Sigurnosni propust na stranicama Hrvatskog zavoda za zdravstveno osiguranje čak i hakeru amateru jednostavno omogućuje uvid u osobne podatke osiguranika ove institucije. Možda to u HZZO-u ne znaju, no Zakon o zaštiti osobnih podataka prilično je jasan
Da (pre)skupa državna uprava i administracija često troši novac poreznih obveznika na način koji nije primjeren, znamo već poodavno, no svejedno nas uvijek i ponovo uspiju iznenaditi. Hrvatski zavod za zdravstveno osiguranje (HZZO) na svojim stranicama ima jasno istaknutu viziju - 'racionalno ulagati financijska sredstva naših osiguranika u kvalitetne i efikasne zdravstvene usluge i programe koji će im donijeti prinos u dodavanju godina životu i zdravlja godinama', no izgleda da su zanemarili komponentu zaštite osobnih podataka.
Jedan je od dijelova stranice HZZO-a usluga koja omogućuje provjeru statusa obveznog i dopunskog zdravstvenog osiguranja, no zaštita koju koristi, najblaže je rečeno, smiješna. U HZZO-u su se odlučili zaštititi sustav tako da koriste tzv. CAPTCHA-u (Completely Automated Public Turing test to tell Computers and Humans Apart), a koja će prepoznati pristupa li sustavu osoba od krvi i mesa ili se pak radi o računalu koje ima za namjenu pokupiti osobne podatke korisnika.
Sama CAPTCHA i nije najsretnija zaštita. U kratkom telefonskom razgovoru s Lucijanom Carićem, stručnjakom za računalnu sigurnost tvrtke DefenseCode, doznajemo da je probijanje pojedinačne zaštite ove vrste moguće internetom naručiti za manje od jednog eurocenta po CAPTCHA-i, no to je jedna sasvim druga tema. Carića ne iznenađuje amaterizam stranica HZZO-a.
Naime, HZZO na svojim stranicama koristi točno 40 predefiniranih CAPTCHA fotografija, a koje su iz samo njima znanog razloga uredno zapekli u kod same stranice. Navedeno omogućuje jednostavnu izradu još jednostavnije računalne skripte koja će, s obzirom na to da zna sve definirane zadatke koje osoba mora unijeti kako bi pristupila svojim podacima, unosom valjanih OIB-ova povezati brojeve osiguranih osoba u HZZO-u te brojeve valjanih polica dopunskog zdravstvenog osiguranja.
Nećemo ni pomišljati što netko može učiniti s dobivenim podacima, no jedno je sigurno, radi se o klasičnom kršenju Zakona o zaštiti osobnih podataka. U njegovom prvom članku jasno stoji da je 'zaštita osobnih podataka u RH osigurana svakoj fizičkoj osobi…' dok pak Članak 36. istog zakona ističe da će se kazniti 'novčanom kaznom u iznosu od 20.000 do 40.000 kuna voditelj zbirke osobnih podataka koji nije osigurao odgovarajuću zaštitu osobnih podataka'. Uostalom, i Članak 18. Zakona o zaštiti osobnih podataka jasno navodi:
'Osobni podaci u zbirkama osobnih podataka moraju biti odgovarajuće zaštićeni od slučajne ili namjerne zlouporabe, uništenja, gubitka, neovlaštenih promjena ili dostupa.
Voditelj zbirke osobnih podataka i primatelj dužni su poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja i od nedopuštenog pristupa, nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe…
Kao što vidimo, HZZO se očigledno ne drži ovih pravila.
Uredu HZZO-a poslali smo nekoliko pitanja uz sigurnosni propust, no do vremena objave ovog teksta nisu nam odgovorili.
