Ministrstvo zaradi varnostnih lukenj testno uporabo začasno umaknilo

Po tem, ko je Ministrstvo za javno upravo (MJU) vzpostavilo sistem samonaročanja strank, ki omogoča rezervacijo termina za storitve na upravnih enotah, so zaradi več varnostnih lukenj testno uporabo že dan kasneje začasno umaknili, izvajalca storitve UeNaročanje, to je podjetje Ortus INC, kateremu je ministrstvo za storitev plačalo okoli 345 tisočakov, pa pozvali, da naj v najkrajšem možnem času preveri in odpravi morebitne zaznane pomanjkljivosti, je razvidno iz včerajšnje objave na vladni spletni strani.

»Strankam, uporabnikom elektronskih storitev, se za to neprijetnost opravičujemo,« so zapisali na MJU in dodali, da so le dan po predstaviti aplikacije to umaknili, ker »ministrstvo za javno upravo kot pristojno ministrstvo za področje državne informatike, pa tudi za področje upravnih enot, strankam upravnih enot in uporabnikom elektronskih storitev zagotavlja najvišje varnostne standarde na področju varovanja osebnih podatkov«. Izkazalo se je namreč, da ima aplikacija, ki naj bi ponudila boljšo uporabniško izkušnjo in skrajšala vrste pred upravnimi enotami, več varnostnih lukenj.

Kot so opozorili na spletni strani Slo-Tech, naj bi bila po njihovih informacijah aplikacija ranljiva za vrivanje SQL stavkov (stavkov (SQL injection), kar je bil problem tudi pri novih spletnih straneh Ajpes. Gre za, tako Slo-Tech, eno najbolj pogostih ranljivosti spletnih aplikacij, o kateri se učijo že začetniki programiranja oz. gre za neupoštevanje minimalnih dobrih praks na področju programiranja in za veliko malomarnost programerjev. Škodoželjni uporabnik SQL strežnik pripravi do tega, da mu da podatke, do katerih uporabnik sicer nima dostopa. Prav tako lahko podatke izbriše ali spremeni, so zapisali.

FOTO: Uroš Hočevar/Delo

Ob tem so na Slo-Tech navedli nekaj morebitnih posledic malomarnega programiranja v primeru UeNaročanja. »Kdorkoli lahko pogleda, kdo se je prijavil na termin, lahko termin izbriše ali ga spremeni. Kakšen bolj zloben napadalec bi lahko celo rezerviral vse proste termine in s tem onemogočil pravim strankam dostop do terminov. Pri zlorabah takšnih sistemov je omejitev le domišlja,« so zapisali. Ob tem so opozorili še na pravno obvestilo, ki se je nahajalo pod obrazcem za naročanje, iz katere je bilo sklepati, da z izpolnitvijo obrazca za naročanje uporabnik soglaša tudi z obdelavo osebnih podatkov za namen obveščanja (spam). »Ni povsem jasno, komu ste to soglasje sicer dali: upravni enoti ali Ortus inc d.o.o. …«

Opozorili so, da bi moralo biti iz obvestila jasno, kdo je upravljavec in kdo obdelovalec podatkov, namen obdelave in ustrezna podlaga za obdelave. Prav tako pa, da gre pri naročanju na termin na UE za obdelavo osebnih podatkov za obdelavo, ki je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu (torej upravni enoti). Take obdelave so po našem trenutno veljavnem Zakonu o varstvu podatkov podvržene »strogemu načelu zakonitosti«, kar pomeni, da bi morala biti takšna obdelava posebej urejena v zakonu.

Kot je razvidno iz vladne spletne strani, pa je minister Koritnik pristojnim službam nemudoma naložil odpravo težav pri delovanju sistema in preučitev pravnih posledic nastale škode.