Građanin iz database

Čak 18.000 smart dvotočkaša, opremljenih bluetooth tehnologijom, razbacani su po trotoarima velikih gradova na užas prolaznika i lokalnih komunalnih preduzeća.

Bicikli su imovina kompanije oBike iz Singapura koja je propala pre mesec dana, posle samo godinu i po dana postojanja. Za to vreme ambiciozni vlasnici proširili su biznis rentiranja pametnih bicikla u Južnu Koreju, Maleziju, Australiju, Tajland, Tajvan, Nemačku, Austriju, Holandiju, Belgiju, Italiju, Veliku Britaniju, Švajcarsku, Francusku i Švedsku. Sistem je jednostavan – bicikl se iznajmljuje aplikacijom na mobilnom telefonu koja korisnika obaveštava o najbližoj lokaciji slobodnog bicikla i posle upotrebe ostavlja bilo gde. Pomoću bluetooth brave, bicikl je posle korišćenja automatski zaključavan. I to je bila značajna novost u odnosu na raniju tehnologiju kad je bicikl morao da se vrati na „baznu“ stanicu. Cena iznajmljivanja bila je jedan evro za pola sata, uz depozit od 79 evra (za studente 29 evra), koji je korisniku vraćan elektronskim putem po završetku usluge.

Mnogi su se pitali zašto su se dvojica biznismena iz Singapura Ši Ji i Edvard Čen odlučili da „slupaju“ veliki kapital u prilično rizičan posao rentiranja bicikla bez šanse da će zaraditi veliki novac. Bilo je i onih koji su sumnjali da se iza kulisa ovog biznisa krije ozbiljnija namera njegovih pokretača. I ispostavilo se da su ti sumnjivci bili u pravu.

Ši Ji i Edvard Čen nameravali su da „zgrnu lovu“ na sporednom delu oBike biznisa – na prodaji prikupljenih podataka o iznajmljivačima bicikla. Ta baza podataka o korisnicima koje je kompanija oBike prikupljala zapravo je bila „zlatna koka“ za dvojicu singapurskih preduzetnika. U rukama spretnih analitičara baza podataka je dragocen izvor informacija o navikama, potrebama i životnom stilu ljudi koji iznajmljuju bicikle (gde kupuju hranu ili odeću, kozmetiku, lekove, baštenske stolice, gde rade, gde idu na doručak i ručak. Kompanije iz tih sektora spremne su „suvim zlatom“ da plate te vrste informacija koje je prikupila kompanija oBike.

I zaista, već u jesen prošle godine procurilo je upozorenje stručnjaka da oBike negativno utiče na bezbednost i ranjivost korisničkih podataka. Bio je to signal za lokalnog Poverenika za zaštitu podataka u Berlinu da digne uzbunu. Zatim je objavljeno istraživanje Bavarskog radija iz koga se jasno videlo da je kompanija oBike snimala kompletne profile i kretanje korisnika. Pored pređene distance, uključujući i vreme boravka na pojedinačnim mestima, u globalnoj korisničkoj mreži pronađena su imena, brojevi telefona i fotografije korisnika. Došlo je i do masivnog curenja poverljivih ličnih podataka (e-mail adrese, telefonski brojevi i fotografije). Bavarski Državni biro za zaštitu podataka odmah se oglasio i saopštio da je oBike prekršio Zakon o zaštiti podataka i Zakon o transparentnosti.

Kad su singapurski preduzetnici Ši Ji i Edvard Čen videli da je nemačka pravna država „provalila“ njihovu biznis šemu, oterali su firmu u stečaj.

Na talasu još jednog novog iskustva vezanog za sajber bezbednost i zaštitu podataka ličnosti oglasio se Mihael Sauerman, partner-forenzičar KPMG: „Preventivne mere zaštite podataka zaposlenih i kupaca često se zanemaruju i izostaje odgovarajuća reakcija na IT sigurnosne incidente.“

Zašto je za nas zanimljiva ova priča?

Zato što i mi imamo sličnu.

Ministarstvo zdravlja krajem maja predstavilo je mobilnu aplikaciju „Izabrani doktor“ koja građanima omogućava zakazivanje pregleda i uvid u status zdravstvenog osiguranja. Za aktiviranje aplikacije potrebno je da građanin unese lični broj osiguranika (LBO) sa kartice zdravstvenog osiguranja. Poznato je da svako ko poseduje taj broj, može da zna nečije poverljive podatke. Aplikacija je upravo to uradila – osetljive podatke građana ustupila je privatnoj firmi „Sorsih International“ iz Niša.

Zato je odmah reagovao Poverenik, pokrenuo postupak nadzora nad aplikacijom zbog sumnje na zloupotrebe i pozvao građane, da do daljeg vrlo oprezno pristupaju njenom korišćenju jer ostavljaju LBO, čak i kompletne kopije zdravstvenih legitimacija širokom krugu lica i na internetu. Zatim je zabranio firmi „Sorsih International“ da i dalje obrađuje podatke građana dobijene putem aplikacije „Izabrani doktor“, jer postoji mogućnost da budu zloupotrebljeni. On je podsetio da je Ministarstvo 1. juna saopštilo da je cilj aplikacije isključivo zakazivanje pregleda i da se podaci građana nigde ne skladište i ne čuvaju, ali da to nije tačno jer podaci mogu da se koriste za direktan marketing i profilisanje građana. Tu optužbu potkrepio je citatom iz stava „Politika privatnosti“ sa aplikacije „Izabrani doktor“, koja je u međuvremenu izbrisana i koja otvoreno pokazuje namere autora čitave akcije: „Postoji mogućnost da koristimo vaše lične podatke kako bismo vam preporučili određene resurse ili pružaoce usluga, na primer prema udaljenosti od vas. Možemo koristiti kontakt podatke kako bismo vam poslali informacije u Izabrani doktor, o našim proizvodima ili uslugama“. Dakle, baza ličnih podataka „Izabranog doktora“ sadrži ime, adresu i LBO broj, IP adresu, domen servera, vrste uređaja kojom se pristupa aplikacijom, kontakte, e-mail nalog, SMS poruke, kalendar, lokaciju, mrežene podatke, podatke o osiguranju. Ti podaci potpuno su dostupni firmi koja je zadužena za njihovu obradu („Sorsih International“) ali i njenim agentima a na kraju i farmaceutskim kompanijama. Iscure li ti podaci iz baze podataka, onda svaki korisnik interneta može da vidi kada je neko vodio dete kod lekara ili bio kod kardiologa. Zato Poverenik kaže: „Ovo je krajnje ozbiljna stvar koja zaslužuje pažnju policije i tužilaštva jer su prekršene odredbe više zakona, uključujući i Zakon o zaštiti podatka o ličnosti, Zakon o RFZO, Zakona o informacionoj bezbednosti.“

Šta se dogodilo povodom reagovanja Poverenika?

Ministarstvo je oduzelo privatnoj firmi iz Niša posao da obrađuje poverljive podatke korisnika aplikacije i prebacilo ga sebi. I to je Poverenik ocenio kao prekršaj, jer podaci iz Integrisanog zdravstvenog informacionog sistema (IZIS) mogu po Zakonu jedino biti dostupni Institutu za javno zdravlje Srbije „Dr Milan Jovanović Batut“. Zato je izrazio sumnju da je došlo do ozbiljne kompromitacije baze podataka ličnosti građana Srbije, uključujući i evidenciju RFZO i IZIS-a.

Kako su reagovali zvanični državni organi Srbije na ugrožavanje sajber bezbednosti građana?

Ministarstvo zdravlja navelo je da su zamerke Poverenika uglavnom tehničke i slovne greške, da Poverenik traži dlaku u jajetu i da je to „još jedna bruka i sramota političara u pokušaju“.

Ministar zdravlja izjavio je da je „do ovog momenta (6. jun uveče) preko 34.000 ljudi skinulo aplikaciju ‘Izabrani doktor’. Nismo čuli ni za jednu zamerku“.

Nijedan drugi državni organ nije se oglašavao ovim povodom.

Autor je novinar