Kako se po navodima iz predstavke, nije se radilo o kibernetičkom napadu na informacijski sustav na kojem se baza podataka nalazi, već je bila riječ o neovlaštenoj izradi i iznošenju kopija baze podataka od strane osoba koje su imale pristup navedenom informacijskom sustavu, ističu iz SOA-e
Prema dostupnim informacijama, podatke iz anonimne predstavke u kojoj se navodi da su nepoznate osobe neovlašteno izrađivale kopije podataka iz evidencije o registriranim vozilima te ih potom učinili dostupnima drugim osobama, dostavili smo državnim tijelima na daljnje nadležno postupanje, potvrdili su za ICTbusiness.info iz Središnje obavještajne agencije (SOA).
Prvi je takve informacije objavio Večernji list, međutim prema dostupnim informacijama već se dulje vrijeme na osiguravateljstkom tržištu spekulira da kruže baze s podacima vlasnika vozila odnosno onih na koje vozila glase (vlasnici vozila i ugovaratelj police) kako bi se lakše međusobno borili na tržištu. Jedini takvu sveobuhvatnu bazu, tvrde naši izvori, imaju u Hrvatskom uredu za osiguranje, a da li je doista od njih procurilo ostaje tek da se vidi.
Iz SOA-e su nam odgovorili kako se po navodima iz predstavke, nije se radilo o kibernetičkom napadu na informacijski sustav na kojem se baza podataka nalazi, već je bila riječ o neovlaštenoj izradi i iznošenju kopija baze podataka od strane osoba koje su imale pristup navedenom informacijskom sustavu.
„S obzirom da se radi o navodima o počinjenju kaznenih djela, SOA je o istom izvijestila Državno odvjetništvo i Ministarstvo unutarnjih poslova – Ravnateljstvo policije, kao i Agenciju za zaštitu osobnih podataka zbog moguće povrede zaštite osobnih podataka. Radi provedbe daljnjih istražnih radnji ne možemo iznositi više podataka o ovom slučaju, a SOA svojim sposobnostima stoji na raspolaganju nadležnim tijelima“, zaključili su iz SOA-e na upit ICTbusiness.info
Ono što je za sada vidljivo je da se podaci nalaze na prijenosnom mediju, dakle, netko s legitimnim ili nelegitimnim pristupom je to mogao napraviti. To je moguće napraviti i fizičkim pristupom, tako da nije nužno da je došlo i do nekog napada udaljenim pristupom pri čemu će se propitivati organizacijske i tehničke mjere kod voditelja ili izvršitelja obrade u vezi detekcije prijenosa podataka.
Prema dostupnim informacijama radi se o podacima koje prikuplja Hrvatski ured za osiguranje, potvrđuju izvori ICTbusiness.info jer njima i MUP dostavlja podatke koji su im potrebni za rad koji je inačer rugiliran s nekoliko zakonskih i podzakonskih akata i to Zakonom o osiguranju, Zakonom o obveznim osiguranjima u prometu te drugim propisima.
Iz javnih izjava je vidljivo da je informacija stavljena na znanje SOA-i, AZOP-u i MUP-u. Najviše odgovora tijekom istrage očekuje se od AZOP-a.
Prema Zakonu o osiguranju i to u članku 388. stavak 1. stoji da „distributeri osiguranja i i Hrvatski ured za osiguranje dužni su ovisno o ulozi voditelja ili izvršitelja obrade osobnih podataka postupati u skladu s propisima kojima se uređuje zaštita osobnih podataka“, dok u stavku 2. stoji „Društva za osiguranje i Hrvatski ured za osiguranje prikupljaju, obrađuju, dostavljaju i upotrebljavaju osobne podatke potrebne za sklapanje ugovora o osiguranju, obradu i likvidaciju šteta koja proizlaze iz osiguranja, a sve u skladu s propisima kojima se uređuje zaštita osobnih podataka“.
Prema ovome članku je jasno da sve podatke o svim vlasnicima vozila imao upravo HUO.
Naravno pitali smo i Hrvatski ured za osiguranje iz kojeg poručuju da Sukladno Zakonu o obveznim osiguranjima u prometu Hrvatski ured za osiguranje, među ostalim nadležnim tijelima, prikuplja podatke i o policama obveznog osiguranja od automobilske odgovornosti.
„Podaci se prikupljaju od društava za osiguranje i Ministarstva unutarnjih poslova. Podaci koji se odnose na automobilsku odgovornost koriste se za formiranje baza podataka Informacijskog centra (čl. 52. Zakona o obveznim osiguranjima u prometu) koji ima zakonsku obvezu davanja informacija osobama stradalim u prometnim nesrećama o odgovornom osiguratelju. Podaci se također koriste u cilju kontrole broja neosiguranih vozila, a podaci su dostupni društvima za osiguranje za potrebe sklapanja ugovora o osiguranju i obradu šteta, kao i drugim nadležnim ili ovlaštenim tijelima. Hrvatski ured za osiguranje vrši svoje aktivnosti obrade podataka sukladno Zakonu o osiguranju (čl. 353. Zakona o osiguranju) uz primjenu standarda zaštite podataka u segmentu kibernetičke sigurnosti“, tvrde iz HUO-a.
Iako se u jednom trenutku tvrdilo neformalno na IT tržištu da su podaci procurili iz Centra za vozila Hrvatske od tamo su nam odgovorili da kako evidenciju o registriranim i označenim vozilima, sukladno odredbi članka 296. stavka 1. Zakona o sigurnosti prometa na cestama (“Narodne novine”, broj 67/08, 48/10, 74/11, 80/13, 158/13, 92/14, 64/15, 108/17, 70/19, 42/20, 85/22, 114/22 i 133/23), vodi Ministarstvo unutarnjih poslova.
Na dodatni upit iz CVH kažu da djelatnosti tehničkih pregleda i registracije vozila, osim odredbama Zakona o sigurnosti prometa na cestama (“Narodne novine”, broj 67/08, 48/10, 74/11, 80/13, 158/13, 92/14, 64/15, 108/17, 70/19, 42/20, 85/22, 114/22 i 133/23), uređene su i nizom podzakonskih propisa donesenih na temelju navedenog Zakona, pa tako i propisom koji navodite.
Međutim, predmetni propis ne uređuje pitanje evidencije registriranih vozila, već odredba Zakona o sigurnosti prometa na cestama na koju smo prethodno uputili, kao i odredbe Pravilnika o registraciji i označavanju vozila ("Narodne novine", broj 130/17), osobito odredbe članaka 26.-28, zaključuju iz CVH.
Prema informacijama kojima raspolažemo u stanicama za tehnički pregled pristup MUP-ovoj bazi radi se putem API-a dakle nema stalnog pristupa bazi nego tek po upitu za korisnika za kojeg se obavlja tehnički pregled i registracija.
S druge strane, kao potencijalno mjesto s kojeg su procurile informacije spominjalo se i Ministarstvo unutarnjih poslova, no prema informacija našeg izvora upoznatog s istragom, to je malo vjerojatno jer prije svega opseg informacija nije isti.
Sada tek ostaje da se vidi kada će biti završena istraga, što će biti javno objavljeno kao njezin rezultati hoćemo li na kraju ikad saznati pravu istinu.
Alen Delić, stručnjak za kibernetičku sigurnost
Za ICTbusiness.info odmah po događaju za komentar smo pitali jednog od ponajboljih domaćih stručnjak za kibernetičku sigurnost Alena Delića koji ističe da Iz onoga što je dostupno u medijima, govori se o setu osobnih podataka koji se nalaze na prijenosnom mediju, no nisu dostupne informacije radi li se o napadu ili o prijenosu podataka kojima netko ima legitiman pristup. AZOP je objavio da provodi nadzorno postupanje, pa očekujem da će biti prva adresa koja će pojasniti što se zapravo događa, pojašnjava Delić.
„Iz objave AZOP-a vidljivo je da i oni tek utvrđuju o kojim se podacima radi te tko je voditelj obrade, tako da ćemo nakon toga znati o kojem se setu podataka radi i kod kojih se sve izvršitelja takvi podaci mogu ili trebaju nalaziti, uključujući CVH. Tek treba utvrditi ukoliko je došlo do napada, odnosno, radi li se o incidentu pri kojem je bilo utjecaja izvana ili iznutra. Također, treba utvrditi jel potencijalni počinitelj preuzeo podatke kojima legitimno ima pristup i gdje. Onda svakako možemo govoriti o curenju, pri čemu nadležne službe trebaju otkriti jesu li ti podaci dostavljeni nekoj trećoj strani“, pojašnjava Delić.
Nadzorno postupanje zbog povrede osobnih podataka vlasnika vozila
Agencija za zaštitu osobnih podataka zaprimila je informaciju kako je došlo do “curenja” osobnih podataka više od milijun fizičkih osoba vlasnika vozila.
Javnost obavještavamo kako je u tijeku nadzorno postupanje nad svim relevantnim subjektima u konkretnom slučaju te se utvrđuju sve okolnosti, kao i stvarni voditelj obrade baze podataka u kojoj su sadržani predmetni osobni podaci.
O svim daljnjim relevantnim informacijama obavještavat ćemo javnost redovito.
Zakon o osiguranju
Obrada osobnih podataka
Članak 388.
(1) Distributeri osiguranja i Hrvatski ured za osiguranje dužni su ovisno o ulozi voditelja ili izvršitelja obrade osobnih podataka postupati u skladu s propisima kojima se uređuje zaštita osobnih podataka.
(2) Društva za osiguranje i Hrvatski ured za osiguranje prikupljaju, obrađuju, čuvaju, dostavljaju i upotrebljavaju osobne podatke potrebne za sklapanje ugovora o osiguranju, obradu i likvidaciju šteta koje proizlaze iz osiguranja, a sve u skladu s propisima kojima se uređuje zaštita osobnih podataka.
(3) Društvima za osiguranje dopuštena je obrada podataka koji se odnose na zdravlje ispitanika kada je s obzirom na samu vrstu osigurateljnog pokrića zdravstveno stanje ispitanika nužno za sklapanje i izvršenje ugovora o osiguranju te ostvarenje zakonskih prava osiguratelja po nastupu osiguranog slučaja.
(4) Odredba stavka 3. ovoga članka primjenjuje se na ispitanike iz druge države članice u Republici Hrvatskoj ako obradu provodi voditelj obrade s poslovnim nastanom u Republici Hrvatskoj ili koji pruža usluge u Republici Hrvatskoj.
(5) Društvima za osiguranje i Hrvatskom uredu za osiguranje dopuštena je obrada osobnog identifikacijskog broja ili drugog primjenjivog osobnog identifikatora koji jednoznačno označava ispitanika u svrhu sklapanja i izvršenja ugovora o osiguranju te ostvarenja zakonskih prava osiguratelja.
(6) U svrhu sklapanja i izvršenja ugovora o osiguranju te u svrhu isplate šteta ili druge financijske transakcije, kada je to nužno za utvrđivanje identiteta ispitanika i za osiguranje točnosti podataka, društvima za osiguranje i Hrvatskom uredu za osiguranje dopuštena je obrada osobnih podataka prikupljanjem preslike odgovarajućeg identifikacijskog dokumenta i drugih javnih isprava koje izdaju nadležna državna tijela te kartice bankovnog računa bez vidljivog kontrolnog koda.
(7) Obrada iz stavka 6. ovoga članka vrši se uz primjenu odgovarajućih mjera zaštite prava i sloboda ispitanika te uz ograničavanje količine podataka sukladno svrsi koja se takvom obradom ostvaruje.
(8) Sukladno propisima kojima se uređuje zaštita osobnih podataka, društva za osiguranje i Hrvatski ured za osiguranje osiguravaju čuvanje podataka onoliko dugo koliko traje ugovor o osiguranju, a nakon toga onoliko koliko su propisani zakonski rokovi zastare potraživanja po određenim vrstama ugovora ili zastara potraživanja za naknadu štete. Društva za osiguranje i Hrvatski ured za osiguranje određene podatke pohranjuju i u skladu s posebnim propisima kojima se uređuje obvezno razdoblje pohrane.
Obrada osobnih i drugih podataka radi utvrđivanja spornih okolnosti štetnog događaja
Članak 388.a (NN 112/18)
(1) Hrvatski ured za osiguranje može obrađivati osobne i druge podatke iz baza podataka društava za osiguranje i Hrvatskog ureda za osiguranje koji se čuvaju u skladu s člankom 388. stavkom 8. i 9. ovoga Zakona, u svrhu utvrđivanja spornih okolnosti u vezi sa štetnim događajem.
(2) Ako iz podataka o štetnim događajima Hrvatski ured za osiguranje utvrdi da postoje određene sporne okolnosti, dužan je društvima za osiguranje koja se bave zahtjevima za naknadu štete u vezi s tim događajima omogućiti pristup tim podacima.
(3) Hrvatski ured za osiguranje vodi evidenciju utvrđenih spornih okolnosti s podacima iz stavka 1. ovoga članka pet godina od datuma podnošenja prijave društvima za osiguranje. Nakon isteka razdoblja čuvanja podaci se brišu iz registara, a dokumenti se uništavaju tako da se njihov sadržaj ne može utvrditi i ne može se ponovno koristiti.
Razmjena osobnih podataka o spornim štetnim događajima između društava za osiguranje i između društava za osiguranje i Hrvatskog ureda za osiguranje
Članak 388.b (NN 112/18)
(1) Prilikom rješavanja štetnih događaja ili ispitivanja sumnjivih slučajeva nepravilno plaćenih naknada ili koristi društva za osiguranje koja se bave zahtjevima za naknadu štete u spornim štetnim događajima mogu, kako bi se utvrdile stvarne okolnosti i u mjeri u kojoj je to potrebno, razmjenjivati osobne i druge podatke iz baze društava za osiguranje i Hrvatskog ureda za osiguranje koji se čuvaju u skladu s člankom 388. stavkom 8. ovoga Zakona s drugim društvima za osiguranje i Hrvatskim uredom za osiguranje.
(2) Osobne i druge podatke potrebne za rješavanje štetnog događaja u kojemu se utvrđuju sporne okolnosti pribavit će društva za osiguranje u skladu s člankom 387. ovoga Zakona.
(3) Ako su sporne okolnosti štetnog događaja upozorile na postojanje kaznenog djela prijevare u području poslova osiguranja ili kada društvo za osiguranje otkrije prijevaru ili drugo kazneno djelo prilikom obavljanja djelatnosti osiguranja, društvo za osiguranje u skladu sa zakonom kojim se uređuje kazneni postupak mora podnijeti prijavu nadležnom tijelu zajedno s već prikupljenim dokazima.
(4) Ako društvo za osiguranje prilikom rješavanja štetnog događaja utvrdi da sporne okolnosti ne utječu na obveze društva za osiguranje temeljem ugovora o osiguranju, podaci dobiveni od Hrvatskog ureda za osiguranje ili drugog društva za osiguranje brišu se u roku od 30 dana od dana isplate naknade ili koristi, a dokumenti će biti uništeni tako da se njihov sadržaj ne može utvrditi i ne može se ponovno koristiti.
(5) Stavci 1. – 4. ovoga članka primjenjuju se i u slučajevima potrebe razmjene osobnih podataka s društvima za osiguranje i organizacijama iz druge države članice i treće države, u skladu s propisima kojima se uređuje zaštita osobnih podataka, u svrhu sprječavanja prijevara u osiguranju.
(6) Za analitičke i statističke svrhe društva za osiguranje dužna su jednom godišnje izvijestiti Hrvatski ured za osiguranje o broju prijava podnesenih u skladu sa stavkom 3. ovoga članka i o broju štetnih događaja koji su riješeni prema stavku 4. ovoga članka.
Hrvatski startup ekosustav bilježi napredak u brojnim segmentima, no scena poslovnih anđela ostaje iznimka. Dok se broj VC fondova kontinuirano povećava, aktivnih poslovnih anđela prepoznatljivih startupima ima sve manje. Iako stručnjaci tvrde da poslovni anđeli nisu nestali, danas su znatno manje transparentni i teže prepoznatljivi nego prije pet ili deset godina.
Za poduzeća ThinQ Business API podržava partnere koji upravljaju uredskim ili stambenim zgradama u integraciji i upravljanju različitim LG proizvodima.
OpenAI integrira ChatGPT Search s Advanced Voice načinom rada. Ta funkcionalnost omogućava ChatGPT-ovom audio sučelju da pretražuje internet za odgovorima i pruža ih na prirodan, razgovorni način.
