Pokrenuta je istraga velikog sigurnosnog incidenta u kojem su u javnost dospjeli podaci o više od 560.000 korisnika školskih sustava u Hrvatskoj. Objavljeni podaci uključuju imena i prezimena, škole, e-mail adrese i korisničke uloge učenika i nastavnika.
Agencija za zaštitu osobnih podataka pokrenula je žurno nadzorno postupanje nad CARNET-om po službenoj dužnosti, nakon navoda o neovlaštenoj objavi osobnih podataka iz hrvatskih škola. Iz AZOP-a poručuju kako će, prema potrebi, postupati i prema drugim voditeljima ili izvršiteljima obrade ako se utvrdi njihova povezanost s incidentom. – Prenosi HRT
CARNET je potvrdio da je upoznat s neovlaštenim dijeljenjem podataka te da se utvrđuje vjerodostojnost objavljenih informacija i način na koji su dospjele u javnost. Angažirani su i vanjski stručnjaci, a pokrenuta je tehnička i forenzička analiza.
Prema dosadašnjim informacijama Ministarstva znanosti, obrazovanja i mladih, incidentom je obuhvaćeno 560.700 korisnika školskih sustava. Ministarstvo navodi da trenutačno nema pokazatelja da su kompromitirane korisničke zaporke ili sustavi za autentikaciju.
Iz CARNET-a ističu kako njihove usluge nisu ugrožene te da svi sustavi funkcioniraju normalno. Naglašavaju da, prema dosadašnjim nalazima, nije moguć neovlašteni pristup korisničkim računima jer zaporke nisu kompromitirane.
Ministar znanosti, obrazovanja i mladih Radovan Fuchs izjavio je da nije došlo do proboja CARNET-ova sustava. Prema njegovim riječima, nisu ugroženi sustavi povezani s e-Maticom, ocjenama, upisima u srednje škole, državnom maturom ni upisima na fakultete.
Preliminarni rezultati upućuju na to da podaci nisu preuzeti iz CARNET-ovih sustava, nego nalikuju podacima iz sustava trećih strana. Istraga bi trebala pokazati kada je došlo do curenja podataka, na koji način i tko je za to odgovoran.
Stručnjaci za kibernetičku sigurnost upozoravaju da ovakvi napadi često mogu trajati mjesecima prije nego što budu otkriveni. Savjetnik za kibernetičku sigurnost Marko Gulan istaknuo je kako digitalna forenzika mora odgovoriti na pitanje zašto sustavi nadzora nisu ranije prepoznali anomalije.
AZOP posebno upozorava na mogućnost povećanog broja phishing napada i drugih oblika internetskih prijevara usmjerenih prema učenicima, nastavnicima i roditeljima. Roditeljima se preporučuje da razgovaraju s djecom o sigurnosti na internetu te da ih upozore da ne otvaraju sumnjive poveznice i ne dijele korisnička imena, lozinke ili druge osobne podatke putem elektroničke pošte.
Ministarstvo i Nacionalni CERT korisnicima savjetuju oprez pri otvaranju poruka, poveznica i privitaka iz nepoznatih izvora. Preporučuje se korištenje snažnih i jedinstvenih zaporki te višefaktorske autentikacije gdje god je dostupna.
Sve sumnjive poruke, pokušaje prijevare ili nepravilnosti korisnici mogu prijaviti Nacionalnom CERT-u na adresu incident@cert.hr.
Ministarstvo je najavilo i podnošenje kaznene prijave protiv nepoznatog počinitelja zbog neovlaštene objave podataka, kao i prijavu Agenciji za zaštitu osobnih podataka od strane voditelja obrade.
Iako trenutačno nema potrebe za promjenom korisničkih zaporki, nadležne institucije poručuju da će korisnici biti pravodobno obaviješteni ako istraga pokaže da su potrebne dodatne sigurnosne mjere.
