‘Dosad nije utvrđena zlouporaba podataka o vrijednosnim papirima’, tvrde u SKDD-a, a na upit odakle su onda procurili nejavni podatci o spornim transakcijama zaposlenika HNB-a podsjećaju kako ih dostavljaju “i drugim subjektima”
Piše: Saša Paparella objavljuje ZAGREBI.HR
Portal Index nekoliko je dana iscrpno pisao o tome kako je u zadnjih 20 godina više od 40 zaposlenika Hrvatske narodne banke (HNB) trgovalo vrijednosnim papirima banaka za čiji je nadzor zadužena upravo središnja banka. U tim se tekstovima autor pozvao na uvid u “dokumentaciju povijesnih transakcija SKDD-a”, više od 400 transakcija u vrijednosti većoj od deset milijuna kuna povezanih s djelatnicima HNB-a.
No znači li ta mogućnost uvida da su podatci o transakcijama Središnjeg klirinškog depozitarnog društva (SKDD) postali dostupni svima? Na naš upit o sigurnosti podataka u intervjuu sa Sandrom Švaljek, zamjenica guvernera je odgovorila: “To je pitanje na koje moraju odgovoriti SKDD i ostale nadležne institucije.”
Kako nam je rečeno u SKDD-u, “Dokumentacija o pojedinačnim transakcijama nije javno dostupna. Novinar koji se poziva na povijesne transakcije SKDD-a nije od nas zatražio podatke niti bismo mu mi podatke takve vrste učinili dostupnima jer je SKDD, u skladu sa Zakonom o tržištu kapitala, dužan čuvati tajnost podataka o identitetu i transakcijama ulagatelja odnosno vlasnika/nositelja računa i imatelja vrijednosnih papira”.
Iz tog bi se odgovara dalo zaključiti da su ti podatci procurili, možda baš iz SKDD-a. Jedan od naših izvora, koji ne želi biti imenovan, otkrio nam je da se unutar te institucije provodi istraga, što nam je potvrđeno i u službenom odgovoru.
SKDD upire prstom i u druge moguće izvore podataka
“Ističemo da ‘curenje podataka’ dosad nije utvrđeno. Kao registar vrijednosnih papira i infrastrukturno društvo tržišta kapitala odmah smo interno poduzeli sve radnje i mjere u cilju provjere zlouporabe podataka, budući da je upravo zaštita podataka ‘conditio sine qua non’ našeg poslovanja. Dosad nije utvrđena zlouporaba podataka o vrijednosnim papirima”, navodi se u odgovoru SKDD-a.
Međutim, u nastavku odgovora otvara se mogućnost da su informacije o transakcijama možda procurile iz nekog drugog izvora. “SKDD kao registar vrijednosnih papira na temelju zakonske obveze podatke o vrijednosnim papirima dostavlja i drugim subjektima. SKDD nema saznanja o eventualnim zlouporabama podataka o vrijednosnim papirima niti odgovara za informacijski tijek izvan svog sustava. Hrvatska agencija za nadzor financijskih usluga (HANFA) kao institucija koja je, na temelju zakonskih ovlasti i obveza, pokrenula nadzor po službenoj dužnosti o trgovanju vrijednosnim papirima kreditnih institucija koje HNB nadzire, nadležna je za utvrđivanje nepravilnosti i eventualnu zlouporabu podataka u predmetnom slučaju, a SKDD kao regulirani subjekt, aktivno pruža punu suradnju regulatoru.
Posebno ističemo da je razina sigurnosti u SKDD-u izuzetno visoka, a kao jedna od bitnih institucija u provedbi uvođenja eura, posljednjih smo godina proveli intenzivne projekte usklađivanja i implementacije informacijske tehnologije, strogih regulatornih, pravnih i procesnih prilagodbi, koje su rezultirale time da je SKDD uveo najviše standarde korporativnog upravljanja i informacijske sigurnosti“, navodi se u odgovoru SKDD-a.
Carić: ‘Objava tih podataka je u javnom interesu!’
Za komentar slučaja smo zamolili Lucijana Carića, stručnjaka za informatičku sigurnost. “Ovdje, iako se nekome možda može činiti kako je došlo do povrede osobnih podataka, radi se o javnim podacima i javnom interesu. U interesu je javnosti da bude informirana o radnjama i moralu javnih osoba na visokim položajima i to se pravo javnosti ne može i ne smije uskratiti, a bez obzira na to što su one nazivno možda i postupale u okviru zakona i nekakvih pravilnika. Ono što je zakonito itekako može biti nemoralno, kao i ono što je moralno nužno ne mora biti zakonito”, upozorava naš sugovornik.
“Načelno, kod curenja podataka uvijek se postavlja pitanje koji je njihov izvor. Podaci mogu poteći od institucija koji imaju cjelovite ili djelomične podatke ili više njih. Do podataka se može doći u integralnom (cjelovitom) obliku, ali se takvi podaci često mogu rekonstruirati ili konsolidirati iz više izvora. U ovom slučaju podatke ili njihove dijelove može imati SKDD, HANFA, HNB, brokeri, banke i moguće još neke druge institucije”, nastavlja Carić.
Podsjeća da razlozi gubitka podataka često mogu biti vrlo bizarni – od nekakvih namjera, ‘sređivanja’ računa, grešaka, neopreza, koruptivnih radnji, pogrešne primjene ili nepoštivanja sigurnosnih procedura, pa do vanjskih ili unutrašnjih napada, uključujući hakiranje i prisluškivanje. Bilo je i nekih bizarnih slučajeva u svijetu kad su državne institucije, pa čak i tajne službe, gubile velike količine povjerljivih podataka, uključivši i osobne podatke građana na izgubljenim, ostavljenim ili nepropisno odloženim ili uništenim medijima i kompjuterima.
‘Prema GDPR-u, slučaj treba prijaviti AZOP-u’
“Prema (in)famoznom GDPR-u neovlašteni odljev podataka trebalo bi prijaviti AZOP-u, zajedno s okolnostima u kojima je došlo do neovlaštenog odljeva ili gubitka podataka, opsegom gubitka, mogućim posljedicama. Nekako mi se čini kako privatne tvrtke nisu u ravnopravnom položaju prema javnim institucijama. Znamo kako su ‘privatnici’ uvijek i tradicionalno lopovi i kršitelji, uvijek za nešto krivi. S druge strane kad se radi o javnim institucijama onda ili nije regulirano, ili je zakonito, ili propis to ne pokriva, ili se ne odnosi na tu situaciju, ili nema obveze”, zaključuje Lucijan Carić.
Vijest je na LINKU
DEMOS MEDIA