Razkritje je sprožila anonimna prijava uradu informacijske pooblaščenke: prijavitelj je 29. oktobra opozoril na hudo varnostno luknjo v informacijskem sistemu Uprave Republike Slovenije za varno hrano, veterinarstvo in varstvo rastlin. Na spletni strani uprave, tam, kjer je objavljen seznam registriranih fitofarmacevtskih sredstev, je namreč odkril kritično ranljivost, ki je omogočala pridobitev osebnih podatkov več kot 870.000 oseb, povezanih s centralnim registrom prebivalstva. Informacijska pooblaščenka Jelena Virant Burnik je še istega popoldneva obvestila upravo, ki jo vodi generalna direktorica Vida Znoj.
Izgovarjala se je na 15 let star sistem
»V tej fazi je preuranjeno govoriti o varnostni luknji,« je včeraj Dnevniku sporočila generalna direktorica Vida Znoj. Na vprašanje, ali bo zaradi dogodka ponudila odstop, je odgovorila, da je šlo v tem primeru za programsko aplikacijo, ki je nastala pred 15 leti. »Ob prevzemu položaja niti v času vodenja nisem bila seznanjena z morebitno ranljivostjo sistema,« je sprva zavračala odgovornost. »Zato so moja prioriteta v tem trenutku korektivni ukrepi; izvaja se varnostno preverjanje vseh programskih aplikacij, ki jih ima uprava.« Pozno popoldne se je izkazalo, da teh prioritetnih ukrepov ne bo izpeljala. Direktorica je namreč na zahtevo predsednika vlade Roberta Goloba odstopila.
Urad vlade za informacijsko varnost že izvaja forenzično preiskavo, da bi ugotovil izvor in obseg incidenta ter preprečil možnost nadaljnjih zlorab. »Izpostavljeni osebni podatki omogočajo identifikacijo posameznika in bi v primeru zlorabe lahko bili uporabljeni za krajo identitete ali potencialne finančne prevare.« Možno bi bilo pošiljanje lažnih sporočil (phishing) v imenu državnih organov, bank ali drugih institucij oziroma socialni inženiring ter poskusi pridobitve dodatnih podatkov,« opozarja urad.
»Takšni spletni portali so navidezno enostavni, v njihovem drobovju pa so baze podatkov praviloma centralizirane,« pojasni Vladimir Ban, etični heker in vodja varnostno-operativnega centra pri A1. »Ko izvajamo varnostne preglede in vdiramo na spletne strani, pogosto ugotovimo, da omogočajo bistveno širši dostop do podatkov od tistih, ki so neposredno vezani na stran, prek katere si vdrl v sistem.«
Zato morajo biti varnostni mehanizmi zelo premišljeni in redno posodobljeni ter nadzorovani tudi s strani zunanjih strokovnjakov. Zunanji redni varnostni pregledi so toliko pomembnejši, ker so spletni portali praviloma izdelek pogodbenih izvajalcev, v organizacijah, ki jih potem upravljajo, nimajo nujno popolnega pregleda nad ravnjo njihove varnosti. »Vdor v spletni portal je večinoma posledica tega, da je bil portal narejen pomanjkljivo, obenem lastnik portala ni poskrbel za redno izvajanje varnostnih pregledov, s katerimi bi pravočasno odkril luknjo,« pravi Ban. Je takšno luknjo težko zakrpati? »Odvisno od posameznega primera,« odvrne. »Vsekakor je vedno mogoče urediti začasno rešitev, ki onemogoča ponovno zlorabo. Dolgoročna rešitev je lahko kompleksnejša.«
Osebni podatki 873.201 fizične osebe
Javnost je bila o varnostni luknji obveščena šele v četrtek, osem dni po prejeti prijavi. »Nemudoma so bili sproženi vsi nujni postopki za odpravo ranljivosti, s čimer je bil onemogočen nadaljnji dostop do podatkov,« je sporočila uprava za varno hrano. »Po odpravi ranljivosti informacijski sistem deluje nemoteno. Tekoče poslovanje ni ovirano, prav tako ni bilo nobenih finančnih zahtev, povezanih z nepooblaščenim dostopom.«
Na upravi so ugotovili, da je bilo skozi varnostno luknjo na spletni strani mogoče prosto dostopati do osebnih podatkov 873.201 fizične osebe (ime, priimek, naslov, EMŠO in davčna številka). Gre za nabor ljudi, ki so bili v preteklosti zavezani k vpisu v registre kmetijskega ministrstva, agencije za kmetijske trge, uprave za varno hrano ali inšpektorata za kmetijstvo oziroma so bili udeleženi v nadzorih na področju kmetijstva.
V skupino ljudi, ki jim je uprava razgalila osebne podatke, sodijo med drugim lastniki hišnih živali, vpisani v centralni register hišnih živali, ki omogoča vodenje evidenc hišnih živali, njihovih lastnikov in lastništva. Razkriti so bili tudi osebni podatki lastnikov rejnih živali, čebelarjev in oseb, vpisanih v registre kmetijskih gospodarstev, tudi prejemnikov kmetijskih subvencij in drugih zavezancev, ki so na podlagi zakona o kmetijstvu in povezanih predpisov vpisani v evidenco subjektov.
Kaj se je dogajalo s podatki?
O nepooblaščenem dostopu je uprava obvestila urad vlade za informacijsko varnost in informacijsko pooblaščenko, podala je tudi prijavo policiji. Kriminalistična preiskava suma storitve kaznivega dejanja vdora v informacijski sistem naj bi pokazala tudi, kaj se je dogajalo z razpoložljivimi podatki.
Na upravi sicer vodijo več kot štirideset informacijskih sistemov s področij varnosti hrane, veterinarstva, dobrobiti živali, veterinarskih zdravil, fitofarmacevtskih sredstev, varstva rastlin in varnosti krme. Na tovrstnih kompleksnih spletnih portalih, ki omogočajo dostop do številnih aplikacij, registrov in drugih baz podatkov, je ključno poskrbeti za ustrezno informacijsko varnost, saj imajo praviloma le malo slojev obrambe, ki bi onemogočili nepooblaščen dostop do občutljivih informacij.
NSi pričakuje odstop ministrice
Poslanka Vida Čadonič Špelič (NSi) pričakuje, da se bo ministrica za kmetijstvo Mateja Čalušić opravičila za nastalo situacijo in zaradi objektivne odgovornosti tudi odstopila. »Storjena je bila neizmerna škoda,« je opozorila poslanka. »Skoraj polovica prebivalstva Slovenije je bila izpostavljena nevarnosti in nikoli ne bomo vedeli, kdaj, kje in kako bodo ti osebni podatki uporabljeni.«
Informacijska pooblaščenka Jelena Virant Burnik je medtem že sprožila inšpekcijski postopek zaradi suma neustreznega zagotavljanja varnosti podatkov, v okviru katerega se bo ugotavljalo, ali je uprava za varno hrano ravnala v skladu z določbami splošne uredbe o varstvu podatkov, ki določa obveznost zagotavljanja ustrezne ravni varnosti in dolžnosti upravljalca po zaznani kršitvi. Na podlagi informacij, ki so jih prejeli od uprave za varno hrano, za zdaj ni mogoče zaznati, da bi bili nezakonito pridobljeni osebni podatki uporabljeni za nadaljnjo zlorabo, je včeraj sporočil urad.
Kritična opozorila informacijske pooblaščenke
Primer po prepričanju informacijske pooblaščenke zelo nazorno kaže, kako hude posledice lahko ima omogočanje neposrednega dostopa do velikih državnih zbirk podatkov, kot je centralni register prebivalstva. »Dostopi do velikih državnih zbirk morajo biti omejeni na nujno potrebne in morajo biti sorazmerni, hkrati mora biti zagotovljen robusten sistem varnosti,« je opozorila. »Dostopnost podatkov iz velikih državnih registrov nepooblaščenim osebam lahko trajno ogrozi njihovo zaupnost, posameznike izpostavi tveganjem za krajo identitete, nenamensko uporabo njihovih osebnih podatkov in druge zlorabe.«
V zvezi z razkrito varnostno luknjo velja spomniti na ponedeljkove pripombe urada informacijske pooblaščenke k predlogu zakona o digitalizaciji zdravstva. Po prepričanju urada je predlog zakona kljub dopolnitvam neustrezen, ker predvideva centralizirano obdelavo vseh zdravstvenih podatkov v Sloveniji, kljub utemeljenim opozorilom, da tako obsežna zbirka podatkov prinaša večja tveganja za varnost, zlorabe in zanesljivost podatkov. »Morebitni kibernetski napadi na centralno točko hrambe imajo škodljive posledice za veliko večjo količino podatkov in posameznikov, kot bi jih imel napad, usmerjen le v določenega izvajalca zdravstvenih storitev, na primer lokalni zdravstveni dom,« je opozorila.
