Osjećaj otvaranja USB memory sticka s imenima, adresama, OIB-ovima, JMBG-ovima, datumima rođenja, registracijama i ostalim podacima o vozilima te policama osiguranja svih hrvatskih građana čije su registracije prijavljene u Ministarstvu unutarnjih poslova, uključujući štićene osobe, članove Vlade, Hrvatskog sabora i ambasada, najbliže se može opisati onome što je doživjela Angela Bennett (glumi je Sandra Bullock) u filmu "The Net" ("Mreža") iz 1995. kad otvori disk s pristupom tajnim podacima vladinih internetskih stranica.
Stick, u čiji smo posjed došli u paketu s prijavom važnog incidenta Sigurnosno-obavještajnoj agenciji (SOA) kao nadležnom tijelu, sadrži točno 2,444.587 zapisa o vozilima 1,195.052 fizičke osobe. U predstavci na devet stranica kojom je SOA-i anonimno prijavljen kibernetički incident detaljno su opisani kompromitirani podaci, napravljena je analiza dokaza te kaznenopravni i sigurnosni aspekti događaja, kao i propisane sankcije.
SOA proslijedila MUP-u i AZOP-u
Pojašnjenja smo zatražili od SOA-e, MUP-a – čiji su podaci posrijedi i Centra za vozila Hrvatske (CVH) koji većinu tih podataka čuva. Iako je prijava datirana 14. svibnja, u SOA-i su ustvrdili da je nisu ranije zaprimili te da im je dostavljena tek u prilogu našeg upita.
POVEZANI ČLANCI:
– Nesporno je da se činjenice opisane u predstavci referiraju na nezakonita postupanja kriminalne naravi i moguću tešku povredu osobnih podataka te je takav događaj potrebno prijaviti nadležnim tijelima kaznenog progona i tijelu nadležnom za zaštitu osobnih podataka. Predstavku i vaše podatke proslijedit ćemo nadležnim tijelima, odnosno MUP-u i AZOP-u, radi daljnjeg nadležnog postupanja – odgovorili su nam iz SOA-e u rekordnom roku.
S obzirom na to da je SOA kao nadležnog supervizora apostrofirala AZOP, predstavku s upitom o tome je li im poznato da se dogodio incident dosad neviđenih razmjera, šaljemo i njima, nakon čega nas zovu i mole da im predamo dokazni materijal – USB stick s kompromitiranim podacima. Osobno ga predajem ovlaštenim osobama iz AZOP-a, potpisujemo zapisnik o tome i AZOP u roku od pola sata kreće u nadzor u CVH. Mole nas da pričekamo s pitanjima CVH-u sljedećih nekoliko sati dok traje nadzor. Situacija neopisivo podsjeća na film otprije skoro 30 godina u kojem programerka dolazi do podataka koje nije tražila, i to ne svojom voljom, a onda gubi identitet, slobodu, a zamalo i život.
Munjevita reakcija
O razmjerima incidenta govori brzina reakcije svih uključenih: SOA-e, AZOP-a, CVH-a... svih osim MUP-a kojemu smo poslali upit o curenju njihovih podataka netom nakon što nas je SOA obavijestila da je sve proslijedila i njima. A upravo na MUP prst upire i CVH – iscurilo je, tvrde decidirano – njima. No vratimo se na nadležnosti: prijavitelj kvalificira događaj kao važan incident, s obzirom na to da utječe ili bi mogao utjecati na fizičke ili pravne osobe uzrokovanjem znatne materijalne ili nematerijalne štete te su posrijedi računalne datoteke kojima upravlja pravna osoba s javnim ovlastima – CVH.
FOTOGALERIJA Privođenje ravnateljice bolnice, počasnog konzula i sina petrinjskog gradonačelnika
U prijavi ističe da se CVH, u smislu Zakona o kibernetičkoj sigurnosti, svrstava u kategoriju ključnih subjekata, a da je prema članku 61. tog zakona središnje državno tijelo za kibernetičku sigurnost SOA. Navodi da su počinitelji na neovlašten način pristupali računalnom sustavu i cjelokupnim podacima sadržanima u Evidenciji o registriranim vozilima, izrađivali neovlaštene kopije baza podataka Evidencije i te kopije učinile dostupnima trećim osobama, kao i da se to dogodilo najmanje triput od veljače 2020. do veljače 2022. godine. No CVH opovrgava da su oni voditelj obrade ovih osobnih podataka i upućuje da, sukladno čl. 296. st. 1. Zakona o sigurnosti prometa na cestama, evidenciju o registriranim vozilima vodi MUP.
– Nijedan zaposlenik stanice za tehnički pregled vozila koji radi na poslovima registracije vozila nema mogućnost pristupa i preuzimanja cjelokupne baze ili masovnog prikupljanja podataka o registriranim vozilima, na način kako navodite u vašem upitu. Iz podataka koje navodite da su sadržani u predstavci koja vam je dostavljena, evidentno je da pojedine od tih podataka CVH ne posjeduje i ne obrađuje, što također upućuje na činjenicu da se ne radi o podacima iz naših evidencija – pojašnjava Tomislav Škreblin, pomoćnik Uprave za tehničke poslove u CVH-u te inzistira na tome da ih se ne dovodi u kontekst s bilo kakvim nezakonitim postupanjima s podacima.
Ovo je još gori scenarij od toga da je procurilo iz CVH-a: mogućnost da je netko ukrao MUP-u podatke o svim vozilima i njihovim vlasnicima te njima trgovao zastrašujuća je. Do objave teksta neodgovorena su ostala pitanja koja smo poslali MUP-u o tome jesu li pokrenuli istražne radnje protiv nepoznatih počinitelja koji su neovlašteno pristupali bazi podataka i surađuju li sa SOA-om na tome. Neobično je da se SOA izmiče iz priče, s obzirom na to da je Zakonom o kibernetičkoj sigurnosti u hrvatsko zakonodavstvo preuzeta NIS2 Direktiva o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, a ona propisuje da je središnje državno tijelo za kibernetičku sigurnost upravo SOA.
POVEZANI ČLANCI:
– U svrhu utvrđivanja koji će subjekti biti u obvezi provoditi zahtjeve kibernetičke sigurnosti, uskladiti se s obvezama propisanim ZKS-om, a u konačnici utvrđivanja i koje je nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti iz Priloga III. ZKS-a nadležno za provođenje stručnog nadzora pojedinog ključnog, odnosno važnog subjekta, provodit će se postupci kategorizacije subjekata. Uvažavajući činjenicu da je NIS1 direktiva o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije i dalje na snazi, i to do 17. listopada 2024., te da je pojedina provedbena pitanja vezana za provođenje postupaka kategorizacije subjekata iz ZKS-a potrebno dodatno urediti uredbom Vlade RH, za čije je donošenje predviđen rok od devet mjeseci od stupanja na snagu ZKS-a, postupci kategorizacije subjekata uslijedit će tek nakon nastupa opisanih okolnosti – preciziraju u SOA-i.
Kategorizacije subjekata rezultirat će, kaže, uspostavom popisa ključnih i važnih subjekata, a svi subjekti s tih popisa zaprimit će obavijest nadležnog tijela o utvrđenom statusu i obvezama koje za njega po toj osnovi proizlaze. – U ovom trenutku nijedan subjekt, pa tako ni CVH, ne podliježe obvezama iz ZKS-a, budući da postupci kategorizacije subjekata još nisu provedeni – zaključuju u Agenciji.
Podaci prodani osiguranjima?
Dotad je, kažu, supervizor AZOP. Malo je nejasno i kako SOA, ako nije dobila prijavu prije nego što smo joj je mi proslijedili, a negira i da je primila USB stick, može "na neviđeno" biti uvjerena da se činjenice opisane u prijavi referiraju na nezakonita postupanja kriminalne naravi i moguću tešku povredu osobnih podataka, što je nužno prijaviti nadležnim tijelima kaznenog progona i AZOP-u koji također još nije stigao odgovoriti na pitanja o nadzoru koji su pokrenuli, kao ni kane li obavijestiti javnost o incidentu, što su dužni po zakonu. Otvorena su i pitanja tko je ukrao podatke i u koju svrhu. Ako ih je prodao, kome i za koji iznos. Spominje se i borba osiguravatelja za tržište autoosiguranja, za što su im dragocjeni podaci o isteku polica ugovorenih kod konkurencije. No posljedice zlouporabe tih podataka mogle bi biti strašne. Na potezu su odgovorni.
FOTOGALERIJA Ovo su uhićeni dileri, a među njima i bjelovarski poduzetnik koji su ‘pali‘ nakon velike policijske operacije
Kome je ovo iscurilo i koliko će to platiti?