Brojni savjeti o tome kako ne treba osobne podatke otkrivati nepoznatim osobama putem interneta, postaju beskorisni kada hakerskim napadima oni koji nemaju poštene namjere mogu na jednostavan način dobiti na milijune osobnih podataka fizičkih osoba iz baza nekih velikih državnih ili korporacijskih informatičkih sustava. Nedavni događaji i serija kibernetičkih napada koji su usmjereni na institucije, tijela i javna poduzeća ne pokazuju smanjenje trenda. Važnost primjene kibernetičke sigurnosti i odgovarajuća implementacija GDPR su važni za sve subjekte, jer upravo na tim osnovama se razlikuju učinci takvih prijetnji.

– Kada govorimo o javnim tvrtkama, institucijama i tijelima, koja nerijetko posjeduju znatno širi opseg naših osobnih podataka i procedure čijom kompromitacijom može doći do ozbiljnih zastoja u javnim uslugama, tada učinak takvih ostvarenih prijetnji može imati negativan učinak, ne samo na osobne podatke nas pojedinaca, nego i na zakonski obvezno pružanje javnih usluga, kaže Ines Krečak, predsjednica Hrvatskog centra za zaštitu osobnih podataka Feralis i predstavnica Hrvatske u Europskoj federaciji službenika za zaštitu podataka.

Prvi takav primjer je nedavni kibernetički napad na jedan zagrebački KBC, gdje je pored gubitka osobnih podataka, uključujući i one posebno štićene kategorije – zdravstvene podatke, negativni učinak takvog napada bio i poremećaj u procedurama i listama termina za određene terapije. Primjer imamo i na našem području, tako je Grad Delnice obavijestio na svojim web stranicama da je pod hakerskim napadom i da se poduzimaju mjere za normalizaciju poslovanja.

Raste broj napada

– Broj hakerskih napada nedvojbeno raste, a veća otpornost na te prijetnje očekuje se od uspješne implementacije novog zakona o kibernetičkoj sigurnosti (NIS2). Ova regulativa obvezuje sve ključne i važne subjekte koji pružaju usluge potrebne za normalno funkcioniranje društva, gospodarstva i unutarnjeg tržišta na uspostavu posebnih mjera kako bi se takvi napadi sveli na što manju mjeru. Međutim, i dalje postoji značajan prostor za različita tumačenja o tome što sve čini kritičnu infrastrukturu, tko se smatra pružateljem ključnih i važnih usluga. Naime, Hrvatska za sada nije izričito definirala te subjekte, već je pružila opće kriterije za njihovo utvrđivanje, što u praksi može predstavljati nedostatak, kaže Krečak, međunarodna stručnjakinja u zaštiti podataka, što dokazuje i njezin CIPP/E certifikat koji se odnosi na znanje koje se mora imati u vezi s europskim pravnim okvirom zakonodavstva u zaštiti podataka i privatnosti.

Naime, ispravna primjena GDPR-a ima snažan utjecaj na zaštitu podataka i obuhvaća sve subjekte koji obrađuju osobne podatke, neovisno o njihovoj vrsti i djelatnosti. GDPR već više od šest godina postavlja određene zahtjeve za zaštitu osobnih podataka pred sve organizacije, neovisno radi li se o pružateljima ključnih usluga, javnopravnom tijelu, gradu, općini, tvrtki, udruzi, obrtu ili pak drugom subjektu koji obrađuje osobne podatke u poslovne svrhe. Iako sam GDPR često ima negativnu konotaciju među građanima, ispravna primjena njegovih zahtjeva zasigurno bitno utječe na zaštitu osobnih podataka i sigurnosti obrade.

Ispravna primjena

– Prema dosadašnjem iskustvu, mnogi subjekti u privatnom sektoru u strahu od visokih kazni, poduzeli su brojne mjere u skladu s GDPR zahtjevima kako bi osigurali sigurnu obradu osobnih podataka. Neki od njih su u tome vrlo vješti i postigli su zavidnu razinu sigurnosti, dok drugi koriste generička rješenja koja nisu uvijek prikladna. Svaki subjekt mora uspostaviti mjere koje odgovaraju njegovim specifičnim potrebama i mogućnostima, jer ne postoje dva identična subjekta. Iako se bave istom djelatnošću, uvijek će postojati razlike u kapacitetu za implementaciju mjera, a okolnosti poslovanja nikada nisu potpuno iste. U tome leži najveći problem generičkih ili kako ih najčešće zovemo »copy/paste« GDPR rješenja. Kada se mjere implementiraju u skladu sa stvarnim potrebama i mogućnostima, i takve mjere se redovno preispituju i održavaju kako to GDPR i zahtijeva, onda su i rezultati zadovoljavajući, napominje Krečak.

Prema dosadašnjem iskustvu, usklađenost javnog sektora s GDPR-om značajno zaostaje u usporedbi s privatnim sektorom.

– Kao hrvatski predstavnici u Europskoj federaciji službenika za zaštitu podataka, imali smo priliku surađivati s nadzornim tijelom na projektu usklađivanja nacionalnog sustava e-Građani, čime smo građanima omogućili lakše korištenje sustava uklanjanjem nepotrebnih privola. Također smo radili na drugim projektima od javnog interesa. Iako su to važni koraci, oni predstavljaju tek mali dio u odnosu na sveobuhvatno iskustvo koje imamo s jedinicama lokalne uprave i samouprave te njihovim organizacijama, što nam je omogućilo bolje razumijevanje postupanja s osobnim podacima u javnom sektoru, ali i ukazalo na ključne probleme kada govorimo o primjeni GDPR-a, objašnjava Krečak.

Jedan od najvećih problema, uz nedovoljno rigorozno kažnjavanje, jest nedostatak adekvatne edukacije službenika za zaštitu podataka u javnom sektoru. U većini slučajeva, ti su službenici također zaposleni na drugim poslovima, ostavljajući im malo ili ništa prostora za zaštitu podataka. Uz to, nisu prošli odgovarajuću stručnu obuku koja bi im pružila primjenjivo znanje.

Temeljna slabost

– Iako je naše nadzorno tijelo organiziralo brojne edukacije, one su bile usmjerene prvenstveno na tumačenje i razumijevanje same regulative, te pružanje općih uputa za postupanje primjenjivo na gotovo sve poslovne subjekte. Nakon tih edukacija, službenici se vraćaju u svoje urede s vrijednim znanjem, ali često ne znaju kako praktično primijeniti naučeno niti odakle započeti. Ovo predstavlja temeljnu slabost i otežava javnom sektoru da brzo i adekvatno reagira na incidentne situacije poput hakerskih napada. U takvim slučajevima, ljudski faktor se pokazuje kao najslabija karika, kaže Krečak.

Uloga i spremnost službenika za zaštitu podataka da brzo i ispravno reagiraju te da se uspostave jasne i jednostavne procedure za takve situacije od ključne su važnosti. Česta praksa imenovanja službenika za zaštitu podataka samo radi zadovoljavanja formalnih zahtjeva također predstavlja veliku slabost takvih sustava. Pridržavanje GDPR odredbi zahtijeva da svaki imenovani službenik ima odvojeno vrijeme samo za poslove zaštite osobnih podataka te da redovito pohađa stručne edukacije, što bi omogućilo službenicima da stvarno, a ne samo formalno utječu na uspostavu adekvatnih mjera i procedura zaštite i time osiguraju zaštitu podataka.

– Sposobnost brzog i ispravnog reagiranja ključna je za zaštitu podataka u slučaju incidenta. To nas vraća na temeljne zahtjeve, uspostavu adekvatnih mjera zaštite i stručnost službenika za zaštitu podataka. Ova se tvrdnja potvrđuje činjenicom da javnost dosad nije dobila detaljne informacije od hakiranih subjekata o osobnim podacima kojima je neovlašteno pristupljeno. Nema jasnih informacija o kategorijama osobnih podataka koje su zahvaćene, je li prijava podnesena nadzornom tijelu AZOP-u u roku od 72 sata, niti o poduzetim mjerama nakon incidenta. Također, nema adekvatne obavijesti upućene pogođenim građanima, što sve zahtijeva Opća uredba o zaštiti podataka (GDPR), kaže Krečak.

Zakašnjela i neadekvatna reakcija između ostalog dovodi do gubitka i kompromitacije osobnih podataka građana i zaposlenika u najvećem mogućem opsegu, poremećaja ili dužeg vremenskog zastoja u pružanju usluga, produžuje se vrijeme i neizvjesnost u potpuni oporavak, probijaju se zakonski rokovi za izvršenje usluga i obveza subjekta prema drugim dionicima na tržištu i prema građanima, a tu je i rizik od naknadnih tužbi i sudskih postupaka zbog pretrpljene materijalne i nematerijalne štete trećih strana, izazvane ustanovljenim propustima u implementaciji, prioritetno informacijske sigurnosti i GDPR-a.

GDPR – više od privole i kolačića

Iako je GDPR za mnoge još uvijek djelomično nepoznanica, često se svodi na simbol za privolu ili kolačiće na web stranici. Za poduzetnike, GDPR donosi prizvuk visokih kazni i dodatnog opterećenja. Međutim, ispravna primjena GDPR-a, koja ne uključuje samo formalno zadovoljavanje zahtjeva, u interesu je svih nas.

– Kada je bolnica hakirana, možda su tamo i naši podaci ili podaci naših bližnjih, vjerujemo da biste to željeli znati. Ili ste zbog hakerskog napada i neovlaštenog pristupa osobnim podacima morali propustiti let? Možda su i vaši podaci kompromitirani kao dio neke digitalne arhive. Možda sami obrađujete osobne podatke, bilo da se radi o zaposlenicima, klijentima, učenicima ili članovima nogometnog kluba.

Jesmo li uspostavili adekvatne mjere zaštite ili koristimo »copy/paste« rješenja? Muke po GDPR-u. Trebamo se samo sjetiti da smo svi mi negdje »osobni podatak« koji se obrađuje. To onda bitno mijenja percepciju, zar ne?, zaključuje Ines Krečak, predsjednica Hrvatskog centra za zaštitu osobnih podataka Feralis i predstavnica RH u Europskoj federaciji službenika za zaštitu podataka.

Neažurirani antivirusni programi – veliki problem

– U slučaju incidenta na kojem radimo, haker je pristupio bazama podataka koje sadrže digitalnu arhivu, osobne podatke i dokumente zaposlenika, te predmete koji se odnose na zahtjeve građana. U tako kratkom vremenu nije moguće sa sigurnošću utvrditi je li došlo do neovlaštenog pristupa, jesu li podaci otuđeni ili je riječ samo o zaključavanju podataka. Ipak, GDPR obvezuje na određene korake čak i kad nema konkretnih informacija o neovlaštenom pristupu, već postoji samo mogućnost za to.

Važno je naglasiti da GDPR definira čak i privremenu nedostupnost podataka kao povredu osobnih podataka, koja zahtijeva odgovarajuće postupanje. Vjerujemo da se u ovim slučajevima ne radi o namjernom propuštanju GDPR zahtjeva, već o nedostatku znanja i svijesti o važnosti pridržavanja propisanih procedura. Važno je napomenuti da nedovoljna spremnost i razina otpornosti javnih tvrtki, tijela i institucija na hakerske napade može, osim gubitka osobnih podataka velikog broja građana, dovesti do ozbiljnih posljedica poput direktne ugroze života pojedinaca (posebno u ranjivim skupinama), poremećaja u javnom životu i paralize javnih servisa.

Postoje moćne hakerske grupe koje mogu nadmašiti i visoko sofisticirane kibernetičke sustave sigurnosti. Ono što ne bi smjelo postojati su subjekti koji, primjerice, koriste neažurirane antivirusne programe i firewall, nemaju sigurnosne kopije i backup procedure te općenito ne provode kibernetičku sigurnost. Također, često im nedostaje primjerena razina trajne usklađenosti s GDPR-om u poslovanju, uključujući stručnog i educiranog službenika za zaštitu podataka, kaže Ines Krečak, predstavnica Hrvatske u Europskoj federaciji službenika za zaštitu podataka.

Nedostatak stručnjaka i zaštite u javnom sektoru

Ines Krečak, predsjednica Hrvatskog centra za zaštitu osobnih podataka Feralis i predstavnica Hrvatske u Europskoj federaciji službenika za zaštitu podataka napominje da, prema dostupnim informacijama iz medija, nije vidljivo da je ijedna od hakiranih organizacija postupila u potpunosti u skladu s člankom 33. GDPR-a, koji zahtijeva podnošenje izvješća i obavijesti nadzornom tijelu, ali i obavještavanje osoba čiji su podaci povrijeđeni.

Prema smjernicama, kada krug pogođenih osoba nije poznat, obavještavanje se obično obavlja putem medija. Takve obavijesti trebale bi sadržavati najmanje informacije o prirodi povrede osobnih podataka, kategorijama podataka i približnom broju pogođenih osoba, informacije o službeniku za zaštitu podataka ili drugoj kontaktnoj točki za detaljne informacije o incidentu, te informacije o poduzetim i planiranim mjerama za rješavanje incidenta. Prema dosadašnjem iskustvu, obično je riječ o nenamjernom propustu uzrokovanom neznanjem.

– Mišljenja sam da država nije provela adekvatno stručno educiranje službenika za zaštitu podataka u javnom sektoru, niti im je osigurala uvjete rada koje zahtjeva GDPR. Istina je da je nadzorno tijelo organiziralo brojne edukacije, ali one su uglavnom bile usmjerene na stručno tumačenje regulative s naglaskom na privatni sektor.

Važno je napomenuti da organizacije u javnom sektoru svakodnevno obrađuju iznimno velike količine osobnih podataka građana, te bi upravo takvi službenici za zaštitu podataka trebali biti najstručniji u ovom području. Međutim, u praksi je situacija drugačija – javni sektor često predstavlja najslabiju kariku u zaštiti podataka, s nedostatkom stručnjaka i adekvatnih zaštitnih mjera, ističe Krečak. Kako kaže, njih ne treba napadati haker – to može učiniti i dijete.

Prijavom policiji problem nije riješen

Prema medijskim objavama među hakiranom dokumentacijom bili su ne samo poslovni već i osobni podaci (uključujući i posebno štićenu kategoriju podataka kao što su podaci o zdravlju) te da u tom slučaju GDPR propisuje određeni način postupanja i što do sada baš nitko nije niti spomenuo niti objavio da se postupilo, a što je temeljni zahtjev GDPR-a da se pravovremeno informiraju pogođene osobe i to na način da te informacije sadrže točno propisani sadržaj.

U nekim lokalnim jedinicam samuprave koje su hakirane uopće nisu niti znali da bilo što treba raditi već su kao prijavili policiji i time riješili problem, a da su potrebne bilo kakve procedure i prijave nadzornom tijelu u roku od 72 sata (čl.33 GDPR) nisu niti znali. Njima su napadnute baze kao što su digitalna arhiva, sustavi za vođenje plaćanja, dokumentacije o radnicima itd. Važno je imati na umu da nije potrebno biti siguran da li su hakeri »uzeli« kakav podatak jer je već neovlašten pristup ili nedostupnost podataka – povreda osobnih podataka koja zahtijeva proceduru prema GDPR-u, objašnjava Krečak.