Информација за вонредната супервизија во Управата за водење на матичните книги

Агенцијата апелира до сите институции да посветат поголемо внимание на заштитата на личните податоци на граѓаните, односно да демонстрираат отчетност и одговорност преку инвестирање во нови технолошки решенија и знаења на вработените со цел да бидат во чекор со развојот на дигиталното општество.

Во последно време зачестени се нападите над ИТ системите на институциите поради застарените технолошки решенија кои се користат и недоволен стручен кадар кои ќе може да одговори на предизвиците на новото време.

Агенцијата континуирано укажува на потребата од зголемување на безбедноста на ИТ системите на институциите, бидејќи штетните последици при евентуална злоупотреба на личните податоци на граѓаните може да биде огромна и ненадоместлива.

Агенцијата за заштита на личните податоци како надлежен орган за вршење надзор над законитоста на преземените активности при обработката на личните податоци на граѓаните на Република Северна Македонија (РСМ),  спроведе вонредна супервизија во Управата за водење на матичните книги (УВМК), а по поднесена иницијатива од страна на Државната комисија за спречување корупција (ДКСК).

Во барањето е наведено дека ДКСК оформила предмет, заради незаконски спроведена јавна набавка на информатички услуги-скенирање на лични документи и документи со лични податоци, на граѓани на РСМ, нивно внесување во базата на УВМК и техничка поддршка на базата и софтверскиот систем.

ДКСК бараше од Агенцијата да утврди кој имал пристап до скенираните документи за лични податоци, како истите биле зачувани, дали биле заштитени, дали воспоставениот систем за нивна заштита бил ефикасен и ефективен и дали истите се употребени за незаконски цели. Особено внимание ДКСК бараше да се посвети на софтверскиот т.е. на ИТ системот, во смисла на тоа кој имал пристап до податоците, дали на економските оператори им бил овозможен пристап спротивно на законските прописи и дали се вршени какви било упади или интервенции во базите со лични податоци на УВМК.

I. Во однос на управување со системот за заштита на личните податоци се провери степенот на воспоставениот систем за заштита на личните податоци при што УВМК ги нема во целост воспоставено процесите и процедурите кои овозможуваат усогласеност со прописите за заштита на личните податоци и тоа:

1. УВМК има определено офицер за заштита на личните податоци.
2. УВМК нема определено администратор на информацискиот систем.
3. УВМК нема донесено и не применува процедури за управување со обработувачи, при што УВМК за цели на дигитализација на матичните книги имала склучено договори со обработувачи, кои не се усогласени со прописите за заштита на личните податоци и нема вршено контрола над нивната работа. Овластените лице кај обработувачите немаат добиено овластувања за обработка на личните податоци и немаат потпишано изјави за тајност и заштита на личните податоци.
4. УВМК нема вршено контроли (периодични и внатрешна) заради следење на усогласеноста на нејзиното работење со прописите за заштита на личните податоци.

II. Во однос на безбедноста на личните податоци се проверија техничките и организациски мерки за да се осигури дека постои соодветна безбедност на личните податоци кои се обработуваат во процесот на дигитализиација на матичните книги кои се чуваат во хартиена или електронска форма. УВМК ги нема во целост воспоставено процесите и процедурите кои овозможуваат усогласеност со прописите за заштита на личните податоци и тоа:

1. УВМК има донесено Процедура за одржување на информатичка технологија и Процедура за управување со безбедноста на информациите, но истите во целост не ја одразуваат фактичката состојба кај УВМК. УВМК нема донесено Политика за системот за заштита на личните податоци и целосна документација за технички и организациски мерки и нема направено проценка на ризиците според прописите за заштита на личните податоци.
2. Вработените во УВМК немаат посетено обука за заштита на личните податоци.
3. УВМК нема воспоставено евиденција на хардверот, опремата, серверите и софтверските апликации кои се користат за обработка на личните податоци.
4. За скенирање на матичните книги се користат два компјутери каде се инсталирани два скенера. За влез во овие компјутери не се бара да се внеси корисничко име и лозинка. Овие компјутери и скенери се сместени во просторија која физички не е обезбедена, при што до просторијата постоела можност да пристапат и неовластени лица. Во фазата на скенирање ангажираните лица од обработувачите немале придружба (контрола) од вработените кај УВМК. Во оваа просторија се чуваа и матичните книги од повеќе подрачни единици кои биле доставени за скенирање, при што до истите може да има секој кој ќе пристапи во просторијата на УВМК. Скенираните матични книги се преземаат од овие два компјутери на преносен медиум кој не е заштитен со лозинка. За префрлање на скенираните книги се користи посебен апликативниот софтвер (модул). За пристап до овој апликативниот софтвер (модул) овластеното лице треба претходно да воспостави VPN конекција. За пристап до апликативниот софтвер (модул) се користи двофакторска автентификација преку внесување на соодветно корисничко име и телефонски број на кој се добива ОТП лозинка за пристап. За пристап до овој апликативен софтвер (модул) дозволено е користење и неперсонализирани кориснички имиња (генерички) преку кои не може да се утврди лесно идентитетот на корисникот. Префрлањето на скенираните матични книги го вршат ангажираните лица кај обработувачот, додека верификацијата на податоците ја прават вработените кај УВМК.
5. УВМК нема донесено процедури за управување со медиуми и не води евиденција на медиуми и евиденција на преносливи медиуми. УВМК не прави контроли со цел да се превенира неавторизирано користење на преносни медиуми. На ниту еден компјутер не е контролиран пристапот до УСБ портите. До надворешните медиуми пристап имале ангажираните лица од обработувачот, но УВМК нема воспоставено контрола кој се имал пристап до овие медиуми, дали се изнесувале надвор од просториите на УВМК, каде се чувале, кој имал обврска да ги избриши податоците откако ќе се префрлиле. Од страна на обработувачот доставен е Реверс за издавање на користење на носачи на податоци (надворешни преносливи медиуми). Во документот е наведено дека истите можат да се користат само за чување и трансфер на податоците од собата за скенирање до компјутерот доделен за прикачување на податоците во просториите на УВМК и не смеат да се извадат надвор од назначените простории или да се префрлаат податоци на трети компјутери кои не се определени за тоа.
6. УВМК поседува и сервер со документи (fileserver) на кој се чуваат дел од скенираните книги и истите се незаштитени од неовластен пристап. УВМК нема донесено и не применува процедура за пристап и користење на овој сервер. Во Реверсот доставен од обработувачот не е предвидено овој сервер да се користи за прикачување на скенираните документи.
7. УВМК нема направено проценка на ризик во однос на физичката безбедност на ИТ опремата и просториите каде се чуваат личните податоци.
8. УВМК не води евиденција за пристап до просторијата која се користела од страна на обработувачите во периодот кога се скенирале матичните книги.
9. Вработените кај УВМК практикуваат да ги предаваат матичните книги со потпишување на записници за преземање и враќање на книги за дигитализација.
10. УВМК нема донесено процедури за определување на обврските и одговорностите на овластените лица и не се прават проверки во однос на правата на пристап на корисниците како и на работењето на администраторите на информацискиот систем.
11. УВМК не врши проверка и ажурирање на привилегиите за пристап до информацискиот систем на овластените лица.
12. УВМК нема сопствен домен па пристапот до информацискиот систем не е унифициран. На компјутерот на кој се направи проверката се бара да се внеси лозинка од 7 карактери и притоа не се бара истата да е сложена. Лозинката не се бара да се менува форсирано на 90 дена. По пет неуспешни обиди активирана е опцијата за заклучување на компјутерот, по што компјутерот се заклучува на 30 минути.
13. УВМК води евиденција за авторизиран пристап (запис/лог) до софтверската апликација (модул) која се користи за префрлање на скенираните матични книги, но истиот не содржи комплетни логови според прописите за заштита на личните податоци. УВМК не врши контрола на податоците од евиденцијата за пристап до информацискиот систем. УВМК има инсталирано SIEM решение, но истото не е сетирано да ги собира и анализира логовите кои се генерираат при пристап до серверот со документи (fileserver) и останатите медиуми каде што има лични податоци.

За извршената вонредна супервизија составен е записник и се донесе решение со корективни мерки, при што се определија рокови за отстранување на утврдените повреди. Роковите за постапување истекоа во јуни 2023 година по што УВМК има обврска за секоја мерка да не извести и да достави докази дека ги отстранила констатираните повреди. За дел од мерките Управата веќе достави и докази до Агенцијата за отстранување на повредите.