Zagreb - Zastupnica Marijana Puljak organizirala je u srijedu okrugli stol pod nazivom „Zaštita osobnih podataka i informacijska sigurnost: Izazovi i rješenja za državne institucije“.
U svojem je uvodnom obraćanju naglasila kako u posljednje dvije godine svjedočimo brojnim kibernetičkim napadima, curenju osobnih podataka iz raznih institucija, a kao naročito dramatičan slučaj istaknula je najnoviji incident koji se desio u KBC-u Zagreb.
-Taj je slučaj posebno tragičan budući da se radi o gubitku posebno osjetljivih medicinskih podataka građana. Po najnovijim informacijama terapije onkološkim pacijentima su odgođene jer su nestali njihovi podaci o radioterapijama, ljudi s metastazama koji su trebali započeti svoju terapiju zračenjem su na čekanju i ne znaju kad će nastaviti s terapijama, rekla je Puljak.
Nastavila je kako niz državnih službenika pokazuje temeljno neznanje o sigurnosti informacijskih sustava, a izjave šefa SOA-e Daniela Markića koje sugeriraju da smo nemoćni pred ovim napadima dodatno zabrinjavaju. Posebno skandaloznom ocjenjuje izjavu ministra Beroša koji je savjetovao građanima da ne gledaju medicinske podatke drugih građana kad jednom iziđu u javnost.
Lucijan Carić, stručnjak za sigurnost informacijskih sustava, izjavio je kako je problem s KBC-om Zagreb katastrofalan jer se radi o najosjetljivijim podatcima građana, a reakcije odgovornih nisu zadovoljavajuće. Navodi kako Hrvatska nema suvislo i snažno tijelo koje bi se brinulo o informacijskim tehnologijama na državnom nivou kao što ima Slovenija.
Stručnjak za zaštitu podataka, suosnivač i član uprave „Dana Privacy Manager“ Dražen Oreščanin upozorio je kako je potrebno podizati otpornost unutar javne uprave na hakerske napade što je moguće kroz ulaganje u infrastrukturu, edukaciju, eksterne revizije i redovna penetracijska testiranja.
-Neugodno sam iznenađen izjavom premijera da nema pregovaranja s kriminalcima, trebao bi imati senzibilitet prema podatcima građana koji su iscurili i svjestan zakonske odgovornosti organizacije koja je voditelj obrade podataka. Očekivao sam ispriku građanima čiji su podatci izašli u javnost jer curenje tih podataka može ljudima uništiti živote, stoga država mora preuzeti odgovornost, smatra Oreščanin.
Tarja Krehić, odvjetnica specijalizirana za područje zaštite osobnih podataka je naglasila kako državna tijela, javna tijela i pravne osobne s javnim ovlastima ne smiju biti izuzete od seta regulativa koje brinu o zaštiti osobnih podataka.
-Državne institucije su te koje raspolažu najvećim brojem osobnih podataka, to je naša imovina o kojoj se država treba brinuti. Potrebno je povećati sigurnost i krenuti s usklađenjem s Općom uredbom o zaštiti podataka jer tada svi hakerski napadi i incidenti ove vrste ne bi bili toliko rizični. Kad imate adekvatne sigurnosne mjere kao privatni sektor toliko ste zaštićeni da teško da se može dogoditi veliki debakl, izjavila je Krehić te nadodala kako oštećeni građani imaju pravo na tužbe i naknadu štete što je već praksa u Europi.
Marko Rakar, IT stručnjak, objasnio je kako informacijsku sigurnost u javnim institucijama osiguravaju vanjski dobavljači, a s pozicije informatičke sigurnosti najvećim problemom vidi što ljudi koji odlučuju kako će se alocirati proračun dotičnih institucija ne vode dovoljno pažnje o sigurnosti njihovih informatičkih sustava. -U javnim ustanovama su ti sustavi zastarjeli, bazirani su na tehnologijama koje se više ne koriste, a povrh toga moramo educirati korisnike kako na siguran način koristiti sustave. Postoji niz tehničkih stvari koje se moraju provoditi na dnevnoj bazi no to se ne događa, rekao je Rakar.
Duje Prkut, izvršni direktor udruge Politiscope koja se bavi zaštitom osobnih podataka, smatra kako je reakcija institucija na napade ispod svake razine, naročito u slučaju KBC-a Zagreb. Smatra kako je bitno početi od podizanja kapaciteta AZOP-a jer, kako navodi, nemaju adekvatnih kapaciteta za provedbu GDPR-a i imaju premali broj zaposlenih, što će biti naročito problematično kada AZOP preuzme regulaciju umjetne inteligencije.
Ivan Guštin, IT stručnjak, rekao je kako u Hrvatskoj imamo na stotine zdravstvenih institucija, a svaka je otok za sebe. Trebale bi izvući pouku iz slučaja s KBC-om Zagreb i povećati svoju informatičku sigurnost. -Slučaj KBC-a Zagreb neće promijeniti ništa u sustavu jer institucije čuvaju podatke isključivo lokalno. Jedno od rješenja je da se sustav s podacima centralizira, to daje prednost da ti podaci ne ovise o stručnoj opremljenosti svake ordinacije pojedinačno već da budu na jednom mjestu zaštićeni, kaže Guštin.
Na kraju rasprave panelisti su istaknuli kako su nužna dodatna ulaganja u prevenciju jer svaki incident košta puno više, da je potrebna izrada i implementacija BCP (Business Continuity Plan) i DRP (Disaster Recovery Plan) planova uz redovna testiranja, raditi redovite sigurnosne kopije s geografskom distribucijom, provođenje obaveznog godišnjeg „penetration“ testa, kao i dodatno obučiti zaposlenike o kibernetičkim prijetnjama, implementirati standardna sigurnosna rješenja uključujući kriptozaštitu, provoditi redovite sigurnosne revizije najmanje jednom godišnje te formirati Incident Response tima (IRT) za brzu reakciju na incidente.
Zastupnica i moderatorica okruglog stola Marijana Puljak zaključno je pozvala državnu reviziju da izvrši izvanredni nadzor i IT reviziju svih institucija koje su doživjele napade ili curenje podataka.
-Zaštita podataka građana nije samo pitanje tehničke sigurnosti, već i nacionalne sigurnosti i odgovornosti prema građanima. Vrijeme je da pokažemo ozbiljnost i kompetenciju u upravljanju informacijskom sigurnošću naših državnih institucija, zaključila je Puljak.