Корона вирус и онлајн безбедност: Како су корисничко име и лозинка за информациони систем 'Covid-19' завршили на интернету

Корисничко име и лозинка за приступ информационом систему Covid-19 били су осам дана јавно доступни на сајту једне здравствене установе, саопштила је невладина организација за унапређење људских права и интернет слобода Фондација Шер.

Информациони систем Covid-19 основала је Влада Србије како би вршила епидемиолошки надзор за време епидемије.

Здравствене установе, институти и заводи за јавна здравље, лабораторије које врше тестирање и други надлежни органи у информациони систем убацују податке о излеченим, преминулим, тестираним и особама којима је изречена мера самоизолације, пише у решењу Владе.

Овим подацима, преко сајта једне здравствене установе, а уз помоћ корисничког имена и лозинке који су на њему били доступни, могао је да приступи свако, тврде у Фондацији Шер.

„Иако страница није била видљива на сајту, до ње је могло да се дође интернет претрагом", пише у саопштењу.

„Повереник ће спровести поступак надзора према здравственој установи, према Републичком фонду за здравствено осигурање (РФЗО) и према Институту за јавно здравље Батут", каже за ББЦ на српском Звонко Петровић из канцеларије Повереника за информације од јавног значаја и заштиту података о личности.

Петровић додаје да је РФЗО, који је издаје шифре за приступ систему, ону која је била јавно доступна укинуо.

Министарство трговине, туризма и телекомуникација спровешће ванредну инспекцију како би се утврдило како је до пропуста дошло, каже за ББЦ на српском Милан Војводић, шеф одсека за информациону безбедност и електронско пословање у Министарству.

Данило Кривокапић из Фондације Шер каже да су истраживачи ове организације до линка дошли „сасвим случајно".

„Ми смо радили истраживање које је могао да ради сваки грађанин који има основна знања коришћења Гугла. Тражили смо упутства и процедуре о томе како се обрађују подаци у овом информационом систему", каже Кривокапић за ББЦ на српском.

Мање од сат времена након што су случај пријавили надлежнима, страница са корисничким именом и лозинком је уклоњена са интернета.

„Свесни ризика од злоупотребе приступа осетљивим подацима грађана, одлучили смо да јавност обавестимо о инциденту тек пошто се уверимо да су надлежни онемогућили неовлашћен приступ систему", саопштио је Шер.

Који подаци су били доступни на интернету и колико дуго?

Кривокапић каже да су, осим корисничког имена и лозинке, на страници била доступна и корисничка упутства како приступити систему.

„Изучили смо та упутства и на основу тога направили графички приказ о томе шта се све од података налазило у систему и ко све тим подацима има приступ", каже.

На основу приказа који је Фондација Шер направила, систем, између осталог, садржи и личне и здравствене податке, детаље клиничких испитивања, информације о лечењу.

Подаци би требало да су доступни за коришћење надлежнима у Министарству здравља, Канцеларији за информационе технологије Владе Србије, Министарству унутрашњих послова, Војсци, Институту за трансфузију крви.

„Здравствене установе уносе податке, а други нивои државних органа користи те податке да би могли да спроводе своје надлежности", каже Кривокапић.

Адвокат и бивши Повереник за заштиту података о личности Родољуб Шабић каже за ББЦ на српском да се ради о нарочито осетљивим подацима.

„Реч је о бази која чува посебне податке о здравственом стању који се, према законима ове земље, третирају као нарочито осетљиви и по логици ствари морали би уживати посебну заштиту", каже Шабић.

Фондација Шер је до лозинке дошла у петак, 17. марта - кажу да је линк постао доступан на интернету осам дана раније.

Шта кажу надлежни?

Фондација Шер случај је 17. марта пријавила Поверенику за информације од јавног значаја и заштиту података о личности, Националном центару за превенцију безбедносних ризика у информационо-комуникационим системима (ЦЕРТ) и Министарству трговине, туризма и телекомуникација.

„Мање од сат времена након наше пријаве, обавештени смо да су предузети иницијални кораци као одговор на инцидент, па смо се и сами уверили да страница са корисничким именом и лозинком више није јавно доступна", саопштио је Шер.

„Повереник је одмах након контакта са Шеф фондацијом, у петак, 17. априла, ступио у контакт са здравственом установом", каже Петровић.

Додаје да је Повереник лицу која се бави заштитом подата у здравственој установи тада издао инструкције о даљем поступању са подацима.

Милан Војводић из Министарства трговине, туризма и телекомуникација каже да ће ванредна инспекција да утврди да ли је у периоду од осам дана био омогућен неовлашћен приступ подацима у систему.

Додаје да, за сада, није познато да ли је и колики број људи неовлашћено приступио подацима на систему.

Канцеларија за информационе технологије и електронску управу упутила је Институту „Батут" препоруку, кажу за ББЦ на српском из ове канцеларије.

Препоручили су Батуту да обезбеди механизам аутентикације корисника система на основу шеме високог нивоа поузданости, односно коришћењем квалификованог електронског сертификата.

„Коришћење сертификата треба да обезбеди високо поверење у идентитет којим се лице представља, онемогући злоупотребе и обезбедила превенција од настанка инцидената" , кажу.

Канцеларија за информационе технологије и електронску управу Владе Србије наводи се као техничка подршка информационог система Covid-19, који је успоставио и води Институт за јавно здравље „Батут" уз помоћ РФЗО-а, пише у Решењу Владе о успостављању система.

У фондацији Шер кажу да очекују даље реакције надлежних органа.

„Ресорно министарство је надлежно за инспекцијски надзор у складу са Законом о информационој безбедности, док Национални ЦЕРТ има обавезу пружања савета и препорука у случају инцидената", наводе.

Шабић каже да питање одговорности треба да постави и Влада „која је направила систем COVID-19".

„У крајњој линији би требало да реагује и јавни тужилац, јер постоје околности које изазивају сумњу на несавестан рад у служби", додаје Шабић.

Како је дошло до пропуста?

Не зна се тачно.

Фондација Шер није објавила информацију на сајту које здравствене установе су подаци били доступни.

Обавеза здравствених установа је да именују лице за заштиту података о личности, кажу у Шеру и додају да се, због ограниченог броја кадрова, на ове позиције често именују недовољно обучена лица.

„Сасвим је могуће да је неки здравствени радник или радница био овлашћено лице. Та особа је само радила свој посао и бринула о пацијентима и није била свесна свега овога што се дешава", каже Кривокапић.

Петровић објашњава да је канцеларија Повереника држала велики број обука лицима задуженим за заштиту података о личности.

„Међутим, поставља се питање квалификованости особа одређених за рад на подацима о личности за обављање тих послова", каже.

Где је настао проблем?

„Заказало је због неразумевања читаве материје, али и због изостанка одговорности", каже Петровић.

Он подсећа на проблем са здравственим картонима грађана Србије који је био актуелан пре четири године.

„Било који корисник интернета је могао да уђе у било чији здравствени картон. Повереник је ту спровео надзор, обавестио јавност, међутим, изостала је било каква реакција", објашњава.

Кривокапић сматра да је у овом случају, системска одговорност важнија од личне одговорности.

„Мора да се утврди лична одговорност, али некако ми се чини да је ово, пре свега, последица системског односа наше државе према заштити података о личности", каже.

Он додаје да питања кршења права на приватност и стандарда информационе безбедности „последња долазе на ред".

„Нисмо као држава и друштво заузели озбиљан однос према овим питањима", додаје.

Шабић пропуст описује речју "необјашњиво".

„Није реч о томе да је дошло до неког хакерског напада који је пробио некакву заштиту, него су подаци били отворени, практично на длану, без икакве заштите", каже.

Он подсећа на случајеве цурења личних података грађана Србије са сајта Агенције за приватизацију, као и на случај са апликацијом Изабрани доктор.

„Најгоре је што изостаје одговорност. Када изостаје одговорност, онда је логично да се пропусти попут овог дешавају", каже Шабић.

Кривокапић се нада до личних података са информационог система Covid-19 није дошао велики број људи.

„Искрено, надам да нико осим нас није дошао до ове странице. Али то је питање за надлежне органе. Поготово за оне који су развијали систем, да сада ураде проверу да ли је било неовлашћених приступа", каже Кривокапић.

Пратите нас на Фејсбуку и Твитеру. Ако имате предлог теме за нас, јавите се на [email protected]