Više od 560 tisuća korisnika iz hrvatskog obrazovnog sustava obuhvaćeno je neovlaštenom objavom baze podataka koja je tijekom vikenda dospjela u javnost. Riječ je o podacima učenika, nastavnika i drugih korisnika povezanih sa školskim sustavom, a CARNET, Ministarstvo znanosti, obrazovanja i mladih te Agencija za zaštitu osobnih podataka pokrenuli su postupanja kako bi se utvrdilo kako je do curenja došlo i tko je odgovoran.

Ministarstvo znanosti, obrazovanja i mladih izvijestilo je da je o objavi baze podataka obaviješteno u nedjelju, 28. lipnja, u jutarnjim satima te da je odmah uključeno u rješavanje nastale situacije. Istaknuto je kako se poduzimaju sve propisane radnje, uključujući suradnju s nadležnim institucijama.

Treća strana

CARNET je odmah nakon saznanja o objavi baze aktivirao postupke upravljanja sigurnosnim incidentom te pokrenuo detaljnu tehničku i forenzičku analizu. U istragu su uključeni i vanjski neovisni stručnjaci za forenziku podataka kako bi se što prije utvrdilo na koji su način podaci dospjeli u javnost i iz kojeg izvora potječu. Prema preliminarnim rezultatima, objavljeni podaci nisu preuzeti ni iz jednog CARNET-ova servisa, već pokazuju obilježja podataka koji bi mogli potjecati iz sustava trećih strana. Iz CARNET-a naglašavaju da je analiza još uvijek u tijeku te da zbog toga ne mogu iznositi detaljnije informacije.

- Prema informacijama kojima trenutačno raspolažemo, objavljeni podaci uključuju ime i prezime korisnika, adresu elektroničke pošte, naziv škole te korisničku ulogu. Analiza njihova podrijetla i opsega još uvijek traje - naveli su iz CARNET-a.

U ovom trenutku nema pokazatelja da su ugrožene korisničke zaporke ni sustavi za autentikaciju korisnika. CARNET poručuje da nema indicija koje bi upućivale na potrebu za promjenom lozinki, no ako daljnja istraga pokaže potrebu za dodatnim sigurnosnim mjerama, korisnici će o tome biti pravodobno obaviješteni službenim kanalima.

Poseban naglasak stavljen je na mogućnost povećanog broja phishing napada i drugih oblika internetskih prijevara. Objavljene e-mail adrese mogu biti iskorištene za slanje lažnih poruka koje se predstavljaju kao komunikacija škole, Ministarstva, CARNET-a ili drugih institucija.

Rizik od napada

Agencija za zaštitu osobnih podataka (AZOP) pokrenula je žurno nadzorno postupanje nad CARNET-om po službenoj dužnosti. Iz Agencije navode kako će, prema potrebi, poduzeti odgovarajuće radnje i prema drugim voditeljima ili izvršiteljima obrade ako se utvrdi njihova povezanost s incidentom. AZOP je upozorio da do sada nije zaprimio službeno izvješće o povredi osobnih podataka od voditelja obrade. Prema odredbama Opće uredbe o zaštiti podataka, voditelj obrade obvezan je, kada postoji povreda osobnih podataka koja može predstavljati rizik za prava i slobode pojedinaca, obavijestiti nadzorno tijelo bez nepotrebnog odgađanja, a najkasnije u roku od 72 sata od saznanja za incident.

- Nastavno na informacije da su ovim incidentom obuhvaćene i e-mail adrese učenika i nastavnika, upozoravamo na mogućnost povećanog broja phishing napada te drugih oblika internetskih prijevara usmjerenih prema navedenim korisnicima - poručili su iz AZOP-a.

Posebno su upozoreni roditelji da razgovaraju s djecom o sigurnosti na internetu te da ih upozore kako ne smiju otvarati sumnjive poveznice, preuzimati nepoznate privitke niti dijeliti korisnička imena, lozinke ili druge osobne podatke preko elektroničke pošte.

CARNET je pozvao korisnike da sve sumnjive aktivnosti i pokušaje prijevare prijave Nacionalnom CERT-u kako bi se moglo pravodobno reagirati. Školama će biti poslani i dodatni savjeti za zaštitu u slučaju curenja podataka. Iz CARNET-a poručuju da trenutačno nema pokazatelja ugroženosti njihovih usluga te da će javnost i korisnike nastaviti izvještavati o svim potvrđenim informacijama.