Рељић: Институције неозбиљно приступају заштити података
Тврдње надлежних да су максимално посвећени чувању података више не могу умирити јавност након хакерског напада на Интегрисани здравствени информациони систем (ИЗИС) и Пореску управу РС због којег су се на црном тржишту нашли лични подаци грађана, пише Капитал.
Након два хакерска напада на институције РС покушали смо одговорити на питање колико су безбједни подаци грађана и ко је одговоран у случају њиховог цурења.
Саговорници КАПИТАЛ-а оцјењују да институције нису посветиле довољно пажње безбједности личних података и да је неопходно уложити додатне напоре како би се грађанима и правним лицима обезбиједила адекватна заштита и повјерење у институције.
Директор Агенције за заштиту личних података Босне и Херцеговине Драгољуб Рељић каже да институције у БиХ не схватају озбиљно заштиту личних података, те да је неопходно донијети нови закон о заштити личних података који ће прописати један виши ниво заштите.
„Они уопште не схватају озбиљно заштиту личних података. Када смо урадили закон и отишли у надлежна министарства, добили смо негативно мишљење о њему. Рекли су нам да то нема у правном поретку БиХ. Па наравно да нема, зато и уводимо. Није некад било ни јавних набавки, па су уведене. Морамо увести новине да би профункционисало“, навео је Рељић.
Додао је да су по новом закону, који је припремљен, за злоупотребу личних података минималне казне три до четири пута, а максималне и по неколико десетина пута веће.
Рекао је да је опасно када хакери дођу до података из било које институције јер су њихови потези непредвидиви.
„Да ли ће они закључати те податке и да ли ће тражити откуп, јако је тешко утврдити шта ће они урадити. Прошли пут када су хакери упали у систем Међународног црвеног крста, савјетовали смо грађане да све податке који су везани са тим промијене, као што су пин кодови и све оно на основу чега би неко нешто могао да злоупотријеби“, истакао је Рељић.
ИЗИС под лупом
Драгољуб Рељић каже да је Агенција запримила једну пријаву у вези са хакерским нападом на ИЗИС и да ће по тој пријави поступити као по свакој другој.
„Запримили смо одређене акте од грађана и инспектори су тренутно ангажовани на том предмету“, рекао је Рељић.
Додао је да додатни проблем представља то што је у Агенцији за заштиту личних података запослено свега девет људи, те да ти људи воде рачуна о подацима у цијелој БиХ.
Адвокат Игор Летица каже да јавни орган на чији је систем извршен хакерски напад има статус контролора личних података те да он самостално или са другима води, обрађује и утврђује сврху и начин обраде личних података на основу закона или других прописа.
„Специфичност хакерског напада на ИЗИС је у томе што овај систем садржи осјетљиве податке грађана који се, између осталог, односе на њихово здравствено стање, те у том смислу представљају посебну категорију личних података. Поред тога, овај систем садржи и низ других података грађана који се у контексту важећих прописа сматрају личним подацима“, рекао је Летица.
Провјерити да ли је примијењена адекватна заштита
Каже да се ради о хакерском нападу широких размјера, којим је погођен јако велики број лица, па је потребно утврдити да ли је јавни орган и обрађивач података који је ангажован за потребе управљања и одржавања рачунарским системима и похрањеним подацима, примјењивао адекватне техничке и организационе мјере заштите личних података.
„Нажалост, некада је чак и уз примјену најсавременијих техничко-технолошких мјера заштите могуће да хакери успјешно изврше напад и дођу до личних података. Одговор органа јавне власти прије свега би требао бити у спровођењу адекватне истраге од стране Министарства унутрашњих послова, односно Јединице за високотехнолошки криминалитет и утврђивању одговорности, будући да се у случају напада на ИЗИС може говорити о стицају кривичних дјела“, додао је Летица.
Ради заштите права на приватност и личних података, нагласио је, носиоци података могу поднијети приговор Агенцији за заштити личних података БиХ, уколико установе или посумњају да су контролор или обрађивач података извршили повреду права.
„Међутим, контролор или обрађивач података могу бити ослобођени одговорности ако докажу да нису могли спријечити повреду права носиоца података. Стога је, као што сам већ навео, првенствено потребно утврдити да ли је дошло до било каквог пропуста код примјене мјера заштите података, а тек након тога разматрати даље могућности за остваривање права грађана погођених нападом“, рекао је Летица.
У сваком случају, истиче, овај напад нас опомиње да је потребно уложити додатне напоре и примјењивати високе мјере заштите, посебно имајући у виду димензије које попримају злоупотребе личних података у савременом технолошком окружењу.
Предсједник Уније послодаваца Републике Српске Саша Тривић каже за КАПИТАЛ да су подаци предузећа којима располаже Пореска управа РС мање-више јавни и да овај напад не би требао да има неких посљедица по привреднике.
„Сигуран сам да је Пореска управа РС је систем у пореској био адекватно заштићен, али технологија се константно развија и ако ви не обнављате заштиту упадате у проблем. Што се тиче посљедица по привреду, Пореска управа нема никакве посебне податке који већ нису јавни. Завршни рачуни су и у АПИФ-у, у њима нема никакве пословне тајне, колики је ко имао промет или зараду, то нису подаци због којих би неко пропао и они су доступни на плаћеним платформама“, рекао је Тривић.
Он каже да би можда већи проблем могла да има Пореска управа уколико дође до губитка података о дужницима ако немају сачуване базе података.
Каже да за озбиљне хакерске приче нема једноставног рјешења и да мета напада буду много веће институције и компаније од наших.
„Ја сам има случај у једној својој фирми да су ми хакери упали у систем и тражили новац да га откључају. Ми смо то платили и након тога мијењали своју безбиједност. То је био неки ситан новац, док има случај једе велике фирме којој су хакери тражили два милиона КМ, али им они то нису платили“, рекао је Тривић.
Додаје да и привредници свој ниво заштите морају подићи на виши ниво јер је јасно да нико није потпуно безбједан и да сви могу постати мета хакера.
Каже да код њега сваки рачунар у фирми има своју шифру, да је забрањен приступ интернету, као и да се УСБ-ови не могу користити.
Подсјећамо, посљедњег дана прошле године хакери су напали и закључали ИЗИС који је од тада недоступан, а јуче с хакери напали и Пореску управу РС, док су лични подаци грађана, према тврдњама ИТ стручњака, завршили на црном тржишту.
(Извор: capital.ba)