Podaci u magli: ugrožavanje privatnosti bez odgovornosti

Najnoviji sajber incident koji je uznemirio javnost u Srbiji zbog ugrožavanja privatnosti velikog broja ljudi, dogodio se krajem marta u jednoj ginekološkoj klinici, čija je baza sa više od 6000 unosa podataka o pacijentkinjama objavljena onlajn. Kompromitovana su puna imena pacijentkinja, brojevi telefona, JMBG-ovi, adrese stanovanja, mejl adrese, kao i njihove dijagnoze. Prema navodima hakera, podaci su objavljeni nakon što je klinika ignorisala zahteve i nije platila „otkup“. Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti pokrenuo je postupak nadzora povodom ovog incidenta, ali to neće ublažiti teške posledice po intimu koja je trajno narušena. 

Incidenti velikih razmera poput curenja podataka i „digitalnih otmica“ (tzv. ransomver napadi) za koje je javnost saznala, dešavali su se više puta u Srbiji, a lekcije (i dalje) nisu naučene niti je odgovornost jasno utvrđena. Takođe, javnosti nije poznato da li je bilo koji od sajber kriminalaca koji su odgovorni za te incidente identifikovan i procesuiran. Iako Zakon o zaštiti podataka o ličnosti i Zakon o informacionoj bezbednosti propisuju mere zaštite koje nisu fakultativne već zakonska obaveza, godinama se kao društvo vrtimo u istom krugu.

Donosimo retrospektivu velikih incidenata u kojima je građanima Srbije naneta šteta na različite načine – kroz javnu kompromitaciju podataka ili onesposobljavanje informacionih sistema od kritičnog značaja.

Curenja podataka

Novembar 2014: Agencija za privatizaciju

Tokom novembra 2014. internetom je kružio link ka sajtu Agencije za privatizaciju, za koji se ispostavilo da vodi ka bazi sa podacima 5.190.396 građana Srbije: njihova imena i prezimena, matični brojevi i status u evidenciji nosilaca prava na besplatne akcije. Baza je bila javno dostupna od februara do decembra 2014, kada je nakon prijave SHARE Fondacije i intervencije Poverenika onemogućen pristup podacima, dakle oko devet meseci. Ako je neko za to vreme guglao svoje ime, prezime i JMBG, u rezultatima pretrage dobio bi link ka ovoj bazi. Curenje podataka iz Agencije je jedan od retkih slučajeva ne po apsolutnim brojevima, jer je u svetu bilo znatno većih incidenata, već po tome što su kompromitovani podaci gotovo cele punoletne populacije jedne države. Prekršajna odgovornost u ovom slučaju je zastarela, a Agencija za privatizaciju ugašena.

April 2020: IS Covid-19

Pristupni kredencijali za Informacioni sistem Covid-19 bili su javno dostupni na sajtu jedne beogradske zdravstvene ustanove osam dana u aprilu 2020, što je bilo dovoljno da budu indeksirani i pretraživi putem Gugla. IS Covid-19 uspostavljen je u vreme pandemije kao centralizovani softver za unos, analizu i čuvanje podataka o svim osobama koje je trebalo pratiti u cilju kontrole i suzbijanja širenja zaraze u Srbiji, dakle jedan od ključnih državnih informacionih sistema. SHARE Fondacija je po saznanju (17. aprila) obavestila Poverenika i druge nadležne organe. Manje od sat vremena nakon naše prijave, stranica sa korisničkim imenom i lozinkom više nije bila javno dostupna. U kasnijem postupku povodom incidenta, utvrđen je niz proceduralnih propusta, a Institut Batut koji je nadležan za sistem dobio je samo opomenu od Poverenika.

Mart 2026: Telekom Srbija

Poslednji u nizu krupnih incidenata u vezi sa curenjem podataka odigrao se u martu 2026, kada je objavljena baza pretplatnika m:SAT TV usluge Telekoma Srbija sa gotovo 700.000 unosa u kojima je zabeleženo 338.934 jedinstvenih JMBG-ova. Baza je nastala kroz operativni rad terenskih tehničara i kol centara, koji su beležili svaki kontakt sa korisnicima prilikom instalacije, servisiranja ili raskida ugovora u periodu od januara 2019. do decembra 2025. godine iz 151 grada i opštine širom Srbije. Pored imena, adresa, brojeva mobilnih telefona i matičnih brojeva, u procurelim tabelama su se nalazili veoma osetljivi podaci o zdravstvenom stanju korisnika, porodičnim prilikama i preminulim osobama. U bazi su se nalazili i podaci poslovnih korisnika, uključujući i dražvne organe kao što su Ministarstvo unutrašnjih poslova, Ministarstvo odbrane i Vojska Srbije, tj. adrese, kontakt podaci i JMBG-ovi odgovornih lica u ovim institucijama.

Ransomver napadi

Mart 2020: JKP Informatika

Napad na Informatiku, novosadsko javno komunalno preduzeće, bio je prvi javno poznati slučaj ransomver napada na domaći javni sektor, i to u jeku krize u vezi sa koronavirusom. Analize su pokazale da je ransomver verovatno ušao preko mejla, odnosno da se proširio čitavim sistemom kada je neko od zaposlenih otvorio poruku sa zaraženim prilogom. Napadači su za otključavanje sistema najpre tražili 50 bitkoina, koji je u to vreme vredeo oko 10.000 dolara, da bi nakon kratke prepiske spustili otkup na 20 bitkoina. Gradska uprava Novog Sada je odbila da plati, pa su podaci i bekap ostali zaključani. Tokom nadzora, Poverenik je ustanovio da je pored podataka zaposlenih, napadom bilo kompromitovano oko 2000 računara, te da zaposleni nisu mogli da pristupe mejl nalozima. Nisu bili ugroženi podaci o ličnosti građana koji se obrađuju u svrhu izdavanja računa u okviru objedinjene naplate, zato što su podaci obrađivani na Linuksu, a ransomver je napadao samo Windows operativne sisteme. Ipak, napadom su bile zahvaćene rezervne kopije što je onemogućilo povraćaj zaključanih podataka, gradske kamere nisu funkcionisale, a posledica je bila i nemogućnost obračuna zarada, evidencije bolovanja i svih drugih vrsta kadrovske evidencije. Nakon incidenta, Informatika je pristupila izradi nove hardversko-softverske arhitekture informacionog sistema preduzeća.

Jun 2022: Republički geodetski zavod

U junu 2022. godine dogodio se incident u infrastrukturi Republičkog geodetskog zavoda (RGZ) kojia je pokrenuo kaskadni niz problema, jer su servisi postali nedostupni spoljnim korisnicima. Kako se u okviru RGZ-a nalazi i Katastar nepokretnosti, ransomver napad je izazvao zastoj na tržištu nekretnina jer javni beležnici nisu imali pristup informacionom sistemu. Iz saopštenja RGZ javnost je saznala da se radilo o Phobos ransomveru, ali da nije identifikovana poruka sa zahtevom za otkup. Servisi RGZ su postepeno puštani u rad, da bi od 11. jula sve službe bile ponovo funkcionalne. Poverenik je u drugoj polovini jula objavio saopštenje o sprovedenom nadzoru nad RGZ i zaključio da nema povrede podataka o ličnosti, jer predmet napada nisu bili serveri na kojima se čuvaju baze podataka sa podacima o ličnosti i nepokretnostima, kao ni E-katastar. Zapisnik Poverenika iz sprovedenog nadzora pokazao je da je napad došao sa IP adresa sa teritorija Bugarske, Holandije, Litvanije i Sejšela, te da su zloupotrebljeni pristupni kredencijali naloga zaposlene koji se dugo vremena nije koristio jer je bila na bolovanju. U napadu je, prema nalazima Poverenika, od ukupno 460 servera RGZ bilo kompromitovano 20 aplikativnih servera, kao i šest od nešto više od 3000 radnih stanica. 

Decembar 2023: Elektroprivreda Srbije

Na sajtu EPS je 19. decembra 2023. objavljeno saopštenje sa vrlo šturim informacijama, u kome se navodi da se kompanija oporavlja od nezapamćenog hakerskog napada, ali da proizvodnja i snabdevanje električnom energijom nisu ni na koji način ugroženi. Izdavanje novembarskih računa za struju je kasnilo i građanima je bilo onemogućeno da račune plaćaju na šalterima EPS praktično dva meseca. Tek je u drugoj polovini februara 2024. godine v.d. generalnog direktora izašao u javnost sa informacijom da su šalteri proradili. Odgovornost za napad je preuzela hakerska grupa Qilin, koja je na dark vebu objavila slike dokumentacije EPS i zapretila objavljivanjem svih poverljivih informacija do kojih su došli ukoliko se otkup ne plati u roku od 10 dana. Grupa Qilin je zatim u januaru 2024. godine omogućila za preuzimanje oko 34 gigabajta podataka. Iz EPS su u obaveštenju Povereniku naveli da u momentu slanja nije došlo do kompromitacije podataka o ličnosti usled napada CryptoLocker ransomverom, kao i da su izolovane baze koje koriste sistemi za naplatu, izdavanje računa, u kojima se nalaze podaci građana, zatim sistemi koji sadrže podatke o poslovanju i partnerima, ali i baza ljudskih resursa sa podacima zaposlenih. Poverenik je sprovodio nadzor u EPS tokom januara 2024. godine, ali se kasnije nije oglašavao u vezi sa eventualnim povredama podataka o ličnosti.

Kuda dalje?

Više od jedne decenije od prodora u privatnost skoro cele punoletne populacije i dalje nam iskaču isti kosturi iz ormana. Insistiranje na utvrđivanju odgovornosti za incidente je u interesu čitavog društva, naročito u trenutku kada gotovo da nema oblasti života koja nije digitalizovana.

Takođe nije uspostavljena praksa izveštavanja javnosti nakon velikih incidenata u IKT sistemima, što se u svetu već uveliko radi. Drugi subjekti bi mogli da budu poučeni iskustvom i razviju bolje strategije odbrane od sajber napada, koji pored finansijske sve češće imaju i geopolitičku dimenziju.