Krajem 2009. godine poharan je Google i tridesetak drugih američkih high-tech kompanija. Nepoznati su napadači ukrali vrijedne poslovne informacije, dijelove povjerljivog programskog koda, kao i drugo intelektualno vlasništvo.

Radilo se navodno o kineskim hackerima.

Tri mjeseca nakon toga, hrvatska javnost je također zaokupljena krađom podataka, no upada u oči činjenica da se u našem slučaju ne radi o vrijednom intelektualnom vlasništvu, ili inovativnom programskom kodu, već o podacima veće, ili manje, točnosti i značaja samo za lokalnu upotrebu.

Je li objava Registra branitelja rezultat krađe povjerljivih podataka ili vješta manipulacija? Istinu možda nećemo nikada saznati, no razmotrimo obje mogućnosti.

Database sustavi

Informacije - korporativne i privatne, a kako se čini i državne, još uvijek se ne percipiraju posebno vrijednima takvog truda i investicija. Ako je Registar branitelja zaista visoko povjerljiva informacija, onda je trebao biti pohranjen na dobro kontroliranim mjestima uz izuzetno ograničene mogućnosti pristupa. Svim osobama koje su imale opravdani razlog za pristup Registru, takva je prava trebalo ciljano i pojedinačno dodjeliti, a svaki se pokušaj pristupa trebao evidentirati.

Osobito upada u oči da se radi o relativno velikoj datoteci kakva se obično ne sprema, ili koristi, u uredskim paketima, npr. Excelu, već isključivo unutar database sustava. Pristup i korištenje database sustava podliježe strožim pravilima, a na raspolaganju su i bolje mjere zaštite. Ako je pak postojalo više kopija ovih podataka, onda se očekuje vođenje evidencije o svim kopijama i jednaka je obveza zaštite ovih podataka za sve korisnike.

Po svemu sudeći, u ovom su slučaju jake mjere zaštite izostale, a standardne mjere zaštite odavno su postale preslabe za zlonamjerne korisnike s elementarnom informatičkom edukacijom.

Insider

Pretpostavimo da je posrijedi sigurnosni incident i krađa vrijedne datoteke, podjednako značajne državi, kao i osobama s ovog popisa. Informatički stručnjaci ovime ne bi trebali biti pretjerano iznenađeni. Iako se u svijetu smatraju značajnom i realnom prijetnjom, insideri se u našim tvrtkama uglavnom ne percipiraju kao realna opasnost.

Pri tome se zaboravlja da insider može izazvati puno veću štetu od vanjskog napadača: insider je jako dobro upućen u korporativne vrijednosti, zna gdje se one nalaze, veoma često zna i kako do njih doći.

Pored svega, njegovo djelovanje je veoma prikriveno i ne izaziva šum koji obično izazivaju vanjski napadači. Čak i kad se pojavi dijelić sumnje u insidere, na koncu obično prevlada činjenica da je djelotvorna obrana od insidera složena i skupa, pa management odbija takve investicije i informacijski sustavi ostaju nazaštićeni od ovih prijetnji.

Manipulacija

No, vratimo se drugoj pretpostavci, da je objava Registra branitelja nečija vješta manipulacija. Dakle, pretpostavimo da je objavljen zapravo netočan ili nekompletan registar, s izmjenjenim podacima, a akciju su provele osobe koje imaju nesmetan pristup ovim podacima.

Ni ovo nas ne bi trebalo iznenaditi. Motiva za takav postupak ne nedostaje, a manipulacija javnošću i informacijama bilo je oduvijek (i posvuda).

Novost, u ovom sučaju, predstavlja činjenica da se manipulacija temelji na naizgled pouzdanoj datoteci i cjelovitom informatičkom projektu, a u “narodu” obično vlada mišljenje da “kompjuter ne može pogriješiti”.

U svjetskoj praksi je već bio primjera motiviranih manipulacija podacima. U javnosti se o njima govorilo najčešće u kontekstu manipulacije poslovnim informacijama koje bi izazivale fluktuacije cijena dionica, pa time i zaradu onima koji su stajali iza takvih manipulacija. U našem slučaju, nema direketnih financijskih motiva, no količina energije pokrenute objavom Registra branitelja svakako je značajna.

Pravni mehanizam

Objavu samih podataka na internetu treba gledati odvojeno od same krađe. U tome nema ničeg tehnički sofisticiranog. Također, ne stoji sasvim činjenica da je nemoguće otkriti počinitelje. U svakom slučaju, američki provider ima adresu računala s kojeg su podaci postavljeni na server, što još uvijek ne jamči otkrivanje identiteta osobe, no krug može biti značajno sužen.

Ovdje se radi isključivo o pravnom mehanizmu putem kojeg se ti podaci mogu zatražiti. Uvjeren sam, na primjer, da bi holivudski producenti u kratkom roku saznali ime osobe koja s hrvatskog servera omogućuje spuštanje najnovijeg filmskog hita.

Na kraju, bez obzira na motiv i scenarij, objava Registra branitelja nam govori da su državni i osobni podaci zapravo ničiji podaci i da možemo očekivati daljnje zloupotrebe ili manipulacije ovim podacima.