Procurila imena i mail-adrese 560.000 hrvatskih učenika i nastavnika. Reagirao AZOP
AGENCIJA za zaštitu osobnih podataka pokrenula je žurno nadzorno postupanje nad CARNET-om nakon informacija o neovlaštenoj objavi osobnih podataka učenika i nastavnika iz hrvatskih škola. CARNET se ranije oglasio o incidentu i naveo da provjerava vjerodostojnost, opseg i podrijetlo objavljenih podataka.
"CARNET je upoznat s informacijama o neovlaštenom dijeljenju podataka povezanih s osnovnim i srednjim školama. Odmah po saznanju pokrenuta je opsežna tehnička i forenzička analiza kako bi se utvrdila vjerodostojnost objavljenih podataka, njihov opseg, podrijetlo te način na koji su dospjeli u javnost", stoji u priopćenju CARNET-a.
Koji su podaci objavljeni?
CARNET je objavio i koje se vrste podataka zasad spominju u vezi s događajem. Naglašavaju da analiza još nije završena.
"Prema informacijama kojima trenutačno raspolažemo, objavljeni podaci uključuju ime i prezime korisnika, adresu elektroničke pošte, naziv škole te korisničku ulogu. Analiza njihova podrijetla i opsega još uvijek traje", navodi se u reakciji na incident.
AZOP je nastavno tome danas objavio da je postupanje pokrenula na temelju trenutno dostupnih informacija. "S obzirom na trenutno dostupne informacije o neovlaštenoj objavi osobnih podataka učenika i nastavnika iz hrvatskih škola, Agencija za zaštitu osobnih podataka pokrenula je žurno nadzorno postupanje nad CARNET-om po službenoj dužnosti", priopćio je AZOP.
Nadzor se može proširiti
AZOP zasad postupa prema CARNET-u, no iz priopćenja proizlazi da se nadzor ne mora zaustaviti samo na toj instituciji. "Agencija će, prema potrebi, poduzeti odgovarajuće radnje i prema drugim voditeljima/izvršiteljima obrade ako se utvrdi povezanost s predmetnim incidentom", navodi AZOP.
Agencija je objavila i da joj do sada nije dostavljena službena prijava povrede osobnih podataka. "Agencija do sada nije zaprimila izvješće o povredi osobnih podataka od voditelja obrade", stoji u priopćenju. AZOP pritom podsjeća na obveze koje vrijede u slučaju povrede osobnih podataka.
"U slučaju povrede osobnih podataka, a sukladno članku 33. Opće uredbe o zaštiti podataka, voditelj obrade bez nepotrebnog odgađanja, i ako je izvedivo, najkasnije 72 sata nakon saznanja o incidentu, izvješćuje nadzorno tijelo, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca", navodi Agencija.
Upozorenje zbog phishinga
Poseban dio upozorenja odnosi se na moguće zloupotrebe objavljenih e-mail adresa. AZOP upozorava da bi učenici i nastavnici mogli postati mete internetskih prijevara.
"Nastavno na informacije da su ovim incidentom obuhvaćene i e-mail adrese učenika i nastavnika, upozoravamo na mogućnost povećanog broja phishing napada te drugih oblika internetskih prijevara usmjerenih prema navedenim korisnicima", poručuje AZOP.
Agencija se posebno obratila roditeljima, s obzirom na to da su među potencijalno pogođenima i učenici. "Posebno pozivamo roditelje da obrate pozornost na poruke koje će učenici zaprimati na svoje e-mail adrese te da djecu upozore na moguće pokušaje prijevare", stoji u priopćenju.
Roditeljima se savjetuje da s djecom razgovaraju o sigurnosti na internetu i objasne im što ne smiju raditi ako dobiju sumnjivu poruku."Roditeljima preporučujemo da razgovaraju s djecom o sigurnosti te da ih upozore da ne otvaraju sumnjive poveznice niti dijele korisnička imena, lozinke ili druge osobne podatke putem elektroničke pošte", navodi AZOP.