Ministrstvo za javno upravo je izvajalca storitve UeNaročanje po zgolj enem dnevu delovanja pozvalo, naj zaradi varnostnih tveganj sistem spletnega naročanja začasno umakne iz testne uporabe. Sistem še vedno ne deluje, aplikacijo pa so zaprli tudi za interno uporabo. Zaradi nedelovanja aplikacije na UE Ljubljana do podatkov, ki sicer niso izgubljeni, ne morejo dostopati. Na MJU so zagotovili, da bodo stranke storitve lahko opravile v terminih, ki so jih rezervirale preko sistema za e-naročanje.
Storitev UeNaročanje je ministrstvo za javno upravo (MJU) predstavilo v četrtek. Delovala naj bi tako, da bi si stranke lahko preko klicnega centra in spletne aplikacije same izbrale termin, ki jim ustreza, od njega pa bi se lahko po potrebi tudi odjavile. Sprva bi to bilo možno za storitve na UE Ljubljana, Logatec in Litija, kasneje pa bi vključili še do dvajset drugih upravnih enot.
Po le enem dnevu delovanja je MJU pozval izvajalca storitve, naj sistem umaknejo iz testne uporabe zaradi zaznanih varnostnih tveganj.
Aplikacija je očitno ranljiva na vrivanje SQL stavkov, kar je ena od najbolj pogostih ranljivosti spletnih aplikacij, so takrat objavili na spletni strani slo-tech.com. Kadar je spletna aplikacija ranljiva na vrivanje SQL stavkov, gre po njihovih navedbah za neupoštevanje minimalnih dobrih praks na področju programiranja in za veliko malomarnost programerjev.
Zaradi malomarnega programiranja v primeru aplikacije za naročanje na termin pri upravni enoti lahko denimo kdorkoli pogleda, kdo se je prijavil na termin, lahko izbriše termin ali ga spremeni, so pojasnili.
Stranke bodo lahko storitev opravile v terminu, ki so ga rezervirale
Če poskušaš odpreti spletno stran UeNaročanje, je to sicer omogočeno, ni pa mogoče izbrati terminov, upravnih enot in upravnega postopka. Na Upravni enoti Ljubljana so za N1 pojasnili, da aplikacija zaradi zahtev s strani MJU ne deluje. Podatki, ki so bili vneseni v aplikacijo, sicer niso izgubljeni, a zaradi nedelovanja aplikacije do njih ne morejo dostopati.
Kot so nam pojasnili na ministrstvu za javno upravo, zadevo preučujejo z varnostnega vidika. Prioriteta je varnost podatkov, poudarjajo, tudi če gre za ceno tega, da sistem še kakšen dan ali dva ne bo deloval. Kdaj bo delovanje aplikacije spet vzpostavljeno, nam niso znali povedati, a zatrjujejo, da se bo to zgodilo “v najkrajšem možnem času”.
MJU je od izvajalca storitve zahteval podatke o rezervacijah terminov za izvedbo upravnih storitev. Ne glede na to, so zapisali, bodo lahko vse naročene stranke storitve opravile v terminih, ki so jih rezervirale preko sistema za e-naročanje. “Od izvajalca bomo zahtevali tudi izvorno kodo sistema, z namenom, da se v čim krajšem času odpravijo pomanjkljivosti in zagotovi varnost osebnih podatkov uporabnikov,” so še dodali.
Uporabnikom storitve so se za nevšečnosti opravičili.
Ministrstvo za javno upravo je za storitev izvedlo javno naročilo v vrednosti 345.000 evrov, izbrano pa je bilo podjetje za svetovanje in marketing Ortus Inc.
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje