Društvo i ekonomija
23. 06. 2022. 17:44 4
Da li su hakerskim napadom na RGZ ugroženi lični podaci građana?
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti još uvek nije dobio obaveštenje Republičkog geodetskog zavoda o tome da li su lični podaci građana ugroženi zbog hakerskog napada koji traje od 14. juna. Po zakonu, RGZ je to trebalo da uradi najkasnije u roku od tri dana, odnosno 17. juna.
Poverenik je 21. juna uputio dopis Republičkom geodetskom zavodu kojim zahteva informacije da li je tokom hakerskog napada došlo do ugrožavanja podataka o ličnosti, potvrdio je Poverenik Milan Marinović za BIRN. Ukoliko je došlo do povrede privatnosti, podseća Marinović, zakonska obaveza Republičkog geodetskog zavoda je da o tome obavesti Poverenika najkasnije u roku od tri dana, kao i da bez odlaganja obavesti i sva lica čiji su podaci ugroženi.
- U ovom trenutku ne znam posledice hakerskog napada. Postoje hakerski napadi gde vam uzmu i zaključaju podatke, a postoji mogućnost da podaci samo budu zaključani, a da niko ne dođe u posed, već da rukovalac podacima bude u problemu zato što ne može da ih otključa - zaključuje Marinović i ističe da je u ovom trenutku prioritet da Republički geodetski zavod odgovori da li došlo do ugrožavanja podataka i narušavanja privatnosti.
Marinović ističe da RGZ ima rok do ponedeljka da odgovori da li je došlo do povrede privatnosti, od čega zavisi pokretanje vanrednog inspekcijskog nadzora.- Ako Republički geodetski zavod kaže da je došlo do kompromitacije podataka o ličnosti pokrenućemo vanredni inspekcijski nadzor, ako kažu da nije, možemo pokrenuti nadzor, ali nismo u obavezi - objašnjava Marinović šta su naredni koraci službe Poverenika u vezi sa ovim slučajem.
Sama činjenica da podaci nisu dostupni na sajtu Republičkog geodetskog zavoda je povreda podataka o ličnosti zbog koje postoji obaveza obaveštavanja Poverenika, smatra ekspertkinja za zaštitu podataka o ličnosti Nevena Ružić.
- U ovom slučaju radi se o povredi pristupačnosti podataka što je par excellence povreda podataka o ličnosti - objašnjava Ružić i dodaje da u takvim situacijama automatski treba obavestiti Poverenika, a posebno zato što se u konkretnom slučaju radi o celokupnoj bazi.Ružić ističe da je samo neprijavljivanje povrede podataka o ličnosti prekršaj prema Zakonu o zaštiti podataka o ličnosti.
Iz RGZ-a za BIRN nisu potvrdili da li je stigao dopis Poverenika kojim se zahteva da odgovore da li su lični podaci ugroženi hakerskim napadom, kao i kada će odgovoriti na ova pitanja.
- Izjave za medije dajemo isključivo u programu uživo pred TV kamerama, bilo da je reč o studiju ili sa terena - rečeno je novinarima BIRN-a iz Republičkog geodetskog zavoda.
Na pitanje BIRN-a da li je tokom hakerskog napada došlo do povrede ličnih podataka iz RGZ-a ponovili su da je baza potpuno bezbedna i da su podaci preventivno zaključani, a kao dokaz da je sve funkcionalno navode kako notari već treći dan neometano rade.Bazi podataka Republičkog geodetskog zavoda za sada pristup imaju samo državne institucije – ministarstva, jedinice lokalne samouprave i javni beležnici preko sistema Ministarstva pravde, prema poslednjim informacijama objavljenim na sajtu RGZ. Na ovaj način omogućeno je funkcionisanje tržišta nepokretnosti, kao i podnošenje zahteva za izdavanje građevinske dozvole putem Centralne evidencije objedinjenih procedura. Građani još uvek nemaju pristup bazama RGZ-a pretragom eKatastra nepokretnosti.
Javnost je takođe uskraćena za preciznu informaciju o vrsti hakerskog napada. BIRN je ovo pokušao da sazna od Tužioca za visokotehnološki kriminal Branka Stamenkovića koji je rekao da neće davati izjave medijima zato što je istraga u toku.
Stamenković je 20. juna za dnevni list Danas rekao da se sumnja da je u RGZ ubačen virus, odnosno da je “nepoznato lice izvršilo krivično delo Pravljenje i unošenje računarskih virusa iz čl. 300 u sticaju sa krivičnim delom Računarska sabotaža iz čl. 299 Krivičnog zakonika Republike Srbije”.Iz Nacionalnog centra za prevenciju bezbednosnih rizika u IKT objašnjavaju da se zlonamerni softver (malver) koji onemogućava pristup računaru i podacima žrtve naziva ransomever.
Napad najčešće prati poruka da je za pristup računaru i podacima potrebno uplatiti određeni iznos (ransom-otkupninu) u novcu ili kripto valutama, objašnjavaju iz Nacionalnog CERT-a i dodaju da se najčešće se distribuira fišing porukom koja sadrži zaraženi prilog i kada ga primalac poruke otvori aktivira se ovaj malver koji u pozadini zaključava datoteke.
Pored toga postoje i drugi načini zaražavanja ransomverom, kao što je posećivanje zaraženih internet stranica ili korišćenje zaraženog USB uređaja, a glavna karakteristika ove vrste napada je onemogućavanje redovnog funkcionisanja u dužem vremenskom periodu, objašnjavaju iz CERT-a BIRN.
Savet Nacionalnog CERT-a jeste da se otkupnina ne plaća, jer ne samo da plaćanje ne garantuje da će podaci zaista i biti otključani, već se na ovaj način i finansira sajber kriminal.Lični podaci su često meta napadača zbog mogućnosti prodaje na Dark Web-u, ističu iz CERT-a, kao i da na ugroženost podataka utiče puno faktora, deo infrastrukture koji je napadnut, mere zaštite koje su primenjene i mogućnost širenja.
U Srbiji je, prema evidenciji CERT-a, zabeleženo više ransomver napada. Tokom 2020.godine prijavljeno je ukupno 276 incidenata od čega je 9% bio ransomver, dok je tokom 2021. godine prijavljeno je 280 incidenata od čega 2% ransomver napada, objašnjavaju iz Nacionalnog CERT-a i dodaju da je globalno smanjen broj ransomvera, ali da njihova sofisticiranost raste pa su posledice napada posledice sve veće i veće.
Poslednji slučaj rensomver napada na javne institucije u Srbiji zabeležen je tokom 2020. godine kada su zaključani fajlovi na serverima i računarima JP Informatika iz Novog Sada. U zamenu za ključ, traženo je da se uplati 50 bitkoina. Otkupnina nije plaćena, a sistem je ponovo izgrađen.
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti nadzorom je utvrdio da podaci građana nisu bili meta napada na JP Inforormatika, već da su bili ugroženi lični podaci zaposlenih, kako se navodi u dokumentima iz nadzora do kojih je došla fondacija Share.
Komentari 4
ostavi komentar