Obavijesti

News

Komentari 11

Stručnjak o 'curenju' podataka učenika i nastavnika: 'Ovo se može dogoditi na više načina'

Stručnjak o 'curenju' podataka učenika i nastavnika: 'Ovo se može dogoditi na više načina'
Google icon Dodaj 24sata među omiljene izvore na Googleu

Napadač se sad može lažno predstavljati s ovim podacima. Može biti ucjena i prijevara, pazite na mailove, kaže Zlatan Morić, pročelnik Sveučilišnog odjela za kibernetičku sigurnost Sveučilišta Algebra Bernays

Dok se čekaju rezultati istrage CARNET-a i Agencije za zaštitu osobnih podataka o tome tko je probio sustav i kako su "procurili" podaci o 560.000 učenika i nastavnika, o sigurnosnim pitanjima ovakvih sustava razgovarali smo sa Zlatanom Morićem, pročelnik Sveučilišnog odjela za kibernetičku sigurnost Sveučilišta Algebra Bernays.

Podsjetimo, iz svih institucija upozoravaju roditelje i učenike da ne nasjedaju na sumnjive, tzv. phishing mailove, u kojima se traži da se "hitno logiraju u sustav, te mijenjaju ili bilo kome šalju svoje podatke". Sam sustav online upisa, niti e-Matica nisu ugroženi, no treba biti oprezan, upozorili su. 

 To nam je kazao i Nikola Dmitrović, ravnatelj XV. gimnazije u Zagrebu.

- Ovo je propust i nije dobro što su podaci izašli van. Dio roditelja ne daje suglasnost za objavu podataka djece. No ovo su generički mailovi, a za nastavnike su i javni, objavljeni na webu. Online upisni sustav sigurno nije ugrožen, jedino se može dogoditi da škole dobiju ucjenjivačke mailove - kazao nam je Dmitrović.

'Potrebno je više edukacije'

Sve je komentirao i ministar pravosuđa i digitalne transformacije Damir Habijan.

- Nažalost, ovakvih pojavnosti, da li je to kibernetički napad ili krađa podataka, određeni fake news ili phishing, će biti sve više i zato mislim da se svi u ovo moramo uključiti od prevencije i edukacije, a naša tijela ovakve neželjene kibernetičke napade moraju što je moguće više sprječavati - istaknuo je.

Zlatan Morić ističe kako nema apsolutno sigurnog sustava. No objava ovih podataka ne znači da je napadač imao pristup tim sustavima.

Kako može doći do ovakve situacije i tko je odgovoran za to da se ona ne dogodi?

Do ovakvog incidenta može doći na više načina: zbog pogrešno konfiguriranog sustava ili baze podataka, nedovoljno zaštićenog programskog sučelja, kompromitiranog korisničkog ili administratorskog računa, izložene sigurnosne kopije, ranjivosti kod vanjskog pružatelja usluge ili neovlaštenog postupanja osobe koja je već imala pristup podacima. U ovom trenutku ne raspolažem rezultatima tehničke i forenzičke analize pa ne bi bilo profesionalno unaprijed zaključivati gdje je nastao propust niti pojedinačno određivati odgovornost.

Odgovornost je pritom višeslojna. Potrebno je utvrditi tko je bio voditelj obrade, tko izvršitelj obrade, koje su treće strane imale pristup podacima, koje su sigurnosne mjere bile propisane i jesu li se stvarno provodile. Prema informacijama koje je objavio CARNET, Ministarstvo znanosti, obrazovanja i mladih u ovom je slučaju navedeno kao voditelj obrade, a CARNET kao izvršitelj obrade. Konačan odgovor o odgovornosti zato može dati tek nadzor AZOP-a i provedena forenzička istraga. Za provedbu zahtjeva kibernetičke sigurnosti u sektorima obrazovanja i istraživanja nadležno je Ministarstvo znanosti, obrazovanja i mladih, dok je AZOP nadležan za pitanja zaštite osobnih podataka.

'Treba pojačati nadzor'

Postoji li mogućnost upada u sustave upisa ili e-Maticu te kompromitiranja ili mijenjanja podataka?

Ne postoji informacijski sustav za koji se može tvrditi da je potpuno siguran. Mogućnost napada uvijek postoji, ali cilj je primjenom najbolje raspoložive i razmjerne zaštite svesti vjerojatnost uspješnog napada i njegove posljedice na prihvatljivu razinu. Ipak, objava imena, e-mail adresa, naziva škola i korisničkih uloga sama po sebi ne dokazuje da je napadač imao pristup sustavima e-Upisa, e-Matice, e-Dnevnika ili mogućnost mijenjanja podataka. Curenje podataka predstavlja povredu njihove povjerljivosti, dok bi mijenjanje ocjena ili rezultata upisa predstavljalo kompromitaciju cjelovitosti sustava i zahtijevalo bi dodatne ovlasti. Zbog povezanosti obrazovnih sustava potrebno je žurno provjeriti zapisnike aktivnosti, administratorske račune, programska sučelja i eventualno lateralno kretanje napadača između sustava. Posebno tijekom upisa trebalo bi pojačati nadzor neuobičajenih prijava i promjena, uvesti dodatnu provjeru kritičnih izmjena te osigurati nepromjenjive dnevničke zapise iz kojih se može utvrditi tko je, kada i što promijenio.

Kakva bi trebala biti zaštita ovakvih podataka?

Zaštita ne smije ovisiti o jednoj tehnologiji, nego o više međusobno povezanih slojeva. To uključuje minimiziranje količine podataka koji se prikupljaju i razmjenjuju, razdvajanje sustava prema njihovoj namjeni i kritičnosti, višefaktorsku autentifikaciju, strogo upravljanje administratorskim ovlastima, enkripciju podataka, zaštitu programskih sučelja, redovito uklanjanje ranjivosti, nadzor aktivnosti u stvarnom vremenu te sigurne i odvojene sigurnosne kopije. Jednako su važni redoviti sigurnosni testovi, neovisne revizije, provjera vanjskih dobavljača, planovi odgovora na incidente i osposobljavanje zaposlenika.

Napadač se sad može lažno predstaviti

Posebnu pozornost treba posvetiti zaštiti računa s visokim ovlastima te sustavima u kojima se mogu mijenjati ocjene, upisni rezultati ili drugi službeni zapisi. Prema mojem mišljenju, sami objavljeni podaci vjerojatno nemaju veliku izravnu prodajnu vrijednost na crnom tržištu jer, prema trenutačno dostupnim informacijama, ne sadržavaju zaporke, financijske podatke ili identifikacijske brojeve. Međutim, njihova je operativna vrijednost za napadače značajna jer omogućuju vrlo uvjerljive ciljane phishing kampanje.

Napadač sada može sastaviti poruku koja sadržava stvarno ime učenika, naziv škole i službenu adresu te se lažno predstaviti kao škola, CARNET, nastavnik ili služba za upise. Cilj takvih poruka može biti krađa zaporki ili drugih osobnih podataka. Zbog toga učenike, nastavnike i roditelje treba upozoriti da ne otvaraju neočekivane poveznice i privitke, ne dostavljaju podatke za prijavu elektroničkom poštom te da svaku sumnjivu poruku provjere putem službenog komunikacijskog kanala.

Igre na sreću mogu izazvati ovisnost. 18+

Sve što je bitno, na dohvat ruke
Skini aplikaciju za najbolje iskustvo portala. Čitaj, komentiraj i budi uvijek u toku s najnovijim vijestima.
Komentari 11
VIDEO Jaka tuča u Sloveniji: 'Rade se velike kolone, vozači se sklanjaju pod nadvožnjake'
VELIKO NEVRIJEME

VIDEO Jaka tuča u Sloveniji: 'Rade se velike kolone, vozači se sklanjaju pod nadvožnjake'

SLOVENIJA - Strašna tuča pada na autocesti od Ljubljane prema Trstu, rekao nam je čiatelj 24sata. Dodaje kako i dalje pada jaka kiša te se stvaraju kolone zbog vozača koji se opasno sklanjaju pod nadvožnjake na autocesti.
ODOBRITE IM LIJEK DA ŽIVE 'Mi ne tražimo privilegije nego priliku za terapiju i život...'
DJEČACI HITNO TREBAJU SPAS

ODOBRITE IM LIJEK DA ŽIVE 'Mi ne tražimo privilegije nego priliku za terapiju i život...'

HZZO sredinom srpnja odlučuje o lijeku givinostat, koji oboljelima od Duchenneove mišićne distrofije usporava napredovanje bolesti i omogućava hodanje
Milanović ga zove na sastanak zbog Kundida, Plenković odbrusio: 'Neka zove Vučića'
SUKOB OKO KUNDIDA

Milanović ga zove na sastanak zbog Kundida, Plenković odbrusio: 'Neka zove Vučića'

Plenković tvrdi da nikome nije prijetio Kundidu i poručuje da Milanović politizira vojsku, dok se sukob oko slanja vojnika u Pariz dodatno rasplamsava...