Dana 27. lipnja 2026. javno je procurila kriptirana baza s više od pola milijuna jedinstvenih zapisa osobnih podataka učenika i nastavnika iz 1.452 hrvatske osnovne i srednje škole. Konkretno: ime i prezime, službena e- mail adresa s domenom @skole.hr, naziv škole i korisnička uloga. CARNET je incident potvrdio u nedjelju navečer, pokrenuo forenzičku analizu i podnio kaznenu prijavu zbog neovlaštene objave podataka, uz napomenu da sustav online upisa u srednje škole nije ugrožen. Agencija za zaštitu osobnih podataka pokrenula je 29. lipnja žurni nadzor nad CARNET-om po službenoj dužnosti i pri tome javno upozorila da nije zaprimila propisanu prijavu povrede osobnih podataka, koju voditelj obrade mora dostaviti bez nepotrebnog odgađanja, a najkasnije u roku od 72 sata, sukladno članku 33. Opće uredbe o zaštiti podataka.

Želimo istaknuti da ovo nije izoliran slučaj. Naime, samo u protekla dva mjeseca u Hrvatskoj je zabilježeno niz sličnih proboja: stranice Ministarstva rada, mirovinskog sustava, obitelji i socijalne politike bile su hakirane krajem svibnja, baza s preko 50.000 zapisa članova GNK Dinama Zagreb procurila je početkom lipnja, a informacijski sustav Nacionalnog parka Plitvička jezera bio je paraliziran osam dana krajem lipnja, tijekom čega posjetitelji nisu mogli platiti karticom niti su o tome bili obaviješteni na službenoj stranici. Obrazac koji se ponavlja je uvijek isti: institucija je hakirana, javnost sazna sa zakašnjenjem ili od trećih strana, a pravih sankcija i odgovornosti izostaje.

Naglašavamo kako problem nije izolirani kvar, VEĆ arhitektura koja se prožima kroz cijeli javni sektor. Kad kroz jedan sustav upravljamo jedinstvenim, centraliziranim identitetom za stotine tisuća ili milijune građana, stvara se klasična jedinstvena točka neuspjeha (engl. single point of failure). Kompromitacija jednog sustava istovremeno izlaže riziku cijelu populaciju korisnika, dok bi u modelu gdje je pristup podacima segmentiran i ograničen na stvarnu potrebu, kompromitacija jedne točke ostala lokalizirana.

Ovaj incident nije ni nepredvidiv. Europska unija je upravo zbog ovakvih rizika 2023. usvojila Direktivu NIS2, koja se odnosi i na obrazovne institucije i pružatelje digitalnih usluga poput CARNET-a. Njome se nalaže upravljanje rizicima utemeljeno na pretpostavci proboja, kontinuirani nadzor, obveznu prijavu ozbiljnih incidenata u roku od 24 sata i osobnu odgovornost uprave. Hrvatska je tu direktivu implementirala Zakonom o kibernetičkoj sigurnosti, koji je na snazi od veljače 2024., uz prateću Uredbu iz listopada iste godine, a rok za potpunu usklađenost obveznika, među kojima je i CARNET, istekao je početkom 2026. Ipak, kao što ovaj i prethodni incidenti pokazuju, usvojen pravni okvir ne znači i stvarnu provedbu u praksi.

Tu je provedba i selektivna. Privatni sektor u Hrvatskoj za kršenje istih standarda kažnjava se iznosima do 10 milijuna eura ili 2% globalnog prometa, sukladno članku 34. NIS2 Direktive. Ta asimetrija nije slučajna: članak 34. stavak 7. iste Direktive izričito ostavlja državama članicama mogućnost da tijela javne uprave izuzmu od administrativnih kazni što u praksi znači da je blaži tretman javnog sektora svjestan zakonodavni izbor, a ne propust u primjeni.

Pritom valja podsjetiti da Opća uredba o zaštiti podataka u svojoj uvodnoj odredbi 38. eksplicitno prepoznaje djecu kao kategoriju koja zaslužuje posebnu zaštitu osobnih podataka. Evidentno je da zaštita u ovom slučaju očito nije postojala ni na razini sigurnosti obrade (čl. 32. GDPR-a), ni na razini pravodobne prijave povrede (čl. 33. GDPR-a). Zakon koji se provodi selektivno, i koji svjesno propisuje blaže standarde za zaštitu djece u javnom sektoru nego za privatne subjekte, nije zakon već nego unaprijed ugrađena nejednakost!

MOST je u proteklom periodu razradio konkretan arhitekturni model za digitalnu sigurnost javnog sektora, utemeljen na tri stupa: sustavu koji ne pretpostavlja povjerenje nijednom korisniku ili uređaju bez kontinuirane provjere, strogom upravljanju identitetima i pristupom, te decentralizaciji osjetljivih podataka kroz segmentirane, umjesto jedinstvene, baze. Upravo na temelju tog modela, Savjet za digitalno društvo i inovacije stranke MOST traži tri konkretne mjere. Prvo, neovisnu vanjsku reviziju arhitekture sustava @skole.hr i AAI@eduHr, s obvezujućim rokom za prelazak na model koji ograničava opseg centralno pohranjenih podataka na ono što je nužno, te uvođenje segmentacije kako bi kompromitacija jednog dijela sustava ostala ograničena, a ne sustavna. Drugo, jačanje AZOP-a u operativno, a ne samo reaktivno tijelo. Dakle, s ovlašću provođenja obveznih sigurnosnih revizija prije lansiranja državnih sustava i istom razinom sankcija prema javnom sektoru koja se već primjenjuje na privatne subjekte, uključujući osobnu odgovornost čelnika institucije za propust prijave povrede u zakonskom roku. Treće, obvezni neovisni penetracijski test prije puštanja u rad svakog državnog digitalnog sustava koji obrađuje podatke djece, po uzoru na zahtjeve koje DORA regulativa već nameće financijskom sektoru.

Djeca čiji se digitalni identitet stvara već u prvom razredu osnovne škole, bez njihova znanja ili pristanka, ne mogu birati arhitekturu sustava koja njihove podatke štiti ili ne štiti! Tu odluku donosi država i upravo zato za nju mora odgovarati.

Savjet Mosta za znanost i obrazovanje želi istaknuti kako neovlašten pristup osobnim korisničkim podacima više od pola milijuna učenika i nastavnika nije običan tehnički propust, nego ozbiljan sigurnosni incident. On otvara pitanje koliko su doista sigurni digitalni sustavi na kojima danas počiva hrvatsko obrazovanje. Incident s curenjem podataka samo je jedan u nizu propusta Ministarstva znanosti, obrazovanja i mladih posljednjih godina. On je ujedno i upozorenje da digitalizacija sama po sebi ne smije biti cilj, baš kao što ni odgoj i obrazovanje ne mogu biti prepušteni stihiji. I digitalizacija i obrazovni sustav moraju se provoditi pouzdano, odgovorno i uz najvišu razinu zaštite djece, učenika i zaposlenika.

Ako sustavi koji sadrže osjetljive podatke djece i zaposlenika nisu dovoljno zaštićeni, s pravom se postavlja pitanje koliko je sustav spreman za daljnju digitalizaciju obrazovanja. Međutim, riječ je tek o jednom od propusta resornog Ministarstva, koje mora preispitati niz svojih reformi i politika kojima je ugroženo pravo učenika na sigurno i cjelovito obrazovanje.

Građani, a posebno roditelji, imaju pravo znati kako je do ovog propusta došlo, tko je za njega odgovoran, tko je imao pristup podacima te koje će se konkretne mjere poduzeti kako se ovakav slučaj više nikada ne bi ponovio. Posebno zabrinjava činjenica da se posljedice ovakvog propusta mogu pokazati iznimno ozbiljnima upravo sada, u vrijeme upisa u srednje škole. Neovlašten pristup korisničkim računima mogao bi ugroziti cijeli postupak upisa, omogućiti izmjenu podataka ili učenicima onemogućiti ostvarivanje njihovih prava. Kada su u pitanju djeca, nastavnici i škole, zaštita osobnih podataka i osobnih prava mora biti apsolutni prioritet.

Pitanje zaštite prava djece ne svodi se samo na sigurnost podataka. Ministarstvo znanosti, obrazovanja i mladih treba ukinuti i praksu prema kojoj u školske razrede ulaze neovlaštene i pedagoški neosposobljene osobe radi predavanja sadržaja koji pripadaju isključivo domeni stručnih nastavnika. Primjer su radionice programa THE Talk, koje u srednjim školama, bez znanja i privole roditelja, provode studenti udruge CroMSIC, obrađujući teme spolnosti koje pripadaju nastavi Biologije. Riječ je o predmetu koji je već dodatno oslabljen sustavnom marginalizacijom u okviru strukovne reforme, pri čemu je jedva zadržao i ono malo sadržaja koji mu je preostao.

Isti obrazovni sustav koji otvara vrata neovlaštenim udrugama istodobno dopušta da se osjetljivi podaci više od pola milijuna djece i nastavnika nedovoljno zaštićeno čuvaju u sustavu CARNET-a!

Sagledavajući sve navedeno i uzimajući u obzir mogućnost koordiniranih kibernetičkih napada većih razmjera na informacijske sustave državnih institucija koji su se u posljednje vrijeme događali u nekim europskim zemljama, Savjet MOST-a za nacionalnu sigurnost smatra da je potrebno povećati ulaganja u unapređenje i jačanje informacijske sigurnosti svih državnih institucija kako bi spriječili kompromitiranje i krađu klasificiranih podataka i potencijalno ugrožavanje nacionalne sigurnosti.