Curenje podataka otvorilo pitanje odgovornosti i sigurnosnih procedura

Pomoćnica ravnatelja CARNET-a Ana Smoljo kazala je kako je objavljena baza podataka koja sadrži podatke poput imena i prezimena, adrese elektroničke pošte, naziva škole i korisničke uloge. Naglašava kako nema pokazatelja da su kompromitirane korisničke zaporke niti sustav za autentikaciju što je važna činjenica za sigurnost korisničkih računa.

- CARNET je odmah po saznanju objave baze aktivirao postupke upravljanja sigurnosnim incidentom. Pokrenuli smo detaljnu tehničku i forenzičku analizu, a angažirali smo i vanjske stručnjake za forenzičku analizu podataka, kako bismo čim prije utvrdili način na koji su oni dospjeli u javnost te iz kojeg izvora potječu, rekla je.

Dodaje kako preliminarni rezultati pokazuju da podaci nisu skinuti ni s jednog od CARNET-ovih servisa, već nalikuju podacima sa sustava trećih strana.

- Tijekom jučerašnjeg dana podnijeli smo kaznenu prijavu protiv nepoznatog počinitelja zbog neovlaštene objave podataka, a ministarstvo je kao voditelj obrade podataka za slučaj prijavilo Agenciji za zaštitu osobnih podataka, kazala je Smoljo.

Naglasila je kako CARNET-ove usluge ovime nisu ugrožene i sve radi normalno.

Marko Gulan, stručnjak za kibernetičku sigurnost istaknuo je kako je ovo veliki incident posebno stoga što se radi o maloljetnicima.

- Bitno je koliko je ova baza vani te jesu li sukcesivno preuzimani podaci. Postavlja se pitanje kako je moguće da nitko ne primijeti da je iscurio toliki broj zapisa. Smatram da ovo nije kompromitacija tehnologije već samih procesa, rekao je.

Pojasnio je da internet koji koristimo je 20 posto, a Dark web je puno veći i na njemu se pronalazi sve ono što nije legalno.

- To je dio interneta koji je skriven od prosječnog korisnika. To što se baza našla ovdje nije ni više ni manje zabrinjavajuće. Veći je problem da su zakazali procesi i procedure. Nije otkriveno curenje podataka, već smo mi za to saznali kada su oni već bili objavljeni, istaknuo je.

Duje Prkut, izvršni direktor udruge Politiscope kazao je kako opća uredba o zaštiti podataka predviđa rok od 72 sata unutar kojeg voditelj obrade mora reagirati od trenutka da se incident dogodio.

- Prema svemu sudeći sve uključene strane su upoznate da se ovaj incident dogodio nakon što su mediji popratili objave na pojedinim društvenim mrežama o bazi podataka. Neki kažu da je neobično da smo za incident doznali iz medija, a ne od državnih tijela koja su u to uključena, rekao je.

Ključna zaštita interesa osoba koje su obuhvaćene s povredom osobnih podataka

Prkut je naglasio da svi koji su obuhvaćeni incidentom moraju računati na to da su u potpunosti izgubili kontrolu nad osobnim podacima.

- Jednom kada se ova baza podataka objavi na internetu, ti će podaci vječno biti javno dostupni. U ovom trenutku je najbitnije za učenike i nastavnike da prate novosti o ovom incidentu, kazao je.

Dodaje kako je Politiscope primijetio u svome radu da tijela javne vlasti, i to pogotovo ona koja ne mogu primiti financijsku kaznu za povredu uredbe, vrlo olako shvaćaju svoje obveze vezane uz zaštitu osobnih podataka.

- To je problem jer se narušava princip leadershipa. Kazne ne plaćaju regionalne ili lokalne jedinice, tijela državne uprave, ministarstva, a to su tijela javne vlasti koja se nalaze na samome vrhu čitavog političko-pravnog sustava. Bilo bi za očekivati da ove najvažnije institucije da svojim primjerom pokazuju kako se neki poslovi obavljaju, istaknuo je.

Gulan pojašnjava kako se u ovom slučaju ne govori o kompromitaciji digitalnih identiteta, već se govori o curenju kontakt podataka. Smatra kako nema prostora panici.