Fišing kampanje predstavljaju učestalu pretnju u digitalnom poslovanju, pri čemu se putem lažnih elektronskih poruka, SMS poruka ili veb-stranica korisnici navode da otkriju poverljive podatke. Posledice po pravna lica mogu biti ozbiljne, od kompromitovanja poslovne elektronske pošte i finansijskih naloga, do gubitka poverenja klijenata i narušavanja ugleda.

Prema Krivičnom zakoniku Republike Srbije („Službeni glasnik RS“, br. 85/2005 i kasnije izmene), fišing može predstavljati:

• računarsku prevaru (član 301),
• neovlašćeno prikupljanje ličnih podataka (član 301a),
• neovlašćen pristup računarskom sistemu (član 302),
• kao i ometanje rada računarskog sistema i uništavanje računarskih podataka (član 298).

Pored toga, Zakon o zaštiti podataka o ličnosti („Službeni glasnik RS“, br. 87/2018; dalje: Zakon) propisuje obaveze rukovaoca podacima u pogledu zaštite ličnih podataka, uključujući i obavezu prijavljivanja povrede podataka nadležnom nadzornom organu – Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti.

U praksi, fišing napadi često započinju kompromitovanjem poslovne elektronske pošte (engl. Business Email Compromise – BEC), što može dovesti do neovlašćenog pristupa poverljivim informacijama, slanja lažnih naloga za plaćanje, narušavanja odnosa sa klijentima i potencijalnih pravnih posledica po kompaniju. Zato je od ključne važnosti da privredna društva preduzmu odgovarajuće preventivne i reaktivne mere, kako bi umanjila materijalnu štetu i pravne rizike.

Efikasna zaštita obuhvata:

• uspostavljanje interne politike informacione bezbednosti,
• redovnu edukaciju zaposlenih o prepoznavanju sumnjivih poruka,
• primenu višefaktorne autentifikacije,
• redovno ažuriranje softverskih rešenja i antivirusne zaštite,
• sprovođenje pravne revizije procedura za odgovor na bezbednosne incidente.

Takođe, procena rizika obrade podataka, u skladu sa Zakonom, predstavlja dodatnu meru kojom se unapređuje bezbednost informacija i ublažavaju posledice potencijalnih povreda.

Brza reakcija u slučaju napada – uključujući evidentiranje incidenta, obaveštavanje nadležnih organa i konsultacije sa pravnim stručnjacima, od suštinske je važnosti za minimizaciju štete i očuvanje integriteta poslovanja.

Fišing kampanje predstavljaju ozbiljan izazov za sve učesnike u digitalnom prostoru. Ipak, pravovremenim usklađivanjem sa relevantnim propisima i doslednom primenom preventivnih i zaštitnih mera, moguće je značajno umanjiti rizike, zaštititi podatke i očuvati poverenje partnera i klijenata.