Nakon što je potvrđeno da su na internetu objavljeni osobni podaci više od 560.000 hrvatskih učenika i nastavnika, stručnjak za elektroničke komunikacije i nove tehnologije Đuro Lubura upozorio je da slučaj treba shvatiti ozbiljno, ali bez stvaranja panike.

Prema njegovoj procjeni, dosadašnje informacije upućuju na to da podaci vjerojatno nisu kompromitirani izravno iz sustava CARNET-a, već preko neke od povezanih usluga trećih strana.

Objavljen ograničen skup podataka

Gostujući u emisiji Studio 4 Hrvatske radiotelevizije, Lubura je rekao kako su prema trenutačno dostupnim informacijama objavljeni osnovni osobni podaci korisnika. Među njima su ime i prezime, adresa elektroničke pošte, naziv škole te oznaka je li riječ o učeniku ili nastavniku.

Iako takvi podaci sami po sebi ne omogućuju krađu identiteta ili izravnu financijsku štetu, mogu poslužiti za izradu uvjerljivih phishing poruka kojima napadači pokušavaju navesti korisnike na otkrivanje lozinki ili drugih osjetljivih podataka.

Moguć izvor izvan CARNET-a

Lubura ističe da je prerano donositi zaključke prije završetka službene istrage, no smatra da trenutačne okolnosti ne upućuju na proboj CARNET-ovih sustava. Prema njegovoj procjeni, vjerojatnije je da su podaci kompromitirani preko servisa trećih strana koje škole svakodnevno koriste, poput platformi Microsofta ili Googlea na koje se korisnici prijavljuju vjerodajnicama koje izdaje CARNET.

Naglasio je da će tek forenzička analiza pokazati gdje je došlo do sigurnosnog propusta i tko snosi odgovornost.

Upozorenje za digitalno obrazovanje

Prema riječima stručnjaka, ovakvi incidenti postaju sve češći kako se javne usluge ubrzano digitaliziraju. Istaknuo je da slučaj ne treba ni dramatizirati ni umanjivati, već ga promatrati kao upozorenje da je potrebno dodatno ulagati u kibernetičku sigurnost, infrastrukturu i stručne kadrove koji upravljaju digitalnim sustavima.

Lubura je pojasnio da se ukradene baze podataka najčešće objavljuju na dark webu, dijelu interneta koji nije dostupan putem uobičajenih internetskih tražilica.

Dodao je kako se ondje često odvijaju nezakonite aktivnosti, ali i da taj prostor nadziru sigurnosne službe i policijske agencije koje prate kibernetički kriminal.

Govoreći o ulozi CARNET-a, Lubura je podsjetio da ta ustanova nije odgovorna samo za održavanje informatičke infrastrukture hrvatskog obrazovnog sustava, nego preko Nacionalnog CERT-a ima i važnu ulogu u području nacionalne kibernetičke sigurnosti. Istaknuo je da upravo zbog te dvostruke odgovornosti detaljna istraga mora utvrditi izvor incidenta prije donošenja bilo kakvih konačnih zaključaka.