Le dan po vzpostavitvi in predstavitvi sistema naročanja strank na storitve upravnih enot Ljubljana, Logatec in Litija prek spleta je moralo ministrstvo za javno upravo poskusno aplikacijo umakniti iz uporabe zaradi hudih varnostnih pomanjkljivosti.
Peter Grum, generalni direktor direktorata za informatiko na ministrstvu za javno upravo, je pojasnil, da so od izvajalca takoj, ko so se v četrtek (na dan začetka delovanja aplikacije) v javnosti pojavila opozorila o resnih varnostnih tveganjih UeNaročanja, zahtevali, naj aplikacijo umakne, kar je izvajalec storil v petek.
Kot je pojasnil Grum, je bilo zaradi ranljivosti aplikacije mogoče nepooblaščeno brisanje terminov, pregledovanje vseh prijav, izpostavljeni so bili osebni podatki prijavljenih, kot so ime, priimek, telefonska številka in e-naslov. Za dostop do podatkov sicer ni bilo treba imeti veliko hekerskega znanja, "saj si lahko do podatkov dostopal samo s spreminjanjem številke v naslovni vrstici brskalnika", je za Radio Slovenija povedal strokovnjak za varnost aplikacij Gregor Spagnolo.
Na direktoratu sicer dopuščajo tudi možnost, da bi lahko kdo izbrisal kakšno rezervacijo, a do zdaj podatka, da bi se to zgodilo, še niso dobili. "Bodo pa preverjeni vsi dostopi do sistema, ali je kdo množično brisal oz. dostopal do podatkov," je še razložil Grum.
Upravne enote dobile podatke o rezerviranih terminih, ljudje lahko pridejo
O morebitni zlorabi osebnih podatkov so na direktoratu obvestili tudi informacijsko pooblaščenko. Poleg tega so od izvajalca zahtevali, naj jim posreduje vse podatke o rezerviranih terminih, da bodo upravne enote lahko nemoteno delovale, kar je družba storila danes zjutraj, tako da lahko državljani pridejo na svoje naročene termine. V naslednjih dneh bodo zagotovili še telefonsko naročanje in delovanje klicnega centra, ne pa tudi spletnega naročanja: "Naš interes je, da čim prej zagotovimo tudi to funkcionalnost."
Varnostni center direktorata medtem pregleduje izvorno kodo aplikacije, poročilo pričakujejo v dveh dneh, je navedel Grum in dodal, da so se z izvajalcem dogovorili tudi, da bodo vzpostavili interno aplikacijo, prek katere bodo lahko do podatkov dostopali zaposleni na upravnih enotah.
"Izvajalec ni v celoti spoštoval določil"
Grum je ob tem zavrnil očitke, da je bil razpis za aplikacijo pomanjkljiv. Kot je dejal, sam sicer ni bil član razpisne komisije, je pa pregledal razpisne pogoje in pogodbo, ki po njegovih navedbah "vsebuje številna varnostna določila" glede spoštovanja osebnih podatkov, predvideva pogodbeno kazen v znesku treh odstotkov vrednosti pogodbe, izvajalec pa je poleg tega tudi odškodninsko odgovoren. "Že zdaj lahko ugotovimo, da izvajalec ni v celoti spoštoval določil," je jasen Grum, ki je ob tem poudaril še, da do zdaj ponudnik "ni dobil plačanega niti evra in ga tudi ne bo, dokler ne bodo odpravljene vse pomanjkljivosti".
"Izvajalec je izpolnjeval vse pogoje, tudi reference, in se strinjal z zahtevami po varnosti"
Grum je v odgovoru na novinarsko vprašanje potrdil, da je eden od članov razpisne komisije izrazil dvom o ustreznosti izbire tega izvajalca, in sicer zaradi pomanjkanja izkušenj na tem področju. A je pogoje izpolnjevalo več podjetij, izbrana družba pa je ponudila najnižjo ceno. "Izvajalec je izpolnjeval vse pogoje, tudi reference, in se strinjal z zahtevami po varnosti in varovanju osebnih podatkov," je poudaril Grum in dodal, da so v času testiranja to storitev preverili na vseh treh upravnih enotah in niso ugotovili težav.
Grum je ob tem še razložil, da se izbrano podjetje "načeloma ukvarja z zagotavljanjem storitev klicnega centra, imel je pa podizvajalca, ki je zagotovil storitev e-naročanja". "Po moji oceni ni bilo razloga, da ga ne bi izbrali," je še dodal Grum.
Komentarji so trenutno privzeto izklopljeni. V nastavitvah si jih lahko omogočite. Za prikaz možnosti nastavitev kliknite na ikono vašega profila v zgornjem desnem kotu zaslona.
Prikaži komentarje