SIGURNOSNI INCIDENT

Što čeka učenike i roditelje nakon curenja podataka? 'Lozinke i OIB-ovi nisu ukradeni, ali...'

05.07.2026 u 18:30

Bionic
Reading

Više od 560 tisuća osobnih zapisa učenika i nastavnika iz hrvatskog obrazovnog sustava pojavilo se na dark webu, što ovaj slučaj svrstava među najveće sigurnosne incidente u hrvatskom javnom sektoru posljednjih godina. Iako zasad nema dokaza da su kompromitirane korisničke lozinke ili drugi osjetljivi podaci, domaći stručnjaci za kibernetičku sigurnost - Alen Delić i Marko Gulan - u razgovoru za tportal upozoravaju da objavljeni podaci predstavljaju vrijednu 'sirovinu' za ciljane phishing napade i druge internetske prijevare

U javnosti se pojavila kriptirana baza koja sadrži imena i prezimena učenika i nastavnika, njihove službene adrese elektroničke pošte s domenom @skole.hr, nazive škola te podatke o korisničkoj ulozi, odnosno radi li se o učeniku ili nastavniku. Nakon uklanjanja dvostrukih unosa potvrđeno je da baza sadrži 563.509 jedinstvenih zapisa iz čak 1452 škole diljem Hrvatske.

Sigurnosni incident nametnuo je dva ključna pitanja: odakle su podaci procurili i što se s njima sada može učiniti.

Zbog incidenta Agencija za zaštitu osobnih podataka (AZOP) pokrenula je istragu, dok je Hrvatska akademska i istraživačka mreža (CARNET) odmah započela tehničku i forenzičku analizu kako bi utvrdila podrijetlo podataka i način na koji su dospjeli u javnost.

Analiza strukture podataka otvorila je i pitanja o mogućem izvoru curenja. Prema dosadašnjim analizama, u bazi se bez poteškoća mogu pronaći podaci učenika viših razreda osnovne škole, dok podaci za dio učenika nižih razreda navodno nedostaju. Stručnjaci na temelju njih razmatraju nekoliko mogućih scenarija.

Fuchs: 'E-mail adrese učenika i profesora završile na serveru u Rusiji'

U međuvremenu je ministar znanosti, obrazovanja i mladih Radovan Fuchs izjavio da preliminarni rezultati forenzičke analize upućuju na to da podaci najvjerojatnije nisu procurili iz CARNET-ovih sustava, nego preko treće strane, odnosno nekog od vanjskih dobavljača ili povezanih sustava.

'Nije to curenje podataka, nego je došlo do stavljanja popisa e-mail adresa cijelog niza učenika, profesora i drugih ljudi u sustavu obrazovanja i znanosti na jedan server na dark webu koji je registriran u Rusiji', rekao je Fuchs novinarima nakon sjednice Vlade.

Prema njegovim riječima, dosadašnja analiza nije pokazala da su kompromitirane korisničke lozinke niti drugi sustavi poput e-Matice, sustava državne mature ili alata za upis učenika. No upozorio je da korisnici mogu očekivati povećan broj neželjenih poruka jer su objavljene njihove školske adrese elektroničke pošte.

Prva pretpostavlja da podaci nisu procurili iz samog obrazovnog sustava, nego preko neke od povezanih aplikacija trećih strana. Naime, učenici AAI identitet i adresu @skole.hr dobivaju već pri upisu u prvi razred, no alati poput Microsoft Teamsa ili Microsofta 365 intenzivnije se koriste tek u višim razredima, pa dio stručnjaka ne isključuje mogućnost da je kompromitiran upravo jedan od povezanih servisa.

Druga teorija govori o mogućnosti da je u javnost dospjela starija sigurnosna kopija (backup) sustava, jer objavljena baza sadrži više od 563 tisuće zapisa, odnosno više od broja trenutačno aktivnih učenika u Hrvatskoj. To bi moglo značiti da obuhvaća i generacije koje su već završile školovanje, dok dio novoupisanih učenika u njoj nije evidentiran.

Nijedna od tih pretpostavki zasad nije potvrđena, a odgovor bi trebala dati forenzička analiza koja je u tijeku.

'U ovom trenutku nema pokazatelja da je ugrožen rad CARNET-ovih usluga', poručili su iz CARNET-a. Iz CARNET-a upozoravaju na povećan rizik od ciljanih phishing napada i drugih oblika socijalnog inženjeringa. Stoga pozivaju učenike, roditelje i nastavnike na dodatni oprez prilikom zaprimanja elektroničke pošte, osobito poruka u kojima se traže podaci za prijavu ili druge osobne informacije.

Kako je došlo do curenja podataka, jesu li kompromitirani sustavi CARNET-a ili neke od povezanih platformi te koliki su stvarni rizici za učenike i nastavnike, trebala bi pokazati istraga koja je u tijeku.

Ozbiljan incident, ali ne zbog samog broja zapisa

Koliko je zapravo ozbiljno ovo curenje podataka? Prema riječima kibernetičkog stručnjaka Alena Delića, odgovor ne treba tražiti samo u brojkama.

'Ozbiljan je s obzirom na količinu podataka i na činjenicu da se kao takav desio. Nije najveće curenje u povijesti hrvatskog javnog sektora, no mislim da sama količina općenito nije najvažnija. Puno je važnije gdje se i što dogodi i kakva je struktura podataka', kaže Delić za tportal.

Sličnog je mišljenja i stručnjak za kibernetičku sigurnost Marko Gulan, koji upozorava da ozbiljnost dodatno povećava činjenica da su među pogođenima maloljetnici.

'Svaki neovlašteni pristup ili objava podataka ne smije se relativizirati, a kad su u pitanju podaci maloljetnika, prag ozbiljnosti automatski je viši, neovisno o vrsti podataka koja je izašla u javnost. Po broju zahvaćenih zapisa, preko 560.000, iz više od 1.400 škola, ovo je vjerojatno jedno od najopsežnijih curenja u hrvatskom javnom sektoru dosad', ističe.

Dodaje kako zasad nema razloga za paniku, ali ima razloga za oprez, osobito zbog navoda da ista skupina koja je objavila ovu bazu tvrdi da posjeduje i druge opsežne skupove podataka hrvatskih građana.

Najveća opasnost nisu lozinke, nego socijalni inženjering

U objavljenoj bazi nema korisničkih lozinki, OIB-ova ni adresa stanovanja, što smanjuje rizik od izravnog preuzimanja korisničkih računa, ali ne uklanja opasnost.

'Ovo nije skup potpunih digitalnih identiteta. Nema lozinki, nema OIB-a, nema adresa stanovanja. Ono što jest procurilo – ime, prezime, školska e-mail adresa, naziv škole i korisnička uloga – po prirodi je bliže kontakt-popisu nego potpunom profilu. To ne umanjuje ozbiljnost curenja, ali mijenja spektar realnih rizika', objašnjava Gulan.

Delić upozorava da upravo kombinacija tih podataka predstavlja ono što napadači najviše trebaju. 'Kombinacija imena, škole i prave e-adrese je sirovina za socijalni inženjering, iako lozinki i pristupa računima nema. Podaci se mogu koristiti vrlo brzo, ali i u budućnosti', kaže.

Drugim riječima, iako napadači ne mogu automatski preuzeti korisničke račune, sada raspolažu vjerodostojnim popisom stvarnih korisnika školskog sustava, što im omogućuje izradu uvjerljivih prijevara.

Kako bi mogli izgledati napadi?

Oba stručnjaka slažu se da je sada najveći rizik porast ciljanih phishing kampanja. 'Nadležne institucije upozorile su na povećan rizik od phishing napada. Realan scenarij je poruka koja izgleda kao obavijest iz e-Dnevnika, traženje promjene zaporke ili neko lažno predstavljanje', kaže Delić.

Gulan navodi nekoliko mogućih scenarija.

'Možemo očekivati poruke koje se lažno predstavljaju kao školska administracija ili AAI@EduHr sustav i pozivaju korisnike na obveznu ponovnu prijavu. Nastavnici mogu dobivati lažne priloge poput rasporeda ili obavijesti ravnatelja koji sadrže zlonamjerni softver, dok roditelji mogu primati poruke koje koriste ime djeteta i naziv škole kako bi djelovale vjerodostojno', upozorava.

Dodaje kako ovakve baze vrlo brzo počinju kružiti među napadačima jer su već strukturirane i spremne za automatizirane kampanje.

Forenzika bi mogla trajati tjednima

Jedno od ključnih pitanja jest kako su podaci uopće završili u javnosti. Delić smatra da bi u ovom slučaju moglo biti moguće relativno precizno utvrditi izvor curenja. 'Treba određeno vrijeme, no ovdje se radi o setu za koji mi se čini da će biti moguće utvrditi što se dogodilo', kaže.

Gulan upozorava da je riječ o složenom procesu koji često traje znatno dulje nego što javnost očekuje.

'Od trenutka otkrivanja incidenta do zaokružene forenzičke istrage često prođe i pedesetak dana ili više, ovisno o kompleksnosti sustava i broju uključenih trećih strana. Posebno je zahtjevno utvrditi kada su podaci izvorno preuzeti jer objava baze i njezina krađa mogu biti razdvojene mjesecima. U praksi ovakvi napadi znaju ostati neotkriveni i više od 200 dana', objašnjava.

Dodaje da će, ako su u razmjenu podataka bili uključeni vanjski partneri ili dobavljači, istraga morati obuhvatiti i njih. U javnosti se već pojavljuju nagađanja da podaci možda nisu procurili izravno iz CARNET-ovih sustava, nego preko neke povezane platforme ili vanjskog partnera.

Delić tumači da će se odgovornost utvrđivati kroz odnos voditelja i izvršitelja obrade podataka te da je AZOP već najavio kako će, bude li potrebno, postupati i prema drugim uključenim subjektima.

Gulan upozorava da se odgovornost ne može jednostavno prebaciti na treću stranu.

'Prema GDPR-u voditelj obrade ostaje primarno odgovoran za zaštitu podataka čak i kada operativni propust nastane kod izvršitelja obrade ili partnerskog servisa. Ugovorni odnos s trećom stranom ne oslobađa instituciju odgovornosti prema građanima čije podatke obrađuje', ističe.

Što ovaj incident govori o hrvatskoj kibernetičkoj sigurnosti?

Obojica smatraju da bi bilo pogrešno donositi dalekosežne zaključke prije završetka istrage. 'Različite institucije imaju različitu razinu sigurnosti. Bez jasnih informacija o tome što se dogodilo ne bih komentirao CARNET jer je štetno na temelju jednog primjera donositi opće zaključke', kaže Delić.

Gulan smatra da problem nije u nedostatku propisa, nego u njihovoj provedbi.

'Hrvatska ima solidan zakonodavni okvir. Problem koji ovakvi incidenti sustavno otkrivaju nije nedostatak propisa, nego jaz između usklađenosti na papiru i stvarne provedbe u praksi. Ovdje se prirodno postavlja pitanje kako nitko nije primijetio da se iz sustava ili baze izvlači više od pola milijuna zapisa', upozorava.

Dodaje kako rješenje ne vidi u donošenju novih zakona, nego u većim ulaganjima u operativnu sigurnost, neovisne revizije sustava, redovita penetracijska testiranja i jačanje nadzornih institucija.

Što roditelji, učenici i nastavnici trebaju učiniti?

Najvažnija preporuka obojice stručnjaka jest – ne vjerovati svakoj poruci koja izgleda kao da dolazi iz škole ili CARNET-a. Delić savjetuje da korisnici prije svakog klika provjere stvarnu internetsku domenu s koje stižu obavijesti o ocjenama, rasporedu ili drugim školskim informacijama.

Gulan preporučuje da se svaka poruka koja traži hitnu prijavu, promjenu lozinke ili unos osobnih podataka dodatno provjeri službenim kanalima, a roditeljima savjetuje da razgovaraju s djecom o mogućim prijevarama i objasne im da svaku sumnjivu poruku pokažu odrasloj osobi. Nastavnicima preporučuje poseban oprez pri otvaranju privitaka koji dolaze izvan uobičajenih administrativnih kanala, dok svima savjetuje uključivanje dvofaktorske autentikacije gdje god je ona dostupna.