Kompromitovan državni informacioni sistem za praćenje pandemije
Informacioni sistem COVID-19 namenjen obradi ličnih podataka građana u vezi sa pandemijom, bio je osam dana (od 9. do 17. aprila) izložen neovlašćenom pristupu na veb stranici do koje se moglo doći Google pretragom.
Sistem izložen upadu
Sistem uspostavljen na osnovu odluke Vlade Srbije, namenjen je unosu, analizi i čuvanju podataka o svim građanima koji su testirani, oboleli i preminuli, kao i o građanima kojima je izrečena mera obavezne samoizolacije ili su upućeni u neku od privremenih bolnica, sa podacima o lokaciji.
Pretragom na Google-u po ključnim rečima, istraživači SHARE Fondacije došli su do stranice jedne zdravstvene ustanove na kojoj su se nalazili podaci za pristup sistemu, korisničko ime i lozinka. Do ovih informacija se došlo prostom pretragom, sasvim slučajno, naišavši na stranicu na kojoj su se nalazili pristupni podaci za Informacioni sistem Covid-19. Podaci su bili postavljeni 9. aprila. Pored toga, istraživači Share fondacije su uspeli i da dođu do upustva za korišćenje i stranice za centralizovanu prijavu na sistem.
Koji su podaci bili izloženi riziku?
Prema Zaključku vlade o uspostavljanju Informacionog sistema Covid-19, čitav niz nadležnih zdravstvenih institucija obavezan je da u ovom programu vodi podatke o ljudima koji su izlečeni, preminuli i testirani (bilo da su pozitivni ili negativni), kao i o ljudima na lečenju, onima kojima je izrečena mera samoizolacije ili smeštaja u privremenim bolnicama, sa podacima o njihovoj lokaciji. U sistemu se takođe nalaze podaci o osobama koje su mogući nosioci virusa zbog kontakta sa obolelima. Ustanove su obavezne da podatke ažuriraju na dnevnom nivou, a izveštaj koji se čita svaki dan u 15h se bazira na podacima iz ovog sistema.
SHARE Fondacija je o incidentu obavestila nadležne organe koji su pristup odmah onemogućili. Nadležni su pozvani da bez odlaganja podvrgnu sistem temeljnoj proveri bezbednosti, budući da je reč o osetljivim podacima građana. Manje od sat vremena nakon prijave, preduzeti su inicijalni koraci kao odgovor na incident, pa stranica sa korisničkim imenom i lozinkom više nije javno dostupna.
Više informacija dostupno je na sajtu SHARE Fondacije.
domaći stručnjaci