Gigabajti iz EPS ponuđeni za preuzimanje: Podaci iscurili, institucije zakazale

Shutterstock

Mogućnosti zloupotrebe su velike, a pitanje da li će javnost saznati šta je sve procurelo. Institucije pretežno ćute.

Veliki broj podataka preduzeća Elektroprivreda Srbije (EPS), a među njima i lični podaci državljana Srbije ponuđeni su za preuzimanje svima zainteresovanima. Prema najavi, drugi deo će biti ponuđen 27. januara iako je prvobitno najavljeno da će to biti ponedeljak 22. januar.

Infomacije o prodaji našli su se na blogu hakerske grupe Kilina (Qiliun). Prema najavi, radi o količini od 35 gigabajta podataka što govori da se ogroman broj podataka kompromitovan.

Iako se ne zna pouzdano šta je sve ukradeno, izvesno je da se radi o sektorima koji su vezani za komercijalne aktivnosti, naplatu. Dok se EPS za proteklih mesec dana koliko je prošlo od napada, jednom obratio kratkim saopštenjem informacije o tome šta je kompromitovano nalazi na forumima, društvenim mrežama.

Povezane vesti

Privatni ugovori, ugovori sa partnerima unutar i van zemlje, finansijska dokumenta, ugovori o kreditu, izveštaji, bilansi, ogroman broj privatnih mejl korespondencija“, poručili su iz Kilina.

Kako na N1 kaže Nevena Ružić, stručnjakinja za zaštitu podataka o ličnosti, mogućnost zloupotrebe ovih podataka je velika, dok je mogućnost zaštite mala.

„Što se zloupotrebe tiče u ovakvim slučajevima retko se radi o zloupotrebi podataka u odnosu na pojedinačno lice. To ne znači da je nema, naprotiv. Grupni podaci mogu da otkriju navike, koje su značajne za, primera radi, analizu mogućeg ponašanja lica. Pod pretpostavkom da su svi podaci preuzeti, neko može da sazna pojedinačne podatke o licu: imena, adresu stanovanja, potrošnju struju uključujući i podatke koji otkrivaju kada je lice aktivno – upotreba tarife, period najveće potrošnje i slično“, kaže Ružić.

N1

Ona navodi da jednom otkriveni, „nažalost“, podaci ostaju trajno kompromitovani.

„Jako je teško obrisati odnosno povratti te podatke, neki bi rekli i nemoguće“.

Ovakva situacija nameće i pitanje potencijalne odštete, a prema Zakonu o zaštitu podataka o ličnosti kazne se kreću od 50.000 do 2.000.000. Ružić ističe da do sada nismo imali ovakav slučaj.

„Barem ne na način da je o tome izveštavano. Na pojedinačnom novou, u slučaju otkrivanja podataka o nekom licu, praksa je do sada pokazala da su lica koja su tražila i dobila naknadu štete. Štetu treba i dokazati prema našem pravu, ali ona ne mora biti samo materijalna. Ne može se sporiti da sama vest da su podaci o nama u posedu nekog neovlašćenog, ne utiče na nas“.

Poverenik i EPS: Postupak u toku, ništa još nije utvrđeno

Kako navodi Ružić, EPS je imao obavezu da obavezi Poverenika o povredi podataka u roku od 72 sata od saznanja za povredu, kao i da obavesti lica koja su pogođena ovom otmicom.

Nova.rs/Vesna Lalić

„Ovde ne u svakom pojedinačnom slučaju, jer su svi pogođeni, već na način koji će omogućiti licima da se upoznaju o povredi i mogućim posledicama. Ovo obaveštenje ima određenu formu – obrazac, ali pored toga moraju da se opišu mere koje su preuzeli, a koje nastavljaju da se primenjuju. Važno je istaći i momenat prijave često nije trenutak kad se desila povreda i da se zaključavanje podataka desilo mnogo ranije, kao što je bilo u slučaju kompomitovanja podataka u Republičkom geodetskom zavodu (RGZ)“.

Prema odgovoru koji je kancelarija Povernika za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti prosledila redakciji N1, EPS je 20. decembra 2023. godine obavestio ovu insticiju o dešavanjima. Bilo je to dan pošto je energetska kompanija obavestila javnost o napadu. Ujedno bila je to i jedna objava EPS o ovom događaju.

Kancelarija Poverenika je tek 15 dana kasnije, petog januara 2024. uputila Zahtev za pisano izjašnjenje. Kako je navedeno, rok za izjašnjavanje nadziranog je osam dana dana prijema Zahteva, odnosno 13 . januar.

Povezane vesti

„Dana dostavljanja ovog odgovora (11.1.) nije utvrđeno da su podaci o ličnosti građana RS, koje obrađuje nadzirani subjekat kompromitovani hakerskim napadom“, rekao je Poverenik.

Poverenik je nakon saznanja za hakerski napad pokrenuo postupak vanrednog inspekcijskog nadzora nad primenom Zakona o zaštii podataka o liučnosti od strane EPS, sa naglaskom na primenu mera bezbednosti.

„Imajući u vidu da je inspekcijski nadzor u toku, bilo bi neozbiljno prejudicirati ishod pre okončanja odgovarajućeg postupka, te Vam u ovom trenutku ne možemo pružiti više relevantnih informacija“.

Ministarstvo rudarstva i energetike nije se obraćalo javnosti ovim slučajem, a nije ni odgovorilo na pitanje N1 da prokomentariše situaciju. Jedini put kada je ministarstvo pominjalo EPS jeste najava ministarke Dubravke Đedović-Handanović  da će zaposleni u ovoj firmi dobiti uz decembarska primanja, bonus od 20.000 dinara.

Otkup se ne plaća

Pod hakerskim napadima podrazumeva se ostvarivanje neovlašćenog pristupa uređajima, mrežama ili bazama podataka, a način na koji će se izvršiti zavisi pre svega od ranjivosti sistema, informacija koje su na raspolaganju napadačima, bezbednosnih procedura. Pristupi su prema rečima Bojana Perkova, koordinatora digitalnih politika, Šer (Share) fondacije, drugačiji.

Povezane vesti

„Primera radi, napadač može putem uverljivih ali u suštini zlonamernih mejlova (fišing) uspeti da dođe do pristupnih kredencijala nekog zaposlenog ili ga navesti da preuzme i pokrene maliciozni program (malver) koji može imati razne namene, od kojih je jedna da enkriptuje podatke u okviru informacionog sistema na način da se ne mogu dešifrovati bez odgovarajućeg dekripcionog ključa. Takva vrsta malvera zove se ransomver“.

Perkov kaže za N1 da kada je reč o pregovorima o otkupu u slučaju ransomveru ili digitalne otmice, prvi savet je da se ne plaća otkup.

„Plaćanjem se podstiče kriminalna aktivnost i finansira dalje vršenje krivičnih dela, a sa druge strane mete ne mogu biti sigurne da će dekripcioni ključ raditi čak i ako ga dobiju nakon što plate“.

Ipak, deo stručne i obaveštenije javnosti koji prati dešavanja strahuje da je EPS platio ucenjivačima jer su povučeni neki od podataka koji su bili ponuđeni javnosti. Oni ističu da je i pomeranje rokova za puštanje drugog dela kompromitovanih informacija u javnost može biti taktika ucenjivača da iznude novac.

On ističe da ne postoje pravila kada je reč o metama napada, ali pretpostavka je da su ovakvi napadi „posledica kombinacije upotrebe ranjivih tehnologija, nepostojanja odgovarajućih bezbednosnih procedura za zaštitu digitalne infrastrukture i niske svesti zaposlenih o značaju digitalne bezbednosti“.

U odgovoru za N1 posebno javno tužilaštvo za visokotehnološki kriminal je navelo da „neće davati izjave tokom preduzimanja dokaznih radnji u ovom predmetu do trenutka kada njihovo objavljivanje neće uticati ili ugroziti naše dalje postupanje“.

EPS potrošio milione za bezbednost

Ciljevi napada su izvesno finansijski motivi, a jedna od posledica je gubljenje ugleda ove kompanije. Nezvanično se može saznati da neki delovi EPS, od decembarskog napada, gotovo da ne rade iz bezbednosnih razloga. Koristi se manji broj računara. Radi se pretežno o delovima kompanije nemaju veze sa prozvodnjom i distrubucijom struje.

Printscreen

Paradoksalno, EPS je sredinom novembra potpisao ugovor vredan 20 miliona dinara sa kompanijom Komtrejd (Comtrade) za nabavku sistema za bezbednosnu procenu informaciono-komunikacionih resursa. Na forumu Bezbedan Balkan pojavila se informacija o ugovoru vrednom 140 miliona dinara Elektrodistribucije Beograd za Sistem za bezbednosu procenu sopstvenih informaciono-komunikacionih resursa. Cilj ovih nabavki je bio rana detekcija potencijalnih informaciono-komunikacionih incidenata.