Neomejen dostop | že od 9,99€
Po tem, ko je Ministrstvo za javno upravo (MJU) vzpostavilo sistem samonaročanja strank, ki omogoča rezervacijo termina za storitve na upravnih enotah, so zaradi več varnostnih lukenj testno uporabo že dan kasneje začasno umaknili, izvajalca storitve UeNaročanje, to je podjetje Ortus INC, kateremu je ministrstvo za storitev plačalo okoli 345 tisočakov, pa pozvali, da naj v najkrajšem možnem času preveri in odpravi morebitne zaznane pomanjkljivosti, je razvidno iz včerajšnje objave na vladni spletni strani.
»Strankam, uporabnikom elektronskih storitev, se za to neprijetnost opravičujemo,« so zapisali na MJU in dodali, da so le dan po predstaviti aplikacije to umaknili, ker »ministrstvo za javno upravo kot pristojno ministrstvo za področje državne informatike, pa tudi za področje upravnih enot, strankam upravnih enot in uporabnikom elektronskih storitev zagotavlja najvišje varnostne standarde na področju varovanja osebnih podatkov«. Izkazalo se je namreč, da ima aplikacija, ki naj bi ponudila boljšo uporabniško izkušnjo in skrajšala vrste pred upravnimi enotami, več varnostnih lukenj.
UeNaročanje
Prineslo naj bi preprostejše urejanje postopkov in poenostavitev dela za zaposlene na upravnih enotah. Naročanje deluje na dveh ravneh, in sicer kot sistem spletnega naročanja in kot klicni center. Aplikacija je sicer sprva omogočala rezervacijo terminov le na treh upravnih enotah – v Ljubljani, Litiji in Logatcu – v sistem pa naj bi kmalu vključili še druge večje upravne enote. Minister Boštjan Koritnik je ob prestavitvi aplikacije dejal, da pričakuje, da se bo v ta sistem v nekaj mesecih vključilo do 20 večjih upravnih enot.
Kot so opozorili na spletni strani Slo-Tech, naj bi bila po njihovih informacijah aplikacija ranljiva za vrivanje SQL stavkov (stavkov (SQL injection), kar je bil problem tudi pri novih spletnih straneh Ajpes. Gre za, tako Slo-Tech, eno najbolj pogostih ranljivosti spletnih aplikacij, o kateri se učijo že začetniki programiranja oz. gre za neupoštevanje minimalnih dobrih praks na področju programiranja in za veliko malomarnost programerjev. Škodoželjni uporabnik SQL strežnik pripravi do tega, da mu da podatke, do katerih uporabnik sicer nima dostopa. Prav tako lahko podatke izbriše ali spremeni, so zapisali.
Ob tem so na Slo-Tech navedli nekaj morebitnih posledic malomarnega programiranja v primeru UeNaročanja. »Kdorkoli lahko pogleda, kdo se je prijavil na termin, lahko termin izbriše ali ga spremeni. Kakšen bolj zloben napadalec bi lahko celo rezerviral vse proste termine in s tem onemogočil pravim strankam dostop do terminov. Pri zlorabah takšnih sistemov je omejitev le domišlja,« so zapisali. Ob tem so opozorili še na pravno obvestilo, ki se je nahajalo pod obrazcem za naročanje, iz katere je bilo sklepati, da z izpolnitvijo obrazca za naročanje uporabnik soglaša tudi z obdelavo osebnih podatkov za namen obveščanja (spam). »Ni povsem jasno, komu ste to soglasje sicer dali: upravni enoti ali Ortus inc d.o.o. …«
Opozorili so, da bi moralo biti iz obvestila jasno, kdo je upravljavec in kdo obdelovalec podatkov, namen obdelave in ustrezna podlaga za obdelave. Prav tako pa, da gre pri naročanju na termin na UE za obdelavo osebnih podatkov za obdelavo, ki je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu (torej upravni enoti). Take obdelave so po našem trenutno veljavnem Zakonu o varstvu podatkov podvržene »strogemu načelu zakonitosti«, kar pomeni, da bi morala biti takšna obdelava posebej urejena v zakonu.
Kot je razvidno iz vladne spletne strani, pa je minister Koritnik pristojnim službam nemudoma naložil odpravo težav pri delovanju sistema in preučitev pravnih posledic nastale škode.
UeNaročanje
Prineslo naj bi preprostejše urejanje postopkov in poenostavitev dela za zaposlene na upravnih enotah. Naročanje deluje na dveh ravneh, in sicer kot sistem spletnega naročanja in kot klicni center. Aplikacija je sicer sprva omogočala rezervacijo terminov le na treh upravnih enotah – v Ljubljani, Litiji in Logatcu – v sistem pa naj bi kmalu vključili še druge večje upravne enote. Minister Boštjan Koritnik je ob prestavitvi aplikacije dejal, da pričakuje, da se bo v ta sistem v nekaj mesecih vključilo do 20 večjih upravnih enot.
Hvala, ker berete Delo že 65 let.
Vsebine, vredne vašega časa, za ceno ene kave na teden.
NAROČITEObstoječi naročnik?Prijavite se
Komentarji