i onlajn povreda u Srbiji.
METODOLOGIJA
U okviru istraživanja upotrebe novih tehnologija i njenih različitih uticaja na društvo, sredinom 2014. SHARE Fondacija pokrenula je stalni monitoring povreda prava građana i organizacija u Srbiji. Pored uvida u trendove u ovoj oblasti, periodični izveštaji iz monitoringa omogućili su nam da bolje usmerimo pritisak na nadležne institucije da unaprede i primenjuju pravni okvir zaštite, kao i da doprinosimo razvoju svesti i znanja našeg društva o rizicima i bezbednosti na internetu. Važno je napomenuti da slučajevi koji ulaze u bazu nisu ograničeni samo na konvencionalne društvene strukture od vrha do dna, kao na primer od vlasti prema pojedincima, već uključuju i prekršaje od strane aktera kao što su privatne kompanije i sami građani. Cilj je da ovakvi slučajevi postanu i ostanu javno zabeleženi kako bi se javnosti približila njihova sveprisutnost, ali takođe objasnili i načini na koje dolazi do ovakvih povreda. Takođe, ukazivanjem na ove povrede, može se doprineti izgradnji kapaciteta građana, medija i nevladinih organizacija da na njih adekvatno odgovore. Iako ne postoji univerzalan način zaštite protiv povreda digitalnih prava, informisanost i dobra lična digitalna higijena mogu pomoći u zaštiti od rizika ili rešavanju ovakvih slučajeva ako do njih dođe. Monitoring je u skladu i sa misijom SHARE Fondacije, koja glasi: Kontrola moćnih i podrška deprivilegovanima u digitalnom prostoru.
U odnosu na prethodne verzije, izmenjene su kategorije, potkategorije, ali i načini prikupljanja slučajeva, kao i samog beleženja i opisivanja. Od početka monitoringa 2014. godine, metodologija je nekoliko puta menjana kako bi se kroz potkategorije bolje uhvatili i opisali razni prekršaji, bilo ažuriranjem naziva potkategorija ili dodavanjem novih. Na primer, u verziji metodologije 2.0 koja je objavljena 2018. godine, dodate su potkategorije za nekoliko vrsta prekršaja, nova sredstva napada (Konfiskacija i pretrage), ali i nova kategorija pod nazivom Ostala kršenja kako bi se obuhvatila kršenja koja ne spadaju ni u jednu od postojećih kategorija. Poslednja ažurirana verzija (v2.1) iz 2019. godine pretrpela je manje promene u kategoriji Manipulacije i propaganda za prilagođavanje kada se uzmu u obzir kršenja po zemljama.
Razvoj i tehničkih i pravnih alata, kao i obim registrovanih slučajeva, u međuvremenu su postavljali sve veći izazov našim istraživačima prilikom selekcije i klasifikacije povreda po staroj metodologiji. Stoga smo 2022. započeli reviziju postojeće baze slučajeva, s namerom da radikalno reformišemo sistem monitoringa digitalnih prava.
Kriterijumi za unos slučajeva
Za početak, redefinisali smo merila selekcije slučajeva, . Prvi kriterijum je uvek obavezan.
- Priroda povrede. Incident se desio u digitalnom prostoru, šteta je nastala na digitalnim dobrima i/ili su povređena digitalna prava.
Dodatno, potrebno je da slučaj ispunjava još najmanje jedan od tri kvalifikovana kriterijuma:
- Razmere povrede. Incident je široko rasprostranjen, pogađa veliki broj građana ili drugih aktera u zajednici.
- Društveni značaj. Kontekst i potencijalne posledice povrede utiču na temeljne vrednosti ili odnose u društvu.
- Inovativnost. Tehnička sredstva, metode, ciljevi ili drugi elementi incidenta bitno su napredniji u odnosu na postojeće.
Kategorije
Preciznija definicija kriterijuma dovela je do promena i u samoj klasifikaciji slučajeva, pa se oni sada svrstavaju u jednu od tri osnovne grupe:
- Sajber napadi. Tehnički incidenti kojima je primarni cilj namerno ugrožavanje računarske infrastrukture.
- Privatnost i zaštita ličnih podataka. Ova grupa obuhvata slučajeve kršenja, odnosno neispunjavanja zakonom propisanih mera koje za posledicu ima povredu ovih ličnih prava u digitalnoj sferi.
- Prevare, pretnje i manipulacije. U ovu kategoriju svrstani su različiti informacioni poremećaji i manipulacije digitalnim sadržajima u cilju obmane, odmazde, napada na ličnost, sprečavanja ostvarivanja ličnih prava.
Svaka od ovih kategorija dodatno je segmentirana po specifičnim vrstama incidenata. Takođe, za svaku kategoriju su popisana moguća sredstva, odnosno načini izvršenja i, mada detaljan, usled brzog razvoja novih tehnologija ovaj spisak nije konačan. Sve tri kategorije, kao i njihove potkategorije, koncipirane su i imenovane u skladu sa posledicama konkretnih povreda u digitalnom prostoru.
Iako na prvi pogled ove tri kategorije mogu delovati odvojeno, važno je voditi računa da zbog veličine i uvezanosti digitalnog prostora slučajevi često mogu da se nađu u više različitih potkategorija odnosno kategorija. Kako je već navedeno, svaka kategorija ima svoje potkategorije u okviru kojih su slučajevi bliže određeni kao i spisak sredstava pomoću kojih su napadi izvršeni. Ipak, razlike postoje i zbog toga je odlučeno da svaka kategorija na svojstven način procesuira svoje slučajeve, jer se sredstva mogu razlikovati u ove tri sfere digitalnog prostora. Takođe se razlikuju i činioci (akteri) u ovim sferama, tako da ako su u kategoriji II kršioci prava uglavnom država ili kompanije, u kategoriji III bi to pre bili građani ili političari.
Izvori informacija o incidentima
Primarni izvor monitoringa jeste javna sfera, odnosno tradicionalni i društveni mediji. Relevantne vesti i objave o svim potencijalnim slučajevima istraživači prikupljaju automatizovanim procesom putem definisanog skupa ključnih reči za svaku kategoriju.
Sekundarne izvore čine baze povreda i srodni sadržaji organizacija, udruženja i drugih aktera koji samostalno prate incidente iz svog domena (baza napada na novinare, nacionalni CERT, poverenici i slično).
Obrada individualnog slučaja
Poseban metodološki segment čine smernice za istraživače, izrađene radi uniformnosti odabira i obrade incidenata prilikom njihovog mapiranja i unosa u bazu.
Nakon što je identifikovana i verifikovana konkretna povreda prava, slučaj se unosi u bazu sa kratkim opisom, dok se dokaz o povredi arhivira, bilo da je u pitanju slika tvita, komentara ili vesti u kojoj je objavljen. Ako postoji, beleži se i vremenski period trajanja povrede i navode se činioci, odnosno izvršioci povreda i oštećene strane, kao i sredstva odnosno načini izvršenja povrede.
Principi rada
Revizija metodologije potvrdila je temeljne principe monitoringa prava i sloboda, koji važe za sve aktivnosti SHARE Fondacije od osnivanja:
Transparentnost. Periodični izveštaji su narativni i dopuštaju subjektivne utiske istraživača, kao i ukazivanje na određene pojave u skladu sa zajedničkim vrednostima i uverenjima. Međutim, podaci iz monitoringa u sirovom, mašinski čitljivom formatu, slobodno su dostupni za dalje korišćenje i drugačija tumačenja.
Tačnost. U okviru monitoringa, istraživači sprovode osnovnu verifikaciju pojedinačnih slučajeva oslonjeni na primarne izvore informacija, za čije podatke SHARE Fondacija ne odgovara. Zbog ograničenog dometa provere, uspostavljen je mehanizam za spoljnu korekciju kroz lako dostupan, direktan kanal komunikacije sa istraživačima, preko kog građani i organizacije mogu demantovati, ispraviti ili dopuniti raspoložive informacije o slučaju.
Etičnost. Istraživači poštuju autonomiju oštećenih u incidentima koje obrađuju za potrebe monitoringa, primenjujući mere posebne zaštite kada je u incidentima ugroženo dostojanstvo ličnosti. Integritet baze monitoringa podleže unutrašnjoj i spoljašnoj kontroli, dok se slučajevi selektuju prema utvrđenim kriterijumima, bez obzira na lična uverenja istraživača, naklonost ili odbojnost prema akterima incidenta.
I Sajber incidenti
Svaki uticaj na integritet ili dostupnost informacionog sistema, mreže ili uređaja s namerom da se nad njima preuzme kontrola, da se ometa ili prekine njihov rad, ili da se podaci na njima izmene, ukradu, izbrišu ili blokiraju.
Kompromitovani podaci
Ugroženost bezbednosti, poverljivosti ili integriteta podataka na informacionom sistemu ili pojedinačnom uređaju usled neovlašćenog pristupa, preuzimanja kontrole ili zloupotrebe podataka.
Sredstva
Malver (zlonamerni softver, virus)
Prevare (fišing, skiming)
Presretanje saobraćaja (man in the middle)
Krađa uređaja
Slučaj
Serveri i podaci javnog preduzeća na meti ransomver napada: u sistem je ubačen tzv. ucenjivački softver koji enkriptuje podatke za čiju se dekripciju zahteva plaćanje otkupnine.
Onesposobljen servis
Ometanje ili prekid rada informacionog sistema, mreže ili uređaja maksimalnim angažovanjem njihovih resursa.
Sredstva
DoS/DDoS
Slučaj
Informaciona infrastruktura akademske mreže na meti distribuirane opstrukcije usluga, DDoS: serverima su upućeni istovremeni upiti sa više desetina hiljada IP adresa što je uzrokovalo prekid ili otežan rad sajtova na mreži.
Onlajn prevare
Zloupotreba poverenja, naivnosti, saosećaja, taštine ili pohlepe ljudi kako bi se od njih izvukao novac ili podaci, ili kako bi se izmanipulisali da sami izazovu sajber incident.
Sredstva
Socijalni inženjering (fišing/vishing/smishing, lažno predstavljanje)
Lažni resursi (krivotvoreni sajt, mejl)
Slučaj
Sa adrese koja liči na autentičan mejl građani su dobili obaveštenje o preuzimanju novih kredencijala za pristup portalu javnih usluga. U prilogu poruke nalazio se zaražen dokument.
Preuzimanje kontrole
Krađa pristupa uređaju ili nalozima za onlajn usluge, uključujući naloge za elektronsku poštu, društvene medije, onlajn prodavnice i slično.
Sredstva
Tehnički napadi
Socijalni inženjering
Neovlašćeni fizički pristup
Slučaj
Medijsko udruženje izgubilo je pristup svojoj stranici na Fejsbuku, na kojoj su nepoznati počinioci počeli da objavljuju neprikladne sadržaje. Stranica je ugašena, a medijsko udruženje je bilo prinuđeno da napravi novu.
Akteri
Izvršioci
Poznato
Nepoznato
Oštećeni
Javni sektor
Privatni sektor
Civilni sektor
Medijski sektor
Građani
II Privatnost i zaštita podataka
Kategorija posvećena povredama privatnosti i podataka o ličnosti u digitalnom prostoru, od faze prikupljanja podataka do njihovog eventualnog uništenja, uključujući i neovlašćeno korišćenje putem objavljivanja, ili neadekvatnu zaštitu koja dovodi do njihovog curenja u javnost.
Objavljivanje podataka
Objavljivanje informacija o privatnom životu tj. podataka o ličnosti, sa namerom izvršioca da te informacije budu javno dostupne
Sredstva
Objavljivanje na veb sajtu (uključujući javne registre i platforme)
Objavljivanje na društvenoj mreži, blogu, u čet aplikaciji
Objavljivanje u medijima
Slučaj
Onlajn portal objavio je na svom sajtu dokument u kome se nalaze podaci na osnovu kojih se može identifikovati više lica, a čiji identitet ne bi smeo da bude javno dostupan.
Curenje podataka
Curenje podataka o ličnosti usled neodgovarajućih mera zaštite.
Sredstva
Curenje na veb sajtu (uključujući javne registre i platforme)
Objavljivanje na društvenoj mreži, blogu, u čet aplikaciji
Curenje u medijima
Slučaj
Podaci o ličnosti iz baze podataka privatne kompanije postali dostupni na društvenim mrežama usled incidenta izazvanog propustom njihovih zaposlenih.
Prikupljanje podataka
Neovlašćeno prikupljanje podataka o ličnosti, tj. prikupljanje, držanje i korišćenje podataka uz kršenje zakona.
Sredstva
Kršenje načela ograničenja u odnosu na svrhu obrade
Kršenje načela zakonitosti (obrada bez pravnog osnova)
Kršenje načela minimizacije podataka
Kršenje načela ograničenja roka čuvanja
Slučaj
Državni organ koristi onlajn aplikaciju koja prikuplja više podataka o ličnosti nego što je neophodno da bi mogla da se pruži usluga kojoj aplikacija treba da služi.
Prisluškivanje i snimanje
Presretanje elektronskih komunikacija, prisluškivanje i snimanje, protivno zakonu i/ili bez znanja lica o čijoj se komunikaciji, glasu ili snimku radi.
Sredstva
Oprema za presretanje
Oprema za prisluškivanje
Oprema za snimanje
Slučaj
Državna agencija neovlašćeno pratila mejl komunikaciju između novinara i njihovih izvora.
Akteri
Izvršioci
Odgovorno lice iz javnog sektora
Odgovorno lice iz medijskog sektora
Odgovorno lice iz korporativnog sektora
Odgovorno lice iz političke partije
Odgovorno lice iz civilnog sektora
Privatno (fizičko) lice
Oštećeni
Masovna povreda
Pojedinačna povreda
III Prevare, pretnje i manipulacije
Kategorija posvećena različitim oblicima uznemiravanja i odmazde zbog izražavanja i aktivnosti na internetu, kao i različitim oblicima širenja sadržaja i manipulacija koje se vrše radi postizanja određenih ciljeva. Ova kategorija obuhvata slučajeve koji se odigravaju u svim aspektima digitalne sfere, uključujući aktivnosti na društvenim mrežama, algoritamsko upravljanje, kao i slučajeve koji završe na sudu.
Dezinformisanje javnosti
Širenje informacija koje su namenski pogrešne ili fabrikovane i plasirane sa ciljem da povrede osobu, socijalnu grupu, organizaciju ili državu (dezinformacije), kao i širenje informacija koje su zasnovane na istini, ali su plasirane sa malicioznom namerom da nanesu štetu osobi, organizaciji ili državi u cilju diskreditacije, zlostavljanja ili širenja govora mržnje (malinformacije).
Sredstva
Kreiranje i deljenje lažnih sadržaja
Manipulacija sadržaja
Slučaj
Javna ličnost širila neproverene informacije na društvenim mrežama.
Autocenzura
Izmena ili uklanjanje politički osetljivog ili sadržaja od javnog interesa od strane medija koji ga je izvorno objavio. Imajući u vidu da je jako teško znati tačno da li je u pitanju spoljašnji ili unutrašnji pritisak na medije, odnosno da li je u pitanju cenzura ili autocenzura, u ovu potkategoriju svrstavaju se slučajevi u kojima nije došlo do uklanjanja sadržaja nakon jasne zloupotrebe pravnih mehanizama.
Sredstva
Uklanjanje sadržaja
Izmena sadržaja
Slučaj
Medijski portal uklonio prethodno objavljeni tekst u kojem se pominje kritika vlasti.
Ugrožavanje reputacije
Kreiranje lažnih naloga i sadržaja sa ciljem diskreditacije, odnosno ugrožavanja reputacije i nanošenja štete pojedincu, društvenoj grupi, organizaciji ili državi.
Sredstva
Kreiranje lažnih sadržaja i naloga
Manipulacija sadržaja
Lažno predstavljanje
Distribucija sadržaja bez saglasnosti
Distribucija intimnih sadržaja bez saglasnosti
Organizovani napadi na mrežama usmereni na ranjive zajednice (žene, lgbtq+, etničke manjine, izbeglice i migranti)
Verbalni napadi
Slučaj
Lažni navodi o političkoj organizaciji deljeni su na društvenim mrežama sa lažno napravljenog profila.
Ugrožavanje sigurnosti
Ugrožavanje sigurnosti podrazumeva napade na ličnost koji izazivaju strah i nesigurnost, u kraćem ili dužem periodu, ali sa jačim intenzitetom. U ovu potkategoriju spadaju dela kao što su sajber progranjanje, pretnje, pozivi na nasilje i objavljivanje ličnih podataka (doksovanje). I ovde su na meti dostojanstvo i reputacija, kao i privatnost, a cilj je prinuda na promenu ponašanja - povlačenje iz javnosti, sa društvenih mreža, izbegavanje određenih tema i slično. U ovu potkategoriju takođe se ubraja neovlašćeno deljenje ličnih podataka, uključujući i osvetničku pornografiju ili odavanje poslovnih tajni.
Sredstva
Verbalni napadi
Prikupljanje, manipulacija, diseminacija i zloupotreba ličnih podataka
Doksovanje
Direktne pretnje nasiljem uključujući pretnje koje su seksualne ili fizičke prirode
Napadi koji se temelje na rodnim i polnim karakteristikama
Mobing na mrežama
Proganjanje
Organizovani napadi na mrežama usmereni na ranjive zajednice (žene, lgbtq+, etničke manjine, izbeglice i migranti)
Filtriranje sadržaja i automatizovana moderacija
Slučaj
Pretnje smrću i uvrede upućene novinarima na privatne adrese.
Diskriminacija i govor mržnje
Verbalni napadi na osnovu rasne, verske, nacionalne, etničke, seksualne, političke, sindikalne i druge pripadnosti i ličnih svojstava, poput uzrasta ili ekonomskog statusa, smatraju se govorom mržnje. Mobing je takođe često sredstvo za širenje diskriminacije i govora mržnje na mrežama, kao i organizovani napadi.
Sredstva
Verbalni napadi
Prikupljanje, manipulacija, diseminacija i zloupotreba ličnih podataka
Manipulacija sadržaja
Napadi koji se temelje na rodu i seksualnoj orijentaciji
Napadi na osnovu rasne, verske, nacionalne ili etničke pripadnosti
Mobing na mrežama
Organizovani napadi na mrežama usmereni na ranjive zajednice (žene, lgbtq+, etničke manjine, izbeglice i migranti)
Filtriranje sadržaja i automatizovana moderacija
Slučaj
Diskriminatorni i lažni navodi o navodnim zločinima počinjenim od strane migranata deljeni su u medijima i na društvenim mrežama.
Ograničavanje slobode izražavanja
Pritisci zbog izražavanja na internetu i objavljivanja informacija često pogađaju članove aktivističkog i medijskog društva, kao i građanke i građane. Ovi pritisci mogu se ogledati u organizovanom prijavljivanju sadržaja, dok nekada mogu da uključuju i zloupotrebu pravnih mehanizama kao što su SLAPP tužbe, odnosno strateške tužbe protiv učešća javnosti za novinare ili tužbi za krivična dela kao što su uvreda. Pod ovu potkategoriju takođe spadaju i slučajevi u kojima posrednici (u većini slučajeva platforme) automatizovanim procesima uklanjaju sadržaje ili suspenduju naloge zbog navodnog kršenja svojih pravila ili uslova korišćenja. Najčešći razlozi su neprimeren sadržaj i povreda autorskih prava. Odluke su često netransparentne i konačne, a mogu biti i privremene i revidirane (zbog greške sistema automatizacije ili slučajeva organizovanog prijavljivanja).
Sredstva
Organizovano prijavljivanje
Zloupotreba pravnih mehanizama
Filtriranje sadržaja i automatizovana moderacija
Verbalni napadi
Odmazda za iznete stavove
Slučaj
Novinarima nakon prisustva na protestima stigle prekršajne prijave.
Akteri
Izvršioci
Politički subjekt
Organi vlasti
Velike tehnološke kompanije
Privatne kompanije
Medijski sektor
Građani
Javne ličnosti
Oštećeni
Politički subjekt
Civilni sektor
Medijski sektor
Građani
Javne ličnosti
Rodno zasnovano onlajn nasilje
Oblik nasilja koje prevashodno pogađa žene, devojčice i seksualne manjine. Za razliku od ostale tri, ova kategorija se kao dodatni okvir primenjuje na sve slučajeve u bazi kako bi se dobila jasnija slika o rasprostranjenosti rodno zansovanog nasilja. Kategorija se sastoji od četiri potkategorije u kojima su sredstva jasno definisana i poklapaju se sa sredstvima iz drugih kategorija.
Zadiranje u privatnost
Prikupljanje, manipulacija, diseminacija i zloupotreba ličnih podataka
Doksovanje
Distribucija sadržaja (uključujući i osvetničku pornografiju) bez saglasnosti
Ugrožavanje reputacije
Pravljenje lažnih naloga
Krađa identiteta
Manipulacija sadržaja
Deljenje lažnih informacija i komentara u cilju diskreditacije
Uznemiravanje
Direktne pretnje nasiljem uključujući pretnje koje su seksualne ili fizičke prirode
Napadi koji se temelje na rodu i seksualnoj orijentaciji
Mobing na mrežama
Proganjanje
Targetirani i organizovani napadi na zajedniceTargetirani i organizovani napadi na
zajednice
Širenje lažnih vesti sa malicioznom namerom kako bi se diskreditovale organizacije i grupe u okviru određenih zajednica
Organizovani napadi na mrežama usmereni na ranjive zajednice (žene, lgbtq+, etničke manjine, izbeglice i migranti)
Nadziranje
