Da li su hakerskim napadom na RGZ ugroženi lični podaci građana?

Poverenik je 21. juna uputio dopis Republičkom geodetskom zavodu kojim zahteva informacije da li je tokom hakerskog napada došlo do ugrožavanja podataka o ličnosti, potvrdio je Poverenik Milan Marinović za BIRN. Ukoliko je došlo do povrede privatnosti, podseća Marinović, zakonska obaveza Republičkog geodetskog zavoda je da o tome obavesti Poverenika najkasnije u roku od tri dana, kao i da bez odlaganja obavesti i sva lica čiji su podaci ugroženi.

- U ovom trenutku ne znam posledice hakerskog napada. Postoje hakerski napadi gde vam uzmu i zaključaju podatke, a postoji mogućnost da podaci samo budu zaključani, a da niko ne dođe u posed, već da rukovalac podacima bude u problemu zato što ne može da ih otključa - zaključuje Marinović i ističe da je u ovom trenutku prioritet da Republički geodetski zavod odgovori da li došlo do ugrožavanja podataka i narušavanja privatnosti.

Marinović ističe da RGZ ima rok do ponedeljka da odgovori da li je došlo do povrede privatnosti, od čega zavisi pokretanje vanrednog inspekcijskog nadzora.- Ako Republički geodetski zavod kaže da je došlo do kompromitacije podataka o ličnosti pokrenućemo vanredni inspekcijski nadzor, ako kažu da nije, možemo pokrenuti nadzor, ali nismo u obavezi - objašnjava Marinović šta su naredni koraci službe Poverenika u vezi sa ovim slučajem.

Sama činjenica da podaci nisu dostupni na sajtu Republičkog geodetskog zavoda je povreda podataka o ličnosti zbog koje postoji obaveza obaveštavanja Poverenika, smatra ekspertkinja za zaštitu podataka o ličnosti Nevena Ružić.

- U ovom slučaju radi se o povredi pristupačnosti podataka što je par excellence povreda podataka o ličnosti - objašnjava Ružić i dodaje da u takvim situacijama automatski treba obavestiti Poverenika, a posebno zato što se u konkretnom slučaju radi o celokupnoj bazi.Ružić ističe da je samo neprijavljivanje povrede podataka o ličnosti prekršaj prema Zakonu o zaštiti podataka o ličnosti.

Iz RGZ-a za BIRN nisu potvrdili da li je stigao dopis Poverenika kojim se zahteva da odgovore da li su lični podaci ugroženi hakerskim napadom, kao i kada će odgovoriti na ova pitanja.

- Izjave za medije dajemo isključivo u programu uživo pred TV kamerama, bilo da je reč o studiju ili sa terena - rečeno je novinarima BIRN-a iz Republičkog geodetskog zavoda.

Na pitanje BIRN-a da li je tokom hakerskog napada došlo do povrede ličnih podataka iz RGZ-a ponovili su da je baza potpuno bezbedna i da su podaci preventivno zaključani, a kao dokaz da je sve funkcionalno navode kako notari već treći dan neometano rade.Bazi podataka Republičkog geodetskog zavoda za sada pristup imaju samo državne institucije – ministarstva, jedinice lokalne samouprave i javni beležnici preko sistema Ministarstva pravde, prema poslednjim informacijama objavljenim na sajtu RGZ. Na ovaj način omogućeno je funkcionisanje tržišta nepokretnosti, kao i podnošenje zahteva za izdavanje građevinske dozvole putem Centralne evidencije objedinjenih procedura. Građani još uvek nemaju pristup bazama RGZ-a pretragom eKatastra nepokretnosti.

Javnost je takođe uskraćena za preciznu informaciju o vrsti hakerskog napada. BIRN je ovo pokušao da sazna od Tužioca za visokotehnološki kriminal Branka Stamenkovića koji je rekao da neće davati izjave medijima zato što je istraga u toku.

Stamenković je 20. juna za dnevni list Danas rekao da se sumnja da je u RGZ ubačen virus, odnosno da je “nepoznato lice izvršilo krivično delo Pravljenje i unošenje računarskih virusa iz čl. 300 u sticaju sa krivičnim delom Računarska sabotaža iz čl. 299 Krivičnog zakonika Republike Srbije”.Iz Nacionalnog centra za prevenciju bezbednosnih rizika u IKT objašnjavaju da se zlonamerni softver (malver) koji onemogućava pristup računaru i podacima žrtve naziva ransomever.

Napad najčešće prati poruka da je za pristup računaru i podacima potrebno uplatiti određeni iznos (ransom-otkupninu) u novcu ili kripto valutama, objašnjavaju iz Nacionalnog CERT-a i dodaju da se najčešće se distribuira fišing porukom koja sadrži zaraženi prilog i kada ga primalac poruke otvori aktivira se ovaj malver koji u pozadini zaključava datoteke.

Pored toga postoje i drugi načini zaražavanja ransomverom, kao što je posećivanje zaraženih internet stranica ili korišćenje zaraženog USB uređaja, a glavna karakteristika ove vrste napada je onemogućavanje redovnog funkcionisanja u dužem vremenskom periodu, objašnjavaju iz CERT-a BIRN.

Savet Nacionalnog CERT-a jeste da se otkupnina ne plaća, jer ne samo da plaćanje ne garantuje da će podaci zaista i biti otključani, već se na ovaj način i finansira sajber kriminal.Lični podaci su često meta napadača zbog mogućnosti prodaje na Dark Web-u, ističu iz CERT-a, kao i da na ugroženost podataka utiče puno faktora, deo infrastrukture koji je napadnut, mere zaštite koje su primenjene i mogućnost širenja.

U Srbiji je, prema evidenciji CERT-a, zabeleženo više ransomver napada. Tokom 2020.godine prijavljeno je ukupno 276 incidenata od čega je 9% bio ransomver, dok je tokom 2021. godine prijavljeno je 280 incidenata od čega 2% ransomver napada, objašnjavaju iz Nacionalnog CERT-a i dodaju da je globalno smanjen broj ransomvera, ali da njihova sofisticiranost raste pa su posledice napada posledice sve veće i veće.

Poslednji slučaj rensomver napada na javne institucije u Srbiji zabeležen je tokom 2020. godine kada su zaključani fajlovi na serverima i računarima JP Informatika iz Novog Sada. U zamenu za ključ, traženo je da se uplati 50 bitkoina. Otkupnina nije plaćena, a sistem je ponovo izgrađen.

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti nadzorom je utvrdio da podaci građana nisu bili meta napada na JP Inforormatika, već da su bili ugroženi lični podaci zaposlenih, kako se navodi u dokumentima iz nadzora do kojih je došla fondacija Share.