Hrvatski obrazovni sustav ovog vikenda suočio se s jednim od najvećih sigurnosnih incidenata u povijesti domaćih javnih institucija.
Na hakerskom forumu DarkForums objavljena je baza s podacima stotina tisuća učenika, nastavnika i drugih korisnika hrvatskih škola, a CARNET je incident potvrdio priopćenjem u kojem javnost umiruje da lozinke nisu kompromitirane, dok istovremeno upozorava na povećan rizik od phishing napada.
Što se točno dogodilo
Sve je počelo objavom na forumu DarkForums pod naslovom “[954K] Croatian Students Database”. Temu je otvorio korisnički račun star tek jedan dan, s ukupno dvije objavljene poruke, što upućuje na to da je profil kreiran neposredno prije same objave.
Autor je tvrdio da baza sadrži 954.000 redaka podataka, ali nakon deduplikacije e-mail adresa pokazalo se da je stvarni broj jedinstvenih zapisa manji, no još uvijek alarmantan:
563.509 zapisa iz 1.452 hrvatske obrazovne ustanove.
Novinari portala Dnevnik.hr imali su uvid u dešifriranu bazu te su izravnom provjerom, pretragom po imenima poznatih osoba i njihovih škola, potvrdili da podaci nisu nasumično generirani ni lažni, nego stvarni i precizni.
Svaki zapis sadrži ime i prezime korisnika, službenu adresu elektroničke pošte s domenom @skole.hr, naziv škole te korisničku ulogu, odnosno status učenika ili nastavnika.
Posebno zanimljiv detalj otkrila je analiza strukture baze. U njoj se bez greške nalaze podaci učenika starijih razreda osnovne škole, dok podaci najmlađih generacija nedostaju.
Stručnjaci takvu situaciju tumače na dva moguća načina.
- Prva mogućnost je da su podaci procurili kroz neku povezanu aplikaciju koja koristi školske račune tek nakon njihove aktivacije, budući da se računi na domeni skole.hr generiraju automatski već pri upisu u prvi razred, no aktivno se počinju koristiti za alate poput Microsoft Teamsa ili Office 365 tek u višim razredima.
- Druga mogućnost je da je riječ o starijoj sigurnosnoj kopiji sustava, nastaloj u trenutku kada najmlađe generacije još nisu bile upisane.
CARNET je u nedjelju navečer objavio priopćenje u kojem potvrđuje da je upoznat s neovlaštenim dijeljenjem podataka te da je odmah pokrenuta opsežna tehnička i forenzička analiza radi utvrđivanja vjerodostojnosti, opsega, podrijetla i načina na koji su podaci dospjeli u javnost.
Prema dosad dostupnim informacijama, objavljeni podaci ne omogućuju izravan pristup korisničkim računima, a trenutačno ne postoje indicije da bi korisnici trebali mijenjati lozinke.
Ministarstvo znanosti, obrazovanja i mladih potvrdilo je da je u stalnom kontaktu s CARNET-om, dok je Agencija za zaštitu osobnih podataka (AZOP) zbog ozbiljnosti slučaja pokrenula žurni nadzor nad CARNET-om po službenoj dužnosti.
Žurni nadzor AZOP-a nije samo formalnost, nego prvi korak prema utvrđivanju je li CARNET, kao voditelj obrade osobnih podataka učenika i nastavnika, ispunio sve obveze koje mu nameće Opća uredba o zaštiti podataka (GDPR).
Agencija u priopćenju izričito navodi da će, ako se utvrdi povezanost s incidentom, odgovarajuće radnje poduzeti i prema drugim voditeljima ili izvršiteljima obrade, što ostavlja prostora da se istraga proširi i na treće strane.
Primjerice, povezane školske aplikacije koje se spominju kao mogući izvor curenja.
Stručnjaci za zaštitu osobnih podataka podsjećaju da javni sektor u Hrvatskoj dosad nije imao praksu plaćanja GDPR kazni, no veličina ovog incidenta, uz činjenicu da su pogođeni podaci velikog broja maloljetnih osoba, mogla bi promijeniti taj obrazac.
Ishod nadzora odredit će ne samo eventualne sankcije, nego i to koliko su hrvatske javne institucije uopće spremne preuzeti odgovornost kada zaštita podataka zakaže.
Jednako važno je i pitanje koliko će dugo istraga trajati, jer što se duže čeka na konačne nalaze o podrijetlu i opsegu curenja, to duže ostaje otvoreno pitanje kome je baza zapravo bila dostupna prije nego što je završila na javnom forumu.
Za roditelje, učenike i nastavnike čiji su podaci mogli biti obuhvaćeni ovim curenjem, najvažnije je sada ostati priseban, a ne paničariti.
Budući da CARNET izričito navodi da trenutačno nema potrebe za promjenom lozinki, nema smisla žuriti s tim korakom dok službene upute ne kažu drugačije, jer iznenadne promjene lozinki bez konkretnog razloga same po sebi ne rješavaju problem izloženosti imena i e-mail adrese.
Korisnici koji zaprime e-mail koji djeluje sumnjivo, posebno ako traži prijavu, osobne podatke ili klik na poveznicu, trebaju ga prijaviti Nacionalnom CERT-u, koji upravo za takve prijave ima uspostavljene kanale, umjesto da na njega odgovaraju ili kliknu poveznicu da provjere o čemu je riječ.
Roditeljima se posebno preporučuje da unaprijed, prije početka nove školske godine, s djecom prođu kako stvarno izgleda službena komunikacija škole ili CARNET-a, kako bi rujanski povratak u klupe dočekali s konkretnim znanjem, a ne samo s generičkim osjećajem da “treba biti oprezan”.
Vrijedi i redovito provjeravati službene objave CARNET-a i Ministarstva, jer su obećali da će svaku novu potvrđenu činjenicu objaviti čim forenzička analiza odmakne.
Preporuke se u narednim tjednima mogu promijeniti, primjerice ako se ipak utvrdi potreba za promjenom lozinki ili dodatnim mjerama na razini pojedinih škola.
Strpljenje i praćenje provjerenih izvora, umjesto nagađanja na društvenim mrežama, ostaje najpouzdaniji pristup dok se cijela slika ne razjasni.
Ovo nije izolirani slučaj
Curenje podataka iz školskog sustava nadovezuje se na niz sličnih incidenata, u Hrvatskoj i u svijetu.
Stručnjaci podsjećaju da je u svibnju 2024. zabilježeno ono što se tada nazivalo najvećom krađom podataka u povijesti Hrvatske, kada su nepoznati počinitelji ukrali više od dva milijuna osobnih i povjerljivih zapisa, vjerojatno putem USB uređaja, a podrijetlo i konačno odredište tih podataka nikad nisu službeno utvrđeni.
Obrazovni sektor nije nova meta ni na globalnoj razini.
Prema analizi sigurnosne tvrtke Emsisoft, u najmanje polovici incidenata ransomware-a koji su 2021. pogodili obrazovne institucije, napadači su ukrali osjetljive podatke zaposlenika i studenata.
Dio tih podataka kasnije je objavljen na internetu.
Iako ovaj hrvatski slučaj tehnički nije ransomware napad, nego curenje već postojeće baze podataka, obrazac je poznat.
Naime, institucije koje upravljaju ogromnim količinama osobnih podataka, uz ograničene resurse za njihovu zaštitu, redovito postaju mete, bilo izravnim napadom, bilo curenjem kroz treću stranu ili zastarjelu sigurnosnu kopiju.
Sam CARNET, kroz svoj Nacionalni CERT, u redovitim izvještajima bilježi stalan rast broja incidenata.
Prema izvještaju, zabilježeni su veliki skokovi phishing kampanja koje su imitirale Poreznu upravu, sustav e-Građani te HZZO, s ciljem prikupljanja pristupnih podataka za bankovne i državne usluge.
Ovaj najnoviji slučaj curenja podataka iz škola uklapa se u taj isti, sve intenzivniji obrazac.
Na globalnoj razini, najpoznatiji primjer napada koji je pokazao koliko brzo se kibernetička prijetnja može proširiti kroz javne institucije ostaje i dalje WannaCry iz 2017. godine.
Taj ransomware napad u nekoliko dana pogodio je više od 200.000 računala u 150 zemalja, uključujući britanski Nacionalni zdravstveni sustav (NHS).
Bolnice su morale otkazivati preglede i operacije jer su im sustavi bili zaključani.
WannaCry nije bio usmjeren isključivo na zdravstvo ili obrazovanje, nego je iskoristio ranjivost u operativnom sustavu koja je postojala na milijunima neažuriranih računala.
Spominjemo ovaj napad da nam bude podsjetnik da javne institucije, baš kao i hrvatski školski sustav, često rade na infrastrukturi koja se teško i sporo ažurira.
Naime, opsluživanje stotina tisuća korisnika ne dopušta jednostavna i brza rješenja.
Razlika između WannaCryja i hrvatskog slučaja je važna. Kod CARNET-a riječ je o curenju već postojeće baze podataka, a ne o zlonamjernom softveru koji bi šifrirao i blokirao pristup sustavima.
No posljedica je slična, ogroman broj korisnika odjednom postaje izložen riziku, bez da je sam pritom napravio bilo kakvu pogrešku.
Phishing je dalekosežno opasan
Iako objavljeni podaci ne sadrže lozinke, stručnjaci upozoravaju da je upravo to što jesu, imena, prezimena, nazivi škola i službene e-mail adrese, dovoljno za vrlo uvjerljive phishing napade.
Phishing je pokušaj prijevare u kojem se napadač lažno predstavlja kao poznata osoba, tvrtka ili institucija s ciljem da od žrtve dobije osjetljive podatke, poput lozinke ili broja kartice.
Stručnjak za informacijsku sigurnost Alen Delić iz Hrvatske udruge menadžera sigurnosti objašnjava da napadači s ovakvim setom podataka mogu biti iznimno kreativni.
Učenicima se mogu predstaviti kao njihova škola, nastavnicima kao učenici ili roditelji, a poruke mogu sadržavati zahtjeve za promjenu lozinke putem lažnih, identično dizajniranih stranica.
Mogu sadržavati čak i prijetnje i ucjene koje djeluju autentično jer sadrže stvarno ime, stvarnu školu i stvarnu ulogu osobe kojoj su upućene.
Kao usporedbu, Delić navodi nedavno curenje podataka iz hotelskih rezervacijskih sustava, gdje je žrtvama bio dovoljan samo kontekst, datum, broj rezervacije i ime hotela, da povjeruju da je poruka legitimna i sami odrade traženu radnju.
Posebno upozorenje odnosi se na vremenski okvir. Prema Deliću, “pravi rizik dolazi u rujnu”, kada učenici, nastavnici i roditelji ponovno počnu redovito otvarati e-mailove vezane za školske sustave kao što su e-Dnevnik ili rasporedi.
To bi vrijeme škole i CARNET trebali iskoristiti da unaprijed pošalju jasne smjernice o tome kako stvarno izgleda legitimna školska komunikacija, s koje domene dolazi i što sustav nikada neće tražiti od korisnika.
Edukacija djece i odraslih je ključna
Ovaj slučaj iznova otvara pitanje koliko je hrvatsko društvo, a posebno najmlađi korisnici interneta, zaista pripremljeno za prepoznavanje ovakvih prijevara.
AZOP je izravno pozvao roditelje da obrate pozornost na poruke koje će njihova djeca primati na školske e-mail adrese te da s djecom razgovaraju o internetskoj sigurnosti, savjetujući da se ne otvaraju sumnjive poveznice i ne dijele korisnička imena, lozinke ili drugi osobni podaci putem e-maila.
Delić smatra da generička upozorenja tipa “budite oprezni” ili “ne klikajte na sumnjive poveznice” imaju ograničenu vrijednost ako se ponavljaju bez konkretnog referentnog okvira koji bi ljudima zapravo pomogao prepoznati prijevaru.
Par sekundi razmišljanja prije klika može napraviti ogromnu razliku.
Alen Delić
No, do tog refleksa dolazi se sustavnom edukacijom, ne povremenim opomenama nakon što se incident već dogodi.
Informatička pismenost danas se ne svodi na to da djeca znaju koristiti aplikacije, nego na to da razumiju kako prepoznati kada nešto što izgleda poznato, kao e-mail navodno od škole, zapravo nije ono za što se predstavlja.
Isto vrijedi i za odrasle. Nastavnici i roditelji često postaju mete jednako lako kao i djeca, jer pretpostavka da “ja to znam prepoznati” sama po sebi nije zaštita.
Stvarna zaštita dolazi iz kombinacije jasnih, konkretnih smjernica institucija (poput one koju Delić predlaže za rujan) i redovite, dobne edukacije koja počinje već u osnovnoj školi, a ne tek kada se nešto loše već dogodilo.
Nekoliko konkretnih provjera vrijedi uvesti kao naviku u svakom kućanstvu i svakoj školi, bez obzira na dob:
- Provjerite domenu pošiljatelja. Adresa koja na prvi pogled izgleda kao “skole.hr” ili “carnet.hr”, ali ima dodatni znak, broj ili drugačiji nastavak, nije legitimna, bez obzira na to što tekst poruke izgleda uvjerljivo.
- Nikada ne unosite lozinku putem poveznice iz e-maila. Ako poruka traži prijavu, otvorite službenu stranicu ručno, izravnim upisom adrese u preglednik, ne klikom na link.
- Provjerite ton i sadržaj zahtjeva. Školski sustavi i CARNET neće tražiti lozinku, broj kartice ili osobne podatke putem e-maila ili SMS-a.
- Razgovarajte o konkretnim primjerima, ne samo o pravilima. Djeci je lakše prepoznati prijevaru kad im pokažete stvarni primjer phishing poruke nego kad im samo kažete da “budu oprezni”.
Dok forenzička analiza CARNET-a i nadzor AZOP-a budu u tijeku, najkorisnije što roditelji, učenici i nastavnici mogu učiniti jest upravo ono što struka savjetuje: provjeriti odakle dolazi svaka poruka koja traži osobne podatke ili klik na poveznicu, ne žuriti s reakcijom, i razgovarati o ovom slučaju kao stvarnom, opipljivom primjeru zašto digitalna pismenost nije apstraktna vještina, nego svakodnevna nužnost.
