Pristup sajtu covid19 i podacima građana bio otvoren 8 dana

Na sajtu jedne zdravstvene ustanove su osam dana bili javno dostupni korisničko ime i šifra za pristup sajtu covid19, gde se svakodnevno objavljuju podaci o broju obolelih i preminulih od virusa korona u Srbiji - otkrili su u Share fondaciji. To znači da su osetljivi podaci građana bili dostupni pretragom na Guglu, na šta su upozorili nadležne pre tri dana, a kažu da su reagovali brzo i uklonili stranicu.

U Share fondaciji pojašnjavaju da su 17. aprila, pretragom ključnih reči na Guglu, sasvim slučajno došli do stranice na kojoj su se nalazili podaci o pristupu sajtu covid19, postavljeni još 9. aprila

Uspeli su, kažu, da dođu i do uputstva za korišćenje i stranice za centralizovanu prijavu na sistem koji se koristi za unos, analizu i čuvanje podataka o svim osobama koje se prate u cilju kontrole i suzbijanja pandemije.

Prema Zaključku vlade o uspostavljanju Informacionog sistema Covid-19, čitav niz nadležnih zdravstvenih institucija obavezan je da u ovom programu vodi podatke o ljudima koji su izlečeni, preminuli i testirani (bilo da su pozitivni ili negativni), kao i o ljudima na lečenju, onima kojima je izrečena mera samoizolacije ili smeštaja u privremenim bolnicama, sa podacima o njihovoj lokaciji. U sistemu se takođe nalaze podaci o osobama koje su mogući nosioci virusa zbog kontakta sa obolelima. Ustanove su obavezne da podatke ažuriraju na dnevnom nivou, a izveštaj koji se čita svaki dan u 15h se bazira na podacima iz ovog sistema - pojašnjavaju.

Nedelju dana je pristup sajtu i podacima građana bio moguć pretragom na Guglu; foto: printskrin/Share foundation Napominju da su pokušavali da dođu do dokumenata o tome kako se podaci građana čuvaju i da nisu ni slutili da će zapravo doći da pristupne šifre i mogućnosti da uđu u sistem, što je u tih nedelju dana mogao bilo ko pretragom na Guglu.

Odmah nam je bilo jasno da su najosetljiviji podaci naših sugrađana ugroženi, a da se integritet sistema od ključnog značaja za borbu protiv pandemije ne može garantovati - ističu.

Takođe navode da nisu pokušali da se uloguju, već su ovaj incident odmah prijavili nadležnima - Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, Nacionalnom CERT-u i Ministarstvu trgovine, turizma i telekomunikacija. Javnost su o tome obavestili tek kada je onemogućen neovlašćen pristup sistemu i podacima građana.

Manje od sat vremena nakon naše prijave, obavešteni smo da su preduzeti inicijalni koraci kao odgovor na incident, pa smo se i sami uverili da stranica sa korisničkim imenom i lozinkom više nije javno dostupna. Od nadležnih organa možemo očekivati dalje postupanje u ovom slučaju. Poverenik ima ovlašćenja da pokrene nadzor u skladu sa Zakonom o zaštiti podataka o ličnosti, resorno ministarstvo je nadležno za inspekcijski nadzor u skladu sa Zakonom o informacionoj bezbednosti, dok Nacionalni CERT ima obavezu pružanja saveta i preporuka u slučaju incidenata - dodaju.

U fondaciji ističu da je njihovo nasumično "guglanje" otkrilo nepoštovanje standarda bezbednosti i zaštite podataka u javnom zdravstvenom sistemu, te da vanredno stanje zbog pandemije ne može da bude izgovor za loše obavljen posao, ali ni prepreka da se sprovede detaljna analiza usklađenosti sistema covid19 sa bezbednosnim standardima.