Ministrstvo za javno upravo je testno storitev UeNaročanje, ki združuje sistem spletnega naročanja in storitve klicnega centra za upravne enote, javnosti predstavilo v četrtek, 6. januarja. Že naslednji dan, torej v petek, so predstavniki ministrstva izvajalcu storitve, podjetju Ortus, naročili, naj sistem spletnega naročanja začasno umakne iz testne uporabe, saj so zaznali možna varnostna tveganja. Storitev sicer omogoča strankam izbiro termina prek klicnega centra in tudi spletne aplikacije, sistem pa bo sprva mogoče uporabiti zgolj za upravne enote (UE) v Ljubljani, Logatcu in Litiji, o čemer smo že pisali.
Nekateri člani razpisne komisije so že pred izborom opozarjali, da omenjeni izvajalec, vsaj glede na informacije, ki so jih dobili, nima izkušenj na področju aplikacij, je dejal Ernest Mencigar, vodja Oddelka za upravno poslovanje, UE Ljubljana. Storitve, ki jih nudi podjetje Ortus so klicni centri, svetovanje in marketing, ne pa programiranje. Dobršen del okrog 350 tisočakov težkega posla sicer predstavlja prav storitev klicnega centra, za drugi del, razvoj aplikacije, pa so v Ortusu najeli podizvajalca.
Z ministrstva so sporočili, da bodo zahtevali tudi izvorno kodo sistema, saj želijo zagotoviti varnost osebnih podatkov uporabnikov in v čim krajšem času odpraviti pomanjkljivosti. "Ministrstvo za javno upravo si bo še naprej prizadevalo, da strankam upravnih enot in uporabnikom elektronskih storitev zagotovi najvišje varnostne standarde na področju varovanja osebnih podatkov," so zapisali na svoji spletni strani in se obenem opravičili uporabnikom za nevšečnosti.
Generalni direktor Direktorata za informatiko Ministrstva za javno upravo Peter Grum je na spletni novinarski konferenci pojasnil, da ministrstvo obravnava četrtkov incident resno in se trudi, da bi maksimalno omejilo posledice in vzpostavilo učinkovito delovanje na UE Ljubljana, Logatec in Litija. Po njegovih besedah je minister Boštjan Koritnik odredil, da uslužbenci storijo vse, da zaščitijo vse osebne podatke državljanov.
'Izpostavljeni so bili osebni podatki oseb, ki so se prijavile na termine na UE'
Grum je nadalje pojasnil, kako so se na ministrstvu odzvali, ko so v četrtek odjeknili indici v javnosti, da ima aplikacija za naročanje morebitne varnostne pomanjkljivosti: "Naš varnostni operativni center je te navedbe preveril in iz javno dostopnega dela ugotovil, da aplikacija dejansko ima pomanjkljivosti in da so bili izpostavljeni osebni podatki oseb, ki so se prijavile na termine na UE."
Ob tem so ugotovili še druge pomanjkljivosti. Najpomembnejša med njimi je po besedah Gruma, da je aplikacija omogočala nepooblaščeno brisanje terminov in pregledovanje vseh prijav zgolj s spreminjanjem parametra v naslovni vrstici brskalnika. "Posledično so bili izpostavljeni osebni podatki v vseh prijavah," je povedal Grum in dodal, da so na podlagi teh dejstev od izvajalca zahtevali takojšen umik aplikacije v petek, kar je izvajalec tudi storil.
Ob tem so od izvajalca zahtevali, da jim posreduje vse podatke o rezerviranih terminih, da bodo UE lahko nadaljevale s svojim delom in sprejemale že naročene stranke, je potrdil Grum: "Izvajalec je te podatke zjutraj tudi posredoval," je zagotovil in dodal, da so zahtevali tudi izvorno kodo aplikacije od izvajalca, ki jim jo je prav tako posredoval danes zjutraj. "V tem trenutku naš varnostni operativni sistem izvaja varnostni pregled kode te aplikacij. Pričakujemo, da bo poročilo pripravljeno v naslednjih dveh dneh. To poročilo bo tudi ena izmed podlag za odločitve, kako naprej," je napovedal.
'Danes so vsi podatki, ki so potrebni za sprejemanje že naročenih strank na UE, že na voljo na upravnih enotah'
Ob tem je poudaril, da so danes vsi podatki, ki so potrebni za sprejemanje že naročenih strank na UE, že na voljo na upravnih enotah in storitve na UE potekajo nemoteno. Z izvajalcem so se sicer dogovorili, da v najkrajšem možnem času vzpostavi pogoje za varno delovanje aplikacije znotraj internega okolja, da bo aplikacija po zaščitenih povezavah na voljo samo pooblaščenim osebam klicnega centra. Grum pričakuje, da bodo v sodelovanju z izvajalcem to uresničili do najkasneje jutri. Ob tem bodo zagotovili tudi nemoteno naročanje novih strank.
Ker so bili pri omenjenem incidentu izpostavljeni osebni podatki, je Grum zagotovil, da so skladno z zakonom o tem obvestili tudi informacijsko pooblaščenko.
Na pretekle očitke o neodgovornosti pri izbiri izvajalca je dejal, da je preletel razpisno dokumentacijo: "Menim, da je bil razpis korektno pripravljen." Tudi pogodba po njegovem mnenju vsebuje številna varnostna določila in določila o varovanju osebnih podatkov, ki jih je izvajalec dolžan izpolnjevati. Izvajalec se je z njimi strinjal, ko je podpisal pogodbo. Ob tem je Grum poudaril, da pogodba ob neizpolnjevanju pogojev predvideva kazen v višini treh odstotkov celotne vrednosti pogodbe. Poleg tega je izvajalec za morebitno nastalo škodo tudi odškodninsko odgovoren.
Po zagotovilih Gruma izvajalec še ni dobil plačila in ga tudi ne bo, dokler ne bo izpolnjeval pogodbenih določil in ne bo storitev opravil korektno. Izvajalec je sicer pri reševanju incidenta ves čas zelo kooperativen in sledi navodilom, ki jih dobi od pooblaščenih oseb z ministrstva. Danes so imeli z izvajalcem sestanek. Skupaj so preučili omrežje, preko katerega teče aplikacija. Ugotovili so, da lahko v naslednjih dneh z dovolj visoko stopnjo varnosti zagotovijo delovanje klicnega centra in telefonskega naročanja. "Ne moremo pa še zagotoviti spletnega naročanja. Ko bo narejen varnostni pregled izvorne kode in bodo znani rezultati, bomo lahko na tej podlagi sprejeli odločitve, kako naprej z vzpostavitvijo spletnega naročanja," je pojasnil Grum in poudaril, da imajo interes, da čim prej zagotovijo tudi to storitev strankam, saj poenostavlja izkušnjo.
'Ne moremo naročati strank za nadaljnje termine'
Predstavniki z UE Ljubljana so nam pojasnili, da so po navodilih Ministrstva za javno upravo aplikacijo za spletno naročanje zaradi tehničnih težav v celoti zaprli, kar pomeni, da nima nihče dostopa do nje. "Podatki so v aplikaciji in niso izgubljeni," so zagotovili. Ob tem so danes zjutraj prek ministrstva zahtevali od izvajalca storitev, da jim pošlje podatke o naročenih strankah. "Te podatke smo tudi prejeli," so potrdili na UE Ljubljana.
A problem je, da upravne enote ne morejo naročati strank za nadaljnje termine. "Samo včeraj smo na mail za naročanje prejeli preko 800 mailov. Danes smo imeli sestanek s predstavniki ministrstva in zunanjim izvajalcem, s katerim je bilo dogovorjeno, da se v čim krajšem času poskuša varno vzpostaviti aplikacija za naročanje vsaj za klicni center, do konca tega tedna pa tudi za UE Ljubljana, Litija in Logatec. Seveda preko varne povezave," so pojasnili na UE Ljubljana.
Naročanje na termine je torej v tem trenutku onemogočeno, vendar odgovorni intenzivno iščejo rešitve, da bi klicni center že danes oziroma vsaj jutri lahko pričel z delom na aplikaciji. "Na UE Ljubljana, Logatec in Vrhnika pa do konca tega tedna," so povzeli predstavniki z UE Ljubljana.
KOMENTARJI (75)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.