Curenje više od pola milijuna imena, prezimena i e-mail adresa učenika, nastavnika i profesora iz baze CARNET-a podiže ranjivost osoba čije su adrese iscurile na takozvane “phishing” napade, ali i otvara pitanje kazne koju bi Agencija za zaštitu osobnih podataka (AZOP) mogla odrediti CARNET-u, kao i naknade koju bi od te institucije mogli tražiti roditelji učenika, a koje bi mogle doseći milijunske iznose.
Hrvatska akademska i istraživačka mreža (CARNET) u priopćenju je potvrdila da je došlo do curenja podataka za više od 563 tisuće korisnika službenih e-mail adresa koje završavaju sa “@skola.hr” – kojima se koriste učenici, nastavnici, profesori i stručno osoblje škola. Podaci koji su preuzeti uključuju imena, prezimena, e-mail adrese i korisničke uloge – dakle za svako ime se može znati je li riječ o učeniku ili djelatniku škole.
Niz opasnosti po učenike
Prema pisanju pojedinih hrvatskih medija, radi se o nešto starijoj bazi podataka, jer se u njoj nalaze i imena učenika koji više nisu u sustavu školovanja, dok nema imena učenika nižih razreda.
Kako nam je ispričao računalni stručnjak Marko Rakar, curenje ovih podataka predstavlja niz opasnosti po učenike čiji su podaci iscurili. “Možeš se pretvarati da si škola ili neka druga ustanova u pokušaju da kroz phishing iskamčiš kakve passworde, ili da ih prevarom nagovoriš na neke uplate. I naravno da ih možeš spamirati”, kazao je Rakar.
Phishing je vrta online prevare u kojoj se žrtve pokušava navesti da otkriju dodatne podatke o sebi ili razotkriju svoje lozinke, najčešće predstavljajući se kao službena osoba ili institucija. Spam je naziv za masovno slanje neželjenih poruka, iza kojih također često stoje prevare. Jednom kada je e-mail adresa javno dostupna, obje vrste napada postaju moguće, a ako se zna da je primatelj dijete, moguće je prilagoditi napad ciljanoj publici.
Internetsko nasilje i ucjene
Antonija Vojnović, voditeljica Odjela za upravljanje, rizike i usklađenost u Spanu kazala je za Women in Adria kako ne bi ulazila u previše detalja oko mogućih scenarija štete, kako “ne bi davala ideje” potencijalnim napadačima.
“Ono što im je sigurno na pameti, osim očitog phishinga, su password spraying i password stuffing napadi. Drugim riječima, sada kada znaju korisničko ime, mogu pokušati pogoditi lozinku”, kazala je Vojnović.
“Ako napadač uspije preuzeti korisnički račun, možda iz njega može izvući informacije koje kasnije može iskoristiti protiv žrtve. Također, kontrolu nad korisničkim računom može koristiti za slanje novih poruka drugim učenicima i nastavnicima. Na taj se način napad može širiti dalje. Kod maloljetnika dodatni rizik predstavljaju internetsko nasilje, ucjene, lažno predstavljanje i pokušaji uspostavljanja neželjenog kontakta”, rekla je Vojnović.
Bitna je jedinstvena lozinka
Ne vjeruje kako bi slanje dodanih upozorenja o opasnosti phishinga moglo pomoći. “Svi ponekad nasjednemo na dobro osmišljenu poruku. To je ljudska priroda”, kazala je. “Praktičnije je naučiti djecu da školski račun koriste isključivo za školu. Da preko njega ne dijele nepotrebne osobne podatke i da ga ne koriste za registraciju na društvene mreže, igre i druge servise”, dodala je.
Vojnović je upozorila kako je najvažnije da lozinka za školski račun bude jedinstvena i da se ne koristi na drugim mjestima. “Jer na taj način ako jednog dana netko (napadač) dođe do tog računa, ne bi trebao automatski dobiti pristup Instagramu, TikToku, Robloxu ili drugim računima koje dijete koristi”, objasnila je.
Na pitanje što sada roditelji mogu učiniti da zaštite svoju djecu, Rakar je bio ciničan. “Preselite se u neku državu gdje su podaci sigurniji, no sada je kasno”, rekao je.
Moguće milijunske kazne
Stručnjakinja za GDPR Marija Bošković Batarelo upozorila je da AZOP može kazniti CARNET nakon završetka istrage, ali i da oštećene osobe mogu zatražiti naknadu štete.
“CARNET je, kao voditelj obrade, odgovoran za primjenu odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka”, pojasnila je Bošković Batarelo. Institucija je dužna i prijaviti svaku povredu osobnih podataka AZOP-u u roku od 72 sata. AZOP je jučer u priopćenju izvijestio kako je započeo istragu, ali i napomenuo kako CARNET do sada nije prijavio povredu.
“U slučaju nepostojanje takvih mjera ili neprijavljivanje u roku od 72 sata, Agencija za zaštitu osobnih podataka može izreći upravnu novčanu kaznu do 10 milijuna eura ili 2% godišnjeg prometa”, kazala je Bošković Batarelo.
U dosadašnjoj praksi AZOP-a, određena je kazna od 5,47 milijuna eura EOS Matrixu zbog nedovoljnih sigurnosnih mjera, te 101.000 eura Hrvatskom uredu za osiguranje zbog curenja podataka vlasnika vozila.
Naknada štete do 10.000 eura
Bošković Batarelo ističe i kako pogođene osobe – učenici, njihovi roditelji i nastavnici – mogu tužiti CARNET za naknadu štete. “Obično se u ovakvim slučajevima upućuje pisani zahtjev direktno voditelju obrade i pokuša se postići nagodba mirnim putem. Ako nema odgovora ili dogovor nije postignut, podnosi se tužba na nadležnom općinskom sudu u Hrvatskoj”, kazala je i dodala kako udruge za zaštitu potrošača mogu zastupati više osoba zajedno.
Prema Bošković Batarelo, iznosi naknade u ovakvim slučajevima najčešće iznose od 1.000 do 10.000 eura, a visina ovisi o trajanju i intenzitetu štete, dobi oštećenika i slično.
I AZOP je u svojem priopćenju u kojem je najavio pokretanje istrage upozorio i roditelje djece na opasnost phishing napada.
“Upozoravamo na mogućnost povećanog broja phishing napada te drugih oblika internetskih prijevara usmjerenih prema navedenim korisnicima. Posebno pozivamo roditelje da obrate pozornost na poruke koje će učenici zaprimati na svoje e-mail adrese te da djecu upozore na moguće pokušaje prijevare. Roditeljima preporučujemo da razgovaraju s djecom o sigurnosti te da ih upozore da ne otvaraju sumnjive poveznice niti dijele korisnička imena, lozinke ili druge osobne podatke putem elektroničke pošte”, kazali su iz AZOP-a.
