Spletni kriminal: Podatke lahko ukradejo tudi najbolj pazljivim

Ljubljana – Pred nekaj dnevi so me z banke po telefonu obvestili, da so zaradi poskusa zlorabe preklicali mojo kreditno kartico. Izvedel sem samo, da se je poskus domnevno zgodil nekje v Italiji, a ni bil uspešen, zato nisem izgubil denarja. Nerodno je bilo le, da sem s to kartico opravil večino rezervacij za letošnji dopust.

Dogodek me je presenetil, saj sem pri elektronskem poslovanju dosledno upošteval varnostna opozorila in postopke. Po spletu sem nakupoval v zanesljivih trgovinah ali uporabljal plačilno sredstvo paypal, naročil sem obveščanje o transakcijah po kratkih sporočilih sms. Številke kreditne kartice nisem pošiljal po elektronski pošti ali je povedal po telefonu. Nikoli je nisem vpisal v neznan računalnik ali uporabil na nezaščitenem brezžičnem omrežju. Pazil sem, da pri fizičnem plačevanju trgovec ni nikamor odnesel ali prepisal številk, a sem se kljub temu skoraj znašel med žrtvami elektronskega kriminalca.

V tej družbi ne bi bil osamljen. Ocene o pogostosti in obsegu globalnega kibernetskega kriminala so zelo različne, a se analitiki in poznavalci strinjajo, da je podobnih poskusov »ogromno«. Britanski novinar Misha Glenny je v knjigi Dark Market zapisal, da vrednost črnega elektronskega trga nekatere vlade ocenjujejo na tisoče milijard dolarjev. Sestavljajo ga male elektronske goljufije, ponarejanje elektronske identitete, vdori v računalnike, kraja podatkov, kibernetski terorizem in distribucija nelegalnih vsebin – od piratstva in prepovedanih izdelkov do otroške pornografije.

Neodločno in težavno preganjanje

Za posameznike in organizirane kriminalne združbe je kibernetski kriminal zelo privlačen, saj z majhnim tveganjem omogoča velike zaslužke. Za milijon dolarjev ni več treba oropati banke, ampak milijonu neprevidnih spletnih uporabnikov neopazno ukrasti dolar ali dva. Kazni za elektronske prestopke so precej nižje od tistih, ki čakajo roparje s pištolami. Zaradi globalne narave in tehnične sofisticiranosti je tovrstni kriminal težko preganjati, osebni računalniki in pametni mobilniki ostajajo za večino uporabnikov le skrivnostne črne škatle, o katerih nikoli ne vedo, kaj v resnici počnejo.

Uspešne strategije za preganjanje kibernetskega kriminala še ni. Banke, trgovci in politiki se bojijo, da bi prestroge varovalke odvrnile uporabnike od elektronskega poslovanja, na katerem sloni celotna »digitalna ekonomija«, zato prevzemajo stroške prevar ali jih skupaj z zavarovalnicami neopazno povrnejo z višjimi premijami. Številne države, ki so znane po razširjenosti elektronskega kriminala (Nigerija, Rusija, Kitajska ...), domačih kriminalcev ne preganjajo, dokler so njihove žrtve zahodnjaki. Zakonodajalci pa se v zakonih o preprečevanju kiberkriminala ne dotikajo nezakonitih elektronskih vdorov, ki jih pri delu uporabljajo obveščevalne službe in njihovi podizvajalci, nad katerimi države nimajo učinkovitega nadzora – na kar je pred kratkim opozoril nekdanji ameriški obveščevalec Edward Snowden.

Višje kazni, vse po starem?

To velja tudi za dogovor o strožjih kaznih za elektronske prestopke, ki ga je pred dvema tednoma na pobudo evropske komisije potrdil evropski parlament. Za nezakonite vdore v informacijske sisteme se bo kazen povišala na najmanj dve leti. Napadi na infrastrukturo in vladne organizacije bodo »vredni« najmanj pet let, višje bodo tudi kazni za nelegalno prestrezanje komunikacij in celo prodajo programov za prisluhe ali generiranje zlonamerne kode. Vendar kritiki opozarjajo, da bo ukrep zaradi pomanjkljive definicije kiberkriminala, neenotnosti članic EU (iz dogovora se je izločila Danska) in omejenosti na Evropo povzročil več škode kot koristi. Kriminalci in hekerji se bodo kaznim izognili, strožja pravila bodo otežila kvečjemu delo varnostnih strokovnjakov in »dobrih hekerjev«, ki v informacijskih sistemih iščejo varnostne ranljivosti.

Uporabniki svetovnega spleta in elektronskih plačil bodo zato še naprej odvisni predvsem od sreče, lastne varnostne ozaveščenosti in učinkovitosti varnostnih mehanizmov za zaznavanje sumljivih transakcij, ki so pravilno presodili, da je z mojimi domnevnimi italijanskimi nakupi nekaj narobe. A imajo tudi ti negativne stranske učinke, saj zahtevajo obsežno zbiranje in analizo različnih podatkovnih zbirk o uporabnikih ter brez ustreznih varovalk pomenijo veliko varnostno tveganje in prinašajo številne možnosti zlorab. Morda celo hujših od nekaj ukradenih evrov s kreditne kartice.