»Razkritje osebnih podatkov okoli 870.000 ljudi, večinoma kmetov, je dokaz boleče resnice, da od kmetov zahtevate disciplino, sami pa je pri zaščiti njihovih podatkov niste izkazali. Ne govorimo o drobni napaki, govorimo o razkritju najobčutljivejših osebnih podatkov, s katerimi lahko nekdo pridobi tudi lažne kredite, odpira račune, sklepa pogodbe, se predstavlja kot nekdo drug. Nobeno podjetje na trgu ni tako razgaljeno, kot bi bili razgaljeni kmetje, če bi kdo zlorabil njihove podatke,« je bila na današnji nujni seji parlamentarnega odbora za kmetijstvo, gozdarstvo in prehrano kritična Andrejka Majhen, tajnica Sindikata kmetov Slovenije.
Je Vida Znoj odstopila le navidezno?
Na dnevnem redu nujne seje parlamentarnega odbora za kmetijstvo, katere sklic je zahtevala opozicijska Nova Slovenija, je bil kibernetski incident, na katerega je urad informacijske pooblaščenke opozoril anonimni prijavitelj. Uprava za varno hrano, veterinarstvo in varstvo rastlin (UVHVVR) je namreč dopuščala nepooblaščen dostop do občutljivih osebnih podatkov (naslova, davčne številke in EMŠA) vseh, ki so v najrazličnejših registrih ministrstva za kmetijstvo, gozdarstvo in prehrano (MKGP) in organov v njegovi sestavi. To so med drugim prejemniki kmetijskih subvencij, imetniki hišnih in rejnih živali …
Informacijska pooblaščenka je anonimno prijavo o ranljivosti spletnega portala UVHVVR prejela 29. oktobra in jo nanjo takoj opozorila. Po zagotovilih Ervina Kosija, državnega sekretarja na MKGP (ministrice Mateje Čalušić na današnjo sejo ni bilo), so ranljivost na strežniku odpravili v eni uri, finančnih zahtev ali izsiljevanj v zvezi z nepooblaščenim dostopom doslej na srečo niso prejeli, izplačilo kmetijskih subvencij pa naj ne bi bilo ogroženo. Policiji so incident prijavili 5. novembra, javnost in tiste, katerih varnost osebnih podatkov je bila ogrožena, so o tem obvestili šele 6. novembra. Dan kasneje je generalna direktorica UVHVVR Vida Znoj zaradi objektivne odgovornosti ponudila odstop, ki ga je ministrica Čalušićeva sprejela, a je vprašanje, ali ni šlo le za slepilni manever, s katerim so skušali pomiriti skoraj 900.000 zaskrbljenih državljank in državljanov, ki bi jih kibernetski incident lahko ogrozil. Vida Znoj namreč upravo še vedno vodi, MKGP pa na vprašanje, kdaj jo bo vlada razrešila in imenovala novega direktorja, nima odgovora.
Odgovorno odkrivanje ranljivosti
Uroš Svete, direktor vladnega urada za informacijsko varnost, je pojasnil, da informacijsko luknjo v spletnem portalu UVHVVR obravnavajo kot kibernetski incident. UVHVVR jih je o ugotovljeni kritični varnostni ranljivosti obvestila 30. oktobra, poleg tega so prejeli tudi anonimno prijavo, ki so jo šteli za odgovorno odkrivanje ranljivosti. Urad za informacijsko varnost je v nadaljevanju potrdil navedbe anonimnega prijavitelja in zaznal še nekaj dodatnih ranljivosti informacijskega sistema UVHVVR, zaradi česar so odredili začasno ustavitev strežnika.
Ker policija še vedno preiskuje sum storitve kaznivega dejanja, Svete podrobnejših ugotovitev ni razkril. Poudaril pa je, da gre za primer, kakršnega z vidika ogrožanja osebnih podatkov v sodobni zgodovini ne poznamo. Ta kibernetski incident so zaradi razsežnosti uvrstili v stopnjo C3. Gre za težji incident, zato so morali o možnosti zlorabe občutljivih osebnih podatkov obvestiti tudi svet za nacionalno varnost in ministrstvo za obrambo, ki je pristojno za zbiranje vseh podatkov o hibridnih aktivnostih v RS.
Inšpekcijski postopek je pri koncu
Urad informacijske pooblaščenke v tej zadevi vodi inšpekcijski postopek. Za zdaj le proti UVHVVR, ne pa morebiti tudi proti MKGP. Vodja urada Jelena Virant Burnik je napovedala, da ga bodo kmalu končali. Tudi ona je poudarila, da ni indicev, da bi občutljive osebne podatke, do katerih je bilo mogoče dostopati prek spletne strani UVHVVR, kdo zlorabil. Toda o tem, da se ne bodo znašli kje na spletu, po njenih besedah ne moremo biti povsem prepričani, zato tiste, ki so v registrih MKGP, poziva, naj bodo izjemno pazljivi pri poslih, pri katerih morajo posredovati davčno številko in EMŠO.
Upravljalce najrazličnejših registrov in zbirk podatkov informacijska pooblaščenka opozarja, da morajo biti zelo previdni pri dodajanju dostopnih pravic. Zavedati se morajo, da zavarovanje teh podatkov ni enkratna naloga, ampak nekaj, kar morajo početi nenehno in v vseh fazah njihove obdelave, varnostne mehanizme pa je treba stalno posodabljati, zlasti v primerih, ko registri in zbirke podatkov zadevajo tako veliko število posameznikov, kot se je zgodilo v primeru kibernetskega incidenta na UVHVVR.
