“U vladajućoj stranci može se čuti kako će uskoro nabaviti program Forensic koji nalogodavcu otkriva tko je kome slao mailove, od koga je primao mailove i kojeg sadržaja, o čemu je razgovarao i s kime službenim mobitelom, tko je zvao njega, a koga on. Sve to kako bi se u budućnosti spriječilo curenje informacija. Isti je softver svojedobno bio postavio Hrvoje Vojković u Croatia osiguranju, a detektivski program koji bilježi baš sve razbjesnio je zaposlenike.”
Zanimljivo, zar ne? Program koji kontrolira baš sve – od elektroničke pošte do prikladnog prisluškivanja razgovora članova stranke službenim mobitelom. Veliki e-Brat sve prati. I sve zna. Nema više majci došaptavanja i pokajničkog dogovaranja sa hajducima i uskocima! Moćan neki softver, taj program Forensic, što može prisluškivati i razgovore mobilnim telefonima.
Kako bih provjerio o čemu je točno riječ, poslao sam upite u HDZ i Croatia osiguranje, ne bi li mi pojasnili o čemu se tu točno radi, tko tu koga špijunira i kojom tehnologijom?
Iz HDZ-a je došlo kratko i jasno priopćenje: “Poštovani, neistina je, laž i čista konstrukcija da će HDZ nabaviti spomenuti program ili da je o tome bilo riječi.”
Croatia osiguranje bilo je nešto rječitije: “Postojeća zakonska rješenja poput Zakona o osiguranju, Zakona o zaštiti osobnih podataka, Zakona o informacijskoj sigurnosti i drugih pod zakonskih akata, zahtijevaju uvođenje i daljnje razvijanje vlastitih sustava informacijske sigurnosti. Nastojeći što cjelovitije zaštiti poslovne informacije Društva, reputaciju, zaposlenike te poslovne klijente od odljeva povjerljivih podataka (npr. baze podataka pojedinih vrsta osiguranja) instaliran je sustav CA Network Forensics. Predmetni forenzički sustav kojim raspolaže Croatia osiguranje d.d. nema mogućnosti praćenja komunikacija – razgovora putem mobilnih telefona i koristi se isključivo kao analitički alat.”
Tu smo, dakle. Veliki e-Brat sa početka priče brzo se ispuhao, pa niti HDZ planira prisluškivati članove tajnovitim softverom, niti Croatia osiguranje ima išta više od posve legalnog, posve legitimnog softvera za elektronički nadzor.
Tako je propala špijunska priča u nastajanju. Ostao je tek anonimni izvor kojem možemo vjerovati tek informaciju kako se u Croatia osiguranju koristi softver za nadzor sigurnosti IT sustava. No, i to je zanimljiva priča, vrijedna raščlanjenja.
Što je toliko strašnoga u tvrtci koja štiti svoj informacijski sustav? Ne bi li to, zapravo, trebalo biti pravilo a ne iznimka u svakoj ozbiljnijoj tvrtci? Najzad, industrijska špijunaža ne događa se drugima, što može posvjedočiti svatko tko je na tržište izašao sa proizvodom za kojeg se instantno i jako zainteresirao potencijalni kupac koji je tražio da mu se objasni sve o proizvodu, a zatim bez suvisla obrazloženja odustao od kupnje. Legitiman iako možda pomalo čudan kupac, ili nešto drugo?
Tvrtke, dakle, žele kontrolirati kolanje svojih informacija. U dobro uređenom sustavu zna se tko smije rukovati kakvim informacijama, koji ljudi i koji odjeli mogu doći do ovih, a koji do onih informacija. To nije paranoja, već zdrav razum. Koliko poduzetnik zaista može biti siguran u lojalnost i stručnost svojih djelatnika? Dovoljna je jedna Excel tablica u krivim rukama da vrijedan posao padne u ruke konkurenciji. Pa čak i ako su svi djelatnici lojalni, jedan loš dan i poruka nepažnjom poslana krivoj osobi, jedna zaraza virusom i datoteke su odlepršale tko zna kamo. Takvi su slučajevi posebno pogubni na tržištima koja se dinamično mijenjaju, a financijska su tržišta posebno osjetljiva.
Rješenje koje koristi Croatia osiguranje nije nimalo ekstravagantno, jedan je to iz cijelog niza alata koji nadziru promet na lokalnoj mreži i detektiraju sumnjivo ponašanje. To može biti djelatnik (ili zaraženo računalo!) koji šalje na desetke e-mail poruka svakodnevno (iako obično šalje jednu ili dvije), djelatnik koji razmjenjuje elektroničku poštu iako mu to nije u opisu radnog mjesta, djelatnik čije računalo pokušava komunicirati preko tzv. “visokih portova”... mrežni analizatori sofisticirani su proizvodi koji mogu uočiti ponašanja koja odstupaju od normale i sukladno tome alarmirati odgovarajuću osobu ili čak samostalno reagirati (primjerice, zaključavanjem pristupa mreži sumnjivom računalu).
Trebaju li se djelatnici ljutiti na takve sustave i mogu li smatrati kako su im time ugrožena neka prava?
Vjerujem da svakako postoji razlika između tvrtke koja kontrolira e-mail poruke koje razmjenjuju djelatnici i tvrtke koja traži da djelatnice sa menstruacijom nose crvene vrpce. Ipak, je li dozvoljeno prisluškivanje privatne e-mail prepiske?
Taj problem nastaje u ničim argumentiranom stavu djelatnika da mogu koristiti resurse tvrtke za svoje privatne potrebe. Upravo kako smo doista desetljećima smatrali kako je posve normalno uredski telefon koristiti za privatne potrebe, tako danas smatramo kako nam je Ustavom zagarantirano korištenje poslovnog e-mail sustava za osobne stvari, komunikaciju sa rodbinom, razmjenu šaljivih sličica i produhovljenih “šalji-me-dalje” prezentacija sa poznanicima. A, zamislite – nije. Isto tako, radno vrijeme ne služi mužnji kravice na Facebooku, niti tweetanju, cvrkutanju, posjeti Iskrici, Smokvici, niti bilo kojem drugom sadržaju koji nije vezan uz posao.
Vjerujem kako se nikad nitko ne bi bunio na situaciju u kojoj šef uzme neki spis kako bi pregledao dokumente, ali Bože sačuvaj da šef, recimo, ide pogledati u djelatnikov Inbox! Ta, to je privatno!!
Nažalost, zabluda je kako u poslovnom okruženju ima ikakvih resursa koji se smiju koristiti za osobne svrhe bez prešutnog odobrenja (ili ignoriranja) managementa. Ne, čak ni telefon se ne bi smio koristiti za privatne razgovore. To što vlasnik tvrtke šutke prelazi preko toga ne znači kako je to zato što djelatnik na to ima nekakvo pravo. Nema, to je samo dobra volja nadređenih.
Tako i program za nadgledanje lokalne mreže. Njegova svrha nije špijuniranje djelatnika, već kontrola ispravnosti i opravdanosti paketa koji putuju mrežom. Da, ti programi imaju nezgodan običaj da zaviruju u pakete koji prolaze mrežom, no možete li se zaista pobuniti zbog toga što je program zavirio u vaš privatni e-mail kojeg ste napravili koristeći resurse i radno vrijeme tvrtke i alarmirao nekoga da šaljete e-mail poruke izvan tvrtke, a koje u sebi sadrže PowerPoint prezentacije?
Drugo neodgovoreno a zanimljivo pitanje iz Večernjaka je: mogu li mi zaista prisluškivati mobilni telefon?
Odgovor je: svakako. Razgovore mobilnim telefonom moguće je prisluškivati. To je tehnički opis.
Stvarnost je malo drugačija: zakonom je vrlo jasno i precizno definirano tko (tajne službe, policija) i u kojim uvjetima (sa sudskim nalogom) može prisluškivati vaše razgovore. Praktično, to znači da vaš direktor apsolutno ne može prisluškivati vaš razgovor. Isto tako ne bi to trebao moći niti šef vaše stranke, ma koliko moćna, vladajuća ili beskrupulozna ona bila. Postoje samo dva načina na koji šef stranke može “srediti” nečije prisluškivanje: tako da u tvrtci koja pruža GSM uslugu ima “krticu” koja će mu omogućiti prisluškivanje bez sudskog naloga, što je debelo kršenje zakona i politički vrlo opasna igra. Drugi je način angažman odgovarajućeg tajnoslužbenog agenta koji bi bez sudskog naloga došao do podataka, no to je jednako tako protuzakonito i opasno. Zakonitog načina prisluškivanja mobilnih telefona koji bi zaobišao strogo kontrolirane procedure jednostavno nema.
Problem se može zaobići trikom: službeni telefon može biti tajno nakrcan softverom koji (na sam uređaj) snima sve razgovore; to je posebno lako napraviti sa modernim “pametnim” telefonima: službeni telefon vlasništvo je tvrtke i ona ga može prilagoditi svojim potrebama, pa tako i staviti na njega softver za snimanje razgovora kako bi zaobišla zakonske prepreke. Softver može zatim biti namješten da se u određeno vrijeme (gluho doba noći ili neko drugo vrijeme kada mobitel nije pod nadzorom) spoji na tajanstveni poslužitelj i na njega pretoči razgovore snimljene tog dana.
Tehnički, dakle, moguće je složiti sustav koji bi prisluškivao vlastite djelatnike i to činio potpuno izvan ingerencije davatelja GSM usluge (jer se sve odvija na samom telefonu korisnika i nema nikakve veze sa uslugama operatera), time i čvrste zakonske regulative koja pokriva to područje.
Koliko bi takav scenario bio legalan i kakve sudske parnice bi mogao izazvati – ja nisam u stanju procjeniti.
Ali, budimo iskreni – ako netko baš želi prodati važne tajne, bilo stranačke, bilo gospodarstvene – zar mu je veliki problem kupiti prepaid SIM karticu i jedan običan glupi, jeftini mobitel?
Da bismo zaokružili ovu sliku valja upozoriti na jednu instancu u kojoj je prisluškivanje razgovora sa bilo kojeg mobilnog telefona moguće: kada razgovarate sa nekim tko vas zove sa zemaljskog telefona koji je u sustavu lokalne telefonske centrale tvrtke ili stranke. To nije rijedak slučaj, svaka imalo veća tvrtka ima vlastitu telefonsku centralu. Malu, ali sasvim dovoljnu za – lokalno prisluškivanje. Posve je moguće namjestiti lokalnu centralu da prati i snima sve razgovore vođene sa lokalnih telefona, što uključuje i one sustave koji imaju tzv. “GSM gateway” koji omogućuje pozive sa zemaljskih telefona na GSM mrežu po povoljnijoj cijeni – u tom slučaju glasovni promet svejedno putuje kroz lokalnu centralu i moguće ga je pospremiti.
Najzad, budimo realni – želi li vas tvrtka na neki način prisluškivati ili kontrolirati, tehnologija postoji koja može omogućiti sve to (ali na strogo lokalnom nivou, dakle isključivo unutar tvrtke) i to tako da nikad niti ne posumnjate kako se “to sve negdje prati i snima”. Trebate li postati paranoični? Ne, ako pošteno radite svoj posao. Provodite li radno vrijeme na Facebooku, igrate li igre ili visite na chatovima, skidate glazbu i filmove umjesto da radite... znajte da nikad nećete moći biti posve sigurni.
U svakom slučaju ne vjerujte pričama kako stranka ova ili tvrtka ona može bez vašeg znanja prisluškivati vaš mobilni telefon, čak i ako je službeni. Na zakonit način – ne može.
Autor je jedan od vodećih domaćih informatičara i ekspert za slobodni softver, informatički novinar, bivši stručni savjetnik za informatiku u poglavarstvu Grada Zagreba i vlasnik tvrtke Operacijski sustavi. Jedan je od 25 najboljih IT konzultanata u Hrvatskoj, prema izboru korisnika tih usluga. Njegove tekstove možete pronaći na njegovom osobnom blogu oddparity.org.
