30-06-06 10:57
Sve više prijava krađe osobnih podataka
piše ANTONELA BANOVAC
Vrtoglavi tempo prijava gubitaka podataka u Sjedinjenim Državama zadnjih mjeseci ne pokazuje znakove usporavanja. Još nekoliko organizacija objavilo je gubitke podataka, između kojih su American International Group Inc. (AIG), ING Financial Services LLC, Union Pacific Corp., Western Illinois University (WIU)... (izvor: Computerworld).
Od trenutka kada je ChoicePoint obznanio razotkrivanje u veljači 2005., prijavljeno je 190 slučajeva, a od tog broja ih je više od 90 razotkriveno od siječnja ove godine tako da sada broj izloženih podataka iznosi preko 88 milijuna (izvor: Computerworld).
Posljednja kršenja uključuju sljedeće:
provala na lozinkom zaštićen server u njujurškom AIG-u rezultirala je potencijalnim razotkrivanjem oko 970.000 osobnih podataka;
provala na server na WIU gdje je moguće otkrivanje imena, brojeva kreditnih kartica i brojeva socijalnog osiguranja više od 240.000 studenata prijavljenih na tom sveučilištu. U serveru su se nalazili brojevi kreditnih kartica korisnika koji su kupovali online preko sveučilišne trgovine knjigama ili su platili boravak u sveučilišnom hotelu, a provala je otkrivena 5. lipnja;
u Washingtonu je otuđeno prijenosno računalo s oko 13.000 osobnih podataka i brojeva socijalnog osiguranja državnih zaposlenika Okruga Columbia;
u travnju je otuđeno prijenosno računalo Union Pacifica, sjedišta u Omahi, koje je pripadalo jednom zaposleniku, a sadržavalo je podatke od oko 30.000 zaposlenika;
otuđenje podataka u Ministarstvu za pitanje veterana SAD-a potaknulo je provjeru informacijskih sigurnosnih politika u tom, a i u nekolicini drugih vladinih agencija koje su imale gubitke u zadnje vrijeme;
Ministarstvo energetike objavilo je da je 1500 brojeva socijalnog osiguranja kao i drugih osobnih podataka njihovih zaposlenika i ugovornih djelatnika ugroženo od strane hakera prošlog rujna.
Osim spomenutih slučajeva, krađu podataka prijavili su i Uprava za socijalnu sigurnost, kao i Porezna uprava.
Cijeli ovaj niz otuđenja podataka naglašava činjenicu hitnosti poduzimanja ozbiljnijih mjera za čuvanje osobnih podataka.
Službenici u Vladinom računovodstvenom uredu kao i u Uredu za upravljanje i proračun Bijele kuće pozivaju vladine agencije da u cjelini preispitaju i provjere svoje procese i programe za prikupljanje i skladištenje podataka, te nadzor pristupa tim podacima. Ujedno je zatraženo specificiranje do sada poduzetih koraka kako bi primijenili zahtjeve koje pred njih postavlja Zakon o upravljanju informacijskom sigurnosti.
Dužnost agencija je osiguravanje provedbe tog Zakona i osposobljavanje zaposlenika za rad sa strogim sigurnosnim mjerama. Da bi spriječila daljnje otkrivanje podataka, agencija poduzima određene mjere kao što su zabrana korištenja agencijskih računala u privatne svrhe, zabrana prenošenja datoteka na kućna računala zaposlenika kako bi nastavili rad od kuće. Sva agencijina prijenosna računala koja su dana na korištenje zaposlenicima, povučena su na pregled, a za ubuduće se planiraju mjesečni pregledi.
Uvriježena praksa u SAD-u nakon otkrivene krađe osobnih podataka postala je obavješćivanje svih ugroženih korisnika, te praćenje posljedica otuđenja podataka.
Problem sigurnosti mreže akutni je međunarodni problem. Europska komisija za informacijsku sigurnost radi na uspješnijem osiguranju sigurnosti mreža, a planira se otvaranje informacijskog portala gdje će biti objavljene obavijesti o incidentima i upozorenja na potencijalne mogućnosti provala. Za sigurnost se trenutno izdvajaju male novčane svote iz čega se može zaključiti da su sigurnosni rizici još uvijek podcijenjeni.
Zakoni koji čine temelj nacionalne informatičke sigurnosti u našoj zemlji već su doneseni i to su: prije svega Ustav RH, Zakon o zaštiti tajnosti podataka, Zakon o zaštiti osobnih podataka (i pripadajuće uredbe), Zakon o pravu na pristup informacijama i Kazneni zakon. Osnivanjem Agencije za zaštitu osobnih podataka Hrvatska je započela s usklađivanjem pravnih odredbi o zaštiti osobnih podataka s onima Europske unije te s izgradnjom vlastitog sustava zaštite osobnih podataka sukladno svojim potrebama.
U Republici Hrvatskoj ne postoji tradicija sustavnog provođenja informacijske sigurnosti u državnoj upravi i društvu u cjelini, a ne postoje ni zakonske obveze prijavljivanja krađe osobnih podataka, te shodno tome nema ni prijavljenih slučajeva otuđenja osobnih podataka, što ne znači da provale nisu prisutne.
|