Uprava za varno hrano, veterinarstvo in varstvo rastlin je prejšnji teden dobila obvestilo o nepooblaščenem dostopu do podatkov v njenem informacijskem sistemu. Do dostopa osebnih podatkov je prišlo preko spletne strani s seznamom registriranih fitofarmacevtskih sredstev. Uporabljeni način nepooblaščenega vstopa je omogočil dostop do osebnih podatkov 873.201 fizične osebe, ki so bile v preteklosti zavezane vpisu v registre, ki jih vodijo ministrstvo za kmetijstvo, gozdarstvo in prehrano ter organi v njegovi sestavi, ali pa so bili predmet nadzora inšpekcij na področju kmetijstva. To med drugim vključuje registre rejnih živali, registre kmetijskih gospodarstev, prejemnike kmetijskih subvencij, register hišnih živali in podobno. Gre za podatke zavezancev, ki so na podlagi zakona o kmetijstvu in povezanih zakonov ter podzakonskih aktih vpisani v evidenco subjektov, so pojasnili v upravi za varno hrano.
V NSi zahtevajo revizijo informacijske varnosti
Da to razkriva globoko zaskrbljujoče stanje na področju informacijske varnosti v resorju ministrstva za kmetijstvo, gozdarstvo in prehrano, je na novinarski konferenci, ki jo je v odziv na ta dogodek sklicala stranka NSi, dejala Vide Čadonič Špelič. "To pa ni osamljen primer. V času, ko se digitalizacija javne uprave pospešeno širi, je nesprejemljivo, da ministrstvo, ki upravlja z množico občutljivih podatkov - od kmetijskih subvencij do veterinarskih evidenc in zemljiških podatkov -, nima vzpostavljenega robustnega sistema informacijske varnosti," je dejala in ministrico za kmetijstvo, gozdarstvo in prehrano Matejo Čalušić pozvala, da prevzame odgovornost, zagotovi celovito revizijo informacijske varnosti v celotnem resorju in tudi razmisli o odstopu.
"Mislim, da je bila narejena neizmerna škoda. Skoraj 900.000 ljudi - ali pol Slovenije - je izpostavljenih nevarnosti in nikoli ne bomo vedeli, ali in kdaj bodo ti podatki uporabljeni. Ne na upravi ne na ministrstvu niso sami ugotovili, da jim nekdo gleda v drobovje," je bila na današnji novinarski konferenci v Ljubljani zgrožena poslanka.
Poudarila je, da je informacijski pooblaščenec upravo o nepooblaščenem dostopu do osebnih podatkov v registrih uprave obvestil že 29. oktobra, ne uprava ne pooblaščenec pa da do tega četrtka nista nikogar obvestila, čeprav bi morala to storiti v 72 urah.
Omogočen je bil dostop tako do podatka o posameznikovi enotni matični številki občana kot o njegovi davčni številki. "V dobi elektronskega poslovanja to pomeni, da se lahko nekdo v vašem imenu prijavi za kredit in ga boste vi plačevali ali sklene življenjsko zavarovanje in ga boste vi plačevali," je ponazorila poslanka.
Skrbi jo dejstvo, da nihče ni čutil odgovornosti, da bi stopil pred kamere in ljudem sporočil, kaj se je zgodilo, ter se jim opravičil.
Poteka inšpekcijski nadzor
Na upravi so sicer ranljivost nemudoma odpravili in onemogočili nadaljnje dostopanje do podatkov. Tudi sami so podali prijavo na policijo, prav tako so o nepooblaščenem dostopu obvestili pristojno organizacijsko enoto urada vlade za informacijsko varnost ter informacijsko pooblaščenko. Zaradi suma neustreznega zagotavljanja varnosti podatkov je urad informacijskega pooblaščenca zoper upravo uvedel inšpekcijski postopek. V tem okviru ugotavlja predvsem skladnost z določbo splošne uredbe o varstvu podatkov, ki zahteva zagotavljanje ustrezne ravni varnosti podatkov, pa tudi skladnost z dolžnostmi upravljavca podatkov, ki sledijo zaznani kršitvi varnosti.
Ker je inšpekcijski postopek še v teku, za zdaj več informacij ne morejo podati. So pa na upravi opozorili, da primer zelo nazorno kaže, kako hude posledice ima lahko omogočanje neposrednega dostopa do velikih državnih zbirk podatkov, kot je centralni register prebivalstva, ali ustvarjanje lokalnih kopij takšnih registrov, in kako pomembno je zagotavljanje ustrezne varnosti takih zbirk podatkov.
