Hakerska grupa koja je izvršila sajber-napad na Elektroprivredu Srbije objavila je prošle nedelje na blogu Qilin hakovane podatke. Javnost i dalje ne zna o kakvim podacima je reč, dok u EPS-u traje vanredni inspekcijski nadzor nad primenom Zakona o zaštiti podataka o ličnosti koji je pokrenuo Poverenik za informacije od javnog značaja. Za Bloombreg Adriju su iz te institucije krajem prošle nedelje naveli da do sada nije utvrđeno da su podaci o ličnosti građana Srbije koje obrađuje EPS kompromitovani hakerskim napadom. Ipak, javnost i građani su u nedoumici po tom pitanju jer nadležne institucije, EPS i Vlada Srbije kao osnivač ovog javnog preduzeća, nisu saopštili nikakve detalje. O tome koje bi posledice eventualna kompromitacija ličnih podataka mogla da ima, kao i kakva su prava građana u ovoj situaciji, razgovarali smo sa Anom Toskić Cvetinović, izvršnom direktorkom nevladine organizacije Partneri Srbija, čija je jedna od značajnih oblasti delovanja zaštita privatnosti i podataka o ličnosti.
Partneri Srbija/Piroški
Opširnije
Vanredna inspekcija u EPS: Ćutanje o hakerskom napadu nedopustivo
Elektroprivreda Srbije, ali i Vlada Srbije kao njen osnivač, i dalje ne obaveštavaju javnost o razmerama i mogućim posledicama hakerskog napada.
19.01.2024
EPS: Oporavljamo se od 'nezapamćenog hakerskog napada'
Elektroprivreda Srbije se oporavlja od "nezapamćenog hakerskog napada, kripto tipa", saopštilo je to javno preduzeće.
19.12.2023
Posle RGZ, i APR žrtva sajber-napada
Prošlog leta hakovan je Republički geodetski zavod.
27.03.2023
Tri mete sajber-napada u Srbiji u 2023. godini
Male kompanije u okviru velikih lanaca snabdevanja moraju biti posebno pažljive
03.01.2023
Nema te zaštite od sajber-napada koja će odbraniti neodgovorne
U Srbiji je bilo ukupno 13.279.007 incidenata u sistemima od posebnog značaja 2021. godine.
06.12.2022
- Grupa Qilin, za koju se tvrdi da je hakovala EPS, objavila je na svom blogu pojedine podatke o EPS-u. Da li se zna o kojim se podacima radi i u kom obimu?
Za sada, na dark-vebu je, prema navodima Qilina, dostupno je 34 gigabajta dokumenata EPS-a. Reč je o okvirnom broju od 340.000 stranica dokumenata. Međutim, grupa je najavila objavljivanje novih dokumenata za 22. januar, a ukoliko njihovi zahtevi ne budu ispunjeni. Dakle, možemo očekivati da će obim objavljenih dokumenata biti i veći.
O kakvim dokumentima je reč, to precizno mogu da kažu samo oni koji su dokumenta skinuli, ali ono što je za sada došlo do javnosti je da je verovatno reč o podacima o poslovanju EPS-a, ugovorima, a prethodno je na forumu Bezbedan Balkan bilo objavljeno da su kompromitovani i imejl nalozi (kao i prepiske unutar njih) zaposlenih u EPS-u.
- Koja je opasnost od ovog hakerskog napada po EPS, energetski sistem i građane?
Prema informacijama sa sajta EPS-a iz decembra 2023, ovaj sistem se uspešno oporavio od hakerskog napada. Prekida u snabdevanju građana nije bilo, i može da se zaključi da u tom smislu nije naneta šteta.
Međutim, iako sistem funkcioniše, on i dalje nije bezbedan, a posebno nisu bezbedni podaci koji su iz njega izašli, među kojima mogu biti i podaci o ličnosti građana Srbije.
U tom smislu, opasnosti se mogu ogledati u zloupotrebi ličnih podataka, njihovoj prodaji na dark-vebu i daljem nedozvoljenom korišćenju.
EPS
Međutim, opasnost postoji i ukoliko se među dokumentima nalaze i oni koji su poverlji i koji imaju značaj i za nacionalnu bezbednost. EPS je, u smislu propisa o informacionoj bezbednosti, označen kao sistem od posebnog značaja, i kao takav ima i posebne obaveze u pogledu zaštite infrastrukture i podataka u njemu.
- Šta država može da uradi kako bi u ovom slučaju zaštitila energetski sistem i građane?
Pre svega, državni organi moraju građane redovno da obaveštavaju o razvoju situacije. Kao što je pomenuto, EPS to ne učini uopšte, štaviše, uverava građane da je sistem stabilan. Tu obavezu, kako neformalno, tako i prema važećim propisima, pored EPS-a imaju i drugi nadležni organi, pre svega Ministarstvo telekomunikacija i informisanja, ali i Tužilaštvo za visokotehnološki kriminal. Mora se utvrditi koji podaci su kompromitovani, i o tome obavestiti svi oni koji su ugroženi, kako pravna lica, tako i građani.
Uz to, moraju se unaprediti mere zaštite podataka i infrastrukture kako se slični incidenti ne bi ponavljali. Hakerski napadi se dešavaju svuda, i skoro ih je nemoguće u potpunosti sprečiti, ali je ključno na koji način će jedan sistem reagovati na napade i da li će ih iskoristiti za dalje unapređenje bezbednosti.
- Koja su prava građana u ovom konkretnom slučaju?
EPS je kao rukovalac podacima dužan da obavesti građane ukoliko su njihovi podaci kompromitovani i uz to postoji rizik po njihova prava i slobode. To se do sada nije desilo, što ne znači da podaci o ličnosti zaista i nisu kompromitovani.
Svi građani, korisnici usluga EPS-a, mogu tražiti informacije od ove kompanije o statusu njihovih podataka, merama zaštite koje se preduzimaju. Takođe, mogu zahtevati i naknadu eventualne štete koja bi nastala usled povreda bezbednosti podataka.
- Zašto država do sada nije reagovala na upozorenja da će podaci biti objavljeni?
To je pitanje za institucije sistema, ali razloga može biti više. Od neverziranosti da se na ovakve napade odgovori, potrebe da se javnost umiri i izbegne dodatno narušavanje poverenja u sistema, do (što se čini najverovatnijim) izbegavanja pitanja o odgovornosti pojedinaca unutar sistema ne samo za bezbednost podataka već i za način na koji je odgovoreno na ovaj incident.
.webp){kind=icon}
