Korisničko ime i lozinka za pristup srpskom Informacionom sistemu Covid–19 bili su osam dana javno dostupni na sajtu jedne zdravstvene ustanove, što je izuzetno važne i osetljive podatke učinilo dostupnim širokoj javnosti.
„To je period dovoljan da se ova stranica indeksira na guglu, i mada nije bila vidljiva na sajtu, do nje je moglo da se dođe internet pretragom“, objavila je Share fondacija, koja je grešku u bezbednosti 17. aprila prijavila nadležnima.
Informacioni sistem Covid – 19 je centralizovan softver za unos, analizu i čuvanje podataka o svim osobama koje se prate u cilju kontrole i suzbijanja pandemije u Srbiji, a Share fondacija je, kako se navodi, pretragom ključnih reči na guglu, sasvim slučajno, došla do stranice na kojoj su se nalazili pristupni podaci postavljeni 9. aprila.
„Pored toga, uspeli smo i da dođemo do upustva za korišćenje i stranice za centralizovanu prijavu na sistem“, napominje se u objavi.
Takva greška u bezbednosti učinila je dostupnim podatke „o ljudima koji su izlečeni, preminuli i testirani (bilo da su pozitivni ili negativni), kao i o ljudima na lečenju, onima kojima je izrečena mera samoizolacije ili smeštaja u privremenim bolnicama, sa podacima o njihovoj lokaciji. U sistemu se takođe nalaze podaci o osobama koje su mogući nosioci virusa zbog kontakta sa obolelima. Ustanove su obavezne da podatke ažuriraju na dnevnom nivou, a izveštaj koji se čita svaki dan u 15h se bazira na podacima iz ovog sistema.“
I te podatke je mogao da vidi, ali i da uđe u sistem i manipuliše njima, svako ko je možda i slučajno došao do ovih stranica.
„Odmah nam je bilo jasno da su najosetljiviji podaci naših sugrađana ugroženi, a da se integritet sistema od ključnog značaja za borbu protiv pandemije ne može garantovati. Nismo pokušali da se ulogujemo na sistem koji bi takav pokušaj ionako zabeležio, već smo slučaj prijavili nadležnim organima: Poverniku za informacije od javnog značaja i zaštitu podataka o ličnosti, Nacionalnom CERT-u i Ministarstvu trgovine, turizma i telekomunikacija. Svesni rizika od zloupotrebe pristupa osetljivim podacima građana, odlučili smo da javnost obavestimo o incidentu tek pošto se uverimo da su nadležni onemogućili neovlašćen pristup sistemu“, napominje se u objavi.
Kako je istaknuto, „manje od sat vremena nakon prijave, obavešteni su da su preduzeti inicijalni koraci kao odgovor na incident, pa su se i sami uverili da stranica sa korisničkim imenom i lozinkom više nije javno dostupna“.
Od nadležnih organa očekuju dalje postupanje u ovom slučaju. „Poverenik ima ovlašćenja da pokrene nadzor u skladu sa Zakonom o zaštiti podataka o ličnosti, resorno ministarstvo je nadležno za inspekcijski nadzor u skladu sa Zakonom o informacionoj bezbednosti, dok Nacionalni CERT ima obavezu pružanja saveta i preporuka u slučaju incidenata.“
Iz Share fondacije navode da su se „svesni pritiska koji trpe medicinske službe u jeku borbe protiv pandemije, složili da je zasad najcelishodnije ne objavljivati informacije o ustanovi u kojoj se incident desio“, ali da je, s druge strane, „nesumnjivo reč o incidentu čija težina zahteva utvrđivanje odgovornosti“.
„Domaći pravni okvir predviđa razne mehanizme kako bi se ovakve situacije predupredile, ali su prilike na terenu često daleko od propisanih standarda. Iako dolaze u dodir sa izuzetno osetljivim podacima, zdravstveni radnici najčešće nisu u potpunosti upoznati sa svim rizicima, posebno u eri digitalizacije. Obaveza zdravstvenih ustanova je da imenuju lice za zaštitu podataka o ličnosti, ali se usled ograničenih resursa na ove pozicije često imenuju nedovoljno obučene osobe, čiji je primarni posao često u sasvim drugom domenu. U ovom slučaju je lice za zaštitu podataka mogao biti i neko ko se svakodnevno brine o osobama zaraženim koronom… Informacioni sistem Covid-19 koji je propisala Vlada, po svojoj prirodi predstavlja centralnu tačku u kompleksnoj arhitekturi za prikupljanje i obradu svih propisanih podataka. Prikupljanje podataka se odvija kroz različite kanale, dok je pojedinačna zdravstvena ustanova samo jedna od ulaznih tačaka u sistem. U takvom sistemu, jako je teško implementirati mere zaštite na nivou ulaznih tačaka, već ih treba definisati na centralnom nivou. Time se rizik od incidenata značajno smanjuje. Na osnovu ovog slučaja, došli smo do zaključka da je za svaku od zdravstvenih ustanova kreiran samo jedan korisnički nalog, čime nije predviđena mogućnost utvrđivanja individualne odgovornosti za zloupotrebu sistema.“