Poverljivi podaci domaćih firmi nakratko bili dostupni svima

Internet bezbednost i sigurnost ličnih podataka, kao i poslovnih informacija, odavno više nisu predmet šale ili tema rezervisana isključivo za velike međunarodne kompanije, niti „tamo neke“ hakere iz mračnih dubina interneta. Državne institucije drže u svojim rukama ogromnu količinu ličnih podataka građana i obavezne su da poštuju odredbe sada već ne toliko nove GDPR regulative, baš kao i privatne kompanije koje rukuju poverljivim informacijama.

Međutim, najnoviji slučaj korišćenja neadekvatnih softverskih rešenja pokazuje koliko u trenutku može da dođe do velikih problema.

Dvojica domaćih stručnjaka za internet bezbednost objavila su pre nekoliko dana na svojim Twitter profilima da je bez ikakve autentifikacije bio omogućen ulaz na čitav file storage u jednoj aplikaciji Privredne komore Srbije. Morao je da reaguje Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, posle čega je PKS brzo onemogućila pristup osetljivim informacijama. 

„Jedna od veb aplikacija Privredne komore Srbije namenjenih domaćim firmama nije bila pravilno podešena. Desilo se nekoliko katastrofalnih grešaka na polju sigurnosti, a posledica je bila da je praktično bilo ko mogao, da je bio upoznat sa situacijom, da pristupi svim unetim podacima. Ne govorim pritom o nekakvim hakerima, već je postojala mogućnost i da neko sasvim slučajno dođe do poverljivih informacija“, ekskluzivno za naš portal komentariše Jovan Šikanja, application security analyst i penetration tester, odnosno „etički haker“ koji je obelodanio čitavu problematiku na svom Twitteru.  

Srećom, procurela je samo ova vest, ali ne i lični podaci koji su bili ostavljeni svima „na izvol’te“. 

„Pošto nije bilo nikakve zaštite i potrebne autentifikacije dobili smo pristup serveru na kome su bili podaci kompanija. Na njemu smo proveli svega nekoliko minuta, ali videli smo da tu ima i ličnih karata vlasnika kompanija, raznih ugovora i potvrda, a čak smo uspeli da pronađemo i skenirane fakultetske diplome. Moj kolega Dušan je zapravo pronašao propust, i to sasvim slučajno. U tom trenutku nas dvojica nismo ulazili u analizu količine informacija koja je bila izložena, već nam je bilo bitno da što pre obustavimo njihovu vidljivost i zaustavimo ugrožavanje privatnosti. Odmah smo kontaktirali Poverenika za zaštitu informacija, posle čega je usledila zaista brza reakcija, i sporni sadržaj je uklonjen“, objašnjava Šikanja, i dodaje da sama aplikacija nije razvijena u skladu sa bezbednosnim standardima i preporukama u svetu.

Očekuje se od ljudi koji se bave razvojem aplikacija da takve stvari znaju. Ovde to nije bio slučaj.

Kako je navedeno iz Privredne komore Srbije, služba Poverenika je obavestila PKS o „uočenoj kompromitaciji podataka, pa je pristup predmetnom linku istog dana onemogućen“. Postupak nadzora u ovom predmetu je u toku.

Kazne kao podstrek

S druge strane, Šikanjina profesija više nije toliko retka i neobična. Etičke hakere (poznate i pod imenom „white hat“) već neko vreme angažuju i kompanije koje su prisutne na srpskom tržištu, kako bi testirali njihove bezbednosne sisteme.

„Moja profesija je da u ime i na račun kompanije koja me angažuje pokušam da upadnem u njihov informacioni sistem, tražeći razne ranjivosti, miskonfiguracije i greške, i na kraju doprem do podataka koje inače ne bi trebalo da vidim“, kaže Šikanja.

Prema njegovim rečima, imajući u vidu kakva je promena nastala u Evropskoj uniji konačnim uvođenjem GDPR regulative, a kod nas usvajanjem Zakona za zaštitu podataka o ličnosti, velika većina preduzeća i javnih institucija je unapredila pristup svojoj bezbednosti.

„Neke od njih su i u periodu pre GDPR-a redovno testirale svoju bezbednost, što interno, a što preko stručnjaka sa strane. Ipak, donošenje nove regulative posledično je dovelo da mnoge kompanije vode više brige o svojoj bezbednosti i to zato što su uvedene i obavezne kazne u slučaju nesprovođenja propisanih mera. Pa bolje tako nego nikako“, zaključuje Jovan Šikanja.