Autor je Lucijan Carić, stručnjak za internetsku sigurnost. Komentira otkriće Indexa da su iz agencije za naplatu potraživanja B2 Kapital u javnost procurili osobni podaci 77.317 fizičkih osoba. Riječ je o dosad najvećem curenju osobnih podataka u Hrvatskoj.
OVAJ slučaj sigurno je najveći sigurnosni incident vezan uz informacijske tehnologije u povijesti Hrvatske, bar onaj za koji smo doznali.
Neovlašteni odljev velike količine podataka sam je po sebi uvijek sigurnosni incident, pogotovo kada se radi o osobnim podacima građana. Čak i ako dozvolimo da je do sada možda bilo i većih kompromitacija osobnih podataka građana, ova ih sve nadmašuje po strukturi podataka jer su kompromitirani financijski podaci pogođenih građana.
Traumatično iskustvo
Cijelu situaciju pogoršava to što se među onima čiji su financijski podaci kompromitirani vrlo izvjesno nalaze javne i politički izložene osobe, kao i mnoge osobe koje pripadaju ranjivim populacijama. Sama situacija da imate dug koji ne možete isplatiti ili ga teško isplaćujete stresna je i čini vas ranjivijim već samo po toj osnovi, a saznanje da su ti vaši podaci kompromitirani i dostupni tko zna kome dodatno je traumatična.
Pored toga, tu je pitanje izvora podataka. Ako je agencija za naplatu potraživanja podatke pribavila od banaka, ti su podaci zapravo bankarska tajna. Ako su pribavljeni od poslovnih subjekata, onda su predstavljali poslovnu tajnu. Sama činjenica da su ti podaci javno dostupni teško je kršenje Opće uredbe o zaštiti podataka, famoznog GDPR-a, ali moguće i drugih posebnih propisa.
Nebitno je je li riječ o hakerskom napadu, odnosno kako su ukradeni
Naposljetku, analizirajmo koliki je broj žrtava. Ne znamo o koliko građana agencije imaju osobne podatke, ukupno i pojedinačno. No javno je dostupan podatak kako je krajem studenoga ove godine bilo blokirano 230.687 građana. Ako pretpostavimo da sve agencije ukupno raspolažu podacima o tom broju građana, samo u ovom incidentu, iz jedne jedine agencije, "iscurila" je trećina ukupnih podataka.
Slijedom toga, mislim da je lako pretpostaviti kako se radi o incidentu u kojem su podaci te agencije u potpunosti ili gotovo u potpunosti kompromitirani. S tim da sam način na koji je došlo do kompromitacije podataka nije bitan.
Dakle, potpuno je nebitno kako je došlo do kompromitacije podataka. Ako je to posljedica hakerskog napada – kako ste se od takvih napada štitili? Ako su podaci ukradeni iznutra – kako ste to dozvolili?
Čak i ako su podaci kompromitirani kod neke treće strane, vi ste temeljem GDPR-a i dalje odgovorni. Najgora mogućnost je da se tim podacima "službeno" krčmi i da se "na crno", "na sivo" – ili najgore – "na bijelo" daju raznim povezanim ili "zainteresiranim" poslovnim subjektima i osobama.
Europska praksa kažnjavanja
Ovdje GDPR pretpostavlja odgovornost onog tko podatke posjeduje i obrađuje. Štoviše, odgovorni su svi u tom lancu, onaj tko je vama podatke predao, npr. banka ili telekom, kao i oni kojima ste ih vi u okviru svoje funkcije predali pa su ih oni eventualno kompromitirali. Pored toga, već postoji europska praksa kažnjavanja sličnih odljeva podataka bez obzira na uzrok. Odgovornost onih koji izgube podatke se pretpostavlja i oni moraju dokazati da nisu odgovorni za gubitak podataka kako bi eventualno umanjili ili izbjegli odgovornost.
Ovo je u praksi, mislim, prilično teško izvedivo jer iz iskustva i javno dostupnih slučajeva znamo da nijedna pogođena institucija u povijesti nije priznala sigurnosne propuste, već je u pravilu tvrdila kako ima sveobuhvatne i stroge mjere zaštite podataka, a na kraju se pokazalo da baš i nije bilo tako.
Možemo biti prilično sigurni kako se ovdje, u cijelom tom lancu baratanja osobnim podacima građana, radi ne samo o povredi GDPR-a već i druge specijalne regulative te da, pored materijalne odgovornosti – koja je zapravo neupitna – postavlja se pitanje počinjenja ozbiljnih kaznenih djela.
Banke predaju podatke agencijama koje su praktički neregulirane
U svakom slučaju, na Agenciji za zaštitu osobnih podataka, MUP-u, DORH-u i po potrebi USKOK-u je da odrade svoj posao. Ovo će gotovo sigurno biti "milestone" na području zaštite podataka u Hrvatskoj. Tu je i problem nepostojanja regulative rada agencija za naplatu potraživanja.
Tako imamo paradoksalnu situaciju da banke, koje su nazivno strogo regulirane, predaju podatke agencijama koje su praktički neregulirane. Nešto što je u banci predstavljalo bankarsku tajnu tako na kraju postaje osobni podatak s kojim se, u najmanju ruku, lakonski i neodgovorno postupa.
Da ne govorimo o tome kako je izvor mnogih podataka koje agencije posjeduju također upitan, kao i poslovne prakse kojima se koriste – recimo nazivanje s dužnikom upitno povezanih i nepovezanih fizičkih osoba, kao što su prijatelji ili susjedi. Odakle im ti podaci, drže li podatke o tim osobama također u svojim bazama i jesu li i ti podaci sada isto kompromitirani?
Drakonske kazne
U ovom trenutku teško je sagledati opseg odgovornosti. Tako je moguće da banke, recimo, budu odgovorne po više osnova. Ne samo zbog povrede GDPR-a već i zbog povrede propisa o bankarskoj tajni.
Pogledamo li broj oštećenih osoba, čak ako uzmemo mogućnost da sudovi dosude neku relativno simboličnu odštetu svakom pogođenom građaninu, npr. 500 eura, tu već gledamo iznos od 35 milijuna eura u odštetama, bez sudskih, odvjetničkih i drugih troškova. Naravno, temeljem GDPR-a, moguće su i drakonske kazne za sve odgovorne.
*Stavovi izneseni u kolumnama i komentarima su osobni stavovi autora i ne odražavaju nužno stav redakcije Index.hr portala