Lični podaci građana BiH u opasnosti: Greška na portalu IDDEEA pozivnica za hakere! (FOTO)
- 8 hours ago
- 2 min read
Dok Bosna i Hercegovina nastoji ubrzati digitalizaciju javne uprave, sigurnost informacionih sistema postala je ključno pitanje povjerenja građana.

Nedavni propust na sajtu Agencije za identifikacione dokumente, evidenciju i razmjenu podataka (IDDEEA), konkretno unutar servisa za digitalno potpisivanje, ponovo je otvorio raspravu o tome koliko su naši lični podaci zaista zaštićeni iza „državnih“ ekrana.
Korisnici koji su pokušali pristupiti servisu dočekani su tehničkom porukom o grešci: "ORA-06502: PL/SQL: numeric or value error: invalid LOB locator specified". Za prosječnog građanina, ovo je samo zbunjujući niz karaktera. Za napadača, ovo je „pozivnica“.
Zašto ova greška nije samo estetski problem?
Kako bismo razumjeli ozbiljnost situacije, razgovarali smo sa stručnjakom za informacionu sigurnost koji je pojasnio da se ovdje ne radi o hakerskom upadu u bazu podataka, već o otkrivanju informacija tj. grešci u dizajnu aplikacije koja „govori previše“.
„Kada aplikacija prilikom greške prikaže izvorni kod ili detalje o tehnologiji u pozadini, ona napadaču pruža mapu puta. U ovom slučaju, greška nam direktno potvrđuje da sistem koristi Oracle bazu podataka i PL/SQL programski jezik“, objašnjava naš sagovornik.
U svijetu cyber sigurnosti, ovo je prvi korak tzv. faze izviđanja. Kako nam objašnjava IT stručnjak napadač sada zna tačno koji tip „vrata“ treba obijati. Umjesto da „naslijepo“ traži ranjivosti, on sada može fokusirati svoje napade na specifične slabosti Oracle okruženja, što značajno povećava rizik od budućih, ciljanih napada.
Sigurnost se ne vidi, ona se projektuje
Naš sagovornik ističe da su smjernice Globalne organizacije za web sigurnost ovdje apsolutno jasne i obavezujuće za sisteme ovakve važnosti:
Za korisnika greška mora biti „bezopasna“. Korisnik treba vidjeti generičku poruku (poput „Došlo je do privremenog problema, molimo pokušajte kasnije“), bez otkrivanja tehničkih detalja.
Za inženjere detaljan izvještaj o grešci mora biti zapisan isključivo u zaštićene, interne sistemske logove kojima pristupaju samo ovlaštene osobe.
„Kada govorimo o sistemima za digitalni potpis, gdje se potvrđuje identitet građanina, sigurnost ugrađena u sam dizajn nije luksuz, već imperativ“, dodaje stručnjak.
Naglašava da propust u rukovanju greškama ukazuje na to da su neki segmenti sistema vjerovatno razvijeni ili pušteni u produkciju bez dovoljnog sigurnosnog testiranja.
Šta ovo znači za građane?
Iako sam propust na sajtu ne znači da je baza podataka direktno ugrožena ili da su podaci ukradeni, on šalje zabrinjavajuću poruku o nivou pažnje koja se posvećuje bezbjednosti državnih digitalnih servisa.
Državne institucije koje upravljaju osjetljivim podacima moraju podići standarde.
Digitalni servisi nisu samo web stranice, oni su digitalni identitet svakog od nas. Svaki ovakav „tehnički propust“ zapravo je pukotina u zidu povjerenja između građanina i digitalne države. Ukoliko se ovakvi propusti ne saniraju na profesionalan način, pitanje nije da li će neko iskoristiti ove informacije, već kada.




Comments