30.1.12

Sigurnosni pokazatelji o računalnom kriminalitetu

Svaka procjena sigurnosnih rizika u informacijskim sustavima dolazi na sklisko tlo kada se pokušavaju obuhvatiti podaci o računalnim incidentima iz prethodnog razdoblja. Pored podataka vezanih za samu organizaciju u kojoj se procjenjuju rizici, značajni su i statistički podaci o računalnom kriminalu za okruženje u kojem se organizacija nalazi, a osobito podaci o organizacijama sličnog profila.

Jedan članak iz subotnjeg Večernjeg lista uputio me na zanimljivu statistiku koju objavljuje MUP - godišnji izvještaj o temeljnim sigurnosnim pokazateljima za 2011. godinu (ovi su izvještaji dostupni još od 2006. godine). Izvještaj je veoma opsežan, a sadrži statističke pokazatelje za različite oblike kaznenih dijela koje je obrađivao MUP. Pokazatelji su kategorizirani prema odredbama Kaznenog zakona, a računalni kriminal je kategoriziran kao povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, računalno krivotvorenje i računalna prijevara. Treba napomenuti da je izmjenama Kaznenog zakona iz listopada 2011. računalni kriminal nešto drukčije kategoriziran pa iduće godine možemo očekivati modifikaciju kategorija pokazatelja u ovom izvještaju.

Pokazatelji o računalnom kriminalitetu su obuhvaćeni u grupi pokazatelja kaznenih djela u gospodarskom kriminalitetu. Kaznenih djela povrede tajnosti, cjelovitosti i dostupnosti računalnih podataka je u 2011. godini bilo 40 (u 2010. bilo ih je 9).  Nadalje, u prošloj godini je zabilježeno 89 kaznenih djela računalnog krivotvorenje (u 2010. bilo ih je 27). Najbrojnija su djela računalne prijevare, a u 2011. godini bilo ih je 684 (zanimljivo, u 2010. bilo ih je više - 903). Navedena kaznena djela predstavljaju oko 11% svih kaznenih djela gospodarskog kriminaliteta u 2011. godini.

Rekao bih da navedeni postotak nije beznačajan. Nadalje, iako bi se iz pokazatelja moglo zaključiti da je kaznenih djela računalnog kriminaliteta bilo manje u odnosu na 2010.  (zbog pada prijavljenih kaznenih djela računalne prijevare) mislim da bi to bio ipak preoptimističan zaključak. Naime, dobro nam je poznato da računalna kriminalna djela često ostaju neotkrivena ili su otkrivena tek nakon duljeg razdoblja. Isto tako, mnogi slučajevi se rješavaju diskretno, bez suvišnog publiciteta.  Postoji i jedan drugi pokazatelj, indirektan, koji osporava optimističan zaključak o eventualnom smanjenju kaznenih djela računalnog kriminala:  broj klasičnih razbojstava banaka je u 2011. porastao na 37 (od 9 takvih slučajeva u 2010). Naravno, ne radi se o istom profilu počinitelja niti o istom načinu djelovanja, no podatak govori o pojačanoj motivaciji napadača. Također, na istoj stranici, MUP nudi i pregled pokazatelja za razdoblje od 2002. do 2011. i analizirajući pokazatelje za iste kategorije kaznenih djela nedvojbeno se može prepoznati uzlazni trend.

Za nas bi bila posebno zanimljiva detaljna razrada ovih podataka: segment gospodarske djelatnosti u kojima su počinjena kaznena djela računalnog kriminaliteta, omjer "insiderskih" počinitelja u odnosu na vanjske napadače, procjena financijskih gubitaka uzrokovanih ovim kaznenim djelima, načini realizacije, načini otkrivanja, broj računalnih delikata usmjeren na državne institucije... Vjerujem da bi, pored ovih pokazatelja iz nadležnosti MUP-a, istraživanje napravljeno u direktnom kontaktu s gospodrastvom pokazalo podatke i  o onim događajama koji nisu prijavljeni odnosno koji su pravovremeno detektirani i otklonjeni, a konačna slika bila bi još nepovoljnija.