O sigurnosti na internetu piše se i priča već godinama jako puno i na različite načine. Izuzmemo li tehnička predavanja i tehničku literaturu namijenjenu IT stručnjacima, ostatak diskursa svodi se uglavnom na istu matricu. Povremeno se drže predavanja u školama, za djecu, ponekad i za roditelje, i uglavnom na isti, tipizirani način. Djeci su mahom ova predavanja dosadna jer im se govori o nečemu za šta oni smatraju da znaju bolje od onog ko im priča, roditeljima često budu nedovoljno jasna.
Pravi se, zapravo, jedna velika greška u samom početku, a to je što pričamo o sigurnosti na internetu, iako je pojam interneta odavno apstrahiran do mjere da ga je danas vrlo teško egzaktno definisati, a da to obuhvati sve ono za što se u današnjem vremenu koristi. Nedavno sam u podcastu Besjede o obrazovanju govorio o tome da je na sličan način i predmet Informatika u svom imenu obesmišljen jer danas ne predstavlja ništa.
Posmatrati internet kao veliku računarsku mrežu koja služi za povezivanje računara i prezentaciju internet-stranica, kako se u našoj školskoj literaturi često govori, bilo bi jednako kao svesti automobil na točkove. Neophodni jesu, ali danas prilično malo utiču na ukupno iskustvo vožnje.
Prebacimo li se u nešto drugačiju, i danas mnogo ispravniju terminologiju i kontekst, otvaraju se mnogo drugačije mogućnosti da razgovaramo o sigurnosti, ali ne na internetu, nego u digitalnom svijetu. Pandan digitalnom svijetu bio bi, nazovimo ga tako, analogni svijet, koji reprezentuje nas kao fizičke osobe, svijet u kojem se rađamo i živimo, kao ono što vidimo i osjećamo. U tom analognom svijetu osjećaj za sigurnost usađuje nam se od najranijeg doba.
Dok smo djeca, ta sigurnost bazira se na tome da se čuvamo vatre, oštrih predmeta, automobila na ulici, nepoznatih ljudi, penjanja po drveću i visokim objektima, i tako dalje. Kad malo odrastemo na ovo se još dodaje da čuvamo novčanik, dokumente, platne kartice, novac, ključeve od stana, imovinu koju posjedujemo, a onda i neke atribute naše privatnosti u koje možemo da strpamo mnogo toga. U našem analognom svijetu s godinama raste nepovjerenje prema onome što nas okružuje u najširem smislu riječi. Dokumente pokazujemo samo kad moramo, posljednjih godina jako brinemo o zaštiti ličnih podataka, platne kartice ne dajemo na čuvanje prodavaču ili prodavačici u prodavnici gdje najčešće kupujemo (iako bi bilo možda i zgodno), ključ od stana dajemo samo rijetkima, slike porodice ne dijelimo po ulici nasumičnim prolaznicima, u dom puštamo samo rijetke, nepoznatima vrata ili ne otvaramo ili ih se u najkraćem roku riješimo ako slučajno pozvone. Generalno, mogli bismo reći da smo kao ljudi prilično nepovjerljiva bića.
S druge strane, u digitalnom svijetu mnoge od ovih stvari radimo, a neke se i podrazumijevaju. Posljedice loših odluka koje donesemo u digitalnom svijetu često su mnogo veće i dalekosežnije od onih koje napravimo u analognom. Pa ipak, one su danas mnogo češće i dešavaju se svakodnevno, kako kod pojedinaca tako i kod kompanija. Mediji su puni, uglavnom jako površnih, tekstova o krađama i prevarama na internetu, ugrožavanju privatnosti, online zlostavljanju, krađi podataka... Ovo se danas dešava višestruko češće nego neželjeni događaji u našem analognom svijetu. Logično je zapitati se zašto je to tako.
Mladi, koji su se rodili kad je digitalni svijet već uspostavljen, često ga vide, razumiju i prihvataju kao svoj primarni svijet u kojem se osjećaju dobro i lako se snalaze. Reklo bi se, kao ribe u vodi, koje vrlo često nisu svjesne većih riba i drugih predatora. Oni stariji, koji su već bili u nekim srednjim godinama kad je internet počeo da prerasta u digitalni svijet, danas često i ne primijete kada iz analognog svijeta skliznu u digitalni, pa ih neka loša posljedica osvijesti. Količina i opseg različitih uređaja, usluga i proizvoda koji su direktno zavisni od veze na internet danas je ogromna i raste svaki dan. Nešto od ovoga djeluje prilično analogno, a zapravo to nije. Nešto se čini bezazlenim, a zapravo nije.
Lično pripadam, popularno rečeno, generaciji X, i pored druženja sa računarima od 12. godine imao sam i sreću da razvoj interneta i njegovu transformaciju u digitalni svijet ispratim tačno u onom dobu kada sam mogao dobro da je sagledam i razumijem. To je jedan od razloga zašto danas i pišem ovaj tekst – upravo zbog ove danas nejasne granice u kojoj prelazimo digitalni svijet. Izgradnju svijesti o sigurnosti na internetu treba da gradimo ne ograničavajući se na internet, nego razumijevajući upravo taj digitalni svijet kao mjesto u kojem danas svi živimo, bilo da smo toga svjesni ili ne.
Polazna, a vjerovatno i najvažnija tačka kada govorimo o pojedincu u digitalnom svijetu i sigurnosti u njemu je naš digitalni identitet. Kredibilni podaci, dobijeni na osnovu opsežnih istraživanja na globalnom nivou, govore da preko 80% uspješnih cyber napada i kriminalnih aktivnosti u digitalnom svijetu uopšte počiva na zloupotrebi ili ugrožavanju digitalnog identiteta pojedinca. Zato se pojmom digitalnog identiteta treba posebno detaljno baviti i neophodno je da ga svako veoma dobro razumije, bez obzira na to čime se bavi, kojih je godina i koliko koristi tehnologiju u svom životu.
U analognom svijetu naš identitet je reprezentovan jedinstveno, putem nekoliko ključnih dokumenata, najčešće rodnog lista, lične karte i pasoša. Zajednički jedinstveni atribut ovih dokumenata u našoj zemlji je matični broj (JMBG). Svaka osoba (ako nije s one strane zakona) ima jedan identitet koji se verifikuje uvidom u neki od navedenih dokumenata (uz eventualno još neke mehanizme, poput biometrijskih osobina i slično). Nasuprot tome, u digitalnom svijetu rijetko imamo samo jedan identitet. Svaki pojedinac, koji je makar i vrlo površno uključen u digitalni svijet, ima ih bar nekoliko. To su naša e-mail adresa, Facebook nalog, Instagram nalog, Twitter nalog, LinkedIn nalog, Gmail nalog, Apple ID, nalog kojim pristupamo poslovnom sistemu u kompaniji u kojoj radimo, nalog za e-banking, kao i razni drugi nalozi (računi, accounti) za brojne servise koji postoje u digitalnom svijetu. I dok je skup atributa koji je vezan za naš analogni identitet vrlo ograničen i prilično nezanimljiv (to su pol, JMBG, datum i mjesto rođenja, imena roditelja, opština stanovanja i slično), atributi koji opisuju naš digitalni identitet mnogo su brojniji i živopisniji. Pregledom digitalnih identiteta neke osobe o njoj možete saznati mnogo više nego uvidom u ličnu kartu ili pasoš. Istinitost tih digitalnih atributa mnogo je upitnija i manje sigurna od onih koji nas opisuju na ličnim dokumentima.
Na svojim predavanjima na ovu temu, kada ih držim izvan profesionalne IT zajednice, obično na početku postavim pitanje: da li biste se više uznemirili da izgubite (ili vam neko ukrade) ličnu kartu ili da vam ukrade neki od vaših digitalnih identiteta. Odgovori su uvijek veoma zanimljivi i zavise od generacije. Dok se ljudi srednjih ili starijih godina više brinu za svoje lične dokumente, mladi su daleko više zabrinuti za svoj digitalni identitet. Gubljenje lične karte se mahom ne doživljava kao ugrožavanje ličnosti, nego primarno kao gnjavaža kroz koju treba proći pri sticanju nove. S druge strane, ugrožavanje digitalnog identiteta može prouzročiti sve i svašta: od gubljenja kredibiliteta, javnog sramoćenja, otkrivanja nekih privatnih stvari, pa sve do finansijske štete, zavisno od toga koja vrsta digitalnog identiteta je ugrožena. Ipak, u realnosti, zaštiti digitalnog identiteta se u prosjeku ne pridaje mnogo značaja. Čak bi se moglo reći da većina ljudi (izuzimajući IT stručnjake ili slične profile) još uvijek više čuva svoje lične dokumente nego digitalni identitet, iako im je do ovog digitalnog više stalo. Upravo to je razlog zašto se digitalni identiteti tako često zloupotrebljavaju u razne svrhe. Naprosto, to je lako uraditi. Ogroman broj ljudi svoje digitalne identitete štiti (samo) lozinkom. Ljudi ne vole (a često i ne mogu) da pamte složene i kriptične lozinke (poput X4Tr!!56%), pa su one vrlo često jednostavne i lako pamtljive, a još češće identične na više od jednog digitalnog identiteta. Uz malo socijalnog inžinjeringa (o kojem ćemo posebno govoriti) nije ih teško pogoditi, odnosno provaliti. A veliki broj ljudi nije svjestan da može napraviti i lako pamtljivu, ali istovremeno teško pogodljivu lozinku, te uključiti dodatne mehanizme zaštite svog identiteta.
Zato je neophodno biti upoznat sa načinima zaštite digitalnog identiteta i koristiti tu zaštitu bez izuzetka i kompromisa. To, naravno, nije kraj priče o sigurnosti u digitalnom svijetu, ali je jako dobar početak.
U seriji tekstova na Školegijumu pisat ću o tome, kao i o nekim drugim bitnim aspektima života u digitalnom svijetu.