Strana sa korisničkim imenom i lozinkom

Fondacija Šer
Istraživači fondacije Šer do lozinke i korisničkog imena došli su pretražujući kako se štiti privatnost podataka za vreme epidemije

Korisničko ime i lozinka za pristup informacionom sistemu Covid-19 bili su osam dana javno dostupni na sajtu jedne zdravstvene ustanove, saopštila je nevladina organizacija za unapređenje ljudskih prava i internet sloboda Fondacija Šer.

Informacioni sistem Covid-19 osnovala je Vlada Srbije kako bi vršila epidemiološki nadzor za vreme epidemije.

Zdravstvene ustanove, instituti i zavodi za javna zdravlje, laboratorije koje vrše testiranje i drugi nadležni organi u informacioni sistem ubacuju podatke o izlečenim, preminulim, testiranim i osobama kojima je izrečena mera samoizolacije, piše u rešenju Vlade.

Ovim podacima, preko sajta jedne zdravstvene ustanove, a uz pomoć korisničkog imena i lozinke koji su na njemu bili dostupni, mogao je da pristupi svako, tvrde u Fondaciji Šer.

BBC na srpskom nije do objavljivanja ovog teksta dobio odgovor nadležnih institucija na pitanja o siguronsonom propustu.

„Iako stranica nije bila vidljiva na sajtu, do nje je moglo da se dođe internet pretragom“, piše u saopštenju.

Danilo Krivokapić iz Fondacije Šer kaže da su istraživači ove organizacije do linka došli „sasvim slučajno“.

„Mi smo radili istraživanje koje je mogao da radi svaki građanin koji ima osnovna znanja korišćenja Gugla. Tražili smo uputstva i procedure o tome kako se obrađuju podaci u ovom informacionom sistemu“, kaže Krivokapić za BBC na srpskom.

Manje od sat vremena nakon što su slučaj prijavili nadležnima, stranica sa korisničkim imenom i lozinkom je uklonjena sa interneta.

„Svesni rizika od zloupotrebe pristupa osetljivim podacima građana, odlučili smo da javnost obavestimo o incidentu tek pošto se uverimo da su nadležni onemogućili neovlašćen pristup sistemu“, saopštio je Šer.

Koji podaci su bili dostupni na internetu i koliko dugo?

Krivokapić kaže da su, osim korisničkog imena i lozinke, na stranici bila dostupna i korisnička uputstva kako pristupiti sistemu.

„Izučili smo ta uputstva i na osnovu toga napravili grafički prikaz o tome šta se sve od podataka nalazilo u sistemu i ko sve tim podacima ima pristup“, kaže.

Na osnovu prikaza koji je Fondacija Šer napravila, sistem, između ostalog, sadrži i lične i zdravstvene podatke, detalje kliničkih ispitivanja, informacije o lečenju.

Podaci bi trebalo da su dostupni za korišćenje nadležnima u Ministarstvu zdravlja, Kancelariji za informacione tehnologije Vlade Srbije, Ministarstvu unutrašnjih poslova, Vojsci, Institutu za transfuziju krvi.

„Zdravstvene ustanove unose podatke, a drugi nivoi državnih organa koristi te podatke da bi mogli da sprovode svoje nadležnosti“, kaže Krivokapić.

Advokat i bivši Poverenik za zaštitu podataka o ličnosti Rodoljub Šabić kaže za BBC na srpskom da se radi o naročito osetljivim podacima.

„Reč je o bazi koja čuva posebne podatke o zdravstvenom stanju koji se, prema zakonima ove zemlje, tretiraju kao naročito osetljivi i po logici stvari morali bi uživati posebnu zaštitu“, kaže Šabić.

Fondacija Šer je do lozinke došla u petak, 17. marta – kažu da je link postao dostupan na internetu osam dana ranije.

Šta kažu nadležni?

Fondacija Šer slučaj je 17. marta prijavila Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, Nacionalni centar za prevenciju bezbednosnih rizika u informaciono-komunikacionim sistemima (CERT) i Ministarstvu trgovine, turizma i telekomunikacija.

„Manje od sat vremena nakon naše prijave, obavešteni smo da su preduzeti inicijalni koraci kao odgovor na incident, pa smo se i sami uverili da stranica sa korisničkim imenom i lozinkom više nije javno dostupna“, saopštio je Šer.

BBC do objavljivanja ovog teksta nije uspeo da dobije informacije iz Kancelarije Poverenika, Ministarstva trgovine, turizma i telekomunikacija, kao ni iz Kancelarije za informacione tehnologije i elektronsku upravu Vlade Srbije.

Kancelarija za informacione tehnologije i elektronsku upravu Vlade Srbije navodi se kao tehnička podrška informacionog sistema Covid-19 u Rešenju Vlade o uspostavljanju sistema.

U fondaciji Šer kažu da očekuju dalje reakcije nadležnih organa.

„Poverenik ima ovlašćenja da pokrene nadzor u skladu sa Zakonom o zaštiti podataka o ličnosti, resorno ministarstvo je nadležno za inspekcijski nadzor u skladu sa Zakonom o informacionoj bezbednosti, dok Nacionalni CERT ima obavezu pružanja saveta i preporuka u slučaju incidenata“, navode.

Šabić kaže da pitanje odgovornosti treba da postavi i Vlada „koja je napravila sistem COVID-19„.

„U krajnjoj liniji bi trebalo da reaguje i javni tužilac, jer postoje okolnosti koje izazivaju sumnju na nesavestan rad u službi“, dodaje Šabić.

Kako je došlo do propusta?

Ne zna se tačno.

Fondacija Šer nije objavila informaciju na sajtu koje zdravstvene ustanove su podaci bili dostupni.

Obaveza zdravstvenih ustanova je da imenuju lice za zaštitu podataka o ličnosti, kažu u Šeru i dodaju da se, zbog ograničenog broja kadrova, na ove pozicije često imenuju nedovoljno obučena lica.

„Sasvim je moguće da je neki zdravstveni radnik ili radnica bio ovlašćeno lice. Ta osoba je samo radila svoj posao i brinula o pacijentima i nije bila svesna svega ovoga što se dešava“, kaže Krivokapić.

On smatra da je u ovom slučaju, sistemska odgovornost važnija od lične odgovornosti.

„Mora da se utvrdi lična odgovornost, ali nekako mi se čini da je ovo, pre svega, posledica sistemskog odnosa naše države prema zaštiti podataka o ličnosti“, kaže.

On dodaje da pitanja kršenja prava na privatnost i standarda informacione bezbednosti „poslednja dolaze na red“.

„Nismo kao država i društvo zauzeli ozbiljan odnos prema ovim pitanjima“, dodaje.

Šabić propust opisuje rečju „neobjašnjivo“.

„Nije reč o tome da je došlo do nekog hakerskog napada koji je probio nekakvu zaštitu, nego su podaci bili otvoreni, praktično na dlanu, bez ikakve zaštite“, kaže.

On podseća na slučajeve curenja ličnih podataka građana Srbije sa sajta Agencije za privatizaciju, kao i na slučaj sa aplikacijom Izabrani doktor.

„Najgore je što izostaje odgovornost. Kada izostaje odgovornost, onda je logično da se propusti poput ovog dešavaju“, kaže Šabić.

Krivokapić se nada do ličnih podataka sa informacionog sistema Covid-19 nije došao veliki broj ljudi.

„Iskreno, nadam da niko osim nas nije došao do ove stranice. Ali to je pitanje za nadležne organe. Pogotovo za one koji su razvijali sistem, da sada urade proveru da li je bilo neovlašćenih pristupa“, kaže Krivokapić.


Pratite nas na Fejsbuku i Tviteru. Ako imate predlog teme za nas, javite se na bbcnasrpskom@bbc.co.uk

Pratite nas na našoj Facebook i Instagram stranici, ali i na Twitter nalogu. Pretplatite se na PDF izdanje lista Danas.

Komentari