NAKON što je Večernji list jučer objavio da je u posjedu dokumenta o prijavi Sigurnosno obavještajnoj agenciji (SOA) zbog curenja 2.444.587 zapisa o vozilima 1.195.052 fizičke osobe, odnosno podataka poput imena, adrese, OIB-a, JMBG-a, datuma rođenja, registracije i drugih podataka o vozilima i njihovim policama osiguranja, danas je reagirao ministar unutarnjih poslova i potpredsjednik vlade Davor Božinović.

Plenkovićev ministar potvrdio je kako su u tijeku intenzivni izvidi, a vezano za najveće curenje podataka dosad. Isto tako, Božinović je danas otklonio mogućnost da su podaci eventualno iscurili iz njegova ministarstva. 

>> Ogromno curenje podataka o vlasnicima auta u Hrvatskoj. Javio se Božinović

Informatički stručnjak Lucijan Carić u izjavi za Index naglašava kako smo i dalje još uvijek u mraku te da nemamo dovoljno podataka tko bi mogao biti izvor curenja podataka. Logično se nameću dvije institucije: MUP i Centar za vozila Hrvatska. Đuro Lubura, stručnjak za sigurnost i sudski vještak za telekomunikacije, tvrdi kako su najveći interes od tih podataka imale osiguravajuće tvrtke. 

Duje Prkut, stručnjak za GDPR i izvršni direktor udruge Politiscope, u razgovoru za Index naglašava kako je ovo jedan u nizu sigurnosnih propusta te da je krajnje vrijeme da se takvi propusti počnu i strogo kažnjavati. Sva tri sugovornika slažu se kako je riječ o velikom propustu jer je netko jednostavno iz državne institucije mogao izaći s USB stickom sa svim podacima. No, krenimo redom. 

Plenkovićev ministar za sada pere ruke od odgovornosti

"Obje institucije koje se logično nameću kao mogući izvor curenja podataka, a to su Centar za vozila Hrvatske i MUP, odlučno su i uvjerljivo demantirale kako su one izvor incidenta", kaže informatički stručnjak Carić za Index te dodaje da je kod utvrđivanja uzroka curenja podataka bitno utvrditi raspolaže li mogući izvor zaista podacima u tom obujmu i strukturi kakva je iscurila.

Podsjetimo, ministar Božinović u ranijoj izjavi naglasio je kako ne možemo govoriti o klasičnom hakerskom napadu jer očito da to nije bio neovlašteni pristup bazama u virtualnom prostoru, već o nečemu drugom. 

"Pretpostavljamo da je to preneseno na određen medij, primjerice USB-stick, i zbog toga se to i nije u ovom trenutku raširilo i nije dostupno većem broju ljudi", ocijenio je danas Božinović. Carić smatra da se Božinović "nespretno" izrazio, no slaže se kako vrlo vjerojatno nije riječ o hakerima. 

Nije hakerski napad

"Iako je izjava ministra Božinovića pomalo nespretna, vjerojatno zato što nema potrebno iskustvo vezano uz informacijsku tehnologiju, slažem se kako se ne radi o hakerskom napadu, već o neovlaštenom iznošenju podataka na nekom od pogodnih medija za pohranu. Uostalom, isto se može zaključiti i iz izvornog članka u Večernjem listu", ističe Carić u razgovoru za Index. 

Ono što je bitno, ističe Carić, je da sada treba utvrditi koja od institucija koje raspolažu spomenutim podacima zaista ima te podatke u tako velikom opsegu i tako detaljnoj strukturi da to nadmašuje podatke koje imaju MUP i Centar za vozila Hrvatska. 

"I to je logičan korak u daljnjem istraživanju, utvrditi koje sve institucije mogu biti koncentratori podataka ili posrednici u baratanju podacima, kako bi se pronašao izvor ovog incidenta koji je nadmašio sve do sada poznate sigurnosne incidente na području Hrvatske", ističe na kraju Carić.

Interes osiguravateljskih krugova je velik 

Sudski vještak za telekomunikacije i stručnjak za sigurnost Đuro Lubura upozorava kako postoji i treća opcija, odnosno i treća institucija iz koje su mogli procuriti podaci. 

"Prema informacijama koje imam, podaci koji su procurili u javnost sadrže bazu podataka o registriranim vlasnicima vozila koju vodi Ministarstvo unutarnjih poslova, ali i određene podatke o osiguranjima koje nemaju ni MUP ni Centar za vozila Hrvatske", ističe Lubura u razgovoru za Index.

Kako pojašnjava ovaj stručnjak, Centar za vozila uopće nema cijelu bazu registriranih vozila, već preko posebnog sučelja pristupa bazi MUP-a za svaki pojedinačni upit. 

"Osim MUP-a i CVH, Hrvatski ured za osiguranje ima zakonsku ovlast dobivati podatke o vlasnicima vozila i, koliko znam, redovito ih od MUP-a fizički preuzimaju na nosaču elektroničkih podataka. Stoga sam sklon vjerovati kako su podaci procurili iz osiguravateljskih krugova koji imaju i najveći interes za tim podacima", zaključuje Lubura. 

Tek nakon istrage građani mogu zatražiti informacije jesu li zahvaćeni curenjem podataka 

Duje Prkut u razgovoru za Index naglašava kako za sada nema sve potrebne informacije o ovom slučaju pa treba biti oprezan sa zaključcima. No iz dostupnih informacija, kaže Prkut, jasno je da se radi o povredi podataka koja obuhvaća iznimno velik broj ispitanika i vrlo širok opseg osobnih podataka, zbog čega postoje ozbiljni rizici za prava, slobode i interese svih ispitanika zahvaćenih breachom. 

"Ovo je još jedan veliki slučaj curenja osobnih podataka o kojem prve informacije dobivamo iz medija, umjesto od samog voditelja obrade, kako je predviđeno GDPR-om. Očekujemo brzu reakciju AZOP-a koji žurno treba utvrditi okolnosti slučaja, za početak - tko je odgovorni voditelj obrade podataka i kako se uopće dogodio ovaj sigurnosni incident", ističe Prkut dodajući da će tek nakon objave ovih informacija građani moći zatražiti informaciju jesu li obuhvaćeni breachom. 

"Nismo sigurni je li za ovaj breach odgovorno tijelo javne vlasti ili neka privatna tvrtka. Neovisno o tome, još jednom ističemo da RH mora žurno uvesti upravne novčane sankcije za tijela javne vlasti jer se u javnom sektoru umjesto kulture privatnosti razvija nekultura", naglašava u razgovoru Prkut. 

Treba početi ozbiljno kažnjavati

Naime, ako se slučajno ispostavi kako je netko kopirao bazu na USB stick i s time se "išetao" iz javne institucije, ili istraga AZOP-a pokaže da je tako nešto moguće, to možemo uzeti kao dokaz da nitko u toj instituciji nije jedne sekunde potrošio na organizacijske i tehničke mjere zaštite podataka. 

"Ovo se neće promijeniti dok ne počnemo i tijela javne vlasti financijski kažnjavati za ozbiljne GDPR prekršaje i propuste. Trebamo sačekati još relevantnih informacija da bismo znali radi li se tek o još jednom u nizu propusta od strane tijela javne vlasti", ističe na kraju Prkut.