Pandemija jedne lozinke. Kako je šifra za Covid-19 završila na internetu?

Korisničko ime i lozinka za pristup Informacionom sistemu Covid – 19 bili su osam dana javno dostupni na sajtu jedne zdravstvene ustanove. To je period dovoljan da se ova stranica indeksira na guglu, i mada nije bila vidljiva na sajtu, do nje je moglo da se dođe internet pretragom. Do ovog otkrića smo došli 17. aprila i odmah obavestili nadležne.

Informacioni sistem Covid – 19 je centralizovan softver za unos, analizu i čuvanje podataka o svim osobama koje se prate u cilju kontrole i suzbijanja pandemije u Srbiji.

Kako smo došli do ovih podataka?

Od proglašenja vanrednog stanja, Vlada Srbije je preduzela brojne mere u borbi protiv pandemije, što podrazumeva prikupljanje i obradu podataka o ličnosti u novim okolnostima. Javnost se sa ovim merama upoznavala kroz šture i nejasne zaključke Vlade, u kojima nije precizno utvrđeno ko i kako treba da obrađuje podatke građana.

U pokušaju da razumemo sve tokove podataka i implikacije po prava građana, istraživali smo novi normativni okvir kroz javno dostupne izvore. Pretragom ključnih reči na guglu, sasvim slučajno, došli smo do stranice na kojoj su se nalazili pristupni podaci za Informacioni sistem Covid-19. Podaci su bili postavljeni 9. aprila.

Pored toga, uspeli smo i da dođemo do upustva za korišćenje i stranice za centralizovanu prijavu na sistem.

Koji podaci su bili izloženi riziku?

Prema Zaključku vlade o uspostavljanju Informacionog sistema Covid-19, čitav niz nadležnih zdravstvenih institucija obavezan je da u ovom programu vodi podatke o ljudima koji su izlečeni, preminuli i testirani (bilo da su pozitivni ili negativni), kao i o ljudima na lečenju, onima kojima je izrečena mera samoizolacije ili smeštaja u privremenim bolnicama, sa podacima o njihovoj lokaciji. U sistemu se takođe nalaze podaci o osobama koje su mogući nosioci virusa zbog kontakta sa obolelima. Ustanove su obavezne da podatke ažuriraju na dnevnom nivou, a izveštaj koji se čita svaki dan u 15h se bazira na podacima iz ovog sistema.

Dok smo pokušavali da dođemo do dokumenata koji razjašnjavaju kako se naši podaci čuvaju, ni slutili nismo da ćemo doći do pristupne šifre i mogućnosti da uđemo u sistem, kao i svako ko je možda došao do ovih stranica. Odmah nam je bilo jasno da su najosetljiviji podaci naših sugrađana ugroženi, a da se integritet sistema od ključnog značaja za borbu protiv pandemije ne može garantovati. 

Nismo pokušali da se ulogujemo na sistem koji bi takav pokušaj ionako zabeležio, već smo slučaj prijavili nadležnim organima: Poverniku za informacije od javnog značaja i zaštitu podataka o ličnosti, Nacionalnom CERT-u i Ministarstvu trgovine, turizma i telekomunikacija. Svesni rizika od zloupotrebe pristupa osetljivim podacima građana, odlučili smo da javnost obavestimo o incidentu tek pošto se uverimo da su nadležni onemogućili neovlašćen pristup sistemu.

Kako su nadležni reagovali?

Manje od sat vremena nakon naše prijave, obavešteni smo da su preduzeti inicijalni koraci kao odgovor na incident, pa smo se i sami uverili da stranica sa korisničkim imenom i lozinkom više nije javno dostupna. 

Od nadležnih organa možemo očekivati dalje postupanje u ovom slučaju. Poverenik ima ovlašćenja da pokrene nadzor u skladu sa Zakonom o zaštiti podataka o ličnosti, resorno ministarstvo je nadležno za inspekcijski nadzor u skladu sa Zakonom o informacionoj bezbednosti, dok Nacionalni CERT ima obavezu pružanja saveta i preporuka u slučaju incidenata.

Ko je kriv?

Svesni pritiska koji trpe medicinske službe u jeku borbe protiv pandemije, složili smo se da je zasad najcelishodnije ne objavljivati informacije o ustanovi u kojoj se incident desio. S druge strane, nesumnjivo je reč o incidentu čija težina zahteva utvrđivanje odgovornosti. 

Domaći pravni okvir predviđa razne mehanizme kako bi se ovakve situacije predupredile, ali su prilike na terenu često daleko od propisanih standarda. Iako dolaze u dodir sa izuzetno osetljivim podacima, zdravstveni radnici najčešće nisu u potpunosti upoznati sa svim rizicima, posebno u eri digitalizacije. Obaveza zdravstvenih ustanova je da imenuju lice za zaštitu podataka o ličnosti, ali se usled ograničenih resursa na ove pozicije često imenuju nedovoljno obučene osobe, čiji je primarni posao često u sasvim drugom domenu. U ovom slučaju je lice za zaštitu podataka mogao biti i neko ko se svakodnevno brine o osobama zaraženim koronom. 

Budući da zaštita podataka danas zahteva i učešće IT stručnjaka, to za budžete ustanova javnog zdravstva predstavlja dodatno opterećenje. Ponekad to znači da isti ljudi brinu o svim tehničkim pitanjima u ustanovi, dok su daleko slabije plaćeni od kolega u privatnom sektoru, bez mogućnosti usavršavanja u oblasti informacione bezbednosti.

Informacioni sistem Covid-19 koji je propisala Vlada, po svojoj prirodi predstavlja centralnu tačku u kompleksnoj arhitekturi za prikupljanje i obradu svih propisanih podataka. Prikupljanje podataka se odvija kroz različite kanale, dok je pojedinačna zdravstvena ustanova samo jedna od ulaznih tačaka u sistem. U takvom sistemu, jako je teško implementirati mere zaštite na nivou ulaznih tačaka, već ih treba definisati na centralnom nivou. Time se rizik od incidenata značajno smanjuje.  Na osnovu ovog slučaja, došli smo do zaključka da je za svaku od zdravstvenih ustanova kreiran samo jedan korisnički nalog, čime nije predviđena mogućnost utvrđivanja individualne odgovornosti za zloupotrebu sistema.

Kako je trebalo postupiti?

Nesumnjivo je da je reč o IKT sistemu od posebnog značaja u kome se obrađuju posebne kategorije podataka o ličnosti, što znači da je prilikom njegovog razvoja i implementacije trebalo preduzeti sve mere propisane Zakonom o informacionoj bezbednosti i Zakonom o zaštiti podataka o ličnosti. SHARE Fondacija se detaljno bavila ovim merama u svom Vodiču za zaštitu podataka o ličnosti i Vodiču za IKT sisteme od posebnog značaja.

U svakom slučaju neophodno je u potpunosti primeniti principe privacy by design i security by design, koji pri definisanju pristupa podrazumevaju:

• Svaki korisnik sistema ima svoj nalog za pristup
• Svaki korisnik sistema ima ovlašćenja za obradu samo onih podataka koji su neophodni za njegov rad
• Šifre za pristup se ne objavljuju putem javne mreže
• Postoji standard o složenosti šifre
• Ograničen je broj unosa pogrešne šifre

Naše nasumično otkriće na guglu otkrilo je nepoštovanje standarda bezbednosti i zaštite podataka u javnom zdravstvenom sistemu. Vanredno stanje zbog pandemije svakako ne može biti izgovor za loše obavljen posao, kao ni prepreka da se odmah sprovede detaljna analiza usklađenosti Informacionog sistema Covid-19 sa bezbednosnim standardima.