Nakon što je u martu prošle godine bilo žrtva hakerskog napada, novosadsko javno komunalno preduzeće “Informatika” napokon je zadužilo lice za zaštitu podataka i sada je u postupku procene uticaja obrade na bezbednost podataka, navedeno je u izveštaju Državne revizorske institucije (DRI) koji se odnosi na period od juna do oktobra prošle godine.
Na zvaničnoj internet prezentaciji “Informatike” sada stoji obaveštenje o obradi podataka o ličnosti, svrsi obrade i načinu čuvanja i odgovornosti u slučaju nezakonite obrade. U cilju zaštite podataka započet je i proces pseudonimizacije, odnosno segmentacije podataka tako da oni predstavljaju delove slagalice, pa je, prilikom izostavljanja jednog dela nemoguće korišćenje podataka korisnika.
Međutim, kako se navodi u izveštaju, za ovaj proces su neophodni značajni resursi i dugo testiranje, naročito kada se uzme u obzir to da se u bazi naplate “Informatike” u 40 od 469 tabela nalaze lični podaci.
Nakon hakerskog napada “Informatika” je počela da koristi i antivirusno rešenje koje obuhvata i zaštitu od ransomvera. Podaci i kritični IT sistemi se nalaze u data centrima kojima je moguć pristup samo uz ovlašćeno lice, a postoji i sistem video nadzora.
Ipak, kako je navedeno u izveštaju revizora, zaposleni korisnici informacionog sistema nisu redovno obaveštavani niti obučavani kako da prepoznaju pretnje iz sajber prostora, iako je do martovskog upada u sistem došlo upravo preko imejla.
Za potrebe oporavka informacionog sistema “Informatika” je implementirala “Site Recovery Manager”, ali nije dostavila dokaze da je usvojen i da se primenjuje Plan oporavka od havarije.
Sistem za upravljanje bazama podataka koji “Informatika” koristi je Oracle RDBMS verzija 11, za koju je proizvođač obustavio podršku i poslednje otklanjanje neusklađenosti rađeno je avgusta 2013. godine. Ranjivost sistema se delimično smanjuje time što je instaliran na “Linux” OS i virtualizacijom sistema.
Takođe, kako se napominje u izveštaju, Registrom rizika nisu obuhvaćeni značajni IT rizici koji mogu izazvati poremećaje u poslovanju niti određene mere u cilju izbegavanja ili umanjenja uticaja na poslovanje. Kao evidentirani IT rizici u Registru pominju se gubitak raspoloživosti usluge, požar i oštećenje opreme.
JKP “Informatika” nema ni plan za vanredne situacije, ni plan oporavka od havarije.
Podsetimo, početkom marta prošle godine serveri gradskih uprava, ali i nekolicine drugih javnih službi koji su u JKP “Informatika” hakovani su, a hakeri su tražili bitkoine da bi otključali sisteme. Grad je tada odbio da plati otkup u bitkoinima i time ostao i bez određenog dela podataka. Ovaj hakerski napad se u određenoj meri odrazio i na sistem objedinjene naplate, matičarske službe, sistem video nadzora, predškolsku ustanovu i na skoro sva javna preduzeća. Napad je izazvao brojne probleme, pa tako, jedno vreme deo zaposlenih u gradskoj upravi i pojedinim javnim preduzećima nije dobio plate, a pojedine gradske službe neko vreme su radile bez računara.
U Gradskoj kući nikada nisu rekli šta je sve od podataka nestalo i u kojoj količini. U “Informatici” su tvrdili da ne postoji bojazan od zloupotrebe ličnih podataka građana, jer “njihovo čitanje i korišćenje nije ni na koji način ugroženo ovim napadom, zato što se baze podataka čuvaju na drugoj platformi”.
Izvor: 021
Foto: Pixabay
