Hrvatski obrazovni sustav pogodio je jedan od najvećih sigurnosnih incidenata u povijesti, nakon što su u javnost procurili osobni podaci čak 560 tisuća učenika i nastavnika. O ovom nezapamćenom kibernetičkom propustu, njegovim uzrocima i potencijalnim opasnostima raspravljalo se u emisiji „U mreži Prvog“. Pomoćnica ravnatelja CARNET-a, Ana Smoljo, potvrdila je da objavljena baza podataka sadrži osjetljive informacije poput imena i prezimena, adresa elektroničke pošte, naziva škola te korisničkih uloga u sustavu.
Ipak, za korisnike postoji i jedna umirujuća vijest – trenutne analize pokazuju kako nisu kompromitirane korisničke zaporke niti sam sustav za autentikaciju, što znači da računi nisu izravno preoteti. CARNET je odmah po saznanju pokrenuo detaljnu tehničku i forenzičku analizu uz angažman vanjskih stručnjaka, a preliminarni rezultati upućuju na to da podaci nisu skinuti s njihovih servisa, već iz sustava neke treće strane. Zbog neovlaštene objave podataka podnesena je kaznena prijava protiv nepoznatog počinitelja, a slučaj je prijavljen i Agenciji za zaštitu osobnih podataka (AZOP).
Zakazali procesi, a ne tehnologija: Baza završila na Dark webu
Stručnjak za kibernetičku sigurnost Marko Gulan upozorava kako je riječ o iznimno ozbiljnom incidentu, prvenstveno zato što su žrtve u velikom broju maloljetne osobe. Istaknuo je kako je ključni problem u tome što je curenje otkriveno tek kada je baza već bila javno objavljena, što upućuje na to da su zakazali unutarnji procesi i procedure, a ne sama tehnologija. Činjenica da je baza završila na Dark webu – skrivenom dijelu interneta namijenjenom ilegalnim aktivnostima – dodatno komplicira situaciju.
Gulan objašnjava da treću stranu u ovom procesu mogu činiti vanjski dobavljači, poput tvrtki koje razvijaju specifične baze podataka ili upravljaju poddomenama unutar školskog sustava. Upravljanje tim vanjskim suradnicima od presudne je važnosti za sigurnost. Stručnjaci stoga pozivaju na oprez zbog mogućih „phishing“ napada u budućnosti, budući da će zlonamjerni akteri sada moći ciljano slati lažne i opasne e-mailove učenicima i nastavnicima koristeći njihove stvarne podatke.
Gubitak kontrole nad podacima i problem nekažnjavanja državnih institucija
Duje Prkut, izvršni direktor udruge Politiscope, naglasio je da svi obuhvaćeni ovim incidentom moraju biti svjesni bolne činjenice – kontrola nad njihovim osobnim podacima trajno je izgubljena. Jednom kada se ovakva baza javno objavi na internetu, ona postaje trajno dostupna trećim stranama. Iako je pohvalio CARNET-ovu brzu reakciju i pravovremeno izdavanje uputa za smanjenje rizika, Prkut je oštro kritizirao odnos tijela javne vlasti prema kibernetičkoj sigurnosti.
Iz Politiscopea upozoravaju na sustavan problem u Hrvatskoj: ministarstva, državne institucije te regionalne i lokalne jedinice ne plaćaju financijske kazne za povrede GDPR-a, zbog čega prečesto olako shvaćaju svoje zakonske obveze. To narušava princip odgovornosti jer bi upravo ključne državne institucije morale vlastitim primjerom pokazati najvišu razinu brige o podacima građana. Stručnjaci zaključuju kako mjesta panici nema jer digitalni identiteti (zaporke) nisu ugroženi, no pogođeni korisnici moraju podići razinu opreza pri komunikaciji putem e-pošte.