Ovo su najosjetljiviji podaci studenata u ISVU sustavu: ‘Dosad nije bilo curenja’
Potkraj siječnja obilježen je Dan zaštite osobnih podataka, a uskoro se obilježava i Dan sigurnijeg interneta. Niz osobnih podataka studenata nalazi se u Informacijskom sustavu visokih učilišta (ISVU), a neki od najosjetljivijih su podaci o invaliditetu i ostali povezani sa zdravljem. Sveučilišni računski centar (SRCE) dužan je štititi podatke od gubitka ili neovlaštenog pristupa, a kako nam kažu, za sada zbog strogih mjera curenja podataka studenata nije bilo.
Foto: Pixabay
Živimo u digitalnom vremenu, papirnati indeksi rijetko se gdje koriste, a najvažniji podaci studenata pohranjeni su u Informacijskom sustavu visokih učilišta (ISVU). Dan zaštite osobnih podataka bio nam je povod da provjerimo kako se štite ti podaci.
Najosjetljiviji podaci u ISVU sustavu su zdravstvene informacije o studentu
Obratili smo se Sveučilišnom računskom centru (SRCE). Za početak, zanimalo nas je koji su najosjetljiviji podaci koji se čuvaju u ISVU sustavu. Objašnjavaju nam da je kategorizacija podataka u ISVU usklađena je s njihovom kategorizacijom osjetljivosti prema GDPR-u.
– Tako u kategoriju ‘najosjetljivijih’ podataka ulaze npr. podaci o invaliditetu, ostali podaci povezani sa zdravljem, genetski podaci i ostali. Pritom je važno naglasiti da ISVU čuva samo one podatke koji su potrebni za funkcioniranje samog sustava visokog obrazovanja, dakle u slučaju invaliditeta čuvaju se podaci o tome koristi li student prava temeljem invaliditeta ili ne, ali ne i konkretne podatke o kakvom se invaliditetu radi, jer oni nisu potrebni. Također, ISVU sadrži i podatke iz ostalih kategorija, a to se odnosi na niz osobnih podataka (ime, prezime, adresa, kontakti) i identifikatora poput OIB-a, JMBAG- a koji služe da bi se podaci mogli povezivati s drugim sustavima, čime visoka učilišta izvršavaju zakonsku obavezu vođenja evidencija u visokom obrazovanju, navode iz Srca.
Odmah u uvodu odgovora ističu kako pridaju osobitu pažnju zaštiti osobnih podataka i privatnosti studenata u skladu s važećim propisima i najboljom europskom praksom. Srce zapravo ima ugovor s Ministarstvom obrazovanja i fakultetima, koji su vlasnici podataka. Upravo su fakulteti nadležni i odgovorni za njihovo stanje u ISVU-u, uključujući i odgovornost za posljedice koje mogu proizaći iz eventualne neažurnosti tih podataka. Ministarstvo je vlasnik samog sustava, u čije ime Srce sustav održava i pruža mu podršku.
– Srce, odnosno Centar potpore ISVU-a kao stručni tim Srca koji osigurava pouzdano i ispravno funkcioniranje ISVU-a, dužno je štititi podatke od gubitka ili neovlaštenog pristupa te odgovara ovlaštenim korisnicima sustava ISVU za dostupnost tih podataka, objašnjavaju iz SRCA svoju ulogu.
Koje su mjere kojima Srce štiti podatke?
Kada je riječ o osiguravanju sigurnosti informacijskih sustava, ističu da su uspostavljene različite mjere.
– Svi javno dostupni poslužitelji Srca su iza vatrozida koji kontrolira mrežni promet i aktivno uključuje dodatne mjere zaštite prema potrebi. Neki od servisa su dostupni samo korisnicima iz adresnih prostora pružatelja internetskih usluga u Republici Hrvatskoj. Velika većina poslužitelja se nalazi u privatnoj mreži, a također se provode redovita sigurnosna skeniranja i testiranja svih poslužitelja. Nadogradnje sustava su također redovita i česta praksa, ne samo radi podizanja sigurnosti primjenom najnovijih sigurnosnih zakrpa, nego i uvođenja novih funkcionalnosti sustava. Uz to, sustavi Srca, od mreže, preko sistemskih resursa, baza podataka i aplikacijskih sustava su također redundantni i uredno se rade sigurnosne kopije, navode iz Srca.
Naglašavaju da je za sve navedeno potrebno je veliko znanje, stručnost, posvećenost i profesionalnost cijelog niza timova u svim slojevima informacijske infrastrukture.
– Srce već dugi niz godina ima Pravilnik o sigurnosti informacijskih sustava Srca i uspostavljene metode nadzora i praćenja sustava na raznim razinama. Naravno, sigurnost nije činjenica koja se smije uzeti ‘zdravo za gotovo, nego je na njoj potrebno kontinuirano raditi, unaprjeđivati znanja i pratiti aktualnosti. Primjer je nova Uredba o kibernetičkoj sigurnosti, gdje je za praćenje prilagodbe sustava koje održava, Srce oformilo i posebnu Radnu skupinu koje aktivno djeluje, ističu iz Srca.
Do sada nije bilo curenja podataka studenata iz ISVU-a
Zanimalo nas je i je li se proteklih godina dogodio koji slučaj da su ‘procurili’ podaci studenata iz ISVU sustava i da su korišteni u nezakonite svrhe.
– Zahvaljujući svim navedenim mjerama i dugogodišnjem iskustvu u upravljanju informacijskim sustavima, iz ISVU-a nije bilo curenja podataka, naglašavaju iz Srca.
Završno naglašavaju da je zaštita privatnosti korisnika Srca implementirana u sve usluge koje Srce pruža svojim korisnicima kao što su napredno računanje, mrežne usluge, podatkovni sustavi poput Dabra, autorizacijska i autentikacijska infrastruktura AAI@EduHr, sustav za e-učenje Merlin ili brojni drugi.
– Navedeni sustavi podrazumijevaju obradu osobnih podataka koja je detaljno regulirana ne samo pravilnicima za svaku pojedinu uslugu nego i ugovorima o obradi osobnih podataka koje Srce kao izvršitelj obrade pojedinačno sklapa s MZOM, visokim učilištima ili drugim pravnim subjektima kao voditeljima obrade, poručuju iz Srca.
