Slovenska javna uprava se znova sooča z resnim vprašanjem varnosti svojih informacijskih sistemov. Uprava za varno hrano, veterinarstvo in varstvo rastlin (UVHVVR) je prejšnji teden razkrila, da je bil njen informacijski sistem tarča nepooblaščenega dostopa, pri čemer so bili razkriti osebni podatki kar 873.201 fizične osebe. Gre za enega največjih znanih incidentov razkritja osebnih podatkov v zgodovini slovenskega javnega sektorja.
Vdor razkril obsežne osebne podatke
Urad informacijskega pooblaščenca je UVHVVR 29. oktobra obvestil, da je neznani storilec pridobil dostop do baze podatkov, povezane s spletno stranjo, na kateri je objavljen seznam registriranih fitofarmacevtskih sredstev.
Zaradi ranljivosti v sistemu so bili dostopni podatki, ki bi morali biti strogo varovani: ime, priimek, naslov, EMŠO in davčna številka.
Ti podatki pripadajo osebam, ki so bile v preteklosti vpisane v različne registre, povezane s kmetijstvom — od registrov rejnih živali in kmetijskih gospodarstev do prejemnikov subvencij in nadzorovanih subjektov v inšpekcijskih postopkih.
Uradniki pomirjajo, a vprašanja ostajajo
Na UVHVVR zagotavljajo, da so “ranljivost nemudoma odpravili” in da informacijski sistem zdaj “deluje nemoteno”. Pravijo tudi, da “tekoče poslovanje ni bilo ovirano” ter da “ni bilo finančnih zahtev”, povezanih z vdorom.
A takšna pomirjujoča sporočila težko prepričajo javnost, ko gre za razkritje osebnih podatkov skoraj milijona državljanov.
Strokovnjaki za informacijsko varnost opozarjajo, da gre za sistemske pomanjkljivosti, ki se v javni upravi ponavljajo že vrsto let. Država sicer vlaga milijone v digitalizacijo, a očitno zanemarja temeljni steber digitalne družbe – varnost osebnih podatkov.
Učinkovit odziv – ali le gasilski ukrep?
Uprava je po besedah uradnikov o incidentu takoj obvestila skupino SIGOV-CERT, ki deluje v okviru Urada Vlade za informacijsko varnost, ter podala prijavo policiji in Informacijski pooblaščenki.
Toda mnogi se sprašujejo, zakaj je moralo priti do zunanjega opozorila, preden so pri UVHVVR sploh zaznali vdor. Če je lahko heker do podatkov dostopal neopaženo, to kaže na resne pomanjkljivosti v nadzoru in zaznavanju varnostnih incidentov.
Kdo varuje naše podatke?
Incident razgalja širši problem slovenske državne informatike: zastarele sisteme, neenotne varnostne standarde in pomanjkanje odgovornosti.
Uprava sicer opozarja, naj posamezniki ne delijo osebnih podatkov po telefonu ali e-pošti, če niso prepričani, s kom govorijo, in naj morebitne poskuse zlorabe prijavijo policiji. A za mnoge je to le prelaganje odgovornosti z institucij na posameznike.
Ko država od državljanov zahteva popolno digitalno zaupanje — od e-uprave do elektronskih zemljiških knjig — bi morala sama postavljati najvišje standarde varovanja podatkov. Tokratni incident pa je pokazal, da so ti standardi vsaj na nekaterih področjih bolj želja kot resničnost.
VELENJE.com
