CARNET: Nema pokazatelja da su kompromitirane zaporke ni sustavi za autentikaciju korisnika

CARNET je odmah nakon saznanja o objavi baze podataka, 27. lipnja 2026. u večernjim satima, aktivirao postupke upravljanja sigurnosnim incidentom i pokrenuo detaljnu tehničku i forenzičku analizu, ističu iz CARNET-a i Nacionalnog CERT-a na upit ICTbusiness Media – ICTbusiness.info.

Kako pojašnjavaju, u analizu su uključeni i vanjski neovisni stručnjaci za forenzičku analizu podataka kako bi se što prije utvrdilo na koji su način podaci dospjeli u javnost i iz kojeg izvora potječu.

Incident je prijavljen putem platforme PiXi u zakonski definiranom roku od trenutka kada je utvrđeno da je riječ o značajnom incidentu. Budući da Sektor – Nacionalni CERT djeluje kao organizacijska jedinica unutar CARNET-a, njegovi su djelatnici uključeni u analizu od trenutka saznanja o objavi podataka.

„Prema preliminarnim rezultatima, podaci nisu skinuti ni s jednog CARNET-ova servisa, već nalikuju podacima iz sustava trećih strana. Budući da je analiza još uvijek u tijeku, ne možemo iznositi detaljnije informacije”, pojašnjavaju iz CARNET-a i Nacionalnog CERT-a.

Na pitanje ICTbusiness Media – ICTbusiness.info o stanju kibernetičke sigurnosti, iz CARNET-a i Nacionalnog CERT-a odgovaraju kako se zaštita informacijskih sustava i osobnih podataka u CARNET-u temelji na višeslojnom sigurnosnom pristupu te se kontinuirano unaprjeđuje u skladu s razvojem tehnologije i novim sigurnosnim prijetnjama.

Dodaju kako se svaki sigurnosni događaj detaljno analizira kako bi se provjerilo postoje li dodatne mogućnosti za unaprjeđenje zaštite. Takav pristup, ističu, dio je standardne prakse u upravljanju informacijskom sigurnošću.

Kada je riječ o broju korisnika, iz CARNET-a i Nacionalnog CERT-a navode kako je riječ o oko 560.700 jedinstvenih korisnika iz obrazovnog sustava. Prema dosadašnjim informacijama, objavljeni podaci uključuju ime i prezime, adresu elektroničke pošte, naziv škole i korisničku ulogu.

Istodobno naglašavaju kako nema pokazatelja da su kompromitirane korisničke zaporke ni sustavi za autentikaciju korisnika, što je posebno važna informacija u kontekstu sigurnosti korisničkih računa.

„Korisnicima preporučujemo da budu posebno oprezni prema porukama u kojima se traže zaporke ili drugi osobni podaci, da ne otvaraju poveznice i privitke iz sumnjivih poruka te da koriste snažne i jedinstvene zaporke. Gdje god je dostupna, preporučujemo korištenje višefaktorske autentikacije”, objašnjavaju iz CARNET-a i Nacionalnog CERT-a.

Dodaju kako je, u slučaju da korisnici posumnjaju na pokušaj prijevare ili uoče bilo kakvu nepravilnost, važno da to odmah prijave na adresu [incident@cert.hr](mailto:incident@cert.hr) kako bi se moglo pravodobno reagirati.

Školama su poslani Savjeti Nacionalnog CERT-a za zaštitu u slučaju krađe i neovlaštene objave podataka, a objavljeni su i na internetskim stranicama CARNET-a i Nacionalnog CERT-a.

Zbog velikog broja zahvaćenih korisnika i visokog udjela maloljetnika, korisnici su odmah obaviješteni javnom obaviješću objavljenom 28. lipnja 2026. na mrežnoj stranici CARNET-a, pod naslovom „Obavijest o neovlaštenom dijeljenju podataka povezanih s osnovnim i srednjim školama”. Obavijest su prenijeli i drugi mediji, čime je, ističu iz CARNET-a i Nacionalnog CERT-a, osigurano najšire moguće javno obavješćivanje.

Budući da bi pojedinačno obavješćivanje oko 560.700 korisnika iziskivalo nerazmjeran napor, primijenjeno je javno priopćenje sukladno članku 34. stavku 3. točki c Opće uredbe o zaštiti podataka. Iz CARNET-a i Nacionalnog CERT-a navode kako je obavijest sastavljena jasnim i jednostavnim jezikom, sukladno članku 12. stavku 1. Opće uredbe, te sadrži sve propisane elemente.

CARNET poduzima sve mjere kako bi usluge koje pruža bile što sigurnije. Pritom se sigurnost uzima u obzir već pri dizajnu usluge, a sigurnosna testiranja provode se prije puštanja u produkciju. Ipak, iz CARNET-a i Nacionalnog CERT-a upozoravaju kako digitalne tehnologije nikada ne mogu biti potpuno sigurne zbog svakodnevnog otkrivanja novih ranjivosti i novih tehnika napada.

CARNET je podnio kaznenu prijavu zbog sumnje na počinjenje kaznenog djela iz članka 146. stavaka 1., 2. i 3., zbog čega ne može iznositi podatke iz istrage. Podnesena je i prijava Agenciji za zaštitu osobnih podataka od strane voditelja obrade, odnosno Ministarstva znanosti, obrazovanja i mladih.

„U ovom trenutku nema indicija koje bi upućivale na potrebu za promjenom korisničkih zaporki. Ako rezultati istrage pokažu da su potrebne dodatne sigurnosne mjere, korisnici će o njima biti pravodobno obaviješteni putem službenih komunikacijskih kanala”, pojašnjavaju iz CARNET-a i Nacionalnog CERT-a.

Još jednom napominju kako nema pokazatelja da je ugrožen rad CARNET-ovih usluga.

Nacionalni CERT provodi proaktivne aktivnosti detekcije prijetnji i ranjivosti. Platforma PiXi, pojašnjavaju, nije alat za monitoring, nego nacionalna platforma za prikupljanje, analizu i razmjenu podataka o kibernetičkim incidentima i prijetnjama što je u ovakvim slučajevima vrlo važno.

„PiXi platforma ne prikuplja, ne nadzire niti bilježi podatke u realnom vremenu. Riječ je o kolaboracijskoj platformi putem koje kategorizirani subjekti, sukladno Zakonu o kibernetičkoj sigurnosti, ispunjavaju svoju zakonsku obvezu prijave incidenata i prijetnji”, zaključuju iz CARNET-a i Nacionalnog CERT-a.