Pandemija jedne lozinke: Kako je šifra za Covid-19 završila na internetu?
Reč je o softveru koji služi za analizu i čuvanje podataka "o osobama koje se prate u cilju kontrole i suzbijanja epidemije"
Korisničko ime i lozinka za pristup Informacionom sistemu Covid – 19 bili su osam dana javno dostupni na sajtu jedne zdravstvene ustanove. To je period dovoljan da se ova stranica indeksira na Guglu, i mada nije bila vidljiva na sajtu, do nje je moglo da se dođe internet pretragom. Do ovog otkrića se došlo 17. aprila i odmah obavestili nadležne, piše sharefoundation.info.
Informacioni sistem Covid – 19 je centralizovan softver za unos, analizu i čuvanje podataka o svim osobama koje se prate u cilju kontrole i suzbijanja pandemije u Srbiji.
Kako se došlo do ovih podataka?
Od proglašenja vanrednog stanja, Vlada Srbije je preduzela brojne mere u borbi protiv pandemije, što podrazumeva prikupljanje i obradu podataka o ličnosti u novim okolnostima. Pretragom ključnih reči na Guglu, sasvim slučajno, došlo se do stranice na kojoj su se nalazili pristupni podaci za Informacioni sistem Covid-19. Podaci su bili postavljeni 9. aprila. Pored toga, došlo se i do upustva za korišćenje i stranice za centralizovanu prijavu na sistem.
Koji podaci su bili izloženi riziku?
Prema Zaključku vlade o uspostavljanju Informacionog sistema Covid-19, čitav niz nadležnih zdravstvenih institucija obavezan je da u ovom programu vodi podatke o ljudima koji su izlečeni, preminuli i testirani (bilo da su pozitivni ili negativni), kao i o ljudima na lečenju, onima kojima je izrečena mera samoizolacije ili smeštaja u privremenim bolnicama, sa podacima o njihovoj lokaciji. U sistemu se takođe nalaze podaci o osobama koje su mogući nosioci virusa zbog kontakta sa obolelima. Ustanove su obavezne da podatke ažuriraju na dnevnom nivou, a izveštaj koji se čita svaki dan u 15č se bazira na podacima iz ovog sistema.
Dok su pokušavali da dođu do dokumenata koji razjašnjavaju kako se podaci čuvaju, ni slutili nisu da će doći do pristupne šifre i mogućnosti ulaska u sistem, kao i svako ko je možda došao do ovih stranica, piše sharefoundation.info. Odmah je bilo jasno da su najosetljiviji podaci naših sugrađana ugroženi, a da se integritet sistema od ključnog značaja za borbu protiv pandemije ne može garantovati.
Slučaj je utom prijavljen nadležnim organima: Poverniku za informacije od javnog značaja i zaštitu podataka o ličnosti, Nacionalnom CERT-u i Ministarstvu trgovine, turizma i telekomunikacija.
Kako su nadležni reagovali?
Manje od sat vremena nakon prijave, stiglo je obaveštenje da su preduzeti inicijalni koraci kao odgovor na incident, pa je bilo moguće i uveriti se da stranica sa korisničkim imenom i lozinkom više nije javno dostupna.
Poverenik ima ovlašćenja da pokrene nadzor u skladu sa Zakonom o zaštiti podataka o ličnosti, resorno ministarstvo je nadležno za inspekcijski nadzor u skladu sa Zakonom o informacionoj bezbednosti, dok Nacionalni CERT ima obavezu pružanja saveta i preporuka u slučaju incidenata, podseća sharefoundation.info.
Ko je kriv?
Svesni pritiska koji trpe medicinske službe u jeku borbe protiv pandemije, smatra se najcelishodnijim ne objavljivati informacije o ustanovi u kojoj se incident desio. S druge strane, nesumnjivo je reč o incidentu čija težina zahteva utvrđivanje odgovornosti, opominje sajt.
Domaći pravni okvir predviđa razne mehanizme kako bi se ovakve situacije predupredile, ali su prilike na terenu često daleko od propisanih standarda. Iako dolaze u dodir sa izuzetno osetljivim podacima, zdravstveni radnici najčešće nisu u potpunosti upoznati sa svim rizicima, posebno u eri digitalizacije. Obaveza zdravstvenih ustanova je da imenuju lice za zaštitu podataka o ličnosti, ali se usled ograničenih resursa na ove pozicije često imenuju nedovoljno obučene osobe, čiji je primarni posao često u sasvim drugom domenu. U ovom slučaju je lice za zaštitu podataka mogao biti i neko ko se svakodnevno brine o osobama zaraženim koronom.
Budući da zaštita podataka danas zahteva i učešće IT stručnjaka, to za budžete ustanova javnog zdravstva predstavlja dodatno opterećenje. Ponekad to znači da isti ljudi brinu o svim tehničkim pitanjima u ustanovi, dok su daleko slabije plaćeni od kolega u privatnom sektoru, bez mogućnosti usavršavanja u oblasti informacione bezbednosti.
Kako je trebalo postupiti?
Nesumnjivo je da je reč o IKT sistemu od posebnog značaja u kome se obrađuju posebne kategorije podataka o ličnosti, što znači da je prilikom njegovog razvoja i implementacije trebalo preduzeti sve mere propisane Zakonom o informacionoj bezbednosti i Zakonom o zaštiti podataka o ličnosti.
Trebalo je, tvrdi sharefoundation.info da svaki korisnik sistema ima svoj nalog za pristup, zatim da svaki korisnik sistema ima ovlašćenja za obradu samo onih podataka koji su neophodni za njegov rad, potom da se šifre za pristup se ne objavljuju putem javne mreže, da postoji standard o složenosti šifre i ograničen je broj unosa pogrešne šifre.
(Telegraf.rs)