Poverenik je 21. juna uputio dopis Republičkom geodetskom zavodu kojim zahteva informacije da li je tokom hakerskog napada došlo do ugrožavanja podataka o ličnosti, potvrdio je Poverenik Milan Marinović za BIRN. Ukoliko je došlo do povrede privatnosti, podseća Marinović, zakonska obaveza Republičkog geodetskog zavoda je da o tome obavesti Poverenika najkasnije u roku od tri dana, kao i da bez odlaganja obavesti i sva lica čiji su podaci ugroženi.
“U ovom trenutku ne znam posledice hakerskog napada. Postoje hakerski napadi gde vam uzmu i zaključaju podatke, a postoji mogućnost da podaci samo budu zaključani, a da niko ne dođe u posed, već da rukovalac podacima bude u problemu zato što ne može da ih otključa”, zaključuje Marinović i ističe da je u ovom trenutku prioritet da Republički geodetski zavod odgovori da li došlo do ugrožavanja podataka i narušavanja privatnosti.
Marinović ističe da Republički geodetski zavod ima rok do ponedeljka da odgovori da li je došlo do povrede privatnosti, od čega zavisi pokretanje vanrednog inspekcijkog nadzora.
“Ako Republički geodetski zavod kaže da je došlo do kompromitacije podataka o ličnosti pokrenućemo vanredni inspekcijski nadzor, ako kažu da nije, možemo pokrenuti nadzor, ali nismo u obavezi”, objašnjava Marinović šta su naredni koraci službe Poverenika u vezi sa ovim slučajem.
Sama činjenica da podaci nisu dostupni na sajtu Republičkog geodetskog zavoda je povreda podataka o ličnosti (data breach) zbog koje postoji obaveza obaveštavanja Poverenika, smatra ekspertkinja za zaštitu podataka o ličnosti Nevena Ružić.
“U ovom slučaju radi se o povredi pristupačnosti podataka (availability breach) što je par excellence povreda podataka o ličnosti”, objašnjava Ružić i dodaje da u takvim situacijama automatski treba obavestiti Poverenika, a posebno zato što se u konkretnom slučaju radi o celokupnoj bazi.
Ružić ističe da je samo neprijavljivanje povrede podataka o ličnosti prekršaj prema Zakonu o zaštiti podataka o ličnosti.
Iz RGZ-a za BIRN nisu potvrdili da li je stigao dopis Poverenika kojim se zahteva da odgovore da li su lični podaci ugroženi hakerskim napadom, kao i kada će odgovoriti na ova pitanja.
“Izjave za medije dajemo isključivo u programu uživo pred TV kamerama, bilo da je reč o studiju ili sa terena”, rečeno je novinarima BIRN-a iz Republičkog geodetskog zavoda.
Na pitanje BIRN-a da li je tokom hakerskog napada došlo do povrede ličnih podataka iz RGZ-a ponovili su da je baza potpuno bezbedna i da su podaci preventivno zaključani, a kao dokaz da je sve funkcionalno navode kako notari već treći dan neometano rade.
Bazi podataka Republičkog geodetskog zavoda za sada pristup imaju samo državne institucije – ministarstva, jedinice lokalne samouprave i javni beležnici preko sistema Ministarstva pravde, prema poslednjim informacijama objavljenim na sajtu RGZ. Na ovaj način omogućeno je funkcionisanje tržišta nepokretnosti, kao i podnošenje zahteva za izdavanje građevinske dozvole putem Centralne evidencije objedinjenih procedura. Građani još uvek nemaju pristup bazama RGZ-a pretragom eKatastra nepokretnosti.
Javnost je takođe uskraćena za preciznu informaciju o vrsti hakerskog napada. BIRN je ovo pokušao da sazna od Tužioca za visokotehnološki kriminal Branka Stamenkovića koji je rekao da neće davati izjave medijima zato što je istraga u toku.
Stamenković je ranije ocenio za RTS da se radi “o plasiranju malicioznog programa koji je posebno programiran da načini štetu na kompjuterskim podacima time što ih zaključava do određene dubine. U zamenu za ključ, koji bi trebalo da otključa te podatke, traži se određena vrsta novca ili neke novčane vrednosti”.
Stamenković je 20. juna za dnevni list Danas rekao da se sumnja da je u RGZ ubačen virus, odnosno da je “nepoznato lice izvršilo krivično delo Pravljenje i unošenje računarskih virusa iz čl. 300 u sticaju sa krivičnim delom Računarska sabotaža iz čl. 299 Krivičnog zakonika Republike Srbije“.
Iz Nacionalnog centra za prevenciju bezbednosnih rizika u IKT objašnjavaju da se zlonamerni softver (malver) koji onemogućava pristup računaru i podacima žrtve naziva ransomever.
Napad najčešće prati poruka da je za pristup računaru i podacima potrebno uplatiti određeni iznos (ransom-otkupninu) u novcu ili kripto valutama, objašnjavaju iz Nacionalnog CERT-a i dodaju da se najčešće se distribuira fišing porukom koja sadrži zaraženi prilog i kada ga primalac poruke otvori aktivira se ovaj malver koji u pozadini zaključava datoteke.
Pored toga postoje i drugi načini zaražavanja ransomverom, kao što je posećivanje zaraženih internet stranica ili korišćenje zaraženog USB uređaja, a glavna karakteristika ove vrste napada je onemogućavanje redovnog funkcionisanja u dužem vremenskom periodu, objašnjavaju iz CERT-a BIRN.
Savet Nacionalnog CERT-a jeste da se otkupnina ne plaća, jer ne samo da plaćanje ne garantuje da će podaci zaista i biti otključani, već se na ovaj način i finansira sajber kriminal.
Lični podaci su često meta napadača zbog mogućnosti prodaje na Dark Web-u, ističu iz CERT-a, kao i da na ugroženost podataka utiče puno faktora, deo infrastrukture koji je napadnut, mere zaštite koje su primenjene i mogućnost širenja.
U Srbiji je, prema evidenciji CERT-a, zabeleženo više ransomver napada. Tokom 2020.godine prijavljeno je ukupno 276 incidenata od čega je 9% bio ransomver, dok je tokom 2021. godine prijavljeno je 280 incidenata od čega 2% ransomver napada, objašnjavaju iz Nacionalnog CERT-a i dodaju da je globalno smanjen broj ransomvera, ali da njihova sofisticiranost raste pa su posledice napada posledice sve veće i veće.
Poslednji slučaj rensomver napada na javne institucije u Srbiji zabeležen je tokom 2020. godine kada su zaključani fajlovi na serverima i računarima JP Informatika iz Novog Sada. U zamenu za ključ, traženo je da se uplati 50 bitkoina. Otkupnina nije plaćena, a sistem je ponovo izgrađen.
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti nadzorom je utvrdio da podaci građana nisu bili meta napada na JP Inforormatika, već da su bili ugroženi lični podaci zaposlenih, kako se navodi u dokumentima iz nadzora do kojih je došla fondacija Share.