Poročali smo že, da je na spletu prosto dostopna zbirka podatkov o 533 milijonih uporabnikov družbenega omrežja Facebook, ki so bili ukradeni že leta 2019. Poleg javno objavljenih podatkov so razvidni tudi osebni podatki uporabnikov, kot so naslovi in telefonske številke. Med njimi je po podatkih Nacionalnega odzivnega centra za kibernetsko varnost SI-CERT tudi 110.177 Slovencev.
Prav tako je na spletu, natančneje na straneh Ministrstva za notranje zadeve, vsak mesec objavljen seznam bruto plač javnih uslužbencev Ministrstva za notranje zadeve (MNZ), Policije in Inšpektorata Republike Slovenije za notranje zadeve. Notranji minister Aleš Hojs je namreč januarja ob začetku policijske stavke, ki se mu je zdela neupravičena in neutemeljena, uresničil grožnje in objavil imena, priimke, nazive in enote skoraj 8700 policistov, skupaj z njihovimi bruto plačami, ki so bile decembra zaradi vseh dodatkov nereprezentativne in manipulativne.
Ogrožena varnost več kot tisoč policistov?
In zdaj nova težava: če ukradene podatke s Facebooka križamo s poimenskim seznamom policistov in njihovih plač, lahko izbrskamo osebne podatke – tako naslove kot telefonske številke – več kot tisoč policistov. To zanje predstavlja resno varnostno grožnjo, opozarja Miroslav Žaberl, strokovnjak za policijska pooblastila, ki je že ob objavi prvega seznama policijskih plač dejal, da je objavljati podatke o celotni varnostni strukturi MNZ nespametno, nekorektno in z varnostnega vidika povsem nedopustno.
"Že takrat smo opozarjali, da je bila objava teh podatkov norost, zdaj pa se vse to kaže še kot dodatna varnostna grožnja, predvsem za tiste policiste, ki delajo na občutljivih delovnih mestih, denimo v specialni enoti, na uradu za varnost in zaščito ali v mobilnih kriminalističnih skupinah. Kajti kriminalne družbe, za katere so ti podatki zlata vredni, jih povežejo med seboj, naredijo še kakšne dodatne poizvedbe in potem uporabljajo takšne in drugačne groženje ali pa kakšna sofisticirana dejanja. Z objavo takšnih podatkov, bodisi legalno, kakršna je bila Hojsova, ali pa nelegalno, se s križanjem podatkov ta nevarnost samo še povečuje," pojasnjuje.
Policisti so bili že takrat zaskrbljeni, izjemno nejevoljni in jezni na ministra, zdaj pa bi bili lahko še varnostno ogroženi. A škoda je storjena, še pravi Žaberl. Vodstvo Policije ne more storiti ničesar, razen če bi bil kdo od zaposlenih resno ogrožen.
Težava ni v tem, da so javno objavljeni plača, ime in priimek. Sporno je, da je navedena enota, v kateri delujemo, pa je v oddaji SVET pred časom pojasnil pripadnik specialne enote Policije. "Vsak od nas je usposobljen in zna poskrbeti za svojo varnost. Naše družine niso. Upam, da ne bo nihče nikoli ogrožen, je pa zaradi tega tveganje drastično povečano." Še več – ta seznam lahko vidijo vse tuje službe, kar je težava "zaradi varovanja delovanja – da ne oviraš delovnih nalog, da se lahko ljudje infiltrirajo v določene združbe in da lahko tudi prikrito opravljaš naloge, ki so varnostnega pomena". Opravka imajo namreč z najhujšimi kriminalci, "ki želijo upravljati z vsem mestom, ne samo s prodajo nekaj gramov droge". S kriminalci, ki imajo denar tudi za podkupovanje v zameno za informacije, uporabne za izsiljevanje ali maščevanje. To se je v preteklosti že zgodilo. "Kriminalne združbe so ponujale precej visoke zneske, da bi razkrile našo identiteto," je še razkril.
Policijski sindikat Slovenije: Na področju notranje varnosti lahko nastane težko popravljiva škoda
V Policijskem sindikatu Slovenije (PSS) so zoper ministra Hojsa, ki je po njihovem mnenju seznam policistov in njihovih plač objavil v nasprotju z zakonom in zaradi napovedi stavke, že 14. januarja podali kazensko ovadbo. Opozorili so ga, da je s tem lahko (zelo) ogrožena varnost določenih policistov in kriminalistov ter da bo posledično nastala težko popravljiva škoda, še posebej za ogrožene uslužbence Policije, uslužbence, ki imajo prirejeno identiteto, uslužbence, ki uporabljajo sredstva za prikrivanje prepoznavnosti in tiste, ki so kako drugače dodatno izpostavljeni določenim tveganjem.
"Kraja osebnih podatkov s Facebooka ni vzročno povezana z objavo osebnih podatkov policistov, saj gre za t. i. 'globalno akcijo', ki ni bila usmerjena zgolj v policiste. So pa zaskrbljeni državljani Policijski sindikat Slovenije obvestili o možnostih 'križanja' podatkov, s čimer se lahko ustvarjajo baze policistov, ki vključujejo osebne podatke in celo občutljive osebne podatke. Tako lahko nastane huda motnja v notranji varnosti Republike Slovenije in s tem bi lahko bila ogrožena tudi varnost schengenskega območja. Predmetna križanja podatkov so namreč bistveno olajšana prav zaradi objave poimenskega seznama policistov in zato ves čas opozarjamo tudi pristojne institucije, da je pred objavo osebnih podatkov policistov in kriminalistov nujno presoditi posledice, ki jih ima takšna objava na varnost policistov in s tem tudi na zagotavljanje varnosti državljanov," so zapisali.
Kot še pravijo, se zelo dobro zavedajo mnogih pasti, ki so jim izpostavljeni pri uporabi interneta in družbenih omrežij. Tudi zato so se v sodelovanju z IV Založbo odločili, da prenovijo preventivno publikacijo "Internetna varnost". "Namen našega delovanja je v sodelovanju z lokalnim gospodarstvom ozaveščati in informirati ljudi o nevarnostih, ki nenehno ogrožajo življenja, zlasti naših najmlajših." Preventivne publikacije zato brezplačno dostavljajo vsem slovenskim osnovnim šolam.
Kakšen bo odziv pristojnih, v tem trenutku ne vemo, še dodajajo v PSS, bojijo pa se, da lahko s takšnim ravnanjem nastane težko popravljiva škoda na področju notranje varnosti. "Zato pristojne pozivamo, naj nemudoma začnejo iskati načine, kako bi takšno škodo popravili oziroma jo v prihodnje preprečili."
Hojs v tem ne vidi nič spornega in bo sezname plač objavljal še naprej
Vprašanja o tem, kako nameravajo zaščititi policiste in ali bodo sezname njihovih plač še naprej javno objavljali, smo naslovili tudi na MNZ. Poslali so nam odgovor ministra Hojsa, ki pravi, da objava plač ni povezana s podatki na Facebooku. "Vsak, ki je Facebooku posredoval svoj naslov, telefonsko številko ali druge osebne podatke, se je moral zavedati, da lahko posredovanje osebnih podatkov predstavlja varnostno tveganje. Še toliko bolj bi preventivno obnašanje pričakovali od uslužbencev Policije," je dejal.
Dodal je še, da se plače objavljajo skladno s Zakonom o dostopu do informacij javnega značaja.
Policija: Zagotavljanje osebne varnosti policistov je ena ključnih prioritet vodstva
Na Policiji medtem pojasnjujejo, da je zagotavljanje osebne varnosti policistov ena ključnih prioritet vodstva Policije. "Ravno zato v Policiji izvajamo vrsto ukrepov za zmanjšanje tveganj krnitve integritete uslužbencev Policije in policijskih enot. Razumeti pa morate, da ukrepov, s katerimi varujemo določene podatke o uslužbencih Policije, ne moremo razkrivati," so zapisali.
Glede objave seznama plač so pojasnili, da ta ni v nasprotju s predpisi, ki določajo varstvo osebnih podatkov. "V Policiji se pri načrtovanju in izvedbi ukrepov za zavarovanje podatkov zavedamo nujnosti transparentnega delovanja. Ne razkrijemo le tajnih podatkov in tistih, za katere ocenimo, da bi njihovo razkritje resno ogrozilo življenje ali osebno varnost uslužbenca Policije ali osebe, ki je sodelovala s Policijo, ali njunega bližnjega ali državno varnost ali učinkovitost taktike in metod dela Policije," so še dodali.
Na Policiji so sicer že januarja, ob prvi objavi plač policistov, opozorili, da lahko takšna objava seznama uslužbencev Policije vpliva na notranjo varnost v Policiji. Zato so MNZ predlagali, da seznamov v tovrstni obliki ne objavlja in s tem ne povzroča dodatnih okoliščin, ki bi lahko posledično povzročile škodo delovanju Policije ter da se pri tem upošteva tudi Pravilnik o zaščiti podatkov Policije.
Vsi naslednji seznami so bili nato objavljeni brez podatkov o nazivu javnega uslužbenca MNZ, še vedno pa je iz njih razvidna enota njegovega delovanja.
Uprava za informacijsko varnost: Varnostni incident, ki bi lahko povzročil veliko tveganje za pravice in svoboščine državljanov
Z vprašanji smo se obrnili tudi na Upravo Republike Slovenje za informacijsko varnost, kjer so nam potrdili, da so 3. aprila zaznali, da je na spletu prosto dostopna zbirka podatkov o več kot 500 milijonih uporabnikov družbenega omrežja Facebook, med katerimi je tudi več kot 110 tisoč telefonskih številk slovenskih uporabnikov in drugih njihovih občutljivih varovanih osebnih podatkov.
"Ker navedena kršitev pomeni varnostni incident, ki resno ogroža zaupnost osebnih podatkov in bi lahko povzročila tudi veliko tveganje za pravice in svoboščine državljanov Republike Slovenije, je v skladu s svojimi pristojnostmi o tem obvestila Informacijskega pooblaščenca in ga pozvala, da ukrepa v skladu z nalogami in pristojnostmi," so zapisali.
Informacijska pooblaščenka Mojca Prelesnik je sicer v sredo sporočila, da ozadje objavljenih podatkov preiskuje irski nadzorni organ za varstvo osebnih podatkov (DPC) in da Facebook zatrjuje, da bo zadevo preiskal prioritetno. Uporabnikom, katerih podatki so bili javno objavljeni, je svetovala še posebno previdnost: "Pozorni bodite na morebitna 'phishing' sporočila, ki jih lahko prejmete na svoje e-naslove ter na klice z neznanih telefonskih številk, še posebej iz tujine. Če klicatelja ne prepoznate, se na klic ni priporočljivo odzvati, saj lahko povzroči stroške. Priporočljivo je, da zamenjate gesla svojih drugih računov, pri katerih za avtentikacijo uporabljate svoj e-naslov ali telefonsko številko, in da ste pozorni na morebitne vdore v račune."
Kaj svetujejo pri SI-CERTU?
"Sicer je v spletnih objavah navedeno, da je med podatki tudi 229.039 uporabnikov iz Slovenije, vendar pa podatki vsebujejo tudi telefonski predponi +386 49 in +386 43, ki ju je uporabljal kosovski ponudnik Ipko (v večinski lasti Telekoma Slovenije). Če te odštejemo, ostane 110.177 številk uporabnikov slovenskih telefonskih omrežij. Po merjenju World Population Review je bilo leta 2019 v Sloveniji 910.000 uporabnikov Facebooka. Po tej oceni so objavljene telefonske številke 12 % slovenskih uporabnikov Facebooka," pa pojasnjujejo pri SI-CERTU.
Podatki vsebujejo ime uporabnika, njegov spol, telefonsko številko in številko profila na omrežju Facebook, kot kaže, pa tudi datum zajema podatkov o uporabniku. Poleg tega (vendar ne vedno) lahko podatki vsebujejo tudi mesto prebivanja (in prejšnje mesto prebivanja), ime delodajalca, podatke o osebnem razmerju, naslov elektronske pošte in rojstni datum. Nekateri od teh podatkov (razen telefonske številke) so bili morda tudi sicer javno dostopni vsem uporabnikom Facebooka, odvisno od nastavitev profila.
Na javno objavljenem seznamu ni uporabniških gesel, zato samo to ni razlog za takojšnjo zamenjavo gesla, vsekakor pa strokovnjaki priporočajo, da gesla občasno menjate, uporabljate različna gesla za različne storitve, vklopite večfaktorsko preverjanje pri prijavah in se potrudite, da gesla ne bo lahko uganiti.
Če ste na spisku, je odgovor na vprašanje, ali bi vas moralo skrbeti, odvisen od tega, koliko podatkov ste javno objavili na Facebooku. Če dovolite dostop do podatkov in objav le prijateljem in sledilcem, potem je vaša izpostavljenost manjša. Sicer se lahko podatki uporabljajo za profiliranje pri oglaševanju in poskuse družbenega inženiringa. Pri tem pri SI-CERTU izpostavljajo lažne klice Microsoftove podpore ali vabila v investicijske sheme za kriptovalute, ki sta trenutno aktualni prevari.
KOMENTARJI (514)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.