Откако Државната комисија за спречување на корупцијата минатата недела објави сериозни индиции за злоупотреба на личните податоци на граѓаните преку базата на Управата за водење на матични книги (УВМК) со што се засегнати илјадници граѓани во очекување на реакција од истражните органи од надлежната Агенција за заштита на податоци еве детална информација за вонредната супервизија што ја спровеле во Управата.
Оваа ревизија била спроведена на барање на антикорупционерите кои се сомневаат дека при спроведување на процесот на дигитализација Управата за матични книги направила низа пропусти кои директно ги загрозуваат личните податоци на граѓаните, поради што од Агенцијата, прво апелираат до сите институции да посветат поголемо внимание на заштитата на личните податоци на граѓаните, односно да демонстрираат отчетност и одговорност преку инвестирање во нови технолошки решенија и знаења на вработените со цел да бидат во чекор со развојот на дигиталното општество.
Овој апел доаѓа во време кога се зачестени нападите над ИТ системите на институциите поради, како што велат од Агенцијата, застарените технолошки решенија кои се користат и недоволен стручен кадар кои ќе може да одговори на предизвиците на новото време.
– Агенцијата континуирано укажува на потребата од зголемување на безбедноста на ИТ системите на институциите, бидејќи штетните последици при евентуална злоупотреба на личните податоци на граѓаните може да биде огромна и ненадоместлива – вели Емилија Гиноска, соработник за советување и односи со јавност на Агенција за заштита на личните податоци.
На нашето прашање дали Агенцијата, откако направила супервизија во Управата за водење на матичните книги може да се открие дали биле злоупотребени и во која мера лични податоци на граѓаните и најважното прашање дали постојат сознанија каде завршиле личните податоци на граѓаните ако имало злоупотреби.
Впрочем, има ли преставки од граѓани во Агенцијата, а кои можат да се поврзат со овој скандалозен случај откако Антикорупциската комисија оформи предмет, поради незаконски спроведена јавна набавка на информатички услуги-скенирање на лични документи и документи со лични податоци, нивно внесување во базата на Управата за матични книги и техничка поддршка на базата и софтверскиот систем?
„ДКСК бараше од Агенцијата да утврди кој имал пристап до скенираните документи за лични податоци, како истите биле зачувани, дали биле заштитени, дали воспоставениот систем за нивна заштита бил ефикасен и ефективен и дали истите се употребени за незаконски цели. Особено внимание ДКСК бараше да се посвети на софтверскиот т.е. на ИТ системот, во смисла на тоа кој имал пристап до податоците, дали на економските оператори им бил овозможен пристап спротивно на законските прописи и дали се вршени какви било упади или интервенции во базите со лични податоци на УВМК“, се вели во одговорот од Агенцијата за заштита на податоците.
Надлежните наведуваат дека бил проверен степенот на воспоставениот систем за заштита на личните податоци при што утврдиле дека Управата за матични книги „ги нема во целост воспоставено процесите и процедурите кои овозможуваат усогласеност со прописите за заштита на личните податоци.
Агенцијата за заштита на лични податоци констатирала прилично долг список на прекршувања, ви ги пренесуваме во продолжение:
- УВМК нема определено администратор на информацискиот систем.
- УВМК нема донесено и не применува процедури за управување со обработувачи, при што УВМК за цели на дигитализација на матичните книги имала склучено договори со обработувачи, кои не се усогласени со прописите за заштита на личните податоци и нема вршено контрола над нивната работа. Овластените лице кај обработувачите немаат добиено овластувања за обработка на личните податоци и немаат потпишано изјави за тајност и заштита на личните податоци.
- УВМК нема вршено контроли (периодични и внатрешна) заради следење на усогласеноста на нејзиното работење со прописите за заштита на личните податоци. Агенцијата ги проверила и техничките и организациски мерки за да се осигури дека постои соодветна безбедност на личните податоци кои се обработуваат во процесот на дигитализиација на матичните книги кои се чуваат во хартиена или електронска форма. Тука утврдиле дека Управата ги нема во целост воспоставено процесите и процедурите кои овозможуваат усогласеност со прописите за заштита на личните податоци и тоа:
- УВМК има донесено Процедура за одржување на информатичка технологија и Процедура за управување со безбедноста на информациите, но истите во целост не ја одразуваат фактичката состојба кај УВМК. УВМК нема донесено Политика за системот за заштита на личните податоци и целосна документација за технички и организациски мерки и нема направено проценка на ризиците според прописите за заштита на личните податоци.
- Вработените во УВМК немаат посетено обука за заштита на личните податоци.
- УВМК нема воспоставено евиденција на хардверот, опремата, серверите и софтверските апликации кои се користат за обработка на личните податоци.
- За скенирање на матичните книги се користат два компјутери каде се инсталирани два скенера. За влез во овие компјутери не се бара да се внесе корисничко име и лозинка. Овие компјутери и скенери се сместени во просторија која физички не е обезбедена, при што до просторијата постоела можност да пристапат и неовластени лица. Во фазата на скенирање ангажираните лица од обработувачите немале придружба (контрола) од вработените кај УВМК.
- „Во оваа просторија се чуваа и матичните книги од повеќе подрачни единици кои биле доставени за скенирање, при што до истите може да има секој кој ќе пристапи во просторијата на УВМК. Скенираните матични книги се преземаат од овие два компјутери на преносен медиум кој не е заштитен со лозинка. За префрлање на скенираните книги се користи посебен апликативниот софтвер (модул). За пристап до овој апликативниот софтвер (модул) овластеното лице треба претходно да воспостави VPN конекција. За пристап до овој апликативен софтвер (модул) дозволено е користење и неперсонализирани кориснички имиња (генерички) преку кои не може да се утврди лесно идентитетот на корисникот“, се вели во извештајот од направената супервизија на Агенцијата за заштита на личните податоци. Од таму констатирале и дека УВМК нема донесено процедури за управување со медиуми и не води евиденција на медиуми и евиденција на преносливи медиуми. УВМК не прави контроли со цел да се превенира неавторизирано користење на преносни медиуми. На ниту еден компјутер не е контролиран пристапот до УСБ портите. До надворешните медиуми пристап имале ангажираните лица од обработувачот, но УВМК нема воспоставено контрола кој се имал пристап до овие медиуми, дали се изнесувале надвор од просториите на УВМК, каде се чувале, кој имал обврска да ги избриши податоците откако ќе се префрлиле. Од страна на обработувачот доставен е Реверс за издавање на користење на носачи на податоци (надворешни преносливи медиуми).
Во документот е наведено дека истите можат да се користат само за чување и трансфер на податоците од собата за скенирање до компјутерот доделен за прикачување на податоците во просториите на УВМК и не смеат да се извадат надвор од назначените простории или да се префрлаат податоци на трети компјутери кои не се определени за тоа.УВМК поседува и сервер со документи (fileserver) на кој се чуваат дел од скенираните книги и истите се незаштитени од неовластен пристап. УВМК нема донесено и не применува процедура за пристап и користење на овој сервер. Во Реверсот доставен од обработувачот не е предвидено овој сервер да се користи за прикачување на скенираните документи.- УВМК нема направено проценка на ризик во однос на физичката безбедност на ИТ опремата и просториите каде се чуваат личните податоци.
- УВМК не води евиденција за пристап до просторијата која се користела од страна на обработувачите во периодот кога се скенирале матичните книги.
- Вработените кај УВМК практикуваат да ги предаваат матичните книги со потпишување на записници за преземање и враќање на книги за дигитализација.
- УВМК нема донесено процедури за определување на обврските и одговорностите на овластените лица и не се прават проверки во однос на правата на пристап на корисниците како и на работењето на администраторите на информацискиот систем.
- УВМК не врши проверка и ажурирање на привилегиите за пристап до информацискиот систем на овластените лица.
- УВМК нема сопствен домен па пристапот до информацискиот систем не е унифициран. На компјутерот на кој се направи проверката се бара да се внесе лозинка од 7 карактери и притоа не се бара истата да е сложена. Лозинката не се бара да се менува форсирано на 90 дена. По пет неуспешни обиди активирана е опцијата за заклучување на компјутерот, по што компјутерот се заклучува на 30 минути.
- УВМК води евиденција за авторизиран пристап (запис/лог) до софтверската апликација (модул) која се користи за префрлање на скенираните матични книги, но истиот не содржи комплетни логови според прописите за заштита на личните податоци. УВМК не врши контрола на податоците од евиденцијата за пристап до информацискиот систем. УВМК има инсталирано SIEM решение, но истото не е сетирано да ги собира и анализира логовите кои се генерираат при пристап до серверот со документи (fileserver) и останатите медиуми каде што има лични податоци. Навистина, не е мал бројот на пропусти и прекршувања во Управата за водење матични книги, а за последиците допрва ќе дознаваме.Откако Агенцијата ја направила супервизијата биле определени и рокови за отстранување на утврдените повреди. Роковите за постапување истекле во јуни 2023 година, па сега УВМК има обврска за секоја мерка да ја извести Агенцијата и да достави докази дека ги отстранила констатираните повреди. За дел од мерките, велат од Агенцијата, Управата веќе доставила и докази дека ги отстранила повредите на правото на заштита на личните податоци на граѓаните.