Povodom ozbiljnog sigurnosnog incidenta u Nacionalnom centru za vanjsko vrednovanje obrazovanja (NCVVO) koje provodi državnu maturu, a nakon izjave ravnatelja Vinka Filipovića da su “u tijeku opsežne radnje analize kibernetičkog napada” te da je “slučaj prijavljen policiji i svim nadležnim institucijama”, djelatnici Centra ponovno su se obratili javnosti. Tvrde da postavljaju niz pitanja od velikog javnog interesa na koja, iako je prošlo više od deset dana, odgovora još nema. Naime, smatraju da se kibernetički napad dogodio zbog sigurnosnih propusta.
Tko je trebao obavijestiti javnost?
Djelatnici NCVVO-a u mailu poslanom medijima napominju sljedeće: ”Ravnatelj NCVVO-a tvrdi da je za obavještavanje javnosti odgovoran CARNET-ov CSIRT tim, pozivajući se na članak 41. Zakona o kibernetičkoj sigurnosti. Međutim, NCVVO je voditelj obrade osobnih podataka i, prema člancima 33. i 34. Opće uredbe o zaštiti podataka (GDPR), dužan je u roku od 72 sata prijaviti povredu AZOP-u te bez odgode obavijestiti sve pogođene osobe ako postoji visok rizik za njihova prava i slobode. Radi se o osobnim podacima učenika – većinom maloljetnika – uključujući ispitne rezultate, obrazovne profile i prigovore”.
Ni prijava AZOP-u ni obavijest građanima – nije se dogodila.
Djelatnici Centra postavljaju nova pitanja
Djelatnici u mailu postavljaju nova pitanja: Je li djelatnica Centra (podaci dostupni redakciji)– bez suglasnosti i izvan protokola – zatražila pristup sustavu iz inozemstva?
Pitaju i je li osoba zadužena za pravna pitanja u NCVVO-u osobno zatražila skidanje zaštite sustava i dao suglasnost za takvo djelovanje i je li zamjenica ravnatelja, odgovorna za provedbu ispita državne mature, ”bila upoznata s rizicima i zašto ih je zanemarila?”
> Skandal u NCVVO-u: Je li došlo do kompromitacije osobnih podataka stotina tisuća građana?
”Prema člancima 24. i 25. GDPR-a, svaki voditelj obrade dužan je poduzeti tehničke i organizacijske mjere za sigurnost osobnih podataka. Ako su ti standardi prekršeni, ravnatelj kao odgovorna osoba javne ustanove mora javno objasniti tko, kada i kako je omogućio vanjski pristup sustavu i koji su podaci kompromitirani”, navodi se u priopćenju koje potpisuju ‘djelatnici Centra’.
Pitaju se: Zašto NCVVO nije izvijestio javnost? Zašto se incident ne komunicira izravno, već putem medija? ”Voditelj obrade dužan je, prema GDPR-u, obavijestiti pogođene osobe bez nepotrebnog odgađanja”, napominju.
Užurbani reizbor ravnatelja
Napominju i da Upravno vijeće priprema i reizbor ravnatelja NCVVO-a Vinka Filipovića bez obzira na navedeni sigurnosni propust.
“Upravno vijeće, umjesto da rasvijetli situaciju, užurbano provodi reizbor 65-godišnjeg ravnatelja, gotovo četiri mjeseca prije isteka njegovog mandata započetog 13. rujna 2021., bez ikakvog prethodnog utvrđivanja odgovornosti. Time ne samo da ignorira svoju zakonsku ulogu nadzora, nego aktivno sudjeluje u normalizaciji odgovornosti bez posljedica.”
>Kibernetički napad na NCVVO: Ne razmišlja se o odgodi mature
”Ravnatelj koji ne ispunjava obveze prema GDPR-u odgovoran je i osobno i institucionalno”, napominje se u mailu djelatnika.
Pitaju se i zašto resorno Ministarstvo obrazovanja šuti.
”Zašto ministar znanosti Radovan Fuchs do danas nije dao jasno, odgovorno i sveobuhvatno priopćenje? Ako Ministarstvo šuti, poruka je jasna – zaštita osobnih podataka učenika i građana nije prioritet ove vlasti”, drže djelatnici Centra.
Ključna pitanja slučaja
Djelatnici još jednom postavljaju ključna pitanja na koja javnost i oštećeni građani imaju pravo na hitan odgovor:
Tko je i pod kojim ovlastima omogućio vanjski pristup sustavu NCVVO-a?
Tko je dao nalog za uklanjanje sigurnosnih zaštita i zašto?
Je li AZOP obaviješten u zakonskom roku? Jesu li pogođene osobe kontaktirane, sukladno člancima 33. i 34. GDPR-a?
Zašto NCVVO nije odmah izvijestio javnost i objavio službeno priopćenje?
Tko trenutačno ima pristup kompromitiranim podacima i kako su ti podaci sada zaštićeni?
Je li incident prijavljen OECD-u s obzirom na međunarodnu dimenziju i uključenost obrazovnih istraživanja?
>Ured ravnatelja NCVVO-a oglasio se o skandalu s kompromitacijom osobnih podataka
Podsjetimo, anonimni djelatnici Centra u svojoj strani ovog skandala prokazali su vrhušku Centra kao krivce koji su svojim propustima omogućili napad. Upitali smo stoga Ured ravnatelja NCVVO-a tko je odgovoran za navedeni propust.
Njihov odgovor neodređen te navodi da ne postoji stopostotna sigurnost.
“Kibernetičkom napadu su potencijalno svi izloženi pa tako i NCVVO, nema stopostotne sigurnosti“, odgovorili su nam iz NCVVO-a.
Prema navodima iz anonimnog e-maila koje smo objavili, na kibernetički napad nitko nije reagirao niti je obavijestio javnost. Zbog toga smo NCVVO upitali zašto nisu reagirali ni obavijestili javnost.
Ravnatelj NCVVO-a negirao je da je izostala reakcija kao i obavijest javnosti.
“NCVVO je o svemu promptno obavijestio policiju i sve nadležne ustanove“, jasan je odgovor ureda ravnatelja NCVVO-a.
Tekst se nastavlja ispod oglasa Tekst se nastavlja ispod oglasaIzvor: narod.hr
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu i društvenim mrežama Narod.hr dopušteno je registriranim korisnicima. Čitatelj koji želi komentirati članke obavezan se prethodno upoznati sa Pravilima komentiranja na web portalu i društvenim mrežama Narod.hr te sa zabranama propisanim člankom 94. stavak 2. Zakona o elektroničkim medijima.