Portal eUprava nedovoljno zaštićen - ugroženi podaci 500.000 građana

Portal eUprava nedovoljno zaštićen – lični podaci 500.000 građana Srbije u opasnosti?

Državni portal eUprava u ovom trenutku koristi više od pola miliona građana Republike Srbije, obavljajući najrazličitije poslove od zakazivanja termina za ličnu kartu do registracije vozila. Iako zaslužan za manje redove i lakšu administraciju, portal eUprava zabeležio je najlošiju ocenu kada govorimo o sigurnosti podataka korisnika. Postavlja se pitanje: koliko su zaista sigurni lični podaci građana Srbije?

eu1

Pre samo nedelju dana imao sam priliku da koristim usluge državnog portala eUprava kako bih zakazao termin za izradu nove lične karte članu porodice. Za sebe bih rekao da spadam u tehnološki pismeniju grupu građana koji čine ovu divnu zemlju, no i meni je trebalo dosta vremena pre nego što sam shvatio kako čitava stvar radi. Daleko više nego što je to zaista potrebno. Uostalom, ovo je portal koji je trebao da označi kraj čekanja u redovima i komplikovanoj administraciji?

HTTPS… na domaći način.

Tokom procesa resetovanja lozinke za oko mi je zapalo to da portal eUprava radi na običnoj HTTP konekciji umesto na zaštićenoj HTTPS, efektivno dovodeći lične podatke građana Srbije (korisnike portala) u opasnost. U periodu kada Google ističe kako više od 50% globalnih sajtova koristi HTTPS protokol, izostanak dodatnog sloja zaštite sa državnog portala kojem pristupa pola miliona građana Srbije govori nam da je vreme za hitnu reakciju i preduzimanje neophodnih mera kako bi se zaštitili lični podaci.

Upozorenje na značaj bezbednosti e-portala Republike Srbije početkom novembra uputio je i sam Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, ukazavši na izuzetno upozoravajuće poruke sa kojima se građani Srbije susreću već prilikom otvaranja sajta euprava.gov.rs. Zašto je to tako? Servis eUprava koristi SSL sertifikat izdat od strane Sertifikacionog tela Pošte (što poverenik i navodi) koji nije upisan u Registre sertifikata Internet pretraživača Chrome, Firefox, Safari, Windows Explorer i drugi, navodeći korisnike na mišljenje da konekcija između njih i portala eUprava zapravo nije sigurna.

egovssl
Portal eUprava zabeležio je najnižu ocenu na testu sigurnosti – Poštin SSL sertifikat nije detektovan od strane najzastupljenijih browsera.

Pomoću alata Qualys SSL Labs dolazimo do podatka da je ovaj državni servis zabeležio najmanju moguću ocenu (F) – stavljajući ga u kategoriju visoko rizičnih web destinacija kojima korisnici ne bi trebalo da pristupaju.

4 miliona zahteva za 6 godina postojanja

Direkcija za elektronsku upravu saopštila je u petak da se na eUpravu za šest godina postojanja registrovalo više od 516.000 korisnika koji su završili neki od 300 administrativnih poslova koje ovaj portal pruža. Među online upisom dece u predškolske ustanove na teritoriji Grada Beograda i zakazivanjem termina za ličnu kartu i pasoš, u popularne usluge spada i poručivanje izvoda iz matične knjige rođenih i uverenje o državljanstvu, kao i registracija vozila i zamena vozačke dozvole.

Obrativši se medijima, Ministarka državne uprave i lokalne samouprave Ana Brnabić izjavila je da je trenutno najpopularnija usluga na portalu zamena stare zdravstvene knjižice za novu karticu zdravstvenog osiguranja, kao i da je za samo šest dana otkako je ova usluga puštena u rad, eUprava videla 75.304 novih korisnika. Zahtev za izdavanje nove zdravstvene isprave podnelo je skoro 79.000 građana Srbije.

anabrnabicNALED
Ministarka državne uprave i lokalne samouprave Ana Brnabić izjavila je da su aktuelne, kvalitetne i svrsishodne usluge ono na čemu će to ministarstvo nastaviti da radi.

Nema sumnje da su brojke vezani za ovaj državni portal impresivne. One možda i najbolje pokazuju važnost jednog ovakvog servisa ukoliko govorimo o uvođenju modernih, elektronskih poslova u administrativne procese Srbije, no pitanje koje ostaje da visi u vazduhu jeste sigurnost ličnih podataka koji građani ostavljaju prilikom korišćenja eUprave. Iako se sam servis poziva na Poštu i njeno sertifikaciono telo, ostavlja nam se na diskusiju da li bi pametnije bilo kupiti neki od globalno prepoznatih SSL sertifikata i tako učiniti servis univerzalno bezbednim – ulivajući neophodnu dozu poverenja u građane koji su odlučili da pristupe ovom portalu i ostave svoje lične podatke u njegovoj bazi.

Iz kancelarije Poverenika za informacije od javnog značaja i zaštitu podataka ličnosti ističu da su o ovom slučaju obavestili i Ministarstvo trgovine, turizma i telekomunikacija pri čemu se dopis može preuzeti sa sajta poverenik.rs.

Redakcija Netokracije urgira na hitno rešavanje ovog problema u vidu implementacije neophodnih i globalno prepoznatih bezbednosnih mera kako bi se lični podaci građana Republike Srbije dodatno zaštitili.

Ostavi komentar

    • Goran Rakić

      Goran Rakić

      21. 11. 2016. u 19:39 Odgovori

      Hvala Ivane, sjajan pregled.

      CROSO portalu nedostaje intermediate sertifikat, web server treba konfigurisati tako da pošalje lanac od dva sertifikata, njihov sertifikat sajta i „GeoTrust SSL CA – G3“ međusertifikat. Tada će browseri moći da konstruišu lanac poverenja počev od korenskog GeoTrust sertifikata.

      Ovih 5 koji koriste sertifikate koje izdaje Pošta CA bi trebalo da za SSL sertifikate koriste sertifikate univerzalno priznatih izdavaoca. Praksa Pošta CA inače ne odgovara trenutnim propisima pošto se pod istom infrastrukturom izdaju i kvalifikovani sertifikati za e-potpis i nekvalifikovani SSL sertifikati za web sajtove (Pravilnik o bližim uslovima za izdavanje sertifikata, član 48). Ova zabrana u Pravilniku nije sasvim logična i trebalo bi je drugačije koncipirati, ali ceo problem sa Poštinim SSL sertifikatima je počeo neodgovarajućim tumačenjem Zakona o elektronskom potpisu i očekivanja kako se on primenjuje i na SSL sertifikate.

      Nažalost ovaj problem neće nestati pošto aktuelni Nacrt zakona o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od poverenja (tačniji naziv bi bio „za poverenje“) uvodi nove „Kvalifikovane sertifikate za autentikaciju veb sajtova“ gde izdavalac mora biti priznat u Srbiji ili priznat u drugoj državi sa kojom Srbija ima potpisan međunarodni sporazum.

      Isti zakon ne određuje kada i gde bi ovi sertifikati morali da se koriste, ali po dosadašnjoj praksi verovatno će servisi e-uprave biti usmereni na njihovo korišćenje ili se njihovo korišćenje može zahtevati drugim propisima ili preporukama tela zaduženih za informacionu bezbednost.

      Tako će umesto usvajanja najbolje industrijske prakse, i upotreba sertifikata onih izdavaoca koji su široko priznati i tako štite najveći broj korisnika, bezbednost zavisiti od proaktivnosti države da uspostavi odgovarajuću međunarodnu saradnju ili proaktivnosti nacionalnih sertifikacionih tela da uspostave unakrsno potpisivanje sa većim i globalno poznatijim izdavaocima.

  1. Jovan Šikanja

    Jovan Šikanja

    21. 11. 2016. u 20:51 Odgovori

    Hvala Marko na tekstu.
    Potrebno nam je nešto ovako.

    Dodao bih samo još par stvari.
    SSL i njegov kvalitet su samo deo neophodne sigurnosti.
    Npr. to što je sertifikat samopotpisan ne znači nužno da je nebezbedan.

    Sa druge strane, (ne)sigurnost servera, (ne)sigurnost aplikacije ostaće kao ogroman problem i onda kada eUprava, Poreska i ostali bude kupili i pravilno konfigirisali i najskuplji extended validity SSL.

    Ukratko, imamo još mnogo da radimo 🙂

  2. Neko iz mase

    Neko iz mase

    22. 11. 2016. u 03:36 Odgovori

    Zakoni nemaju veze sa konfiguracijom web servera, tacka.
    Standard kvaliteta SSL sertifikata nema veze sa zakonskim aktima, ima veze sa RFC 6101 o Secure Sockets Layer protokolom. To sto ima ocjenu F znaci da nije bas po standardu 😉

  3. Ivan Markovic

    Ivan Markovic

    22. 11. 2016. u 16:36 Odgovori

    Ubaceno je jos par servisa. Gorane, hvala na detaljnom objasnjenju.

    Inace ovo nije nista novo vec godinama pokusavam da skrenem paznju na probleme u bezbednosti telekoma, banaka i drzavnih institucija ali dokle god tamo neki iz mase ili sa privatnih specijalizavanih fakulteta, proglasavaju sebe expertima za bezbednost i pustaju ovakve stvari u produkciju … nema puno napretka.

    Pogledajte npr moje istrazivanje banaka iz 2011, mislite da se puno toga promenilo do danas? Ili mozda Telekom-Huawei odnos prema bezbednosti korisnika, mislim da ne 🙂

    Ovo sa sertifikatima je zapravo prilicno manji problem sto se tice bezbednosti gradjana, koliko je zapravo problem u neznanju osoba koje projektuju i implementiraju iste. Evo jednog dobrog primera: http://blog.b92.net/text/16033/Problem-sa-elektronskim-sertifikatima-u-licnim-kartama/

    Uglavnom, ono sto mi mozemo da uradimo je da edukujemo masu i da kreiramo jednostavne alate koji ce nam pomoci u tome. Pa ako imate jos neke ideje, ja sam za 🙂

  4. Dragoljub BG

    Dragoljub BG

    23. 11. 2016. u 01:06 Odgovori

    Zanimljivo je da se iznosi tačan broj prijavljenih korisnika ali niko ne pominje koliki broj ljudi je izgubio mogućnost da na e-upravi kreira nalog zato što je neko već (namerno ili slučajno) uneo njihov JMBG u sistem. Na prijavu zloupotrebe niko iz e-uprave ne odgovara. U mom bližem okruženju troje ljudi ima taj problem i još nisu uspeli da ga reše (dvoje od njih su slabo pokretni penzioneri) pa zaključujem da je ova neprijatna situacija prilično raširena…

    • Vladimir

      Vladimir

      7. 12. 2016. u 19:02 Odgovori

      Upravo se i meni desava ova situacija. Pokusavam da registrujem nalog, i dobijam poruku da vec postoji nalog sa mojim maticnim brojem. Haos.

      • Marko Mudrinić

        Marko Mudrinić

        7. 12. 2016. u 20:11 Odgovori

        Vladimire,

        Stigao je odgovor iz eUprave povodom ovakvih slučajeva. Iako se najveći broj prepisuje agencijama za registrovanje vozila koje otvaraju nalog, iz Direkcije za el. upravu mole sve građane da im se jave radi otklanjanja problema.:

        Među novitetima na ovom državnom portalu sada se nalazi i specijalno obaveštenje namenjeno svima koji bez prethodne saglasnosti otvaraju naloge u ime trećih lica (uglavnom prilikom rezultacije kola), dovodeći građane u situaciju gde ne mogu pristupiti opciji kreiranja svog naloga jer se neko već poslužio njihovim JMBG-om.

        „Svim korisnicima koji se susreću sa ovim problemom, savetujemo da nam se što pre jave kako bismo isti uklonili“.

        Pozdrav,
        MM

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Karijere

Regruteri nam otkrivaju koje su trenutno najtraženije pozicije u IT-ju

Kako bismo saznali koji kadrovi su trenutno najpotrebniji domaćoj tehnološkoj industriji kontaktirali smo predstavnike agencija FatCat Coders, ManpowerGroup i Omnes Group. U nastavku teksta slede njihova iskustva.

Startapi i poslovanje

Poreska uprava poziva građane da prijave svoje inostrane prilive – posebno ističu programere i influensere

Poreska uprava Republike Srbije poziva sva fizička lica koja su propustila da podnesu poreske prijave priliva iz inostranstva, da to samoinicijativno urade kako bi izbegli prekršajnu odgovornost.

Kultura 2.0

Stiže nam nova Vlada – koliko će se ona baviti digitalizacijom i IT industrijom u Srbiji?

Mnogo je toga urađeno u protekle četiri godine, mahom zbog kontinuiteta prethodne Vlade sa kojim se one pre nje i ne mogu baš pohvaliti. Analiziramo koje su to stvari koje bi se mogle naći u novom ekspozeu, a koje se tiču digitalizacije i IT industrije u Srbiji.

Propustili ste

Startapi i poslovanje

Pobednici OTP Generator konkursa Zanateria i Your Pet World otkrivaju dalje svoje poslovne planove

Pre nešto više od nedelju dana završen je još jedan Generator Gamechanger konkurs, ovaj put u 'online' izdanju. Žiri je i ove godine izabrao najbolje digitalne projekte, a njihove priče vam otkrivamo u nastavku.

Internet marketing

Budućnost digitalnog marketinga se ‘kladi’ na mlade ljude – i zato pazite kako birate praktikante

Da li zaista mladima više nije toliko sexy raditi u marketing agencijama ili situacija nije toliko tragična kakvom je predstavljaju?

Startapi i poslovanje

Kanadski startap Autoklose sa kancelarijama u Beogradu akviziran od strane kompanije VanillaSoft

Autoklose nastaviće svoje poslovanje kao deo kompanije VanillaSoft, jedne od vodećih 'sales engagement' tehnoloških kompanija na svetu.

Startapi i poslovanje

LearnUpon sa kancelarijama u Beogradu osigurao $56 miliona investicije

LearnUpon, kompanija koja u Beogradu zapošljava preko 40 developera, osigurala je manjinsku investiciju od 56 miliona dolara od kompanije za globalni rast Summit Partners.

Gaming

Gejming studio Miracle Dojo ušao u svet gejmifikacije likova igrom PopStar Adventure – glavni junak je Željko Joksimović

Miracle Dojo, beogradski gejming studio, uspešno je objavio svoju drugu video igru - PopStar Adventure. Ovaj poduhvat realizovan je u saradnji sa producentom i pevačem Željkom Joksimovićem, o čemu smo razgovarali sa osnivačem ovog studija. 

Kultura 2.0

Spotify imenovao Httpool kao ekskluzivnog zastupnika za oglasna rešenja na Balkanu

Ova agencija biće na raspolaganju brendovima iz Srbije, Hrvatske, Slovenije, Severne Makedonije, Crne Gore, Albanije i BiH koji žele da se oglašavaju na platformi Spotify.