Tri savjeta stranke Most ocijenila su u utorak da curenje osobnih podataka više od pola milijuna učenika i nastavnika iz sustava CARNET-a nije izoliran slučaj, ni nepredvidiv incident, te kako je obrazac koji se ponavlja uvijek isti.
„Institucija je hakirana, javnost sazna sa zakašnjenjem ili od trećih strana, a pravih sankcija i odgovornosti izostaje“, poručili su Mostovi savjeti za znanost i obrazovanje, digitalno društvo i inovacije i za nacionalnu sigurnost.
Pritom navode da je u subotu, 27. lipnja javno je procurila kriptirana baza s više od pola milijuna jedinstvenih zapisa osobnih podataka učenika i nastavnika iz 1.452 hrvatske osnovne i srednje škole. Konkretno: ime i prezime, službena e-mail adresa s domenom @skole.hr, naziv škole i korisnička uloga.
Iz Mosta poručuju kako građani, a posebno roditelji, imaju pravo znati kako je do ovog propusta došlo, tko je za njega odgovoran, tko je imao pristup podacima te koje će se konkretne mjere poduzeti kako se ovakav slučaj više nikada ne bi ponovio.
Ističu i kako to nije izoliran slučaj, da je samo u protekla dva mjeseca u Hrvatskoj zabilježeno niz sličnih proboja: stranice Ministarstva rada bile su hakirane krajem svibnja, baza s preko 50.000 zapisa članova GNK Dinama Zagreb procurila je početkom lipnja, a informacijski sustav Nacionalnog parka Plitvička jezera bio je paraliziran osam dana krajem lipnja.
Naglašavaju kako problem nije izolirani kvar, već “arhitektura koja se prožima kroz cijeli javni sektor”.
Mostovi savjeti tvrde i da spomenuti incident nije ni nepredvidiv, da je EU upravo zbog ovakvih rizika 2023. usvojila Direktivu NIS2, koja se odnosi i na obrazovne institucije i pružatelje digitalnih usluga poput CARNET-a.
“Hrvatska je tu direktivu implementirala Zakonom o kibernetičkoj sigurnosti, koji je na snazi od veljače 2024., (…), a rok za potpunu usklađenost obveznika, među kojima je i CARNET, istekao je početkom 2026. Ipak, kao što ovaj i prethodni incidenti pokazuju, usvojen pravni okvir ne znači i stvarnu provedbu u praksi”, naglašavaju iz Mosta.
Most traži tri konkretne mjere
Ističu i da je Most razradio konkretan arhitekturni model za digitalnu sigurnost javnog sektora, a na temelju tog modela Savjet za digitalno društvo i inovacije traži tri konkretne mjere. Prvo, neovisnu vanjsku reviziju arhitekture sustava @skole.hr i AAI@eduHr, zatim jačanje AZOP-a u operativno, a ne samo reaktivno tijelo, te obvezni neovisni penetracijski test prije puštanja u rad svakog državnog digitalnog sustava koji obrađuje podatke djece.
Savjet za znanost i obrazovanje ističe kako neovlašten pristup osobnim korisničkim podacima više od pola milijuna učenika i nastavnika nije običan tehnički propust, nego ozbiljan sigurnosni incident. “Incident s curenjem podataka samo je jedan u nizu propusta Ministarstva znanosti, obrazovanja i mladih posljednjih godina. On je ujedno i upozorenje da digitalizacija sama po sebi ne smije biti cilj, baš kao što ni odgoj i obrazovanje ne mogu biti prepušteni stihiji”, naglašava Savjet.
Iz Mosta poručuju kako građani, a posebno roditelji, imaju pravo znati kako je do ovog propusta došlo, tko je za njega odgovoran, tko je imao pristup podacima te koje će se konkretne mjere poduzeti kako se ovakav slučaj više nikada ne bi ponovio.
Isti obrazovni sustav koji otvara vrata neovlaštenim udrugama istodobno dopušta da se osjetljivi podaci više od pola milijuna djece i nastavnika nedovoljno zaštićeno čuvaju u sustavu CARNET-a!, poručuju iz Mosta.