Golemi propust, za čijim se odgovornim osobama i počiniteljima još uvijek traga, digao je ovih dana na noge roditelje, učenike i cijeli prosvjetarski sektor.
“Curenje” više od 560.000 imena i prezimena učenika, učitelja i nastavnika, adresa njihove elektroničke pošte s domenom skole.hr, naziva škola (njih 1452) i korisničkih usluga na jednom online forumu, i to u obliku kriptirane datoteke, unijelo je veliki nemir ne samo u prosvjetarsku javnost.
U nedjelju su se odmah oglasili iz CARNET-a, Hrvatske istraživačke i akademske mreže zadužene za osiguravanje informacijsko-komunikacijske infrastrukture i digitalnih usluga za obrazovni i znanstveni sustav, te potvrdili da su odmah nakon saznanja pokrenuli opsežnu tehničku i forenzičku analizu kako bi se utvrdila vjerodostojnost objavljenih podataka i način njihova dospijeća u javnost.
Phishing napadi
Potvrdili su i kako su podaci neovlašteno plasirani u javnost te da doista sadrže navedene podatke, ali i zaključili kako se ne radi o podacima koji omogućuju pristup korisničkim računima te u ovom trenutku nema indicija koje bi upućivale na potrebu za promjenom korisničkih zaporki.
Ipak, upozorili su korisnike na povećan rizik od ciljanih phishing napada i drugih oblika socijalnog inženjeringa te pozvali na dodatan oprez prilikom zaprimanja elektroničke pošte u kojima se traže podaci za prijavu ili druge osobne informacije.
Zbog toga je reagirala i Agencija za zaštitu osobnih podataka, koja je u ponedjeljak izvijestila kako je pokrenula žurno nadzorno postupanje nad CARNET-om po službenoj dužnosti. Agencija će, kažu, prema potrebi poduzeti odgovarajuće radnje i prema drugim voditeljima/izvršiteljima obrade ako se utvrdi povezanost s predmetnim incidentom.
Što se trenutačno događa, kakvu štetu može izazvati ovakav upad u sustav, koje potencijalne opasnosti zbog ove neovlaštene objave prijete učenicima i nastavnicima? – pitanja su na koja smo odgovore u ponedjeljak potražili na mjerodavnim i stručnim adresama.
Najnovije vijesti koje su nam dostavili iz CARNET-a kažu kako su iz te ustanove, kao što su izvijestili i dan ranije, “aktivirali postupke upravljanja sigurnosnim incidentom i pokrenuli detaljnu tehničku i forenzičku analizu”. Angažirani su i vanjski neovisni stručnjaci za forenzičku analizu podataka kako bi se čim prije utvrdio način na koji su podaci dospjeli u javnost i iz kojeg izvora potječu.
– Prema preliminarnim rezultatima, podaci nisu skinuti ni s jednog od CARNET-ovih servisa, već nalikuju podacima sa sustava trećih strana. Budući da je analiza još uvijek u tijeku, ne možemo iznositi detaljnije informacije.
Također, u tijeku je podnošenje kaznene prijave protiv nepoznatog počinitelja zbog neovlaštene objave podataka. U kontaktu smo s Agencijom za zaštitu osobnih podataka i poduzimamo sve propisane radnje – odgovorili su iz CARNET-a na naše pitanje.
Ponovili su i kako trenutačno nema pokazatelja da su kompromitirane korisničke zaporke niti sustavi za autentifikaciju korisnika, što je važna činjenica za sigurnost korisničkih računa.
– Također, nema pokazatelja da je ugrožen rad CARNET-ovih usluga, poput e-Dnevnika, e-Upisa i sličnih – odgovaraju iz CARNET-a, naglašavajući kako ovime nisu ugroženi, primjerice, upisi u srednje škole.
Ono na što je sada usmjerena cijela priča tiče se sigurnosti učenika i nastavnika u digitalnom svijetu, s obzirom na javno dostupne njihove e-mail adrese. Iz CARNET-a, Agencije za zaštitu osobnih podataka, izjava stručnjaka i ostalih više je nego jasno da sada pozornost treba obratiti na opasnosti poput ciljanih phishing napada (mrežna krađa identiteta) i ostalih oblika socijalnog inženjeringa.
Iz CARNET-a kažu kako se zaštita informacijskih sustava i osobnih podataka u CARNET-u temelji “na višeslojnom sigurnosnom pristupu i unaprjeđuje se u skladu s razvojem tehnologije i novim sigurnosnim prijetnjama”.
– Na temelju dostupnih informacija napadači mogu slati phishing poruke putem e-maila koje izgledaju kao da dolaze iz financijskih institucija, državnih tijela ili drugih pouzdanih pružatelja usluga. Također mogu upućivati telefonske pozive ili slati poruke predstavljajući se kao korisnička podrška, sigurnosni timovi, prijatelji ili druge osobe od povjerenja.
Cilj takvih pokušaja često je stjecanje povjerenja korisnika kako bi ih se navelo na otkrivanje lozinki, financijskih podataka ili drugih osjetljivih informacija. U pojedinim slučajevima napadači mogu pokušati preuzeti korisničke račune koristeći javno dostupne informacije ili počiniti različite oblike prijevara – objašnjavaju iz CARNET-a.
Bez presedana
I dalje ostaju pri tome da curenje navedenih podataka koje se upravo dogodilo ne omogućuje klasičnu krađu identiteta, ali upozoravaju da značajno povećava rizik od ciljanih manipulacija.
– Kibernetički kriminalci takve informacije mogu koristiti za izradu uvjerljivih phishing kampanja, lažno predstavljanje i provođenje napada koji iskorištavaju povjerenje, a ne tehničke ranjivosti. Važno je naglasiti da u mnogim kibernetičkim incidentima napadači ne kradu primarno identitete, oni iskorištavaju povjerenje.
Sama informacija o tome tko je osoba, gdje ide u školu i koju ulogu ima često je dovoljna da lažna poruka djeluje potpuno vjerodostojno – ističu iz CARNET-a.
O novonastaloj situaciji razgovarali smo i sa stručnjacima za kibernetičku sigurnost.
– Ovo je bez presedana najveći slučaj curenja podataka u Hrvatskoj, prvenstveno zbog toga što je riječ o maloljetnoj djeci i učenicima, njih više od pola milijuna. Imali smo slučajeva kada su procurili podaci i o većem broju osoba, na primjer o vozilima i njihovim vlasnicima, međutim, ponavljam, ovdje se radi o maloljetnicima.
Nema mjesta za kalkulacije, ovaj slučaj treba tretirati kao incident najvećeg prioriteta – ocjenjuje stručnjak Marko Gulan i upozorava kako u ovom trenutku ne možemo biti sigurni je li baza s učeničkim i nastavničkim podacima koja se našla “po bespućima interneta” iscurila intervencijom nekog hakera ili nekog djelatnika iz samog sustava CARNET-a.
– Curenje tolikog broja podataka nije ni najmanje bezazleno, i postavlja se pitanje kako su postavljeni sustavi za nadzor protoka poslovnih podataka kad nisu tretirali neobične transakcije s podacima više od pola milijuna korisnika.
Ne želim upirati prstom ni u koga, bilo bi to neprofesionalno od mene, niti je to potrebno u trenutku dok sve mjerodavne institucije provode istragu, ali svakako se treba utvrditi odgovornost za propuste kojih je nedvojbeno bilo – kaže domaći stručnjak.
Promjena lozinki
Bez obzira na to što iz CARNET-a smatraju kako u ovom trenutku nema potrebe za promjenom korisničkih zaporki, Gulan je mišljenja kako su iz mjera opreza ipak trebali pozvati sve korisnike njihovih usluga na promjenu lozinki i obavezno aktiviranje višefaktorske autentifikacije.
– Postoji opasnost da će napadač pokušati kupiti sličnu domenu poput ove skole.hr. Dovoljno je da, primjerice, zamijeni jedno slovo, na primjer, slovo e, i umjesto njega ubaci nezamjetnu zamjenu istog slova s nekim drugim znakom ili crticom (é, ę i slično), i da dijete uopće ne uoči razliku.
S pozicije autoriteta sustava on može, na primjer, zatražiti od učenika da potvrdi identitet ne bi li dobio elektroničku svjedodžbu. A to je zapravo mamac.
Roditelji i učenici zato trebaju biti posebno oprezni i svaki mail koji ovih dana dobiju s bilo kakve, recimo to tako, adrese kojoj ne mogu utvrditi vjerodostojnost, ne otvaraju, ne odgovaraju na mail, ne potvrđuju identitet. Najbolje bi bilo izravno telefonski kontaktirati ustanovu s koje dobiju bilo kakav takav sličan mail i provjeriti jesu li ga oni uistinu poslali – objašnjava Gulan.
– Prioritet broj 1 je oprez. Djeca trebaju biti otvorena u tom pogledu prema roditeljima i prijaviti im svaki neuobičajen mail. Prema strukturi objavljenih podataka ne bi trebalo biti većih problema jer nije narušen digitalni identitet korisnika, ali ovo curenje podataka ne smije se tretirati kao nebitno.
Napadači nisu ni moralni ni etični. Njih ne zanima je li korisnik dijete ili odrasla osoba. Njima je najvažnije preuzeti nadzor nad nečijim računalom, na osnovi toga kreirati lažne identitete koje će onda koristiti na TikToku, Snapchatu i ostalim platformama u različite svrhe, za igrice, virtualno nasilje i ostalo.
Dovoljno je da cijelo vrijeme imaju uvid u vašu e-poštu, komunikaciju u virtualnom svijetu. Roditelji i djeco, nikako nemojte nasjedati na te mamce i svakako budite na oprezu – ponovno poziva Gulan.
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....