Tko je i na koji način došao do 563.309 imena učenika i nastavnika hrvatskih osnovnih i srednjih škola tek treba ustanoviti istraga koju daleko od javnosti vodi policija, ali u koju je sasvim sigurno uključena i SOA.
Činjenica da se o krađi identiteta doznalo preko popularnog internetskog foruma Reddit, a ne službenim kanalima, svjedoči da se sve možda drži podalje od javnosti te se nastoji umiriti učenike, njihove roditelje i nastavnike u osjetljivom trenutku dok su u tijeku upisi.
Radi se o starijoj datoteci, koja sadrži ime, prezime, instituciju, odnosno školu, tip korisnika (nastavnik/učenik) i e-mail adresu, a sve je objavljeno na forumu darkforums.ru i dostupna je svima koji su logirani na taj forum.
Je li riječ o ozbiljnom sigurnosnom propustu ili ne, pitali smo Alena Delića, stručnjaka za informacijsku sigurnost i zamjenika predsjednika Hrvatske udruge menadžera sigurnosti (HUMS).
- Radi li se o propustu ili ne, i koliko velikom, tek ćemo vidjeti. Ne možemo ignorirati da se radi o incidentu, no u ovom slučaju, mnogo više nego u nekim prethodnima, iznimno smo zainteresirani doznati što se točno dogodilo i gdje - kaže Delić.
Kako doznajemo, iz niza su škola službenici za zaštitu osobnih podataka tražili od resornog Ministarstva kao zajedničkog voditelja obrade i od CARNET-a kao izvršitelja obrade osobnih podataka informacije prema članku 33. Uredbe o zaštiti osobnih podataka (GDPR) da bi škole mogle prijaviti povredu osobnih podataka Agenciji za zaštitu osobnih podataka, AZOP-u, no nisu dobili tražene informacije. S druge pak strane, AZOP im je, koji je pokrenuo žurni nadzor, odgovorio da nije dobio nikakvu prijavu.
Na pitanje je li slučajnost da su ti podaci objavljeni baš sada kad su u tijeku upisi i koji bi mogao biti motiv njihove objave, Delić kaže:
- Kad bismo se vodili povijesnim pokazateljima, na prvu bismo rekli da se radi o slučajnosti. Ipak, za donijeti tu ocjenu trebamo znati motive, a na njih ćemo najviše čekati. Jednako problematično može biti i korištenje ovih podataka, na primjer, u rujnu, kad se aktivnosti prije i za vrijeme početka škole povećavaju.
Moguća je i dodatna nervoza, ne nužno zbog same objave podataka, nego zbog nesigurnosti koja prirodno nastaje kad ljudi ne znaju je li određena poruka stvarna ili lažna baš u trenutku kad moraju donositi odluke - kaže Delić. Isto tako napominje da mi u ovom trenutku ne znamo je li napadnut CARNET ili neka povezana treća strana.
- Forum je jedno od mjesta gdje se podaci objavljuju, prodaju ili gdje se objavljuju informacije vezane za pojedine ranjivosti ili curenja podataka, i postoji cijeli niz takvih foruma za takve aktivnosti, a često se koristi i više njih istovremeno. Pojedini napadači objavljuju svoje vlastite aktivnosti, a poneki samo prenose ili dalje distribuiraju podatke koje su pribavili od drugih, tako da poveznica s forumom nije uvijek direktna poveznica s izvornim napadačem - zaključuje stručnjak za informacijsku sigurnost.
CARNET se o krađi identiteta oglasio u nedjelju i upozorio je korisnike, iako se ne radi o podacima koji omogućuju pristup korisničkim računima, na povećan rizik od ciljanih phishing-napada i drugih oblika socijalnog inženjeringa.
- Pozivamo na dodatan oprez prilikom zaprimanja elektroničke pošte u kojima se traže podatci za prijavu ili druge osobne informacije - poručuju iz CARNET-a.
- Nema indicija koje bi upućivale na potrebu za promjenom korisničkih zaporki. Ako rezultati istrage pokažu da su potrebne dodatne sigurnosne mjere, korisnici će o njima biti pravodobno obaviješteni putem službenih komunikacijskih kanala. Ocjenjuje se kako prema trenutačno dostupnim informacijama nema pokazatelja da je ugrožen rad CARNET-ovih usluga - naveli su.
Prema svemu sudeći, to kako su osobni podaci o učenicima i nastavnicima osnovnih i srednjih škola dospjeli u javnost nećemo doznati tako skoro, a nije isključeno da će biti nužna međunarodna istraga da bi se otkrili počinitelji.
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....