Iz A1 Hrvatska u srijedu je stiglo priopćenje o hakerskom napadu na njihovu bazu korisničkih podataka u kojemu su ukradeni podaci poput imena i prezimena, OIB-a, adrese i broja telefona otprilike 100.000 njihovih korisnika. Iako su svoje korisnike odmah obavijestili o napadu putem e-maila te cijeli slučaj prijavili policiji, mnogi su se korisnici zabrinuli što će biti s njihovim podacima. Među zabrinutima je i Tino Šokić, stručnjak za informacijsku sigurnost, koji ističe da ovaj hakerski napad nije neuobičajen. Uz sve tehničke mjere, objašnjava, nekada je nemoguće predvidjeti najveći rizik, a to je ljudski faktor.
Doslovce može biti situacija da je netko slučajno ostavio ulaz, a kriminalci koji konstantno nadgledaju sve sustave dobili su priliku da to iskoriste te u ovom slučaju dobiju pristup bazi osobnih podataka. Do najvećih cyber-incidenata u svijetu je došlo jer je netko slučajno ostavio ili lozinku gdje nije dopušteno, ili je koristio neku zabranjenu aplikaciju – kaže Šokić te dodaje da je šteta za A1 Hrvatska potencijalno velika, 'od financijske kroz kazne i ulaganja u sustave zaštite, do reputacijske koju je jako teško kvantificirati'.– Korisnici su ugroženi, jer sada njihovi podaci mogu poslužiti kao 'materijal' za izradu daljnjih cyber-napada. Primjer takvog napada je najobičniji phishing koji se može odviti putem e-maila. To je samo ilustracija što se može dogoditi – kaže Šokić.
Kod nas ne postoji kaznena odšteta
Svoj su komentar o ovom događaju s pravne strane podijelili i odvjetnici Dora Ljevar i Danijel Pribanić, osvrnuvši se na mogućnost pokretanja postupaka protiv A1 Hrvatska, i to uspoređujući s prijašnjim primjerima tužbi protiv velikih kompanija McDonaldsa i Yahoo!-a.
U američkom pravu postoji tzv. punitive damages, što je kaznena odšteta. Radi se o tome da sudovi određuju naknadu štete – odštetu, onome tko je štetu pretpio, ali uz tu odštetu dosuđuju i puno višu kaznenu odštetu kako bi prekršitelju očitali lekciju, dali mu do znanja da se tako ne smije ponašati. U praksi je često da se protiv velikih korporacija određuje kaznena odšteta, iako je šteta koja je potrošaču nastala bila neznatna. Primjera je bezbroj, a među najpoznatijima je slučaj iz ranih 90-ih. Radilo se o naknadi štete od McDonaldsa zbog opeklina od kave koje je pretrpjela jedna žena. Tijekom sudskog postupka se utvrdilo da je lanac primao pritužbe na prevruću kavu i od drugih mušterija, ali nije ništa poduzimao, zbog čega ga je sud kaznio s pola milijuna dolara, dok je 160.000 dolara odredio kao odštetu za plastičnu operaciju koju je ta žena imala da sanira opekline. U Hrvatskoj ne postoji kaznena odšteta, pa je svatko tko prekrši neku obvezu prema trećemu zapravo u manjem problemu jer treba nadoknaditi samo štetu koja je nastala pojedinom korisniku. Ta šteta će vrlo izvjesno biti zanemariva i svest će se na nezadovoljstvo prema pružatelju usluga i osjećaj nesigurnosti. Zato je upitno koliko bi u novčanom ekvivalentu bilo korisno voditi sudski spor za naknadu štete, a koliko bi se isplatilo pristati na nagodbu. Uslugu telefoniranja i interneta ionako svi trebamo – kažu Ljevar i Pribanić te dodaju da, budući da se radi o telekomu, štetu je vrlo jednostavno moguće namiriti otpisom dijela računa u budućem razdoblju, davanjem posebne ponude za nabavku mobitela ili tome slično. Ako bi se radilo o podacima poslovnih korisnika, izvjesno bi bilo da su svi podaci koji su ukradeni zapravo ionako javno dostupni, kao što je ime korisnika, ime ovlaštene osobe, broj telefona i OIB poslovnog korisnika, što bi umanjilo razmjere štete. Ti podaci imaju vrijednost servisima koji ih koriste za marketinške aktivnosti. Ako je u pitanju krađa podataka kao što su fotografije osobnih iskaznica, o čemu još uvijek nema govora, problem bi bio puno veći jer može doći do krađe identiteta. Zato je potrebno pratiti rezultate istrage. Već je poznat slučaj hakerskog napada na korisničke profile u najvećem hakerskom napadu u povijesti na kompaniju Yahoo!, u kojem su hakeri ukrali korisničke podatke s imenima, e-mail adresama, telefonskim brojevima, datumima rođenja, lozinkama, i to oko 500 milijuna korisnika. Velik broj korisnika je pokrenuo kolektivnu tužbu koja je završila sklapanjem nagodbe i isplatom naknade štete. Sudovi su u tom predmetu istaknuli da nisu svi korisnici bili pogođeni hakerskim napadom na jednak način, neki su pretrpjeli veću štetu od drugih jer su ukradeni podaci bili korišteni na različite načine, i istaknuo je da je Yahoo! zbog netransparentnosti i zbog odgađanja prijave hakerskog napada izložio korisnike većoj šteti – objašnjavaju Ljevar i Pribanić, no kažu da je u slučaju A1 Hrvatska 'razvidno da je hakerski napad prijavljen bez odgode i većina korisnika je već zaprimila neku vrstu obavijesti o potencijalnoj krađi podataka'.– Izgledno je da bi, nakon što se utvrde sve okolnosti slučaja, A1 mogao riješiti ovaj problem direktno s korisnicima i spriječiti pokretanje eventualnih postupaka za naknadu štete. Mail koji je poslan korisnicima dovoljno informativan i smirujući, što ukazuje na kvalitetan krizni management – zaključuju Ljevar i Pribanić.
Zaštita i edukacija
Šokić pak smatra da će najveću ulogu u rješavanju ovog slučaja imati regulatori kao što su Agencija za zaštitu osobnih podataka (AZOP) i Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) jer, kako kaže, sve regulative poput, primjerice, Opće uredba za zaštitu podataka (eng. GDPR) nedvosmisleno govore kakve kazne se mogu izreći nakon što se utvrdi jesu li poduzete sve potrebne tehničke i organizacijske mjere za zaštitu podataka'.
– Hakeri trebaju pobijediti samo jednom, dok mi koji se branimo – bilo tko, osobe, tvrtke, država – mi moramo pobijediti svakog puta – zaključuje Šokić.
Dodaje da se kibernetička sigurnost svodi na umanjenje rizika, a on 'gotovo nikada ne može biti isključen'. Kako bi tvrtke smanjile mogućnost ovakvih i sličnih budućih hakerskih napada, savjetuje tri aktivnosti – procjenu, implementaciju odgovarajućih tehničkih mjera i zaštita te edukaciju ljudi koji koriste sve te usluge i sustave.