Korona virus i onlajn bezbednost: Kako su korisničko ime i lozinka za informacioni sistem 'Covid-19' završili na internetu
Korisničko ime i lozinka za pristup informacionom sistemu Covid-19 bili su osam dana javno dostupni na sajtu jedne zdravstvene ustanove, saopštila je nevladina organizacija za unapređenje ljudskih prava i internet sloboda Fondacija Šer.
Informacioni sistem Covid-19 osnovala je Vlada Srbije kako bi vršila epidemiološki nadzor za vreme epidemije.
Zdravstvene ustanove, instituti i zavodi za javna zdravlje, laboratorije koje vrše testiranje i drugi nadležni organi u informacioni sistem ubacuju podatke o izlečenim, preminulim, testiranim i osobama kojima je izrečena mera samoizolacije, piše u rešenju Vlade.
Ovim podacima, preko sajta jedne zdravstvene ustanove, a uz pomoć korisničkog imena i lozinke koji su na njemu bili dostupni, mogao je da pristupi svako, tvrde u Fondaciji Šer.
„Iako stranica nije bila vidljiva na sajtu, do nje je moglo da se dođe internet pretragom", piše u saopštenju.
„Poverenik će sprovesti postupak nadzora prema zdravstvenoj ustanovi, prema Republičkom fondu za zdravstveno osiguranje (RFZO) i prema Institutu za javno zdravlje Batut", kaže za BBC na srpskom Zvonko Petrović iz kancelarije Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
Petrović dodaje da je RFZO, koji je izdaje šifre za pristup sistemu, onu koja je bila javno dostupna ukinuo.
Ministarstvo trgovine, turizma i telekomunikacija sprovešće vanrednu inspekciju kako bi se utvrdilo kako je do propusta došlo, kaže za BBC na srpskom Milan Vojvodić, šef odseka za informacionu bezbednost i elektronsko poslovanje u Ministarstvu.
Danilo Krivokapić iz Fondacije Šer kaže da su istraživači ove organizacije do linka došli „sasvim slučajno".
„Mi smo radili istraživanje koje je mogao da radi svaki građanin koji ima osnovna znanja korišćenja Gugla. Tražili smo uputstva i procedure o tome kako se obrađuju podaci u ovom informacionom sistemu", kaže Krivokapić za BBC na srpskom.
Manje od sat vremena nakon što su slučaj prijavili nadležnima, stranica sa korisničkim imenom i lozinkom je uklonjena sa interneta.
„Svesni rizika od zloupotrebe pristupa osetljivim podacima građana, odlučili smo da javnost obavestimo o incidentu tek pošto se uverimo da su nadležni onemogućili neovlašćen pristup sistemu", saopštio je Šer.
Koji podaci su bili dostupni na internetu i koliko dugo?
Krivokapić kaže da su, osim korisničkog imena i lozinke, na stranici bila dostupna i korisnička uputstva kako pristupiti sistemu.
„Izučili smo ta uputstva i na osnovu toga napravili grafički prikaz o tome šta se sve od podataka nalazilo u sistemu i ko sve tim podacima ima pristup", kaže.
Na osnovu prikaza koji je Fondacija Šer napravila, sistem, između ostalog, sadrži i lične i zdravstvene podatke, detalje kliničkih ispitivanja, informacije o lečenju.
Podaci bi trebalo da su dostupni za korišćenje nadležnima u Ministarstvu zdravlja, Kancelariji za informacione tehnologije Vlade Srbije, Ministarstvu unutrašnjih poslova, Vojsci, Institutu za transfuziju krvi.
- Poštuju li se u Srbiji digitalna prava građana
- Slučaj Tviter naloga koji su podržavali predsednika Vučića
- Borba sa lažnim vestima o korona virusu u Srbiji
„Zdravstvene ustanove unose podatke, a drugi nivoi državnih organa koristi te podatke da bi mogli da sprovode svoje nadležnosti", kaže Krivokapić.
Advokat i bivši Poverenik za zaštitu podataka o ličnosti Rodoljub Šabić kaže za BBC na srpskom da se radi o naročito osetljivim podacima.
„Reč je o bazi koja čuva posebne podatke o zdravstvenom stanju koji se, prema zakonima ove zemlje, tretiraju kao naročito osetljivi i po logici stvari morali bi uživati posebnu zaštitu", kaže Šabić.
Fondacija Šer je do lozinke došla u petak, 17. marta - kažu da je link postao dostupan na internetu osam dana ranije.
Šta kažu nadležni?
Fondacija Šer slučaj je 17. marta prijavila Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, Nacionalnom centaru za prevenciju bezbednosnih rizika u informaciono-komunikacionim sistemima (CERT) i Ministarstvu trgovine, turizma i telekomunikacija.
„Manje od sat vremena nakon naše prijave, obavešteni smo da su preduzeti inicijalni koraci kao odgovor na incident, pa smo se i sami uverili da stranica sa korisničkim imenom i lozinkom više nije javno dostupna", saopštio je Šer.
„Poverenik je odmah nakon kontakta sa Šef fondacijom, u petak, 17. aprila, stupio u kontakt sa zdravstvenom ustanovom", kaže Petrović.
Dodaje da je Poverenik licu koja se bavi zaštitom podata u zdravstvenoj ustanovi tada izdao instrukcije o daljem postupanju sa podacima.
Milan Vojvodić iz Ministarstva trgovine, turizma i telekomunikacija kaže da će vanredna inspekcija da utvrdi da li je u periodu od osam dana bio omogućen neovlašćen pristup podacima u sistemu.
Dodaje da, za sada, nije poznato da li je i koliki broj ljudi neovlašćeno pristupio podacima na sistemu.
Kancelarija za informacione tehnologije i elektronsku upravu uputila je Institutu „Batut" preporuku, kažu za BBC na srpskom iz ove kancelarije.
Preporučili su Batutu da obezbedi mehanizam autentikacije korisnika sistema na osnovu šeme visokog nivoa pouzdanosti, odnosno korišćenjem kvalifikovanog elektronskog sertifikata.
„Korišćenje sertifikata treba da obezbedi visoko poverenje u identitet kojim se lice predstavlja, onemogući zloupotrebe i obezbedila prevencija od nastanka incidenata" , kažu.
Kancelarija za informacione tehnologije i elektronsku upravu Vlade Srbije navodi se kao tehnička podrška informacionog sistema Covid-19, koji je uspostavio i vodi Institut za javno zdravlje „Batut" uz pomoć RFZO-a, piše u Rešenju Vlade o uspostavljanju sistema.
U fondaciji Šer kažu da očekuju dalje reakcije nadležnih organa.
„Resorno ministarstvo je nadležno za inspekcijski nadzor u skladu sa Zakonom o informacionoj bezbednosti, dok Nacionalni CERT ima obavezu pružanja saveta i preporuka u slučaju incidenata", navode.
Šabić kaže da pitanje odgovornosti treba da postavi i Vlada „koja je napravila sistem COVID-19".
„U krajnjoj liniji bi trebalo da reaguje i javni tužilac, jer postoje okolnosti koje izazivaju sumnju na nesavestan rad u službi", dodaje Šabić.
Kako je došlo do propusta?
Ne zna se tačno.
Fondacija Šer nije objavila informaciju na sajtu koje zdravstvene ustanove su podaci bili dostupni.
Obaveza zdravstvenih ustanova je da imenuju lice za zaštitu podataka o ličnosti, kažu u Šeru i dodaju da se, zbog ograničenog broja kadrova, na ove pozicije često imenuju nedovoljno obučena lica.
„Sasvim je moguće da je neki zdravstveni radnik ili radnica bio ovlašćeno lice. Ta osoba je samo radila svoj posao i brinula o pacijentima i nije bila svesna svega ovoga što se dešava", kaže Krivokapić.
Petrović objašnjava da je kancelarija Poverenika držala veliki broj obuka licima zaduženim za zaštitu podataka o ličnosti.
„Međutim, postavlja se pitanje kvalifikovanosti osoba određenih za rad na podacima o ličnosti za obavljanje tih poslova", kaže.
Gde je nastao problem?
„Zakazalo je zbog nerazumevanja čitave materije, ali i zbog izostanka odgovornosti", kaže Petrović.
On podseća na problem sa zdravstvenim kartonima građana Srbije koji je bio aktuelan pre četiri godine.
„Bilo koji korisnik interneta je mogao da uđe u bilo čiji zdravstveni karton. Poverenik je tu sproveo nadzor, obavestio javnost, međutim, izostala je bilo kakva reakcija", objašnjava.
- Čiji je „Izabrani doktor“
- Greška 404: Povrede digitalnih prava u Srbiji
- Postavljanje video nadzora u Beogradu - „poverljivo”
Krivokapić smatra da je u ovom slučaju, sistemska odgovornost važnija od lične odgovornosti.
„Mora da se utvrdi lična odgovornost, ali nekako mi se čini da je ovo, pre svega, posledica sistemskog odnosa naše države prema zaštiti podataka o ličnosti", kaže.
On dodaje da pitanja kršenja prava na privatnost i standarda informacione bezbednosti „poslednja dolaze na red".
„Nismo kao država i društvo zauzeli ozbiljan odnos prema ovim pitanjima", dodaje.
Šabić propust opisuje rečju "neobjašnjivo".
„Nije reč o tome da je došlo do nekog hakerskog napada koji je probio nekakvu zaštitu, nego su podaci bili otvoreni, praktično na dlanu, bez ikakve zaštite", kaže.
On podseća na slučajeve curenja ličnih podataka građana Srbije sa sajta Agencije za privatizaciju, kao i na slučaj sa aplikacijom Izabrani doktor.
„Najgore je što izostaje odgovornost. Kada izostaje odgovornost, onda je logično da se propusti poput ovog dešavaju", kaže Šabić.
Krivokapić se nada do ličnih podataka sa informacionog sistema Covid-19 nije došao veliki broj ljudi.
„Iskreno, nadam da niko osim nas nije došao do ove stranice. Ali to je pitanje za nadležne organe. Pogotovo za one koji su razvijali sistem, da sada urade proveru da li je bilo neovlašćenih pristupa", kaže Krivokapić.
Pratite nas na Fejsbuku i Tweets by bbcnasrpskom . Ako imate predlog teme za nas, javite se na [email protected]
7. 11. 2024.
Pametni, mladi, lepi...
Bravo!
Bata Raka iz Niš Čitalac