Kad im USB-om procure podaci milijun građana - javne institucije mogu proći bez sankcija?!

Kad im USB-om procure podaci milijun građana – javne institucije mogu proći bez sankcija?!

Sa stručnjacima raspravljamo o nedavnom curenju podataka vlasnika svih registriranih vozila u Hrvatskoj i zašto je ono problematično na više razina. Može li ovaj slučaj biti poruka javnim institucijama za ubuduće?

2.444.587 zapisa o vozilima i osobni podaci 1.195.052 fizičkih osoba procurili su u javnost. Nakon što je Večernji list dobio prijavu o njihovu curenju, uslijedila su razna raspredanja, propitivanja i prozivanja. Dosad nije potvrđeno jesu li podaci zbilja završili “u javnosti” odnosno jesu li negdje prodani, razmijenjeni ili objavljeni na internetu, ali Sigurnosno-obavještajna agencija (SOA) jest istaknula kako podaci nisu hakirani.

Oni su ovlaštenim pristupom skinuti na USB uređaj i izneseni u bijeli svijet.

Nekoliko je razloga zašto je to problematično.

No, prvo – od kud su procurili? Prva adresa na koju su se svi okrenuli je Centar za vozila Hrvatske. Oni prstom upiru u MUP, dok ministar unutarnjih poslova Davor Božinović vraća lopticu i tvrdi da su tu podaci koje MUP niti ne prikuplja, navodi N1.

Osim što imamo problem da nitko ne priznaje odgovornost, a možda točan izvor curenja nećemo na kraju ni saznati, transparentnost ovakvog incidenta bit će još manje vjerojatna jer SOA zbog provedbe istrage neće moći iznositi više podataka o ovom slučaju.

U nadi da ipak iz ovog nešto naučimo, obratili smo se Jugu Puljizeviću, konzultantu za sigurnost i zaštitu podataka te Rolandu Lipošinoviću, stručnjaku za upravljanje cyber sigurnosti u Infobipu da vidimo gdje su najveći problemi ove situacije.

Problem #1: Do podataka se došlo jednostavnim prijenosom na USB uređaj

Činjenica da je netko mogao slobodno uštekati USB u računalo javne institucije na kojima su pohranjeni osobni podaci tisuća građana možda je i najbizarnija u ovom slučaju.

Zašto je slobodno korištenja USB-a problem? Od kud krenuti? Možda od toga, kako objašnjava Roland, što je USB malen uređaj koji omogućuje jednostavan prijenos podataka iz jednog uređaja ili sustava u drugi što znači da, osim što ih zbog svoje veličine nije teško izgubiti, lako ih je i koristiti u neovlaštene svrhe.

Ako morate voditi brigu o USB-u s bitnim podacima, važno je napomenuti da se isti mogu “zaključati” (enkriptirati) pri čemu postaju potpuno nečitljivi za nekoga tko ih pronađe – jer nemaju enkripcijski ključ.

Rizik od gubitka podataka posredstvom USB uređaja za pohranu podataka može se znatno smanjiti korištenjem mjere enkripcije USB uređaja ili, ako korištenje USB uređaja nije neophodno, može se blokirati korištenje USB portova na računalima.

Ne bi blokiranje bila ni loša ideja ako uzmemo u obzir da se USB uređaji za pohranu podataka često koriste kao metoda prijenosa malicioznih programa, dovoljno je priključiti USB na zaraženi uređaj i to je to, pojašnjava Roland.

Kada se takav USB spoji na drugi uređaj, maliciozni program na njemu se pokrene i pokuša zaraziti i taj uređaj. Česta taktika kriminalaca je ostavljanje USB-a na mjestima gdje lagano mogu biti “pronađeni” i računati na ljudsku znatiželju da učini ostalo.

Ako opcija blokiranja USB portova nije poželjna ili moguća opcija, Roland navodi kako je preporuka korištenje sigurnosnog softvera koji može pratiti aktivnosti priključenih USB uređaja te otkriti i blokirati neovlaštene ili zaražene USB uređaje.

Uz to, postavljanjem jasnih pravila o korištenju USB uređaja (u koje svrhe, da li uopće, obvezna enkripcija i sl.) kroz politike organizacije i redovito educiranje zaposlenika o važnosti zaštite podataka, pravilnom korištenju USB uređajima i povezanim opasnostima rizik se može još više smanjiti.

Treba naglasiti da se na ove mjere naslanjaju ostale najbolje prakse sigurnosti informacijskih sustava kao što su redovito ažuriranje, razdioba dužnosti, segmentiranje interne mreže, klasificiranje podataka i sl.

Problem #2: Podatke je izvukla iz sustava ovlaštena osoba

Iako poimenice nećemo možda saznati tko i zašto je preuzeo i iznio podatke iz javne institucije, ono što znamo jest da nije bilo u pitanju hakiranje, te podatke je preuzela osoba koja je podacima imala pristup. Jug napominje kako je digitalni trag o takvim preuzimanjima gotovo uvijek moguće pronaći, bez obzira postoji li poseban softver za postavljanje razina i nadzora pristupa podacima ili je npr. riječ o Windowsima.

Uostalom, u većim sustavima kod ispisa dokumenata na mrežni printer, svaki dokument u zaglavlju ima podatke tko ga je poslao na print i kada. U osnovi nema neke razlike između printanja i „skidanja“ podataka.

Međutim, svijest i kultura privatnosti kod nas se još razvija, ističe Jug uz par primjera:

Primjerice, odvjetnik nazvao liječnika da mu iz sustava pročita podatke nekog pacijenta, susjed nazvao nećaka u MUP da provjeri nešto u kompjuteru i sl. Na stranu svi trackeri i sankcije – oni stupaju na scenu kada se povreda dogodila. Naš je cilj da do takve vrste povrede ne dođe.

Sigurnosni incidenti se događaju svakodnevno, ali glavno je pitanje kako se nosimo s njima: jesmo li nešto naučili i primijenili za budućnost ili ne?

Ovlašten pristup je (očito) nužan za svakodnevno poslovanje – stoga ga ne možemo ukinuti. Jedini način je da osoba s ovlaštenim pristupom ima svijest i znanje (u koje treba redovito ulagati).

Za početak, određivanje razina pristupa smanjuje krug osoba koje mogu pristupiti određenim podacima. Logovi pristupa taj krug dodatno sužavaju na određeno računalo ili korisnika, pojašnjava Jug. Uz to, postoji čitav niz mjera koje navodi GDPR, a koje mogu utjecati na veću sigurnost i manju štetu u slučaju povrede podataka: pseudonimizacija i enkripcija, smanjenje količine podataka, redovito testiranje i slično.

Sve počinje s jačanjem svijesti, kako pojedinaca tako i organizacije u cjelini. Ako uprava tvrtke, odnosno vodstvo organizacije, prepoznaje zaštitu podataka kao bitnu stvar za svakodnevno poslovanje, tada je puno lakše smanjiti mogućnost da se ovakva situacija ne ponovi, odnosno spriječi.

Analiza poslovanja i obrade osobnih (ali i poslovno osjetljivih) podataka trebala bi rezultirati realnom procjenom rizika i sustavom tehničkih i organizacijskih mjera primjerenih veličini tvrtke, količini i osjetljivosti podataka koje obrađuje i sl.

Na kraju, ali prilično važno, dolazi kontinuirana edukacija zaposlenika i uprave (ovo se često zanemaruje, odnosno uprava ostaje „van sustava“, što je duboko pogrešno).

Problem #3: U pitanju su osjetljivi podaci zbog kojih ljudi mogu pretrpjeti značajnu štetu

U ovom curenju kompromitirani su podaci 1.195.052 fizičkih osoba koji sadrže njihova imena, adrese, OIB-e, JMBG-e, datume rođenja, registracije i ostale podatke o vozilima i njihovim policama osiguranja.

Već samo ti podaci u krivim rukama mogu biti iskorišteni na razne maliciozne načine, a zamislite još kako izgleda situacija kada netko iste iskombinira s već drugim dostupnim bazama podataka. Primjerice, ako se prisjetimo curenja podataka s LinkedIna ili Facebooka, može se doći i do email adresa, brojeva telefona i sl. a onda su mogućnosti prevare eksponencijalno veće, napominje Jug.

Sjetimo se da svako malo netko bude prevaren kod kripto ulaganja ili je netko uplatio novac američkom vojniku da se može vratiti iz Afganistana. S ovim setom podataka lako je zamisliti prilično uvjerljive „kazne“ za prometne prekršaje pri čemu se novac uplaćuje prevarantu, a ne Državnom proračunu.

Uz malo mašte imamo i radikalnije situacije – prevarant šalje poruku da određeni model vozila ima grešku s kočnicama i da ga se mora povući na servis. Naravno, o trošku „proizvođača“ dolaze dva tipa i odvoze auto koji će vratiti nakon servisa. Prevaranti još uruče i vaučer oštećeniku na neku simboličnu cifru kako bi sve izgledalo legit. Tu ću stati kako ne bih dao više ideja prevarantima (i oni čitaju Netokraciju, zar ne?)

Nadamo se da do takvih situacija neće doći i da podaci nisu već “odletjeli” predaleko. Ako i kada doznamo tko je voditelj obrade u ovom slučaju, građani će od voditelja moći zatražiti informaciju jesu li njihovi podaci obuhvaćeni povredom i vlastiti slučaj prijaviti AZOP-u.

A što mogu građani u slučaju stvarne materijalne štete?

Odgovor može dati samo sud. Općenito govoreći, oštećena osoba mora dokazati postojanje štete kako bi imala pravo na naknadu. Moguće je da od npr. 100 osoba čiji su podaci „iscurili“ samo 10 pretrpi stvarnu štetu. Osobno se nadam nitko neće pretrpjeti štetu i da će ovaj slučaj biti upozorenje svima, a prvenstveno državnim i javnim tijelima da ulože više (prije svega vremena i truda) u zaštitu podataka.

Problem #4: Trgovanje takvih podataka javna je tajna

Ranije navedene mjere zaštite su za sada najbolje što imamo u sprječavanju ovakvih situacija, komentira Jug. Međutim, još je veći problem što do curenja podataka može doći iz posve drugih – na prvu nemalicioznih – razloga… Primjerice, poslovnog nadmetanja na tržištu.

Osobni primjer, trebao sam produljiti ugovor kod svojeg telekom operatera. Ponuda koju sam dobio telefonom nije bila zadovoljavajuća, a pregovori bezuspješni pa sam odustao od produljenja. Deset minuta kasnije nazvao me predstavnik konkurentskog telekoma koji mi je ponudio točno ono što sam tražio od svojeg operatera i po meni prihvatljivoj cijeni. Je li ovdje riječ o povredi osobnih podataka ili možda o nečemu još težem po poslodavca i njegove poslovne procese…

Takve prakse nisu rijetkost, nastavlja Jug prisjećajući se kako jedna velika osiguravajuća kuća koje djeluje i u RH prošle godine nije dopuštala korištenje posebnih znakova u lozinkama što je standard preko desetljeća, a ujedno je i u preporukama AZOP-a.

Ta ista osiguravajuća kuća mi je rekla da nemaju moj mail niti da sam se ikad registrirao kod njih s tim mailom, samo da bih na taj isti mail (koji nemaju) dobio račun za premiju osiguranja… A govorimo o velikoj međunarodnoj kompaniji. To je pitanje perspektive i zato sam osobno jako kritičan prema takvim korporacijama jer pokazuju nemar i bahato ponašanje.

Trgovina bazama je nažalost dio svakodnevice, komentira Jug, ali ono što posebno zabrinjava je da takvi slučajevi nisu rijetkost ni u javnoj upravi gdje je razina kontrole pristupa najčešće nikakva.

Kod privatnih tvrtki najveći i najčešći rizik je da bivši ili nezadovoljni zaposlenik preuzme cijelu bazu klijenata i ode konkurenciji. Ono što se zaboravlja je da je dosta ljudi za vrijeme COVID-a nosilo hrpu podataka doma i da je i dalje more tih podataka po nečijim privatnim računalima, USBima na kojima su i crtići za djecu i zadnja epizoda CSI Miamija…

Problem #5: Javne institucije za ovakve propuste ne mogu dobiti kaznu

Zdravstveni, porezni i mirovinski podaci i još niz drugih, sve su to velike, za funkcioniranje društva, neophodne baze kojima upravljaju i koje pohranjuju javne institucije. Svi mi im povjeravamo svoje podatke, u nadi da će se, za razliku od papirnih vremena, oni bolje skladištiti, koristiti i prikazivati u ovim digitalnim. Nažalost, sve blagodati digitalizacije padaju u vodu ako ti najosjetljiviji podaci nisu sigurni.

Iz javne ustanove, prije nije bilo lako iznijeti 20 kutija zdravstvenih kartona, danas netko može u uređaju veličine kovanice iznijeti podatke milijune građana. I zato želimo znati da su javne institucije odgovorne za ono što (ne) rade. Ako ne prakticiraju adekvatne mjere zaštite osobnih podataka građana niti propisno brinu o sigurnosti svojih računalnih sustava – želimo ih moći prozvati i pozvati na odgovornost.

Jedan od problema je, kako navodi stručnjak za zaštitu podataka Duje Kozomara, što AZOP tijelu javne vlasti nema ovlast izdati novčanu kaznu.

Treba li ih sankcionirati? Sigurno. No, osim apela da se izmjeni Zakon o provedbi Opće uredbe o zaštiti podataka da bi to bilo moguće, trebamo uzeti u obzir hrvatske okolnosti. Ako to znači da će se kazna isplatiti iz proračuna, bilo bi pametnije umjesto kazne propisati im koliko moraju uložiti u sigurnost svojih sustava koji čuvaju naše podatke!

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

  1. Dražen Viman

    Dražen Viman

    29. 05. 2024. u 1:50 pm Odgovori

    Interesantan komentar da gubitak podataka nije rezultat “hakiranja”. To je povreda GDPR-a a u njemu riječ “hakirati” ne postoji pa tako od državnoga tijela ne očekujem karakterizaciju djela koju zakon ne definira (ako su zaista tako izjavili). Ovo (ne)djelo je opisano u GDPR-u
    članak 4 točka 12.
    „povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

    Dakle, radi se o “neovlaštenom otkrivanju ili pristupu osobnim podacima”. Postoje propisani načini postupanja nakon povrede osobnih podataka a mi ne znamo jesu li provedeni. Npr obavještavanje ispitanika gdje bi voditelj obrade trebao ispitanicima (na bilo koji način npr mailom ili priopćenjem u javnim medijima) objasniti trenutnu situaciju, rizike i eventualne postupke ispitanika u svrhu smanjenja potencijalne štete).
    Što se tiče kazne, riječ je o upravnoj kazni koja je besmislena kada se radi o državnim tijelima (uplaćuju u proračun odakle su novce i dobili) ali zato postoji mogućnost sankcioniranja čelnika tijela i to onoga koji je odgovoran za propust (a ne nekog budućeg). Ovako, ako budu i postojale posljedice za neke ispitanike, biti će na ispitanicama teret dokazivanja da je uzrok štete baš ovo neovlašteno otkrivanje podataka.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startupi

4 milijuna dolara za domaći startup koji je napravio “prvog pravog AI developera”

U otprilike godinu dana ekipa iza Pythagore prošla je program prestižnog Y Combinatora, skupila 30.000 aktivnih korisnika i prikupila investiciju. Među investitorima je i Damir Sabol.

Obrazovanje

Maturanti, pazite koje AI alate koristite za pripremu mature, nisu svi pouzdani…

Jeste primijetili kako je sve više raznih AI alata koji obećavaju uspjeh u školi i pomoć na maturi? Iako imamo pozitivne primjere, nisu svi od povjerenja.

Veliki intervjui

Upoznajte Hrvata koji je napravio nastavak Tetrisa (i dobio blagoslov originalnog tvorca)!

Nevjerojatne priče ne susrećemo svaki dan, a upravo vam donosimo jednu takvu koja se kuhala 12 godina na dva kontinenta, u čijem se središtu nalazi nastavak jedne od najpoznatijih igara ikada napravljenih.

Što ste propustili

DevDev

Leapwiseovih 5 savjeta za razvoj enterprise softvera – i besplatan backend priručnik

Zagrebačka kompanija Leapwise svoje stečeno osmogodišnje iskustvo u product buildingu i system integrationu (u domenama BSS/OSS-a, cybersecurity inženjeringa, automatizacije i IOT-a) sada želi podijeliti i sa širom zajednicom - dio tog znanja skupljen je i u besplatan backend priručnik.

Programiranje

S Tech Leadom o Pimcoreu, open-source platformi za digitalizaciju poslovanja

U razvoju rješenja za upravljanje informacijama o proizvodu (PIM), digitalnom imovinom (DAM), web sadržajem (CMS) i e-trgovinom - virovitički Factory odabrao je Pimcore - saznajemo što ih je osvojilo kao inženjere i koje su mu specifičnosti?

Netokracija Podcast

AI smanjio odjel marketinga poznate tvrtke i uštedio im 10 milijuna dolara

Počela su prva hvaljenja kako je AI zamijenio radnike i tako napravio uštedu od 10 milijuna dolara. Sva sreća, to se nikome nije svidjelo...

Digitalni mediji

Hrvate od EU izbora više zanimaju Vučić, Međugorje i invazija dabrova!

Ove nedjelje izlazimo na druge po redu izbore u ovoj superizbornoj godini, ali sudeći po pretraživanjima online, Hrvati bi ovog vikenda mogli prije otići na kavu nego na birališta.

Tvrtke i poslovanje

Otvoren Deloitteov natječaj 50 najbrže rastućih tehnoloških kompanija Srednje Europe za 2024. godinu

Ovo regionalno natjecanje održava se već 25. godinu za redom, a rangira najbrže rastuće kompanije u tehnološkom sektoru te pruža etabliranim i novim tehnološkim kompanijama platformu za predstavljanje svoje vodeće pozicije u tehnološkoj industriji.

Veliki intervjui

Novo vodstvo CISExa: U krizi najbolje prolaze oni koji rade s velikim tvrtkama – i državom!

CISEx, hrvatska udruga nezavisnih izvoznika softvera, odnedavno ima novu upravu. U razgovoru s Ivanom Bešlićem i Svenom Marušićem otkrivamo u kojoj su trenutno poziciji hrvatski izvoznici softvera, tko će lakše prebroditi ova vremena i gdje su nove prilike.