle tamo gde je strankama bila najpotrebnija. Polazeći od toga, naš zakonodavac se u Zakoniku o krivičnom postupku iz godine godine [7] opredelio za uvođenje ustanove stručnog savetnika. Izraženo je mišljenje da ovaj subjekt, istina ne vrši veštačenje, ali činjenica da raspolaže stručnim znanjem i da je angažovan na strani optužbe ili odbrane, omogućava "stručnu raspravnost" o predmetu veštačenja, doprinoseći na taj način kvalitetu nalaza i mišljenja, a u krajnjoj liniji oceni tog dokaza u skladu sa slobodnim sudijskim uverenjem. [2] 2. POJMOVNO ODREĐENJE I ANGAŽOVANJE STRUČNOG SAVETNIKA Stručni savetnik je procesno sposobno i moralno podobno fizičko lice, koje pruža stručnu pomoć krivičnoprocesnim strankama u utvrđivanju i oceni onih činjenica za čije je utvrđivanje i kritičko vrednovanje neophodno posebno stručno znanje ili umenje. Iz ovako određenog pojma proističe da su osnovni uslovi koje treba da ispunjava jedno lice da bi moglo da se pojavi kao stručno lice u krivičnom postupku, njegova stručnost, procesna sposobnost i moralna podobnost.[3] 2

189 Prema tome, od stručnog savetnika se traži da poseduje pravnu i poslovnu sposobnost, dok se moralna podobnost stručnog savetnika izjednačava sa moralnom podobnošću veštaka i stručnog lica. Isto tako, kao stručno savetnik se u krivičnom postupku može se pojaviti samo fizičko lice, jer se i na njega (kao i na veštaka i stručno lice) shodno primenjuju odredbe o zaštićenom svedoku. Po zakonskom određenju, stručni savetnik je lice koje raspolaže posebnim stručnim znanjem i iskustvom iz oblasti nauke, tehnike, umetnosti ili zanata, i to iz one iste oblasti u kojoj je određeno veštačenje, a koje pruža savetodavnu i drugu stručnu pomoć krivičnoprocesnim strankama. Naime, naš zakonodavac ne propisuje vrstu posebnog stručnog znanja koje treba da poseduje stručni savetnik, ali izričito propisuje da to mora znanje iz oblasti u kojoj je određeno veštačenje. Dakle to može biti stručno znanje koje se u praksi najčešće primenjuje (forenzičko tj. kriminalističko-tehničko, medicinsko, saobraćajno-tehničko, knjigovodstveno, i sl.), ali može biti i znanje ili bilo koje druge nauke ili struke. Smatramo da to može biti i znanje iz oblasti u kojima zbog sofisticiranosti aparature i drugih objektivnih teškoća nije moguće izvršiti "privatno veštačenje", jer i tu stručni savetnik može kritički preispitivati nalaz i mišljenje veštaka, i to sa aspekta primenjene metode, kvaliteta materijala za veštačenje ("aservata"), itd. Nesporno je da se za stručnog savetnika može angažovati i punomoćjem ovlastiti lice koje je koje je na spisku stalnih sudskih veštaka u datom sudu ili je makar upisano u Registar veštaka (naravno, ako u konkretnoj krivičnoj stvari nije imenovano za veštaka). Smatramo, međutim, da se za stručnog savetnika može angažovati i svako drugo lice koje ispunjava zahtev u vezi sa stručnom sposobnošću, pogotovu ako za datu oblast nema registrovanih veštaka, ili ako su već imenovani za veštaka u istoj krivičnoj stvari. U takvim situacijama bi se, na primer, za stručnog savetnika iz oblasti informacionih tehnologija mogao angažovati i odgovarajući ekspert iz Udruženja sudskih veštaka za informacione tehnologije sa sedištem u Beogradu koga nema u Registru na spisku stalnih sudskih veštaka. U svakom slučaju krivičnoprocesne stranke mogu izabrati i punomoćjem ovlastiti stručnog savetnika, s tim što to u konkretnom slučaju mogu učiniti javni tužilac (u glavnom krivičnom postupku), okrivljeni sa ili bez branioca, privatni tužilac i oštećeni kao supsidijarni tužilac. S druge strane, okrivljeni i oštećeni kao supsidijarni tužilac imaju pravo da organu postupka podnesu zahtev za postavljanje stručnog savetnika. Naš zakonodavac s pravom ovakvu mogućnost ne ostavlja javnom tužiocu, a ni privatnom tužiocu. Smatra se da je ratio legis ovakvog rešenja činjenica da zastupnik javne tužbe raspolaže sredstvima iz kojih može obezbediti angažovanje stručnog savetnika, a da razlog za uskraćivanje pomenutog prava privatnom tužiocu leži u karakteru krivičnog dela za koje se preduzima krivično gonjenje ex private što, međutim, ne znači da okrivljeni ne bi mogao i u toj situaciji da podnese zahtev za postavljanje stručnog savetnika.[2] U svakom slučaju, neophodno je da okrivljeni i oštećeni kao supsidijarni tužilac prema svom imovinskom stanju ne mogu da plate nagradu i troškove stručnog savetnika, ali i da je to u interesu postupka, odnosno da to nalažu razlozi pravičnosti. U tom slučaju, troškovi procesne aktivnosti stručnog savetnika padaju na teret budžetskih sredstava suda. Protiv rešenja organa postupka kojim je okrivljenom i oštećenom kao supsidijarnom tužiocu postavljen stručni savetnik žalba nije dozvoljena. O žalbi protiv rešenja kojim je odbijen zahtev za postavljanje stručnog savetnika odlučuje sudija za prethodni postupak (u prethodnom krivičnom postupku, dakle ako je takvo rešenje doneo javni tužilac) ili vanraspravno veće (u glavnom krivičnom postupku). 3

190 Najzad, po izričitom stavu našeg zakonodavca, na stručnog savetnika se shodno primenjuju odredbe člana 116. st. 1. do 3. ZKP. To znači da se za stručnog savetnika ne može odrediti lice koje je isključeno ili je oslobođeno od dužnosti svedočenja, i ako je zaposleno kod oštećenog ili okrivljenog ili je, zajedno sa njima ili nekim od njih, zaposleno kod drugog poslodavca. Za stručnog savetnika se, po pravilu, neće odrediti ni lice koje je već ispitano kao svedok. 3. DUŽNOSTI I PRAVA STRUČNOG SAVETNIKA Osnovnu dužnost stručnog savetnika predstavlja pružanje stručne pomoći krivičnoprocesnoj stranci po osnovu angažovanja ili postavljenja. Smatramo, naime da stručni savetnik ne može da odbije pružanje stručne pomoći, ukoliko ne postoje zakonski osnovi za izuzeće i ako realno nije dovoljno stručno u konkretnom slučaju. U osnovne dužnosti stručnog savetnika spada i dužnost da pruži stručnu pomoć po svom najboljem znanju i umenju. Međutim, naš zakonodavac nije predvideo pravne posledice za stručnog savetnika ako, u pružanju stručne pomoći, iznosi lažne podatke. U ovom slučaju on ne podleže krivičnoj odgovornosti za delo davanja lažnog iskaza iz čl st. 3. Krivičnog zakonika Republike Srbije [8]. Ovo iz razloga što iskaz stručnog savetnika, kao i stručnog lica a za razliku od iskaza veštaka, po pravilu ne predstavlja posebnu formu niti dokazno sredstvo. Pored navedenih i drugih dužnosti, stručni savetnik poseduje i određena prava. Tako, stručni savetnik ima pravo na upotrebu maternjeg jezika ako ne zna jezik na kome se vodi krivični postupak (čl. 11 st. 2 ZKP). Isto pravo pripada mu i u slučaju da poznaje taj jezik, ali želi da se koristi svojim jezikom, s tim što je organ postupka dužan da ga pouči o tom pravu. Takođe, troškovi za stručne savetnike spadaju u troškove krivičnog postupka. Najzad, stručni savetnik ima pravo da traži od organa postupka da ga ovaj zaštiti od bilo kakvog vređanja i maltretiranja. Stručni savetnik ima pravo da bude obavešten o danu, času i mestu veštačenja i da prisustvuje veštačenju kojem imaju pravo da prisustvuju okrivljeni i njegov branilac, da u toku veštačenja pregleda spise i predmet veštačenja i predlaže veštaku preduzimanje određenih radnji (rukovodeći se isključivo pravilima odgovarajuće struke lege artis), da daje primedbe na nalaz i mišljenje veštaka, da na glavnom pretresu postavlja pitanja veštaku i da bude ispitan o predmetu veštačenja.[3] Saglasno tome, stručni savetnik ima pravo da daje primedbe na nalaz i mišljenje veštaka, ali sud i ako ih prihvati ne može njegovim mišljanjem (kao ni sopstvenim) zameniti mišljenje veštaka, već može odrediti dopunsko ispitivanje veštaka, odnosno dopunsko ili ponovno veštačenje. S druge strane, stručni savetnik je dužan da punomoćje bez odlaganja podnese organu krivičnog postupka, da stranci pruži pomoć stručno, savesno i blagovremeno, da ne zloupotrebljava svoja prava i da ne odugovlači postupak. Pre ispitivanja od stručnog savetnika će se zahtevati da položi zakletvu koja je promisorna, laička i po svemu analogna zakletvi veštaka. Naime, zakletva stručnog savetnika glasi: "Zaklinjem se da ću dati iskaz u skladu sa pravilima nauke ili veštine, savesno, nepristrasno i po svom najboljem znanju". Odbijanje stručnog savetnika da položi zakletvu ne povlači procesne posledice, ali se može uzeti u obzir prilikom ocene dokazne vrednosti njegovog iskaza. Prema tome, polaganje zakletve doprinosi verodostojnom i objektivnom pružanje stručne pomoći strankama, jer se zakletvom intenzivno utiče na svest stručnog savetnika. 4

191 U pogledu pravne prirode stručnog savetnika moglo bi se zaključiti da je to relativno samostalni sporedni procesni subjekat koji ima sasvim određeno mesto u postupku, definisani delokrug aktivnosti i specifični procesni položaj. Smatramo da je to sporedni procesni subjekat svoje vrste koji se bitno razlikuje od veštaka, čak i u slučaju kontradiktornog veštačenja koje egzistira u krivičnom postupku anglosaksonskih zemalja. Osim toga, smatramo da se delatnost stručnog savetnika u našem krivičnom postupku suštinski raztlikuje i od dualitetnog (simultanog) veštačenja, kakvo se sreće u uporednom procesnom zakonodavstvu. Ovo veštačenje u krivičnom postupku Francuske (čl francuskog ZKP), vrše dva ili više veštaka iste struke i to istovremeno ali međusobno nezavisno. U suštini, ovo je podvrsta nekontradiktornog veštačenja jer eksperte imenuje isključivo organ krivičnog postupka. 4. ZAKLJUČNA RAZMATRANJA Zakonodavac Republike Srbije se godine pravilno opredelio za uvođenje ustanove stručnog savetnika, koja se jasno razlikuje od ustanove veštaka. Pošto se stručni savetnik suštinski razlikuje i od stručnog lica specijaliste kao procesnog subjekta koji egzistira u krivičnom postupku Ukrajine, Rusije i drugih zemalja, zaključuje se da je uzor našem zakonodavcu bio drugi tip stručnog lica, tj. tehnički savetnik koga italijanska krivična procedura poznaje još od godine. Naime, italijanski zakonodavac je, kao i naš, prihvatio tzv. užu koncepciju stručnog lica, odnosno vezao je delatnost ovog stručnjaka za veštačenje (čl ZKP Italije). Isto tako, ZKP Italije eksplicitno omogućava učešće stručnih lica na strani stranaka i to: okrivljenog, oštećenog i privatnog tužioca. Najzad, treba istaći da se "tehnički konsultanti" kao stručni pomoćnici stranaka mogu pojaviti i na glavnom pretresu, ali samo u skraćenom postupku kada glavnom pretresu ne prethodi istraga. Ukoliko tehnički savetnik prisustvuje veštačenju on može davati predloge i stavljati primedbe koje se unose u zapisnik, a ako je angažovan nakon izvršenog veštačenja može dobiti kopiju iskaza veštaka o trošku stranke koja ga je angažovala, i na osnovu toga sačiniti pismene primedbe koje se čitaju na glavnom pretresu. Takođe, ukoliko prisustvuje glavnom pretresu, tehnički savetnik se ispituje kao i veštak (čl. 416., čl ZKP Italije). Posebno treba imati u vidu da je, u delu naše procesne teorije, godinama je bilo izraženo mišljenje da se u bliskoj budućnosti normira takav oblik struče pomoći strankama.[4] Prihvatajući konačno takve stavove, zakonodavac je realno omogućio strankama da u mnogim situacijama i praktično ostvare svoje pravo na kritičku ocenu iskaza veštaka, što je jedno od najkontraverznijih pitanja savremene krivične procedure. Međutim, odgovor na pitanje o svrsishodnosti i dometima pružanja stručne pomoći krivičnoprocesnim strankama od strane tehničkih savetnika, kao i odgovor na sva druga sporna pitanja u vezi sa tim, može dati jedino praksa. Posedovanje stručnog znanja (uključujući i znanja iz oblasti informacionih tehnologija) od strane okrivljenog i njegovog branioca svakako je poželjno i korisno u krivičnom postupku, naročito kod ocene iskaza veštaka. Ovo iz razloga što i činjenice utvrđene IT veštačenjem podležu slobodnoj oceni suda. Pored toga, informisanost i upućenost okrivljenog i njegovog branioca u mogućnosti primene određenih metoda naučnog istraživanja i njihovu efikasnost može biti od koristi kod izbora materijala za istraživanje veštaka, procene neophodnosti određivanja veštačenja, izbora pojedinog stručnjaka za veštaka i tome slično. 5

192 Najzad, ovo može sprečiti logičku grešku poznatu kao "argument strahopoštovanja prema autoritetim" (argumentum ad verecundiam) koja se sastoji u tome da se sporna teza dokazuje pozivanjem na nečiji autoritet. U ovu grešku u sudskoj praksi se ponekad zapada kada je u pitanju nesaglasnost mišljenja veštaka. LITERATURA [1] Bouzat P.; Pinatel J.: Traite de Droit Penal et de Criminologie, Tome II : Procedure penale, (Deuxieme Edition), Dalloz, Paris, [2] Ilić G.; Majić M.; Beljanski S.; Trešnjev A.: Komentar Zakonika o krivičnom postupku: prema stanju zakonodavstva od 1. oktobra godine, JP Službeni glasnik, Beograd, [3] Milošević, M. ; Dautbegović A.: Krivično procesno pravo, Fakultet za poslovne studije i pravo, Beograd, [4] Stevanović, Č.: Položaj stručnog lica u krivičnom postupku, Zbornik radova Pravnog fakulteta u Nišu za godinu, Niš, [5] Zakonik o krivičnom postupku Republike Srbije iz godine ("Službeni list SRJ", br. 70/2001 sa kasnijim izmenama i dopunama). [6] Zakonik o krivičnom postupku Republike Srbije iz godine ("Službeni glasnik RS", br. 46/2006 sa kasnijim izmenama i dopunama). [7] Zakonik o krivičnom postupku Republike Srbije iz godine ("Službeni glasnik RS", br. 72/2011 sa kasnijim izmenama i dopunama). [8] Krivični zakonik Republike Srbije ("Službeni glasnik RS", br. 85/2005 sa kasnijim izmenama i dopunama). 6

193 Sadržaj КОНЦЕПТ КИБЕР ОРУЖЈА У РАЧУНАРСКИМ И ТЕЛЕКОМУНИКАЦИОНИМ СИСТЕМИМА МСц Небојша Иваниш, дипл. инж. инф. ИТ Вештак, Београд, Србија, Апстракт: Концепт рата у последњој деценији се дубоко променио због масовног увођења технологија у свакодневни живот. То је отворило простор за такозвано кибер ратовање. Операције кибер напада и кибер шпијунаже су у највећој мери политички мотивисане а њени планери су најумнији експерти из више различитих области. У кибер рату нема елемената физичке силе али ни јавних политичких циљева. Због наведеног се не може рећи да постоји рат између Америке и Кине, Ирана и Израела, Русије против Естоније и Грузије. Оваква врста рата се не уклапа у дефиницију конвенционалног рата јер нема елемената силе нити је јасно изражених политичких циљева, али у бити постоји електронско бојно поље такозвано кибер поље. Кључне речи: кибер рат, кибер простор, кибер оружје, кибер ћелија, кибер војник, малвер, код, хакер. 1. УВОД Последице кибер рата из виртуелног простора се могу пренети у стваран простор и те последице могу бити катастрофалне за неку суверену земљу као на пример да одређени простор државе остане без воде, возови се сударају или искачу из шина, банке губе податке или новац, авиони падају са неба, улицама шетају руље бесних организованих људи, људи умиру због неадекватне медицинске неге, а све се дешава док идентитет нападача остаје покривен мистеријом. Због наведених тешких последица кибер ратовања јавља се потреба бржег решавања превентивне заштите нашег кибер простора. То се најефикасније постиже развојем нових кибер јединица заштите земље кибер ћелија. Ретке су земље које нису увиделе значај кибер ратовања, из тог разлога многе улажу значајна средства за превентивну заштиту свог кибер простора. Експерт за безбедност у америчкој влади по имену Ричард А. Кларк је дефинисао у својој књизи маја године шта је кибер рат: Кибер рат је акција националне државне безбедности ради упада у компјутер/компјутере или мреже другог народа за потребе прикупљања корисних инфорамација, наношења штете или прекида рада делимично или у потпуности оних система који су кључ вођења једне суверене земље." Ако знамо да су физички простор, копно, море и ваздух четири домена где је могуће водити рат, онда се кибер простор посматра као пети домен ратовања. Заменик америчког секретара одбране Вилиам Ј. Лин, каже да је Пентагон званично признао да постоји кибер простор као нови домен у ратовању али и да још не постоји потпуна свест код великог броја држава сиром планете о могућим злоупотребама, нарушавању и злоупотреби истог. Са подацима у кибер простору се оперише, они путују, а на многим местима се са њима тргује. Кибер домен је препун софтверских замки. Историјска анегдота указује на прве кораке кибер шпијунаже и кибер напада. Верује се да је кибер напад и кибер шпијунажу измислио" Роналд Реган у време када није постојао интернет. На једном самиту у Отави Реган је од Митерана добио обавештење да је француска тајна служба регрутовала високо рангираног КГБ официра по имену Владимир који је доставио четири хиљаде копија тајних совјетских докумената. Јасно се видело да је Совјетски Савез очајнички покушавао да се дочепа западне технологије за развој гасовода на релацији Уренгој Сургут - Чељабинск. На предлог Регановог саветника Гаса Веиса, Реган је одлучио да дозволи Совјетима да сазнају оно што им је потребно. Кључна компонента, је био софтвер који контролише рад вентила на гасоводу. Совјетски агенти су од канадске компаније украли електронске нацрте и шеме, а да нису били свесни да ће у њихов гасовод ући тројански коњ у којем се крије логичка бомба. Неколико месеци гасовод је функционисао као сат, а онда је софтвер полудео, активирала се логичка бомба и променила рад вентила који су почели да подижу притисак гаса у гасоводу. Амерички војни сателити су 4. јуна године открили експлозију у Сибиру снаге мање атомске бомбе. Експлозија је довела ситуацију до усијања јер су Совјети подигли своју војну готовост до општег ванредног нуклеарног стања. Само Вајс и Реган су знала шта се заправо догодило. Руски извори, међутим, оспоравају ову верзију

194 приче. Пензионисани генерал КГБ-а Васили Пчелинцево рекао је да је експлозија била много мањег интензитета и да се догодила на сасвим другом месту. Рекавши да је узрокована клизиштем носача цеви због влажног земљишта у сибирској тундри. Људских жртава није било, а штета је поправљена у року од једног дана, изјавио је генерал КГБ-а. 2. Утицај кибер оружја на кибер простор Кибер простор је виртуелни простор у којем постоје и њиме се крећу дигитални и аналогни подаци. Те податке могу да користе државне институције, војска, полиција, грађани, једне или више земаља. Да би упростили апстрактне чињенице о кибер простору узмимо на пример интернет као кибер простор, али можемо узети и интранет мрежу неке компаније или државне институције и то може бити кибер простор. Предходно поменуте чињенице нас обавезују да повећамо свест у сектору безбедности земље од могућих претњи у кибер простору. Такве операције могу имати офанзивну, дефанзивну и обавештајну улогу, а све у сврху предности у односу на конвенционалне нападе. За разлику од конвенционалног напада, кибер напад може бити спроведен у мирнодопском режиму на веома подмукли начин. То доводи до потребе да се размотре све могуће претње које захтевају висок степен приправности. Владе широм света су забринуте због нивоа безбедности својих инфраструктура које користе дигиталне технологије и промовишу темеље квалификованих кибер јединица како би се омогућиле акције у новом домену. Као пример се може навести да је Амерички председник Барак Обама у години прогласио да су Америчке дигиталне инфраструктуре уствари "стратешко национално благо", а само годину дана касније је морао да одобри формирање нове кибер команде (US Ciber Com.) са примарним задатком да одбрани америчку војну мрежу и да спроведе пун спектар војних акција у кибер простору. Тиме су се омогућиле акције у свим доменима заштите државних ресурса. САД нису једина нација која улаже у стварање способности заштите кибер простора, кибер ратовања и кибер операција. Кина, Израел и Русија управо раде све као и САД. За предходно поменутим ништа не заостају ни Северна Кореја и Иран. Њихово присуство у кибер простору последњих година бележи знатна побољшања. Званични извори наводе да је најмање 140 земаља на планети у процесу развоја кибер оружја и деловања у кибер простору. Забележен је велики пораст кибер операција у кибер простору у последњих 5 година. Процењује се да се приближно хиљаду напада сваког дана води против владиних система широм планете. Поставља се питање: Колико таквих напада ће у будућности бити реализовано успешно, а колико њих ће бити осујећени? Тренутно нико не може да да одговор на ово питања. Слика 1. Списак познатих кибер оружја нове генерације у последњих пет година Извор: 2

195 Кибер оружје није неко специјално недокучиво средство већ је то софтвер који је писан у једном или више програмских језика по одређеној методологији потребној за деловање у кибер простору. Кибер оружје софтвер, је предефинисан (написан - програмиран) и има улогу да увреди непријатеља у кибер простору. Али, упркос честој употреби термина кибер оружје, данас не постоји формална и правна дефиниција у терминологији на нивоу државе и институција (у току прослогодишњих зимских месеци аутор овог текста незванично сазнај да је дат нацрт закона о Кибер безбедности у Скупштину Републике Србије на даљу процедура због изгласавања). Узмимо примера ради, речник војних термина, који садржи мноштво дефиниција за разноразна оружја и оруђа али не садржи посебну дефиницију за кибер оружје. Ни међународно право не дефинише која је улога, за шта је намењен и шта је уопште једно кибер оружје. Може се слободно рећи, да је недостатак правно регулативне дефиниције за кибер оружје, озбиљан проблем. Недостатак правне дефиниције чини не могућност разлике између улоге кибер оружја и његовог правилног коришћења. Исто тако немогуће је проценити правну и политичку одговорност агресора и реалног нивоа опасности направљеног у контексту кибер ратовања. 3. Одабир кибер оружја за ефикасност у вођењу кибер рата? Примарни фактори успеха употребе кибер оружја су ефикасност и смањење трошкова који се користе у технологијама за конвенционални рат. Случај Стукнет малвера (у даљем тексту без знака навода) је први прави пример кибер оружја. Тај малвер је писан/програмиран у C програмском језику. Стакнет је показао сву своју силину и утицај на критичне инфраструктуре једне суверене земље. Употреба кибер оружја не прави буку као конвенционално оружје, па се каже да је то оружје не чујно. Нападач агресор кибер ратник може извршити напад и побећи, а да се физички није појавио на лицу места, тачније да никада није био физички присутан на тој локацији, да је без звучног и визуелног ефекта извршио напад и да у је тренутку напада боравио заштићен у некој држави хиљаду километара далеко од места где се одиграо напад - злочин. То је права моћ кибер оружја која истражитеље, дигиталне форензичаре и инспекторе ставља на веома тежак задатак откривања и доказивања починиоца злочина. Отежава истрагу и немогућност доношења цињеничног стања и изношења доказа пред извршне државне органа нападнуте земље. Најјаче светске војне силе попут Америке, Кине, Русије итд. су услед великог броја кибер операција и напада немоћне у проналажењу починиоца. Нападачи кибер ратници у великом броју случајева раде под покрићем своје владе што представља бег од санкција у међународној заједници, јер анонимна природа кривичног дела омогућава избегавање санкција и спречавање да оштећена страна одобри војну офанзиву или надокнади штету. Слика 2. Илустрација тренутних кибер напада широм планете Извор: 3

196 Фазе развоја и припреме кибер оружја из војне перспективе у далекој мери су лакше за скривање од радозналих очију. Лакше је открити изградњу конвенционалног оружја као нпр. ракете, беспилотне летелице, борбеног авиона итд. у односу на развој кибер оружја. Објашњење је логично, кибер оружје може развијати једна или више особа тајно. На пример, кибер оружје се може развијати у некој војној бази или у неком бункеру ко зна где, локација је не битна али исто тако може се програмирати у кафићу преко пута вашег стола док пијете кафу или ручате са породицом. Поновићемо опет, кибер оружје је еквивалент софтверу и развој кибер оружја је еквивалент развоју софтвера. Значи, особа која развија кибер оружје може да пише неку линију кода у програмском окружењу за било који програмски језик, а да ви све време гледате у монитор и пратите шта та особа ради и да не видите ништа сумњиво што би указивало на стварање кибер оружја. Та особа може развијати само пар метода које ништа не значе док се не обједине/развију/генеришу у готов софтвер тј.у том случају малвер који има улогу кибер оружја. Употреба кибер оружја је комплементарна са конвенционалним војним ударима и може бити: подршка операцији за уништавање инфраструктуре непријатељске одбране или убачен малвер у непријатељске технолошке системе. Предности, могућности и циљеви кибер ратовања су веома атрактивни за технолошко, финансијски и војно индустријски мале земље. Упркос томе што су им средстава за развој конвенционалног наоружања у војној индустрији мала и не могу да парирају најјачим војим силама ипак имају могућност да улагањима у развој кибер оружја буду приближно еквивалентне најјачим војним силама на планети. Који су циљеви за кибер ратовања? Спектар могућности кибер оружја је веома широк. Чињенично гледано, кибер оружје би могло погодити сваку критичну инфраструктуру и витални систем једне земље, као што су: индустријски контролери, елементи од посебног значаја који надгледају рад постројења за производњу енергије и користе се за водовод, хидро или електро централе, системи за надгледање (мониторинг) територије, државне и приватне болнице, пример је Немачка која улаже велика новчана средства у даљинску медицину. Преко 3G телефонске мреже се прати пацијентово стање и дежурни лекар или робот рачунар врше информисање пацијента потребама за узимање терапије и о стању пацијента. Стање пацијента прате сензори који контролишу притисак, откуцаје срца итд, седнице Владе које се одржавају преко линка када министри нису у могућности да физички буду присутни, користе се спољни путеви у комуникацији који никада не могу 100% бити безбедни, они су само обезбеђени спољни линкови, комуникационе мреже државних и приватних провајдера, системи одбране, војни и цивилни ваздушни саобраћај и контрола ваздушног простора, финансијски и банкарски системи. Због предходно наведеног, можемо рећи да је кибер домен ипак присутан у стварном свету. У стварном свету имамо уговоре, агенције за праћење и надзор. Такве агенције врше контролу за нуклеарно, биолошко и хемијско оружје, па зашто не би радиле контролу и за кибер оружје? Овакво питање је исцрпно и наглашава потребу за оснивање Међународне кибер регулаторне комисије. Пре свега, потребно је да се обезбеди валидна дефиниција о концепту шта је кибер оружје. Занимљиву дефиницију за кибер оружје обезбедио је италијански адвокат Стефано Меле, иначе експерт за кибер ратовање, у својој публикацији Ciberweaphons Правни и стратешки аспекти : Кибер оружје је исто што и уређај или било који скуп рачунарских инструкција дизајнираних да незаконито оштети рачунар или телекомуникациони систем који има природу критичне инфраструктуре, да искористи његове информације, податке или програме садржане у њему или у његовим везама, или да би се олакшао прекид, потпуно или делимично, или преиначење свог рада. Поред предходно поменуте дефиниције имамо још једну дефиницију за кибер оружје коју најчешће користе стручњаци за кибер безбедност и она гласи овако: Уређај, апарат или сваки скуп рачунарских инструкција дизајнираних да увреди особу у кибер простору. Обе дефиниције су комплетне и правно ваљано исказане да квалификују суштину кибер оружја. 4

197 Софтвери за кибер шпијунажу се могу користити да изврше напад на специфичне циљеве једноставним учитавањем одговарајућег дела кода - модула метода функције у коду који је развијен за напада. Тако развијен софтвер представља модуларну структуру која омогућава употребу малвара у офанзивно дефанзивне сврхе. Постоји пример као већ изолован случај, за предходно наведене чињенице, а то је малвер Дуку (у даљем тексту без знака навода). Малвер Дуку из извора Викиликса настао је под покровитељством безбедносне агенције америчке државе, али се званично и дан данас води под непознатим пореклом. Циљ кибер шпијунаже је прикупљање података, осматрање и даљинско управљање. Малвер Дуку користи исту платформу којом је писан малвер Стукнет. Та платформа се назива Tilded платформа са могућношћу отовреног IoC (inversion of control) фајла. Фајл IoC има могућност да се генерише узимајући команде у току самог рада и пунећи базу која има могућност промене структуре у зависности од информација које је пуне кроз IoC фајл. Предходно наведено, се може видети из следећег представљеног метода који је део фајла IoC, а то је: public class ServerFacade { public <K, V> V respondtorequest(k request) { if (businesslayer.validaterequest(request)) { DAO.getData(request); return Aspect.convertData(request); } return null; } } public class ServerFacade { public <K, V> V respondtorequest(k request, DAO dao) { return dao.getdata(request); } } Ово је приказ основног нацрта у Јава програмском језику и даје пример кода израђеног у методологији IoC фаја. У ServerFacade класи имамо објекат DAO (назив објекта из наведеног примера) који је део базе. Све претпоставке могу бити важне у неком тренутку. Имамо методу са наредбом if која користи две промењиве K,V које пуне DAO објекат. Израда оваквог метода има за циљ улогу инверзије контроле објекта. 4. Tilded платформа А шта је то Tilded платформа (у даљем тексту без знака навода)? Tilded платформа је специјално дизајнирана посуда (у даљем тексту без знака навода) за неопажен пренос малвера на неком електронском медијуму до жељене локације рачунара, дигиталног уређаја или мреже. Циљ нападача је да инфилтрира посуду са малвером (малвер може бити дизајниран писан тј. програмиран за било коју врсту напада или шпијунаже) на неки чврсти диск или преносни медии. Особа која ће бити курир не треба да зна да у систем уноси малвер. Чим особа унесе малвер у изоловану мрежу, тиме се посао курира и Tilded платформ - посуде завршава. Потом ће се у систему малвер временски активирати на одређени датум. Дефиниција - Tilded платформу је комуникатор за злонамерни софтвер. Tilded платформа је развијена крајем године и прошла је значајане трансформације у години како би се спречило да је нови антивирусни производи открију. Према исказима стручњака за кибер безбедност и безбедност информационих ситема може се предпоставити колики је био број циљаних напада у последњих неколико година због могућности праћења неких верзија Tilded платформа. Најзначајнији тројански малвери који су користили Tilded платформу су Стукнет и Дуку. Верује се да постоје и други малвери или шпијунски софтвери који користе Tilded платформу али да још нису идентификовани. У јануару године у извештају антивирусне компанија Касперски Лаб наведена је повећана употреба Tilded платформе на интернету. 5

198 5. Студија случаја Стукнет Стукнет малвер је откривен години када је инфицирао индустријске контроле у специфичним системима распоређеним у иранским инфраструктурама који имају намене критичног управљања гасовода, термо, хидро и нуклеарних електрана. Крајњи циљ Стукнета је био да саботира инфраструктуру критичне намене на начин да репрограмира логичке контролере (ПЛЦС), а потом би контролери наставили рад по жељи нападача. Намера је била да се повећају извршне способности свих механичких уређаја у систему. Учесталост у раду им се тако повећава до максимума и како би били доведени у стање физичког отказа. Тиме би се нанела велика материјална штета. Операција кибер напада је тако развијена да доведе до отказа система. Стукнет се састоји од више комада злонамерних програма са мноштвом различитих компоненти и функционалности које укључују: нулти-дан, windows рооткит, ПЛЦ рооткит, анти технику за антивирусну семантичку претрагу, сложен процес ињекције за напад, рутине за мрежну инфекцију, процес мутирања, peer-to-peer исправке, временски окидачи и команднe и контролнe интерфејсe. Употребом различитих техника у програмирању Стакнета довело је до закључка да није једина мета био Иран и нуклеарна постројења, већ је имао улогу да настави своје ширење и на земље политички и дипломатски блиске Ирану. Даље инфекције би се сматрале као колатерална штета изазвана нестручном употребом иранског тајног оружја, што би за циљ навело њихове савезнике на прекид дипломатских односа. Из предходно наведеног се поставља питање да ли су аутори кибер оружја били у стању да контролишу ширење малвера Стакнет? Према изјавама многих америчких војних званичника, није могуће сто постотно имати сигурност у управљању кибер оружјем јер постоји могућност да се поред мете заразе и друге мете које нису биле циљ напада. Разлог лежи у томе да када се кибер оружје убаци у систем преко Тилдед платформе, нападачи кибер војници само чекау реакцију, а оштећена страна може у великој мери да утиче својим поступцима на даље прогресивно инфицирање система у кибер простору. У таквим ситуацијама кључну улогу носе методологије заустављања, изоловања инфицираних клијената и отклањање инфекције, а све у зависности од методологије припреме напада од стране нападача. Када су ирански стручњаци за безбедност извршили дигиталну форензику и направили скицу претпоставки методологије нападача видели су да постојале разлике у коду кибер оружја које су указивале на могућност дифузије модула и временског окидача за процес мутирања. Тиме је кибер оружје постало комплексно сложен софтвер са могућношћу да мења своје понашање, да мења структуру и да сваки модул или метод може имати разарајући утицај. Борба против оваквог кибер оружја, из предходно наведених чињеница, делује веома сложена и тешка, а неки би рекли скоро немогућа. Дејство Стакнета је нанело велику материјалну штету. Наравно да постоји могућност одбране и то у више фаза: потпуна изолација критичних инфраструктурних система, системе свести на одвојене независне делове ако могућности дозвољавају (разлог је лакша изолација инфицираног подручја), направити паралелну копију целог система или кључних делова (ако се главни систем инфицира, изолује се целокупним искључењем, а могуће је активирати копију и наставити са радом), контрола уноса информација путем преносних медиа у систем (подићи на највиши ниво), едукација о безбедоносним мерама и повећању безбедоносне свести запослених, мониторинг система које спроводе особе, никако мониторинг уз помоћ софтвера, обавештајни рад у прикупљању информација о потенцијалним нападачима, развијање кибер оружја на нивоу државе због могућег одговора или првог напада и 6

199 свакодневна контрола система од стране дигиталних форензичара како би се закрпиле рупе. 6. Утицај на Кибер простор Ширење злонамерног софтвера кибер оружја у кибер простору може довести до уништавањa критичне инфраструктуре па чак и до губитка људских живота. Кибер напад може изазвати сличну штету као што изазива конвенционални напад са озбиљним утицајем на грађане. Постоје колатералне штете изазване неконтролисаном дифузијом кибер оружја. У кибер нападу примарни циљеви наношења штете су електронски системи: националне одбране - систем одбране једне земље могу се контролисати, самим тим и конвенционално наоружање, па тако на пример, постоји могућност да се покрене ракета против своје државе или других народа, здравствених установа и болница - пацијети у болницама и домовима здравља могу бити изложени кибер шпијунажи (прикупљање информација) или кибер нападу, контроле критичних објеката - кибер напад би могао угрозити систем управљања хемијског постројења или нуклеарне електране (мењање процеса рада и производње), водовод - вода је битан ресурс за становништво. Прекид снабдевања водом може оставити велике површине територије без воде. Измена у систему контроле водоводне мреже може омогућити рањивост на системе за филтрирање воде и тако изазвати између осталога и тровање воде (повећано присуство хлора итд.) на индиректан начин, потпуно аутоматизоване контроле превоза цивилног и војног копненог, воденог и ваздушног саобраћаја - управљање ваздушним саобраћајем. Размислите о ефекату напада на систем контроле железничког саобраћаја око пропуштања и мимоилажења два воза и могућ судар, електро мреже - овај циљ представља виталан систем једне земље. Електро мреже представљају привилеговану мету за кибер нападе, а њихова одбрана мора бити основа у свакој кибер стратегији одбране. Нападом је могуће прекинути снабдевање електричном енергијом, због чега је нарушен укупан блок активности нације и нанета је велика материјална штета, банака и финансија - су од критичног значаја за нацију и напад на њих може да изазове озбиљне проблеме. Кибер напад може изазвати финансијски колапс једне нације. Сценарио је забрињавајући, јер знамо да је економија ступ стабилности сваке државе. Слика 3. Утицај малвера Carbanak 7

200 Извор: Као пример у илустрацији 3. је наведен малвер Carbanak (у даљем тексту без знака навода) који прикупља информације из банкарског и финансијског сектора. Писан је за пробој у Windows оперативне системе. Оперативно обавештаним активностима кибер ратници су прикупили информације да је у тим секторима најзаступљенији Windows оперативни систем. Сам Windows има велики број пропуста у заштити неовлашћеног уласка на back doors (задња врата), у хакерским круговима се зна да за ту активност није потребна нека претерана способност хакерисања. Генерал Џон С. Каскиано, бивши директор ваздухопловства, надзора и извиђања Владе САД, потврдио је концепт непредвидивости кибер оружја, изјављујући следеће: ми никада нећемо имати 100% гаранција да ће кибер напад радити као што смо испланирали. То значи да би кибер оружје у екстремним случајевима могло да нападне извор, па би такав напад са последицама добио термин бумеранг ефекат. Присуство кибер оружја у кибер простору може отворити могућност обрнутог инжењеринга у односу на изворни код. Стране владе, злонамерни појединац, кибер терористи, хакактивиси и криминалци могу да детектује, изолују и анализирају кибер оружје, изврше пројектовање кибер оружја и пусте га у кибер простор. Цурење информација о постојању кибер оружја је значајан фактор који може подстаћи активности противника у кибер рату. Други фактор који излаже унутрашњу безбедност озбиљном ризику у случају кибер напада је недостатак свести грађана о кибер ратовању и одговарајући поступци одговора у случају напада. Већина људи у потпуности игнорише термин кибер ратовање. 7. Нова улога хакера и рађање новог тржишта црни маркет Битан, можда и најбитнији елемент у развоју кибер оружја је спознаја његове рањивости, тј грешке у програмском коду. Други битан елемент је рањивост софтвера или система који према коме се планира напад. Ове чињенице су познате широм планете под термином - рањивост нултог дана. То је фактор који утиче на ефикасност али и омогућава да циљате одређене рупе у софтверу или инфраструктури. Владе земаља и одређени бизнис кругови су изненада открили значај у откривању овакве врсте грешке - бага у софтверима који имају широке намене и које грађани користе у свакодневном животу. То отворило могућност креирања новог тржишта за трговину драгоценом робом грешке у софтверском коду које је добило термин црни маркет. Рањивост софтверског кода је суштина рада сваког кибер војника - хакера. На црним маркетима грешке багови у софтверском коду имају велику вредност, па се могу купити/продати по ценама и до неколико милиона евра/долара. Слика 4. Пример комуникације хакера и особе за врбовање 8

201 Извор: Илустрација 4. приказује класичну злоупотребу обичног корисника од стране кибер нападача хакера због тестирање софтвера. Циљ хакера је да прикупи корисне информација о баговима у коду неког софтвера бесплатно или за веома малу новчану надокнаду, а те информације ће потом продати на црном тржишту за пуно новца. Хакер користи легални софтвер за комуникацију као што је приказано на илустрацији 4. и ствара слику о безазлености ситуације, нуди лаку новчану зараду коју многи не одбијају и обмањује обичног корисника у његовом даљем коришћењу кибер простора - интернета, а да тога корисник није ни свестан. Фигура хакера се у потпуности променила у очима произвођача софтвера. У прошлости, хакери су углавном радили за њихово задовољство, личне фрустрације и због потреба за мерењем личних вештине не мешајући се у послове државе. Данас су хакери кључна фигура у кибер свету, јер своје вештине могу уновчити откривајући грешке у коду па их потом продају, уцењују друга лица или злоупотребљавају на црним маркетима. Када је откривена рањивост софтверског кода, владе земаља су увеле у пословање куповине/продаје софтвера брокерске куће ради чувања тајне о грешкама у коду али и да споје понуду и потрежњу. Тада су и хакери затражили свој део колача. Тржиште црних маркета као и њени актери су обавијени велом мистерије. Велики број стручњака за безбедност пропагира увођење правне регулативе и контроле за преговоре при куповини/продаји софтверских грешака у коду. Тренутно се продаја/куповима на подручјима црних маркета одвија са опасним и тајанственим особама које су спремне на разноразне опасне последице како би дошли до жељених грешака. Други проблем је немогућност да се оствари увид у реалне токове новца на црном маркету, избегавање плаћања пореза и других законских норми. Slika 5. Пример интернет огласа за приступ кибер школи Иѕвор: Од пре пар година уназад су све учесталији огласи на интернету о приступу кибер школама широм света. Понуда је лака и добра зарада за младе (велика незапосленост приморава младу особу са добрим знањем на овакав корак) и могућност дамлада особа добије шансу за такозваним престижом у друшту и заједници ако постане део црних шешира или било које друге хакерске организације. Само је потребно да приступи хакерској школи, као што приказује илустрација 5. Најјачи ефекат оглас постиже у Бразилу, Индији, Кини али и у земљама источне европе. Разлог је једноставан велика незапосленост и проблеми социјалне и финансијске природе. Владе земаља које улажу у кибер безбедност су заинтересоване за хакере кибер војнике које могу користити за своје кибер операције. Кина, Русија, САД али и Северна Кореја и Иран, јавно су показали велико интересовање за куповину хакера. У многим случајевима владе су најавиле ангажовање најбољих хакера за стварање нових кибер јединица, као на пример начелник нове хакер кибер јединице Генералштаба САД-а Кеит Б. Алекандер током последњег скупа Дефкон конференција хакерских достигнућа, затражио је хакере за помоћ обезбеђивања кибер простора САД-а. 9

202 8. Шпијунски фајлови Spy files Масовни мониторинг популације шором планете постао је реалност и нова тајна индустријске шпијунаже која тренутно обухвата 25 земаља. Звучи као нови филм из Холивуда, али од данас, системи масовног мониторинга и пресретања информација који су изграђени од западних обавештајних служби су реалност. Данас постоји јавна база података, на десетине, а може се слободно рећи и на стотине докумената из чак 160 обавештајних служби које масовно прате најразвијеније индустрије на планети. Међународне компаније за надзор и управљање дигитално/аналогних података су засноване у више земаља, технолошки су напредне и продају своју технологију свакој земљи на свету која је спремна да плати и за то има интерес. Оваква трговина у пракси није регулисана правно. Обавештајне агенције, војне силе и полиције су у стању да масовно, тихо и тајно пресретају позиве и преузимају рачунаре без помоћи или знања од телекомуникационих и интернет провајдера. Физичка локација корисника се може пратити, па чак и ако је мобилни телефон на стенд-бају, из разлога јер је мобилни телефон у сталној комуникацији са базном станицом оператера или провајдера али и сателита преко GPS локатора (перфидно је понуђена опција на пример да када се сликате, GPS вам омогући да уз име слике дода и назив локације, као да сами не знате где сте се сликали, а у ствари је класична потреба за надзором личности које су занимљиве службама безбедности). Западне компаније продају обавештајним агенцијама широк спектар опреме за масовни надзор, праве софтвере и апликације које омогућавају праћење али праве и уређаје за сигурну комуникацију са огромним бројем бита у крипто кључу итд, а уствари имају клијенте на длану. У последњих десет година системи за неселективни, масовни надзор су постали норма и обавеза. Компаније као што су VASTech тајно продају опрему која може да трајно бележи телефонске позиве читавих народа. Могу да бележе положај сваког мобилног телефона у граду, са тачношћу радијуса од неколико метара али и тачније. Компаније развијају системе за инфицирање уређаја сваког корисника Facebook-а ако се јави потреба за мониторингом становништва. Компаније као што су Hacking team из Италије и Vupen из Француске производе малвере (тројанаце) којима је могуће да преотму појединачне компјутере и телефоне (IPhone, Blubery и Android) преузму уређај, изврше преузимање снимљеног садрђаја на уређају из свакодневне употребе, прате кретање лица путем (GPS), па чак и слушају звуке у просторији у којој се уређај налази. Могу да идентификују појединце према полу и старости и да их прате на основу гласа. Постоји база података у Америци где се сваки глас везује за једну особу (на десетине параметара идентификују један глас једне особе као нпр. тоналитет, начин изговора, боја гласа итд.) додаје им се ID број и похрањује се у базу. Када се особа огласи преко било ког другог уређаја (може нон стоп да мења уређаје за комуникацију) увек буде препозната (ништа не помаже да се особа сакрије од ове методе). У јануару године, Агенција за националну безбедност уложила је 1.5 милијарду долара у објекат у пустињи у Јути који је дизајниран да заувек чува терабајте и терабајте домаћих и страних обавештајних података. Те податке је могуће обрађивати накнадно у наредним годинама или у реалном времену. Телекомуникационе компаније сарађују са обавештајним службама у одавању информација својих клијента без обзира на земљу. Током августовских немира у Великој Британији компанија Research in Motion (RIM) доноси одлуку да понуди властима да помогне у идентификацији својих клијената који су користили Blackberry и који су учествовали у нередима (пошто се зна да велики број Британаца користи уређаје поменутог бренда). Компанија RIM је после наведеног догађаја ступила у преговоре са владама Индије, Либана, Саудијске Арабије и Уједињених Арапских Емирата и понуди им све податке из комуникације са BlackBerry Messenger. Званичници CIA су купили софтвер који им омогућава да прате телефонске сигнале и прикупљају гласовне отиске одмах (у реалном времену) како би одредили конкретан идентитет лица које прате, као и место на коме се налази. Као пример навешћемо илустрације 6. и 7. Слика 6. Приказ земаља који су под свакодневним мониторнгом 10

203 Извор: Илустрација 6. показује 25 земаља које су под свакодневним мониторингом у последњих неколико година и методе којим се мониторинг врши. Слика 7. Приказ 15 компанија које врше мониторинг у Немачкој Извор: Илустрација 7. показује које компаније врше мониторниг или су можда продале кодове софтвера обавештајним агенцијама. У 25 земаља се одвија праћење грађана у комуникацијама преко: 11

204 интернета, мобилних уређаја, убацивања малвера тројанаца, анализе говора, праћења sms порука и GPS праћења. По наводима Викиликса, Америчка служба националне безбедности (NSA) пратила је разговоре између Немачке канцеларке Ангеле Меркер и њених министара. Као што је наведено у илустрацији 7. види се да су чак 6 од укупно 15 компанија биле ангажоване на мониторингу телефонског саобраћаја у Немачкој. 9. Кибер ћелија Кибер ћелија је јединица сачињена од групе кибер ратника који користе кибер оружје. Методологијом прикупљања информација долази се до закључка да једну кибер ћелију могу да чине пар или неколико стотина ратника, исто тако могу бити на једној или на више различитих локација и у једној или више различитих држава, јер јединственог правила нема. Једно правило за креирање кибер ћелије може да буде присутно, а оно зависи од методологије напада кибер оружјем према противнику. У зависности од логистике напада креирају се потребни капацитети кибер ћелије. По улози кибер ратника и формацијским местима једна кибер ћелија би требало да изгледа: извршилац (кибер ратник), оператер, аналитичар, менаџер (организује буџет, набавку хардвера, софтвера и купује/продаје разне информације на црним маркетима), удаљени помоћници, систем администратор (особа едукована за рад на рачунарским мрежама), хардвераш, бот који прикупља информације у кибер простору (често се дешава да ово место не раде људи већ софтвери), бот нападач (често се дешава да ово место не раде људи већ софтвери), лица која прикупљају информације из реалног света и баве се обавештајним радом, лица која креирају методологије напада, технички консултанти, лица за развој малвера кибер оружја, лица за тестирање кибер оружја (контрола отицања информација о нападачу и контрола одстрањивања ефекта бумеранг ). Слика 8. Пример кибер ћелије за истрагу кибер криминала у Индији 12

205 Извор: Види се из предходне илустрације 8. да је Индија развила тим ћелију за борбу у кибер простору. Реч је о полицијској јединици. Индија као једна од најмногољуднијих земаља на планети има више аспеката због којих је била у обавези да развије овакву врсту одбране земље. Доба Кибер рата - конфликт без правила Широм света безбедоносне службе едукују владе земаља да смо у кибер добу и да у кибер сукобима учествују борци без правила и не поштују се никакве конвенције у борби. Свака држава је дужна да инвестира у развој сопствене кибер способности. Главни фактори који излажу становништво потенцијалном ризику од кибер напада су: велика размера дифузије рачунарских и комуникационих мрежа, немогућност обједињеног управљања критичних система, еволуција технолошког пејзажа, недостатак граница у кибер простору. Из регулаторне перспективе, неопходно је обезбедити следеће одговоре: Шта се подразумева под употребом силе у кибер простору? Када би требало кибер напад изједначити са оружаним нападом? Које су методе, како правити методологију и ниво сразмераног одговора на кибер напада? Који скуп правила треба да важи за овакву врсту одговора? 13

206 Како регулисати законску одговорност актера укључених у кибер операције? Како балансирати потребе националне безбедности са императивом потребе да се заштите индивидуале слободе грађана? На ова питања аутор овог рада није дао одговор јер је потребно да се у укључе све свере друшта и да се на националном нивоу одлучи о пименутим питањима. Кибер простор је значајан као нови домен за могуће поље ратовања, у којој употребу кибер оружја треба тачно регулисати на исти начин као што је регулисано за нуклеарни или хемијски арсенал у конвенционалном рату. Кибер домен је баш као могући домен конфликта у стварном свету. У стварном свету имамо уговоре и конвенције као и агенције за надзоре и праћења поштовања за нуклеарно, биолошко и хемијско оружје па зашто не и за кибер. Циљ је веома изазован. Постаје очигледно да владе водећих земаља због тренутних предности у кибер пољу у критичним тренуцима не желе да ограниче своје способности конвенцијама и прописима о кибер рату у кибер простору. Свесни су да многи противници тајно улажу у област кибер простора због страха да ће се наћи неспреми да одговоре кибер офанзиви. Експерти су дали правну дефиницију за концепт шта је кибер напада и кибер оружје: Кибер напади, кибер шпијунаже или кибер операције, биле увредљиве или дефанзивне, а које ће за последице изазвати повреде или смрт лица или оштећења инфраструктуре или уништење објеката. Пример средстава коришћеног за кибер напад и метода напада би могао бити ddos напад који се спроводи помоћу ботнет-а. У овом случају ботнет има улогу средства у кибер ратовању док метод напад представља ddos. Експерти су такође навели два основна концепта којих би требало да се придржавају кибер ратници, а то су: забрањено је коришћење средстава и метода у кибер рату које ће да изазову претерану (без цивилних жртава, колатералних штета итд.) или непотребну патњу, сваки пут када би се користило средство или метод за кибер рат потребно је да се спроведу правне анализе као би се утврдили технички опис, природа циљева, утицај на циљеве, прецизност и обима жељених ефеката. 10. Закључак Задатак да се одгонетне шта је кибер оружје, кибер домен и кибер ратовање није ни мало једноставан, а последице њиховог утицаја могу бити тешке чак и катастрофалне како по деловима тако и за целу државу. Упркос заједничком интересу многих влада широм планете, стручњаци за кибер домен верују да је концепт кибер оружја превише апстрактан и због тог разлога постоји бојазан да се према кибер оружју државне институције односе подцењивачки и да немају свест о правој опасности које кибер оружје може да нанесе. Главни аргументи за предходну тврдњу су да је до данас постојање кибер оружја под утицајем неколико хиљада људи, сва јавно позната кибер оружја имају далеко мању ватрену моћ него што се обично претпоставља у јавности и кибер оружје се може користити у комбинацији са реалним оружјем. Кибер простор ће се дубоко променити, а са њим и концепт кибер безбедности. Јасно се види да је главни адут свих претњи у кибер простору јесте кибер оружје које се креира писањем програмског кода у неком програмском језику са пред припремним активностима обавештајним радом и креираном методологијом за напад од кибер ратника једне или више кибер ћелија. Државна администрација, војска, полиција и приватни сектор морају улагати у развој кибер јединица, да би спремани дочекали изазове кибер напада, не потцењујући могуће ризике. За крај приведимо овај рад са једном мишљу и изјавом: Reset your thoughts илити ресетуј своје мисли, a што би допринело значају очувања дигиталне имовине наше земље јер: ми смо сви међусобно повезани свесно или несвесно на огромној глобалној мрежи. Онај ко контролише мрежу, контролише све нас и контролише свет. 14

207 Литература [1] Hackread security is a mith, [2] Wikileaks, [3] We are Anonymous, [4] Youtube chanell Anonymous, [5] Slobodan R. Petrović, Дилема: Кибер или Сајбер, Editorial board, Institut za uporedno pravo, 2012, Beograd [6] Kaspersky Anti-Virus 2016, 15

208 ZA USPEŠNU REALIZACIJU REGIONALNOG NAUČNO-STRUČNOG SAVETOVANJA ZITEH-16 I IZRADU OVOG ZBORNIKA RADOVA ZAHVALJUJEMO SE: SREBRNOM SPONZORU I PRIJATELJIMA UDRUŽENJA IT-VEŠTAK I SAVETOVANJA ZITEH: