Imena, adrese i ostale osobne informacije nisu završili u javnom prostoru i nisu dostupni putem interneta. No to ne umanjuje opasnost da se kompromitirani podaci mogu zloupotrijebiti. Alen Delić, zamjenik predsjednika Hrvatske udruge menadžera sigurnosti, Marko Gulan, stručnjak za kibernetičku sigurnost i Đuro Lubura, sudski vještak za telekomunikacije gostovali su u emisiji HTV-a “Otvoreno” te govorili o curenju podataka o vlasnicima automobila u Hrvatskoj.
Alen Delić rekao je kako se iz javnih istupa nadležnih institucija još uvijek ne zna što se dogodilo, odnosno kako je došlo do krađe osobnih informacija o vlasnicima svih registriranih vozila.
– Može doći do toga da je netko tko je imao ovlašteni pristup došao do podataka i nešto napravio s njima. Može biti netko drugi tko je putem te osobe koja je imala ovlašten pristup, a može biti neki drugi fizički pristup računalu ili dijelovima sustava da bi došao do podataka. Imamo puno “navodno” stvari i odgovora koje tek trebamo dobiti, rekao je.
Marko Gulan naglasio je kako struktura podataka, cjelovitost podataka i ono što se nalazi u bazi ne bi trebalo biti problem otkriti.
– Ako znamo da je baza jednog tijela vrlo siromašna s podacima, vrlo ograničena, onda ako stavimo u matematičku formulu sve nepoznanice, vrlo brzo se može doći do rezultata, do točnog odgovora. Ono što zapravo iznenađuje u čitavoj ovoj priči, da imamo jednu veliku nepoznanicu u vrijeme kad je informacijska sigurnost na relativno visokoj razini, da se može zapravo desiti ovakav jedan incident i da možemo tvrditi da ne znamo kako se desilo. To jednostavno budi sumnju kod ljudi i nije dobro, rekao je.
Đuro Lubura rekao je kako je pitanje kad je ta baza nastala i koliko je svježa baza podataka.
– Onda je potrebno utvrditi odakle je ona mogla doći. Dakle, policija i oni koji se bave kriminalističkim istraživanjem će sasvim sigurno voditi računa o svemu tome. Ministarstvo unutarnjih poslova vodi samo one podatke koje se tiču registracije motornih vozila, njihovih vlasnika i posjednika. S druge strane, Hrvatski ured za osiguranje koji na temelju Zakona o obveznim osiguranjima u prometu ima pravo raspolagati i ovim podacima MUP-a, raspolaže puno širom količinom podataka, puno širom bazom podataka jer su im i osiguravajuća društva obvezna dostavljati podatke o osiguranjima. Dakle, kad se usporedi što i tko od ovih mogućih sumnjivaca ima u svojim bazama, relativno jednostavno će biti utvrditi odakle su ti podaci mogli doći. Mislim da će to biti vrlo jednostavno otkriti. Meni se prema svemu što do sad znamo čini da su ti podaci došli iz osiguravateljskih krugova. Kao što se i nama koji imamo vozila u prošlosti događalo da nas pred istek osiguranja pozivaju osiguravajuća društva s kojima nemamo nikakav poslovni odnos i koji ne bi trebali imati naše podatke. Meni se osobno to dogodilo nekoliko puta. Dakle, pozivaju vas, predlažu da kod njih sklopite osiguranje, iako vi njima nikad niste dali osobne podatke, niti oni bi trebali biti upoznati, niti da imate vozilo, a niti da kad vam ističe polica osiguranja, rekao je.
Hrvatski ured za osiguranja koji je osnovan na temelju Zakona o osiguranjima i raspolaže tim podacima, njime u stvari upravljaju osiguravajuća društva, ističe Lubura.
– Na tijelima koji se bave nadzorom zaštite osobnih podataka je da utvrde, a svakako i na Hanfi koja nadzire osiguravajuća društva, jesu li oni ispravno raspolagali podacima koji su im povjereni i jesu li poduzeli sve one mjere koje su trebali poduzeti da zaštite te podatke, rekao je.
Delić: Ako je netko koristio podatke koje je dobio ilegalnim putem, također treba biti kažnjen
Alen Delić je rekao kako djelatnici kad prelaze iz firme u firmu mogu sa sobom prenijeti određen broj podataka te ih iskorištavati.
– Veći bi bio problem da su svi ili neki imali pristup ovako velikoj bazi podataka. Iz perspektive zaštite osobnih podataka, vama će vrijednost vaših podataka biti jedno, nekom drugom će biti nešto drugo. Ako je netko koristio podatke koje je dobio ilegalnim putem, također treba biti kažnjen za takvo djelovanje, rekao je.
Marko Gulan je istaknuo kako se ne radi o kopiranju podataka, Word dokumenta i PDF-ova.
– To su u principu podaci iz baze. Ako skidamo bazu podataka, to znači da moramo imati određenu razinu pristupa određenim podacima. Informacijska sigurnost jednako tako vodi računa i o fizičkim dokumentima, fasciklima, papirima i svim onim informacijama koje imamo u fizičkom obliku. Bilo koje iznošenje podataka, fascikla iz nekakvog registratora ili količina podataka iz nekakve baze ili nekakvog foldera, direktorija na računalu, ne može proći neopaženo. Fizičke dokumente bismo trebali štititi videonadzorom, alarmima, senzorima topline, ako su oni kritični. U digitalnom svijetu, iste te podatke bismo trebali štititi tako da svako računalo ostavi trag, što se desilo u bilo kojem trenutku. Baza koja sadrži dva i pol milijuna vozila i milijun i pol građana u nekom svom sadržaju, to je zapravo trebao biti jasan alarm da sustav dojavi, da se u sustavu odvija nekakva radnja koja nije normalna ili uobičajena za sustav. Ako takvog alata nema, onda mi govorimo o puno većem problemu i govorimo o puno većoj eskalaciji problema i bojim se zamisliti zapravo što se može dešavati dalje, rekao je.
Lubura: Curenje podataka može biti jako skupo za privatne firme
Đuro Lubura je naglasio kako svakodnevno bazama podataka pristupaju različiti ljudi iz različitih razloga.
– Ovakve stvari bi trebale biti povod da se primjenjuju propisi. U informacijskoj sigurnosti sve je više-manje propisano. Curenje podataka može biti jako skupo za privatne firme i za sve one koji obrađuju osobne podatke. Tu su upravne mjere i kazne u milijunima eura. Suludo je da je moguće u većini organizacija danas uključiti USB stick u računalo i kopirati podatke. Ozbiljne organizacije koriste mjere poput centraliziranog ispisa da se zna tko je što ispisao, rekao je.
Gulan: Dobra je situacija da podaci nisu izišli po bespućima interneta
Marko Gulan je rekao kako su svi dionici tržišni dovoljno svjesni problema i da će se zapravo tražiti potvrde identiteta.
– Moram priznati da pozdravljam odluku AZOP-a koji zaista želi malo smiriti tenzije na tržištu. Možemo reći da je dobra situacija da podaci nisu izišli po bespućima interneta da se mogu kupovati na crnim burzama. Transfer ili kupovanje podataka na USB sticku danas, ne može biti toliko masovno. Ja bih zapravo volio da kroz javni prostor ipak malo smirimo tenzije. Ja se osobno ne brinem previše. Shvaćam zabrinutost građana Republike Hrvatske. Očekujem li neke veće probleme vezano ove podatke koji su izišli van, pa zapravo i ne očekujem, rekao je.
Alen Delić smatra kako postoje dvije vrste zabrinutosti od strane građana.
– Prva je, je li može netko iskoristiti njihove podatke da bi njih osobno napao, što se iz ovih podataka ne može pretjerano puno. Druga je zabrinutost koja se odnosi na neke institucije. Ako imamo sposobnost da uzme dva i po milijuna određenih podataka, kako da vjerujemo da neće uzeti neke druge podatke, rekao je.
Đuro Lubura također smatra kako treba smiriti tenzije.
– Ovaj set podataka nije toliko opsežan da bi mogao stvoriti probleme, dodao je.
Izvor: Otvoreno/T.D./HRT Foto: vijesti.hrt.hr