V zadnjih tednih je kibernetski incident, ki je močno pretresel Upravo za varno hrano, veterinarstvo in varstvo rastlin, na nujni seji odbora za kmetijstvo odprl eno najbolj občutljivih tem letošnjega leta – zaščito osebnih podatkov in ranljivost državnih informacijskih sistemov. Razkriti podatki več kot 870.000 posameznikov, med njimi tudi najbolj občutljivi identifikacijski podatki, so povzročili precejšnje nelagodje, dvignili številna vprašanja in sprožili politični pritisk po takojšnjih ukrepih.
Predsednica odbora in poslanka NSi Vida Čadonič Špelič je uvodoma spomnila, da je bil v incidentu nepooblaščeno dostopen del baze osebnih podatkov, v katerih so bili med drugim enotne matične številke (EMŠO) in davčne številke. “Gre za podatke, ki jih je mogoče pozneje tudi zlorabiti – od odpiranja računov do lažnih identitet,” je poudarila. Predlagatelji seje so zato želeli jasen odgovor: ali je do zlorab že prišlo in kakšne so posledice za ključne procese, zaradi katerih Uprava sploh obstaja.
Hitro ukrepanje, a številna odprta vprašanja
Državni sekretar na ministrstvu za kmetijstvo Ervin Kosi je poudaril, da so pristojni incident uspeli hitro zamejiti. Pojasnil je, da je Urad Vlade RS za informacijsko varnost izvedel pregled informacijskih sistemov ter pripravil poročilo o ranljivostih. Po njegovih besedah so najkritičnejše odprli do 19. novembra, kar naj bi po njegovih zagotovilih bistveno zmanjšalo tveganja.
Kosi je miril tudi skrbi, povezane z izvedbo ukrepov skupne kmetijske politike in izplačevanjem subvencij. Po njegovih besedah vdor ni vplival na izvajanje teh nalog in ni pričakovati posledic, ki bi ogrozile tekoče izplačila ali sprožile finančne korekcije iz Bruslja.
A kljub zagotovilom ministrstva so organi nadzora jasni: incident je treba temeljito razčistiti.
Informacijska pooblaščenka Jelena Virant Burnik je povedala, da primer obravnavajo v okviru prioritetnega inšpekcijskega postopka, katerega cilj je odprava nepravilnosti in preprečitev ponovnega napada. Prve ugotovitve bodo znane v kratkem, dokončni zaključki pa bodo sledili po zaključenem postopku.
Kibernetski incident večjega obsega
Direktor vladnega urada za informacijsko varnost Uroš Svete je pojasnil, da so primer obravnavali kot kibernetski incident večjega obsega. Upravi so nudili podporo, testirali sisteme in našli več ranljivosti, ki so se nanašale na dostop do podatkovnih baz. Poudaril je, da analiza do zdaj ni pokazala zlonamerne uporabe podatkov, kar je v trenutnih okoliščinah ena redkih dobrih novic.
“Glede na razsežnost osebnih podatkov smo incident ocenili kot težji, ni pa najhujši,” je dejal Svete in napovedal dodatna preverjanja v tem tednu. Toda odzivi s terena kažejo, da zadržanega optimizma ni delil celoten sektor.
Direktor Kmetijsko-gozdarske zbornice Slovenije Martin Mavsar je opozoril, da je med razkritimi podatki tudi približno 100.000 članov zbornice. “To ni številka, ki bi jo lahko odmahnili kot nepomembno. Skrbi nas, da se dogodek obravnava preveč lahkotno,” je povedal.
Predstavnica Sindikata kmetov Slovenije Andrejka Majhen je bila še ostrejša. “Država od kmetov zahteva popolno natančnost, sama pa svojih sistemov ne upravlja z enako odgovornostjo. Ne govorimo o drobni napaki. Gre za razkritje podatkov, s katerimi lahko nekdo odpre račun ali zaključi pogodbo v vašem imenu,” je opozorila.
Politični pritisk: kdo je odgovoren?
Odzivi poslancev so bili jasni – incident je prevelik, da bi ostal na ravni tehničnega problema. Poslanka SDS Alenka Helb je opozorila, da je še posebej zaskrbljujoče, da vdor ni bil zaznan s strani upraviteljev sistema, temveč je bil postopek sprožen šele na podlagi anonimne prijave.
Ob tem se je vprašala tudi o politični odgovornosti ministrice Mateje Čalušić, saj upravljanje informacijskih sistemov spada v resor ministrstva, ki ga vodi.
Na drugi strani je poslanec Svobode Tomaž Lah opozoril, da absolutne varnosti ni. Kot je dejal, bo treba počakati na strokovna poročila, ki bodo natančno pojasnila, zakaj je do dogodka prišlo.
Na koncu seje so člani odbora potrdili dva ključna sklepa, ki sta ju predlagali v stranki NSi. Prvi je ta, da mora ministrstvo za kmetijstvo opraviti celovito revizijo informacijske varnosti na celotnem resorju, drugi pa, da mora okrepiti varnostne protokole in nadzor dostopa, pri čemer morajo biti ukrepi izvedeni nemudoma. Državni sekretar Kosi je ob tem dejal, da ministrstvo sklepe že izvaja.
Preberite več:
Kibernetski incident se tako ne zapira, ampak šele odpira. Ne le zaradi vprašanja, kako se je lahko zgodil, temveč predvsem zaradi vprašanja, kako dobro so zaščiteni državni sistemi, ki vsak dan obdelujejo občutljive podatke skoraj celotne populacije. Potem ko je razkritje zajelo več kot 870.000 posameznikov, se je jasno pokazalo, da je zaščita informacijskega okolja resorja – in celotne države – naloga, ki je ne bo mogoče več potiskati v ozadje.
