Korisničko ime i lozinka za pristup Informacionom sistemu Covid – 19 bili su osam dana javno dostupni na sajtu jedne zdravstvene ustanove. To je period dovoljan da se ova stranica indeksira na guglu, i mada nije bila vidljiva na sajtu, do nje je moglo da se dođe internet pretragom. Do ovog otkrića istraživači SHARE Fondacije su došli 17. aprila i odmah su obavestili nadležne.

Foto: SHARE Fondacija

Informacioni sistem Covid – 19 je centralizovan softver za unos, analizu i čuvanje podataka o svim osobama koje se prate u cilju kontrole i suzbijanja pandemije u Srbiji.

Kako se došlo do ovih podataka?

Od proglašenja vanrednog stanja, Vlada Srbije je preduzela brojne mere u borbi protiv pandemije, što podrazumeva prikupljanje i obradu podataka o ličnosti u novim okolnostima. Javnost se sa ovim merama upoznavala kroz šture i nejasne zaključke Vlade, u kojima nije precizno utvrđeno ko i kako treba da obrađuje podatke građana.

U pokušaju da razumeju sve tokove podataka i implikacije po prava građana, istraživali su novi normativni okvir kroz javno dostupne izvore. Pretragom ključnih reči na guglu, sasvim slučajno, došli su do stranice na kojoj su se nalazili pristupni podaci za Informacioni sistem Covid-19. Podaci su bili postavljeni 9. aprila.

Pored toga, uspeli su i da dođu do upustva za korišćenje i stranice za centralizovanu prijavu na sistem.

Koji podaci su bili izloženi riziku?

Prema Zaključku vlade o uspostavljanju Informacionog sistema Covid-19, čitav niz nadležnih zdravstvenih institucija obavezan je da u ovom programu vodi podatke o ljudima koji su izlečeni, preminuli i testirani (bilo da su pozitivni ili negativni), kao i o ljudima na lečenju, onima kojima je izrečena mera samoizolacije ili smeštaja u privremenim bolnicama, sa podacima o njihovoj lokaciji. U sistemu se takođe nalaze podaci o osobama koje su mogući nosioci virusa zbog kontakta sa obolelima. Ustanove su obavezne da podatke ažuriraju na dnevnom nivou, a izveštaj koji se čita svaki dan u 15h se bazira na podacima iz ovog sistema.

Dok su istraživači SHARE Fondacije pokušavali da dođu do dokumenata koji razjašnjavaju kako se naši podaci čuvaju, ni slutili nisu da će doći do pristupne šifre i mogućnosti da uđu u sistem, kao i svako ko je možda došao do ovih stranica. Odmah je bilo jasno da su najosetljiviji podaci naših sugrađana ugroženi, a da se integritet sistema od ključnog značaja za borbu protiv pandemije ne može garantovati.

Nisu pokušali da se uloguju na sistem koji bi takav pokušaj ionako zabeležio, već su slučaj prijavili nadležnim organima: Poverniku za informacije od javnog značaja i zaštitu podataka o ličnosti, Nacionalnom CERT-u i Ministarstvu trgovine, turizma i telekomunikacija. Svesni rizika od zloupotrebe pristupa osetljivim podacima građana, odlučili su da javnost obaveste o incidentu tek pošto se uvere da su nadležni onemogućili neovlašćen pristup sistemu.

Foto: SHARE Fondacija

Kako su nadležni reagovali?

Manje od sat vremena nakon prijave, istraživači SHARE Fondacije su obavešteni da su preduzeti inicijalni koraci kao odgovor na incident, pa su se i sami uverili da stranica sa korisničkim imenom i lozinkom više nije javno dostupna.

Od nadležnih organa očekuju dalje postupanje u ovom slučaju. Poverenik ima ovlašćenja da pokrene nadzor u skladu sa Zakonom o zaštiti podataka o ličnosti, resorno ministarstvo je nadležno za inspekcijski nadzor u skladu sa Zakonom o informacionoj bezbednosti, dok Nacionalni CERT ima obavezu pružanja saveta i preporuka u slučaju incidenata.

Ko je kriv?

Svesni pritiska koji trpe medicinske službe u jeku borbe protiv pandemije, složni su da je zasad najcelishodnije ne objavljivati informacije o ustanovi u kojoj se incident desio. S druge strane, nesumnjivo je reč o incidentu čija težina zahteva utvrđivanje odgovornosti.

Domaći pravni okvir predviđa razne mehanizme kako bi se ovakve situacije predupredile, ali su prilike na terenu često daleko od propisanih standarda. Iako dolaze u dodir sa izuzetno osetljivim podacima, zdravstveni radnici najčešće nisu u potpunosti upoznati sa svim rizicima, posebno u eri digitalizacije. Obaveza zdravstvenih ustanova je da imenuju lice za zaštitu podataka o ličnosti, ali se usled ograničenih resursa na ove pozicije često imenuju nedovoljno obučene osobe, čiji je primarni posao često u sasvim drugom domenu. U ovom slučaju je lice za zaštitu podataka mogao biti i neko ko se svakodnevno brine o osobama zaraženim koronom.

Budući da zaštita podataka danas zahteva i učešće IT stručnjaka, to za budžete ustanova javnog zdravstva predstavlja dodatno opterećenje. Ponekad to znači da isti ljudi brinu o svim tehničkim pitanjima u ustanovi, dok su daleko slabije plaćeni od kolega u privatnom sektoru, bez mogućnosti usavršavanja u oblasti informacione bezbednosti.

Informacioni sistem Covid-19 koji je propisala Vlada, po svojoj prirodi predstavlja centralnu tačku u kompleksnoj arhitekturi za prikupljanje i obradu svih propisanih podataka. Prikupljanje podataka se odvija kroz različite kanale, dok je pojedinačna zdravstvena ustanova samo jedna od ulaznih tačaka u sistem. U takvom sistemu, jako je teško implementirati mere zaštite na nivou ulaznih tačaka, već ih treba definisati na centralnom nivou. Time se rizik od incidenata značajno smanjuje.  Na osnovu ovog slučaja, došlo se do zaključka da je za svaku od zdravstvenih ustanova kreiran samo jedan korisnički nalog, čime nije predviđena mogućnost utvrđivanja individualne odgovornosti za zloupotrebu sistema.

Kako je trebalo postupiti?

Nesumnjivo je da je reč o IKT sistemu od posebnog značaja u kome se obrađuju posebne kategorije podataka o ličnosti, što znači da je prilikom njegovog razvoja i implementacije trebalo preduzeti sve mere propisane Zakonom o informacionoj bezbednosti i Zakonom o zaštiti podataka o ličnosti. SHARE Fondacija se detaljno bavila ovim merama u svom Vodiču za zaštitu podataka o ličnosti i Vodiču za IKT sisteme od posebnog značaja.

U svakom slučaju neophodno je u potpunosti primeniti principe privacy by design i security by design, koji pri definisanju pristupa podrazumevaju:

  • Svaki korisnik sistema ima svoj nalog za pristup
  • Svaki korisnik sistema ima ovlašćenja za obradu samo onih podataka koji su neophodni za njegov rad
  • Šifre za pristup se ne objavljuju putem javne mreže
  • Postoji standard o složenosti šifre
  • Ograničen je broj unosa pogrešne šifre

Nasumično otkriće na guglu otkrilo je nepoštovanje standarda bezbednosti i zaštite podataka u javnom zdravstvenom sistemu. Vanredno stanje zbog pandemije svakako ne može biti izgovor za loše obavljen posao, kao ni prepreka da se odmah sprovede detaljna analiza usklađenosti Informacionog sistema Covid-19 sa bezbednosnim standardima.

Izvor: SHARE Fondacija