Za zdaj ni verodostojnih podatkov, da bi bila varnostna luknja v spletnem portalu Uprave za varno hrano, veterinarstvo in varstvo rastlin (UVHVVR) zlonamerno izkoriščena. Skozi njo so bili neznano dolgo prosto dostopni občutljivi osebni podatki 873.201 fizične osebe – ime, priimek, naslov, EMŠO in davčna številka. Anonimnež, ki je ranljivost odkril, je 29. oktobra podal prijavo uradu informacijske pooblaščenke. Urad za zdaj ni zaznal, da bi bili nezakonito pridobljeni osebni podatki uporabljeni za nadaljnjo zlorabo. Prijavitelj je sicer uradu zagotovil, da so podatki na varnem in da jih je že izbrisal. Dokazov o verodostojnosti teh navedb urad nima. Možno je, da je luknjo pred tem opazil že kdo drug in prenesel podatke.
Afera z uhajanjem podatkov s portala uprave za varno hrano je javnost odmevno opozorila na tveganja, ki nastanejo, ko se najbolj občutljivi osebni podatki – EMŠO, davčna številka in naslov – znajdejo v rokah spletnih kriminalcev. Še posebej problematičen je nepooblaščen dostop do enotne matične in davčne številke, ki sta edinstvena identifikacijska znaka. Ni ju mogoče spremeniti, posameznika pri poslovanju z javnim in zasebnim sektorjem spremljata vse življenje.
»Nabor osebnih podatkov omogoča prevzem identitete«
»Nabor naših osebnih podatkov omogoča prevzem naše identitete,« uvodoma poudarja vodja Nacionalnega odzivnega centra za kibernetsko varnost SI-CERT Gorazd Božič. »Poleg tega naši osebni, predvsem pa dostopni podatki za napadalce niso zgolj tarča, temveč tudi pomembno orodje za izvajanje nadaljnjih napadov. Še en pomemben vidik je monetizacija, saj napadalcem množica podatkov predstavlja tudi valuto za trgovanje.«
Za kibernetske napadalce so posebej dragoceni podatki, ki omogočajo dostop do različnih storitev – RDP, VPN, e-pošte, spletnih bank in družbenih omrežij. Med njimi so tudi osebni podatki, kot so telefonske številke, naslovi, elektronski naslovi in številke kreditnih kartic, ter digitalni prstni odtis, ki ga tvorijo piškotki in sejni žetoni.
Napadalci zbrane podatke pogosto uporabijo za napade družbenega inženiringa. Poznavanje podrobnosti jim omogoča, da zgradijo prepričljivo zgodbo. »Značilen primer so kriptoprevare, kjer uporabijo že objavljene baze zlorabljenih podatkov in pokličejo žrtve po telefonu. Predstavijo se kot predstavniki borze in trdijo, da so na njihovem računu našli kriptosredstva, ki jih želijo nakazati,« pojasnjuje Božič. »Ker napadalci poznajo ime, priimek in pogosto tudi fizični naslov posameznika, so pri ustvarjanju krinke veliko uspešnejši.«
Leta 2023 je SI-CERT obravnaval primere, ko so napadalci postavili lažne spletne strani v imenu Fursa in uporabnike zvabili, da so vpisali svojo davčno številko. S tem so lahko v naslednjem koraku aktivirali mobilno denarnico v imenu žrtve.
Kako se lahko posameznik zaščiti, glede na to, da EMŠO in davčne številke ne more spremeniti? »Odvisno od vrste zlorabe,« odgovarja Božič. »Ponekod pomaga preklic dokumentov ali plačilnih kartic, pri drugih stvareh pa imamo zvezane roke, saj nove davčne številke ni mogoče pridobiti. Zato svetujemo predvsem preventivne ukrepe. Posameznik se mora tudi zavedati, da nima vedno nadzora nad tem, kje se njegovi podatki hranijo in kako so zaščiteni.«
V vsakem primeru svetuje previdnost pri komunikaciji. Če prejmemo klic ali elektronsko sporočilo, v katerem nas domnevno uradne institucije pozivajo, naj ponovno vnesemo ali preverimo osebne podatke – pod izgovorom varnosti ali domnevnih zlorab – naj bo to prvi znak za previdnost.
»Nikoli si ne nameščajte programske opreme na telefon ali računalnik po navodilih neznancev,« opozarja Božič. »Enako velja za različne ponudbe za investiranje – če nekdo razpolaga z našimi podatki, denimo z davčno številko, to še ne pomeni, da gre za zaupanja vredno finančno institucijo.«
EMŠO in davčna številka nas spremljata do smrti
Ker ni mogoče pridobiti nove EMŠO ali davčne številke, prizadeta oseba njune zlorabe torej ne more preprečiti. »Osebni podatki (ki so bili izpostavljeni na spletni strani uprave za varno hrano, op. p.) omogočajo identifikacijo posameznika in bi v primeru zlorabe lahko bili uporabljeni za krajo identitete ali potencialne finančne prevare,« opozarja urad vlade za informacijsko varnost. »Možno bi bilo pošiljanje lažnih sporočil (phishing) v imenu državnih organov, bank ali drugih institucij oziroma socialni inženiring in poskusi pridobitve dodatnih podatkov, na primer številk bančnih računov, gesel …«
Urad vlade svetuje osnovne previdnostne ukrepe: bodite pozorni na neobičajna sporočila, klice ali elektronsko pošto, ki zahtevajo osebne ali finančne podatke. Ne posredujte EMŠO, davčne številke ali številke bančnega računa, če niste prepričani o identiteti pošiljatelja. Aktivirajte dvofaktorsko avtentikacijo (2FA) pri bančnih in drugih spletnih storitvah. Morebitne zlorabe prijavite policiji in uradu informacijske pooblaščenke.
Na UVHVVR vodijo več kot štirideset informacijskih sistemov s področij varnosti hrane, veterinarstva, dobrobiti živali, veterinarskih zdravil, varstva rastlin in varnosti krme. Huda varnostna luknja je zevala na spletni strani, kjer je objavljen seznam registriranih fitofarmacevtskih sredstev. Ranljivost je že zakrpana. Razgaljeni osebni podatki so bili v registrih, ki jih v skladu s področno zakonodajo vodi ministrstvo za kmetijstvo oziroma organi v njegovi sestavi – ali pa so bili predmet nadzora inšpekcij na področju kmetijstva (register rejnih živali, register kmetijskih gospodarstev, prejemniki kmetijskih subvencij, register hišnih živali …).
Zbornica opozarja na motnje
v prometu z blagom
Nepooblaščen dostop je bil v nedavnem primeru mogoč tudi do osebnih podatkov večine članic in članov Kmetijsko-gozdarske zbornice Slovenije (KGZS), teh je okoli 110.000, ocenjujejo v zbornici. »Vdor v te evidence lahko povzroči resne motnje pri izvajanju ukrepov skupne kmetijske politike,« opozarja zbornica. Morebiten zastoj v delovanju podatkovnih baz bi neposredno ogrozil sledljivost in zakonitost prometa z živili živalskega in rastlinskega izvora. »Možno je tudi, da bi bila onemogočena izdaja veterinarskih spričeval in izvoznih dovoljenj, da bi prišlo do zadržanja pošiljk na mejah, izgube zaupanja trgovinskih partnerjev, neveljavnosti certifikatov in motenj v notranjem prometu z blagom,« je sporočila zbornica.
Direktorica uprave Vida Znoj se je sicer sprva izgovarjala na 15 let star informacijski sistem. »Ob prevzemu položaja niti v času vodenja nisem bila seznanjena z morebitno ranljivostjo sistema,« je v petek sporočila Dnevniku. Nekaj ur pozneje je – na zahtevo predsednika vlade Roberta Goloba – odstopila in prevzela objektivno odgovornost za nepooblaščen dostop do osebnih podatkov skoraj polovice prebivalstva Slovenije.
Poslanska skupina NSi je včeraj vložila zahtevo za sklic nujne seje odbora državnega zbora za kmetijstvo, gozdarstvo in prehrano. V petek je zahtevala tudi odstop kmetijske ministrice Mateje Čalušić. Ministrica je sporočila, da odstopila ne bo.
Kriminalistična preiskava suma storitve kaznivega dejanja vdora v informacijski sistem, ki jo vodi Policijska uprava Ljubljana, skuša razjasniti, kaj se je dogajalo z dostopnimi podatki – ali jih je kdo presnel ali pa so ostali nedotaknjeni. Forenzična preiskava, za katero je odgovoren urad vlade za informacijsko varnost, bo skušala ugotoviti izvor in obseg incidenta ter preprečiti možnost nadaljnjih zlorab. Urad informacijske pooblaščenke medtem izvaja inšpekcijski postopek zaradi suma neustreznega varovanja podatkov.
