Nikad brže nakon prijave kršenja zaštite osobnih podataka, ako se tako uopće može nazvati najveći sigurnosni incident ikad, Agencija za zaštitu osobnih podataka nije provela nadzor i utvrdila "voditelja obrade", kao što je to učinila u slučaju kompromitiranja podataka za 1,195.052 fizičke osobe i njihova registrirana vozila, zapravo – sva registrirana vozila fizičkih osoba u Hrvatskoj – njih 2,444.587. U roku od pet tjedana AZOP je obznanio da je utvrdio podudaranje strukture podataka koja im je dostavljena s evidencijom kojom raspolaže Hrvatski ured za osiguranje (HUO) te da s drugim nadležnim tijelima provode daljnji nadzor kako bi utvrdili okolnosti iznošenja tih podataka iz baze HUO-a. Iz MUP-a su već ranije objavili da provode kriminalističko istraživanje.
Više sumnjivaca
"Za utjehu" građana, AZOP je istaknuo kako po trenutačno raspoloživim informacijama osobni podaci nisu dostupni široj javnosti, već su dostavljeni nadležnim tijelima koja provode postupanja iz svoje nadležnosti. Široj javnosti nisu, no Večernji list definitivno jest "javnost", a upravo je u poštanski sandučić autorice teksta ubačen stick s podacima, zajedno s anonimnom prijavom incidenta podnesenom Sigurnosno obavještajnoj agenciji. No iako SOA-u NIS2 direktiva o kibernetičkoj sigurnosti, implementirana u istoimeni zakon, imenuje kao nadležno državno tijelo, njezina nadležnost nastupa tek 17. listopada 2024., do kad je Vlada dužna Uredbom kategorizirati subjekte ZKS-a. Dotad je nadležan AZOP kojemu smo, kao i MUP-u, po naputku SOA-e proslijedili stick i učinili ga nedostupnim široj javnosti. Inače bi bio. S obzirom na ozbiljnost situacije, jer su kompromitirana imena, OIB-i, adrese i podaci o osiguranju rekordnog broja građana, uključujući štićene osobe, visokorangirane dužnosnike, ministre… nakon našeg upita i dostave podataka, uključilo se i Ministarstvo unutarnjih poslova te je resorni ministar nakon nekoliko dana ustvrdio da takvim podacima ne raspolažu ni MUP ni Centar za vozila Hrvatske, nego upravo HUO. Oni pak potvrđuju da doista prikupljaju i obrađuju podatke koji su predmet nadzora i istrage AZOP-a, no opovrgavaju svoju odgovornost. Ističu da je istraga utvrdila samo podudarnost podataka s podacima iz njihovih baza, ali ne i okolnosti iznošenja tih informacija iz baze.
– Temeljem internih pregleda i istraga koje su proveli neovisni stručnjaci, HUO smatra da nije odgovoran za pojavu predmetnih podataka kod osoba koje nisu ovlaštene te da ih, osim HUO-a, imaju i druga tijela. HUO je obvezan surađivati s nadležnim tijelima, što uključuje i postupanje po službenim zahtjevima za dostavom podataka. Naime, temeljem službenih zahtjeva i naloga, HUO je predmetne podatke dostavljao drugim nadležnim tijelima, primjerice radi povećanja razine sigurnosti u prometu na cestama – pojašnjavaju u svom očitovanju.
VEZANI ČLANCI:
Uistinu, nisu jedini koji raspolažu bazama, jasno, ne računajući one koji ih imaju u posjedu jer su ih na crnom tržištu – kupili. Posrijedi je najmanje jedan osiguravatelj, dokaže li se i druga anonimna prijava, koja u kontekst zloporabe i trgovine osobnim podacima stavlja tadašnjeg zaposlenika Generalli osiguranja Sandra Majcena, odnosno dokaže li se da su sigurnosne kopije baza podataka kopirane iz sustava pohrane tvrdog diska njegova prijenosnog računala.
– Očekujemo da AZOP, kroz daljnje nadzorne aktivnosti, utvrdi kako su podaci došli do neovlaštenih osoba – poručio je HUO, a to je uistinu i bit cijelog incidenta. Nadležni bi morali utvrditi kako su se kapilarno "kretali" ti osobni podaci – kao kad se pri PET CT-u u tijelo ubrizga kontrast pa se širi krvnim žilama i pomaže utvrditi gdje "svijetli" – tamo su maligne stanice. A bolest je u sustavu prisutna, i to kronično te metastatski raširena, o čemu svjedoče telefonski pozivi osiguravatelja s kojima nikad nisu bili u poslovnom odnosu vlasnicima vozila netom prije isteka osiguranja uz ponude da prijeđu k njima. Tu dolazimo do još jednog aspekte priče. Pozivi. No u bazi podataka koja nam je dostavljena u posjed – nema brojeva telefona. Otkud oni?
Dobra namjera prijavitelja
Trguje se očito i bazama telefonskih brojeva, baze se međusobno nadograđuju i kombiniraju te se krug potencijalnih sumnjivaca širi. Najgore od svega je što se ta praksa uzima "zdravo za gotovo" i svi godinama konstatiraju da se to događa, bez utvrđivanja nezakonitosti, odgovornosti i odgovornih i izricanja kazni. Hoće li se, konačno, to zaustaviti nakon pomoći prijavitelja, zapravo anonimnog dobročinitelja kakvim ga smatra i visoki izvor iz MUP-a s kojim smo razgovarali i koji je istaknuo da vide kako je dobra namjera u pozadini prijave te bi ovo moglo ispasti dobro ako se pomogne da to više netko ne radi. Jer ovo je prvi put da se tako nešto prijavljuje uz podastiranje dokaza. A ti dokazi idu u brojnim smjerovima te bi nastavak istrage mogao donijeti i brojna iznenađenja. Utvrđivanje podudarnosti baze s HUO-vom tek je vrh ledene sante.
VIDEO/FOTO Etna ponovno erumpirala. Pogledajte kakav je spektakl ovaj put priredila
Otvori KEKS Pay
Regulator ne tješi već obmanjuje javnost. No bitno da se u Hr. svako malo osnuje neki novi registar kako bi privatni podaci građana bili što dostupnija onima koji ju žele unovčiti ili iskoristiti na bilo koji drugi način.