Foto: Getty Images

Po incidentu na upravi za varno hrano: gremo po poti Avstrije ali Hrvaške?

Če naši osebni podatki končajo v rokah kibernetskih kriminalcev, posledice še zdaleč niso nedolžne: bančno kartico zlahka zamenjamo, številke EMŠO ne.

20. 11. 2025, 12.19

Tjaša Lampret

V današnjem digitalnem svetu, kjer naši pametni telefoni in računalniki shranjujejo množico osebnih podatkov, poročila o poskusih in dejanskih zlorabah teh podatkov postajajo stalnica. Nič presenetljivega, če vemo, da kibernetski kriminalci niso izbirčni – zanimajo jih tako podatki z naših naprav kot tudi osebni podatki v zbirkah državnih in javnih ustanov.

Informacijska pooblaščenka Jelena Virant Burnik in nacionalni odzivni center za kibernetsko varnost SI-CERT opozarjata, da je vrednost osebnih podatkov v kibernetskem prostoru pogosto podcenjena, posledice njihove zlorabe pa so lahko zelo resne. Najprej izpostavljata najnevarnejše tveganje: obsežen nabor podatkov o posamezniku omogoča krajo identitete, kar lahko vodi do številnih neprijetnih in škodljivih situacij. Poleg tega osebni podatki niso nujno cilj napadalcev, temveč tudi ključni pripomoček za nadaljnje napade, poudarjajo pri SI-CERT. Ker je z ukradenimi podatki mogoče tudi dobro zaslužiti, imajo ti za kriminalce visoko tržno vrednost. Ni redkost, da se po uspešnem kibernetskem napadu celotne zbirke podatkov za določeno vsoto znajdejo na temnem spletu, ki zaradi anonimnosti ponuja zatočišče najrazličnejšim kriminalnim dejavnostim.

Jelena Virant Burnik, informacijska pooblaščenka / Foto: Tomaž Skale

Po nedavnem varnostnem incidentu na upravi za varno hrano, veterinarstvo in varstvo rastlin (UVHVVR), pri katerem so zaradi ranljivosti sistema postali dostopni osebni podatki več kot 873.000 ljudi – vključno z EMŠO in davčno številko – je za oškodovance vsaj delno v uteho to, da ti podatki po do zdaj znanih informacijah niso bili uporabljeni za nadaljnje zlorabe. Incident pa je obudil vprašanje, kako odgovorna je država kot skrbnica naših osebnih podatkov. Urad vlade za informacijsko varnost (URSIV) trenutno izvaja forenzično preiskavo, da bi ugotovili izvor in obseg incidenta ter preprečili morebitne nadaljnje zlorabe. »V zvezi z incidentom poteka tudi kriminalistična preiskava, zato dodatnih informacij zaradi interesa preiskave ne moremo posredovati,« so sporočili v začetku tedna.

Kako dobra čuvajka je država?

Osebni podatki, ki so bili sicer izpostavljeni, omogočajo identifikacijo posameznika in bi v primeru zlorabe lahko bili uporabljeni za krajo identitete ali potencialne finančne prevare, mogoči bi bili pošiljanje lažnih sporočil (phishing) v imenu državnih organov, bank ali drugih institucij oziroma socialni inženiring ter poskusi pridobitve dodatnih podatkov (na primer številk bančnih računov, gesel in podobno), so posledice incidenta na upravi za varno hrano strnili v uradu vlade za informacijsko varnost.

Priporočeni previdnostni ukrepi

– Bodite pozorni na neobičajna sporočila, klice ali elektronsko pošto, v kateri zahtevajo osebne ali finančne podatke.

– Ne posredujte EMŠO, davčne številke ali številke bančnega računa, če niste prepričani o identiteti pošiljatelja.

– Aktivirajte dvofaktorsko avtentikacijo (2FA) pri bančnih in drugih spletnih storitvah.

– Morebitne zlorabe prijavite policiji in obvestite informacijskega pooblaščenca.

Informacijska pooblaščenka opozarja, da čeprav se pri pomembnejših pravnih poslih poleg osnovnih osebnih podatkov pogosto zahtevajo dodatni varnostni ukrepi (na primer dvojna avtentikacija, osebna prisotnost, vpogled v dokument), ti niso obvezni vedno in povsod. Zato lahko razkritje osnovnih osebnih podatkov predstavlja tveganje kraje identitete, še posebej v kombinaciji z drugimi podatki in orodji, kot je umetna inteligenca, ki omogoča ponarejanje dokumentov ali podpisov. »Naši osnovni podatki so lahko prvi korak, ki ga z metodami socialnega inženiringa lahko izkoristijo nepridipravi za pridobivanje dodatnih podatkov, zato njihova izguba oziroma razkritje nepooblaščenim osebam ni nedolžno,« opozarja informacijska pooblaščenka.

Informacijski pooblaščenec sicer vsako leto obravnava okoli 150 obvestil o kršitvi varnosti podatkov, med katerimi se jih med 10 in 20 nanaša na vdore v informacijske sisteme. Med odmevnejšimi obravnavanimi primeri v zadnjih letih Jelena Virant Burnik izpostavi kibernetska napada na informacijska sistema skupine Holding Slovenske elektrarne (HSE) novembra 2023 in Univerze v Mariboru oktobra 2024 ter zlonamerni napad na aplikacijo Uprave RS za zaščito in reševanje, ko so se podatki o klicih na številko 112 znašli na temnem spletu. »Zagotavljanje varnosti podatkov, ki se obdelujejo v velikih informacijskih sistemih, je treba razumeti kot stalen proces in ne kot enkratno dejanje. Ker se grožnje in tehnologija hitro spreminjajo in razvijajo, je treba glede na tveganja neprestano vlagati v nadgradnjo sistemov, v varnostne preglede, v izobraževanje uporabnikov in podobno,« še dodaja.

Bančno kartico zlahka zamenjamo, številke EMŠO ne

Kateri podatki so za napadalce najbolj »vredni«? Odvisno od cilja uporabe oziroma zlorabe. Ena od težav pri vdorih v baze podatkov, ki poleg posameznikovih osebnih podatkov vsebujejo še davčno in/ali številko EMŠO, je, da sta slednji nespremenljivi: če številko bančnega računa in kartice z nekaj nevšečnostmi in potencialnimi stroški lahko zamenjamo hitro, to ne velja za davčno in številko EMŠO, ki nas spremljata do konca življenja. Kako ukrepati v primeru, ko omenjeni podatek pristane v rokah nepridipravov? Informacijska pooblaščenka priporoča redno preverjanje bančnih in drugih izpiskov ter podatkov o naših statusih, opravljenih nakupih in storitvah ter da smo pozorni ob nenavadnih situacijah in dogodkih, ki lahko kažejo na to, da se je nekdo izkazoval za nas (ali za pridobitev protipravne koristi ali za ustvarjenje ponarejenih dejstev o naših dejavnostih, komunikacijah, lokacijah ali statusih in drugih zlorab).

Kibernetski kriminalci se radi lotijo napadov na javno upravo, kažejo evropski podatki. / Foto: Reuters

Po podatkih Agencije EU za kibernetsko varnost ENISA je javna uprava prepoznana kot najpogostejša tarča v kibernetskih napadih v EU (38,5 odstotka primerov napadov), pri čemer prevladujejo napadi onemogočanja (DDoS, kar v slovenskem jeziku prevajamo kot porazdeljena ohromitev storitve), medtem ko izsiljevalska programska oprema (tako imenovani ransomware) posebej prizadene občine.

Pri odzivnem centru za kibernetsko varnost SI-CERT dodajajo, da je primerov zlorab podatkovnih baz, ki vodijo v razkritje osebnih podatkov posameznikov, izjemno veliko. Ker pa niso vsi viri zanesljivi, to onemogoča navajanje konkretnih primerov. »Če govorimo o resnosti posledic in ne zgolj o številu razkritih podatkov, izpostavljamo predvsem vdore in razkritja občutljivih podatkov v zdravstvenem sektorju.« Zdravstveni podatki so pri nas trenutno v središču pozornosti informacijskega pooblaščenca zaradi predloga zakona o digitalizaciji zdravstva, ki predvideva nacionalno centralizirano zbirko zdravstvenih podatkov, ki bi jo upravljal zasebnik, kar je sprožilo številne kritike.

Kdo vse vpogleduje v zdravstvene podatke pacienta?

Tudi naši zdravstveni podatki spadajo med občutljive osebne podatke, zato z njimi ne smemo ravnati nepremišljeno. Informacijska pooblaščenka Jelena Virant Burnik pojasnjuje, da obdelava zdravstvenih podatkov, ki se vodijo v informacijskih sistemih, zagotavlja popolno sistemsko sledljivost vseh dostopov do teh podatkov – vključno z vpogledi, spremembami in brisanjem podatkov. To pomeni, da je nezakonite obdelave relativno enostavno odkriti. Vsako leto informacijski pooblaščenec vodi veliko število prekrškovnih postopkov zoper zdravstvene delavce, ki so vpogledali v podatke pacientov iz osebnega interesa ali radovednosti.

»Pomembno je poudariti, da tehnični dostop do osebnih podatkov zaposlenemu še ne podeljuje pravice do vpogleda. Vpogled v podatke je dovoljen le, če je nujen za izvedbo konkretne delovne naloge,« pojasnjuje Virant-Burnikova. Podobne težave opažajo tudi med zaposlenimi v vrstah policije, kjer se letno pojavi nekaj primerov nezakonitih vpogledov v podatke.

Zakaj po poti Hrvaške?

Vrnimo se k zdravstvu in predlogu zakona o digitalizaciji, ki je deležen številnih kritik. Informacijska pooblaščenka je že na začetku meseca opozorila, da so predlagani popravki še vedno neustrezni. Načrtovana centralizirana obdelava osebnih podatkov namreč neizogibno prinaša tveganja, tako v primeru kibernetskih napadov kot tudi zaradi širšega kroga uporabnikov, ki dostopajo do teh podatkov (pri vsakem od njih lahko pride do namernega ali nenamernega posega v zasebnost).

Pooblaščenka poudarja, da je rešitev dileme, kako varno digitalizirati zdravstvene podatke, v ustreznem ravnovesju: nekateri podatki naj se obdelujejo centralno, medtem ko naj se tisti, ki niso nujno potrebni vsakemu uporabniku sistema, ne hranijo centralno, ampak so dostopni le na zahtevo bodisi pooblaščenega uporabnika bodisi tako, da jih posameznik najprej pridobi zase in jih nato sam posreduje nadaljnjemu uporabniku.

Kot primer dobre prakse izpostavlja Avstrijo, kjer zdravstveni podatki niso shranjeni centralno, medtem ko hrvaški model centralizirane obdelave prinaša številne težave (na primer tudi glede slabše dostopnosti podatkov). »Predvsem pa nobena država, na katero se sklicuje predlagatelj zakona, nacionalne centralizirane zbirke zdravstvenih podatkov ni zaupala subjektu iz zasebnega sektorja,« sklene Jelena Virant Burnik.

Polletno poročilo o kibernetskih incidentih, ki ga redno objavlja urad vlade za kibernetsko varnost, v prvih šestih mesecih leta kaže okoli petnajstodstotni porast (2786) varnostnih dogodkov in incidentov v primerjavi z drugim polletjem 2024. Najbolj izpostavljeni so bili raziskovalno-izobraževalni sektor, organi državne uprave in operaterji elektronskih komunikacij.

Pošiljanje skeniranih dokumentov po e-pošti?
Ne priporočamo

Ne gre le za vdore v zbirke osebnih podatkov državnih organov, nepridipravi se do naših podatkov dokopljejo tudi po drugih, na prvi pogled nedolžnih poti. Z namenom preprečevanja morebitnih zlorab vse več ponudnikov pogojuje uporabo svojih storitev (na primer rezervacije počitnic, potovanj in podobno) s pošiljanjem skeniranega osebnega dokumenta, kot so osebna izkaznica, vozniško dovoljenje in potni list. Do teh občutljivih podatkov pa lahko na različne načine dostopajo tudi nepridipravi. V centru SI-CERT so obravnavali več primerov, ki so izvirali iz zlorab skeniranih dokumentov, med drugim pri lažnih ponudnikih kreditov, ljubezenskih prevarah in goljufijah z izmišljenimi oglasi za oddajo stanovanj. Goljufi, ki želijo ustvariti čim bolj prepričljivo krinko, žrtvam pogosto pošljejo skenirani osebni dokument – ne svojega, temveč dokument nekoga tretjega, ki ga je ta v dobri veri posredoval napačni osebi.

So tudi moji podatki na spletu?

Spletna stran, na kateri lahko preverimo, ali so se naši podatki znašli na internetu, je Have I Been Pwned

SI-CERT opozarja, da so za napadalce posebej dragoceni podatki, ki omogočajo dostop do storitev – od oddaljenega dostopa do računalnika (RDP), VPN-omrežij in e-pošte do spletnega bančništva in družbenih omrežij. Med pogosto zlorabljenimi so tudi podatki, kot sta telefonska številka in naslov, podatki o plačilnih karticah ter digitalni prstni odtisi, kot so piškotki in sejni žetoni. Napadalci takšne informacije uporabijo v napadih socialnega inženiringa, s katerimi žrtev prepričajo v dejanja, ki jim omogočijo dostop do zaupnih sistemov ali podatkov (na primer odpre zlonamerno elektronsko pošto, uporabi ključ USB, okužen s škodljivo kodo, in podobno). Več ko vedo o posamezniku, bolj prepričljivo lahko zgradijo svojo zgodbo: kombinacija osebnih podatkov in prepričljivega nastopa jim tako pogosto omogoči uspešno zavajanje.

Kibernetska Varnost Osebni Podatki Kraja Identitete Si-cert Jelena Virant Burnik Varnostni Incidenti Zloraba Podatkov Zdravstveni Podatki Kibernetski Napadi Javna Uprava Zloraba Osebnih Podatkov Varnost Podatkov Socialni Inženiring

Priporočamo