Sporne USB-ključke kupovali pri istem ponudniku. Ima zgodba še večje razsežnosti?

Posledice okuženih kitajskih USB-ključkov, ki so se pojavili v javni upravi, bi bile lahko daljnosežne. Zadevo že preiskuje urad za informacijsko varnost, po naših informacijah pa so okužene USB-ključke odkrili na računskem sodišču.

USB-ključke so na računskem sodišču na podlagi neposredne pogodbe in izven kataloga ministrstva za javno upravo nabavili februarja. "Incident ni imel vpliva na informacijske sisteme računskega sodišča, saj je protivirusni program škodljivo kodo zaznal in jo tudi izbrisal," zagotavljajo na računskem sodišču, ki ga vodi Jana Ahčin.

A še preden so ta ponedeljek ob 15. uri med rutinskim pregledom varnostnih dogodkov ugotovili, da so USB-ključki okuženi, so po neuradnih informacijah prek njih na več naslovov že pošiljali revizije.

USB-ključke kupovali pri ponudniku, ki ga je izbralo ministrstvo

O spornih USB-ključkih poročajo tudi z ministrstva za digitalno preobrazbo, opozorilo pred možnostjo okužbe pa so prejela vsa ministrstva in občine. Koliko državnih organov dejansko razpolaga s spornimi ključki, nam na ministrstvu za javno upravo (MJU), ki ga vodi Franc Props, danes popoldne niso odgovorili.

Kot kaže, pa bi bil lahko ta seznam precej dolg. Po informacijah N1 namreč več državnih organov ključke kupovalo pri ponudniku, ki ga je v okviru skupnega javnega naročila za dobavo pisarniškega materiala izbral MJU.

Na MJU odgovornost za nakup spornih USB-ključkov zavračajo. Kot poudarjajo, ministrstvo po obstoječi krovni pogodbi za dobavo pisarniškega materiala nikoli posebej ne naroča USB-ključkov, a se lahko na predlog posameznih državnih organov v določenem obsegu (deset odstotkov) dodajajo k naročilu. "Naročanje konkretnih artiklov je v domeni posameznih naročnikov, ki na podlagi krovne pogodbe podpišejo neposredne pogodbe in potem izvajajo posamezna naročila pisarniškega materiala in galanterije," pojasnjujejo na ministrstvu.

Okužene USB-ključke je dobavilo slovensko podjetje Extra Lux, kjer se bodo na dogajanje odzvali v prihodnjih dneh. Koliko in kateri državni organi so dobili soglasje za to, da pri tem podjetju kupijo USB-ključke, nam na ministrstvu, kot že rečeno, niso pojasnili. "Ker USB ključki niso del skupnega javnega naročila, tudi nimamo podatkov, da bi drugi naročniki naročila tovrstne ključke," poudarjajo na MJU.

Škodljivo kodo naj bi zaznali pri petini USB-ključkov

Po prvih ugotovitvah urada za informacijsko varnost zaradi uporabe okuženih USB-ključkov škoda ni nastala oziroma je še ni mogoče oceniti. Po informacijah N1 naj bi škodljivo programsko kodo zaznali pri petini pregledanih USB-ključkov. Šlo naj bi za starejšo verzijo črva, ki jo je protivirusni program prepoznal in izbrisal. A zgodba z okuženimi USB-ključki bi pri nas lahko imela večje razsežnosti.

Slovensko zunanje ministrstvo je bilo leta 2023 tarča napada Kitajske. Takrat je kitajskim hekerjem v sistem zunanjega ministrstva uspelo vgraditi sofisticiran virus, za katerega je po informacijah N1 obstajal sum, da brska za informacijami o poteku slovenske kandidature za Varnostni svet Združenih narodov.

Omenjeni virus – prav tako naj bi šlo za črva – naj bi bil tako sofisticiran, da je, ko so ga zaznali, izginil. Po nekaterih informacijah še danes ni nedvoumno jasno, ali je kljub menjavi informacijske opreme po napadu kitajskih hekerjev še vedno prisoten v sistemu zunanjega ministrstva.

Kitajska je lani enemu od državnih elektrodistributerjev skušala prodati kitajske električne števce, za katere je prav tako obstajal dvom, ali so morda okuženi. Na koncu do posla ni prišlo, razlog pa je bila nacionalna varnost.