Ministrstvo za javno upravo je minuli četrtek z Upravno enoto Ljubljana predstavilo sistem UeNaročanje, s pomočjo katerega so državljani lahko po spletni aplikaciji kar sami izbrali termin, na katerega bi želeli opraviti določeno storitev na upravni enoti. A že dan pozneje je ministrstvo sporočilo, da so od izvajalca sistema UeNaročanje, podjetja Ortus Inc, zahtevali začasen umik spletne aplikacije za naročanje. To so storili, potem ko so od javnosti dobili opozorila o možnih varnostnih tveganjih pri aplikaciji, je pojasnil generalni direktor direktorata za informatiko na ministrstva za javno upravo Peter Grum.
Pozneje so aplikacijo zaprli še tako, da do nje niso mogli dostopati niti uslužbenci upravnih enot Ljubljana, Logatec in Litija, ki so testno preizkušale nov sistem naročanja. Ker posledično niso imeli dostopa do seznamov naročenih oseb, so se v torek pričakovale težave predvsem na ljubljanski upravni enoti, kjer dnevno dokumente in druge zadeve ureja med 800 in 1000 strank.
A večjih zapletov pri obravnavi strank v torek vendarle ni bilo, saj je ministrstvo za javno upravo od podjetja Ortus zjutraj pridobilo podatke o naročenih strankah, so pojasnili na ljubljanski upravni enoti, ki jo vodi Bojan Babič. Načelnica logaške upravne enote Ljudmila Konc nam je v torek povedala: »Povsem točnih podatkov o naročenih strankah za današnji dan in za naprej nimamo. Posebnih težav za zdaj zaradi tega nimamo. Vse stranke v upravno stavbo vstopajo skozi recepcijo, kjer se preveri, kdaj in kje so naročene. Seznam naročenih strank za naslednje dni bomo po zagotovilih prejeli še danes.« Večjih nevšečnosti pri delu s strankami v naslednjih dneh ni pričakoval niti načelnik litijske upravne enote Franc Props.
Zasedeni skoraj vsi termini do 20. januarja
Ker se po petkovem ukrepanju stranke niso mogle več naročati po aplikaciji, so se poskušale naročiti po elektronski pošti. »Problem v tem trenutku je, da ne moremo naročati strank za nadaljnje termine,« so izpostavili na ljubljanski upravni enoti, kjer so samo v ponedeljek na elektronski naslov za naročanje prejeli več kot 800 sporočil. Toda to ne pomeni, da bo upravna enota v naslednjih dneh brez dela, saj imajo že zapolnjene skoraj vse termine do 20. januarja. Do tega datuma imajo nekaj terminov prostih le za urejanje zadev na Linhartovi 13.
Na ljubljanski upravni enoti so dejali, da so se v torek sestali z ministrstvom in podjetjem Ortus, »s katerim je bilo dogovorjeno, da se v čim krajšem času poskuša varno vzpostaviti aplikacijo za naročanje vsaj za klicni center, do konca tega tedna pa tudi za upravne enote Ljubljana, Litija in Logatec, seveda enako po varni povezavi«. Tako bi omogočali nadaljnje naročanje. To je potrdil tudi Grum, ki je zagotovil, da je Ortus kooperativen in sledi navodilom pristojnih.
Izpostavljeni so bili zasebni podatki
Kaj natančno je bilo narobe z aplikacijo, v družbi Ortus Inc niso navedli. Direktor družbe Adam Hajdič je pojasnil, da je »varnost testne aplikacije še vedno predmet podrobnega pregleda. V korist preiskave in zaščite informacijskega sistema še ne moremo razkriti podrobnosti o odkritjih«.
Na spletni strani slo-tech.com pa so opozorili, da problem utegne biti vrivanje stavkov SQL. Tovrstna ranljivost komur koli omogoča vpogled, kdo se je prijavil na določen termin, mogoče pa je celo termin preklicati oziroma ga spremeniti brez vednosti prijavljene osebe, so razložili na slo-tech.com. Da je bil problem ravno v tem, da je lahko nepooblaščena oseba vpogledala v posamezne termine oziroma jih je lahko celo izbrisala, je potrdil Grum.
Ob tem so na slo-tech.com opozorili, da je vrivanje stavkov SQL »ena od najpogostejših ranljivosti spletnih aplikacij. Gre za tako pogosto ranljivost, da se o njej učijo že začetniki programiranja«. Če se spletna aplikacija spopada s takšno ranljivostjo, tako piše slo-tech.com, gre za veliko malomarnost programerjev aplikacije. »Izdelava programske opreme je zapleten proces, pri katerem so pomembne vse faze razvoja, ne le znanje razvijalcev, česar se zavedamo. Zaradi kratkih rokov izvedbe smo nekatere faze razvoja pred testno objavo aplikacije v javno testiranje skrajšali, posledica je bila po naših merilih neustrezna kakovost izdelka, za kar se uporabnikom testne aplikacije iskreno opravičujemo,« je ozadje nastajanja aplikacije razložil direktor Ortusa.
Na vprašanje, kdaj bo napaka odpravljena, je Hajdič odgovoril, da je »testna aplikacija trenutno v temeljitem preizkušanju. Šele po analizi poročila in izdelavi načrta za nadgradnjo bomo lahko podali podrobnejšo časovnico«. Dodal je, da doslej niso prejeli nobenega obvestila o zlorabi osebnih podatkov.
Ker so bili varnostnim tveganjem izpostavljeni osebni podatki (ime, priimek, telefonska številka, elektronski naslov), je ministrstvo skladno z zakonodajo obvestilo informacijsko pooblaščenko, je dejal Grum. Poudarja, da na ministrstvu zelo resno jemljejo ta incident in da delajo vse, da bodo osebni podatki državljanov ustrezno zavarovani, a da bodo hkrati zagotovili nemoteno delo upravnih enot.
Po poročilu o varnostnem pregledu nadaljnje odločitve
Ministrstvo je v torek od Ortusa pridobilo izvorno kodo aplikacije, je še dejal Grum in pojasnil, da varnostno-operativni center trenutno varnostno pregleduje kode. »Pričakujemo, da bo poročilo v naslednjih dveh dneh pripravljeno, in to bo ena izmed podlag za odločitev, kako naprej,« je napovedal Grum. Poudaril je, da ministrstvo 345.500 evrov, kolikor je vredna pogodba z Ortusom, ne bo odštelo zgolj za spletno aplikacijo, temveč za izvajanje celovitega sistema naročanja strank na storitve upravnih enot, ki vključuje tudi klicni center z agenti.
