Huda ranljivost v sistemu uprave za varno hrano, omogočen dostop do podatkov skoraj 900 tisoč državljanov

Urad informacijskega pooblaščenca je upravo za varno hrano, veterinarstvo in varstvo rastlin (UVHVVR) 29. oktobra popoldan obvestil o neavtoriziranem dostopu do osebnih podatkov prek spletne strani, kjer je objavljen seznam registriranih fitofarmacevtskih sredstev, so sporočili iz UVHVVR.

Urad RS za informacijsko varnost trenutno izvaja forenzično preiskavo, katere namen je ugotoviti izvor in obseg incidenta ter preprečiti možnost nadaljnjih zlorab. "Prav tako v zvezi z incidentom na UVHVVR poteka kriminalistična preiskava, zaradi interesa preiskave dodatnih informacij ne moremo posredovati," so za N1 sporočili z urada za informacijsko varnost, ki ga vodi Uroš Svete.

Prišli so do davčne številke, številke EMŠO ...

Kateri podatki so bili izpostavljeni? Kot pravijo na upravi za varno hrano, je "uporabljen način nepooblaščenega vstopa omogočil dostop do osebnih podatkov 873.201 fizičnih oseb (ime, priimek, naslov, EMŠO in davčna številka), ki so bile v preteklosti zavezane vpisu v registre, ki jih v skladu s področno zakonodajo vodi ministrstvo za kmetijstvo, gozdarstvo in prehrano ter organi v sestavi ministrstva (agencija za kmetijske trge in razvoj podeželja, uprava za varno hrano, veterinarstvo in varnost rastlin, Inšpektorat za kmetijstvo, gozdarstvo, lovstvo in ribištvo) ali so bili predmet nadzora inšpekcij na področju kmetijstva."

To med drugim vključuje registre rejnih živali, registre kmetijskih gospodarstev, prejemnike kmetijskih subvencij, register hišnih živali itd. Gre za podatke zavezancev, ki so na podlagi zakona o kmetijstvu in povezanih zakonov ter podzakonskih aktih vpisani v evidenco subjektov, so še dodali na upravi.

Kot so sporočili z uprave, so ranljivost nemudoma odpravili, s čimer je bil onemogočen nadaljnji dostop do podatkov. "Tekoče poslovanje ni bilo ovirano, ravno tako ni bilo nobenih finančnih zahtev, povezanih z nepooblaščenim dostopom," so sporočili.

Posameznikom svetujejo, da ne delijo dodatnih osebnih podatkov po telefonu ali e-pošti, če niso 100-odstotno prepričani, s kom govorijo. Če zaznajo poskus takšne zlorabe, naj nemudoma obvestijo policijo.

UVHVVR je o nepooblaščenem dostopu takoj obvestila pristojno skupino SIGOV-CERT kot pristojno skupino za odzivanje na kibernetske incidente v organih javne uprave na državni in lokalni ravni (organizacijska enota Urada Vlade Republike Slovenije za informacijsko varnost) in informacijsko pooblaščenko ter podala prijavo na policijo.

Informacijski pooblaščenec vodi postopek zoper upravo

Z urada Informacijskega pooblaščenca so takoj po sporočilu UVHVVR poslali svoje sporočilo za javnost. V njem so zapisali, da so 29. oktobra prejeli anonimno prijavo kršitve varnosti podatkov pri UVHVVR. Prijavitelj je navedel, da je na spletni strani zavezanca odkril ranljivost, ki omogoča pridobitev osebnih podatkov več kot 870.000 posameznikov, uparjenih s Centralnim registrom prebivalstva.

Informacijski pooblaščenec je bil tisti, ki je omenjeno upravo seznanil s prijavo, uprava pa je dostop do osebnih podatkov na zadevni spletni strani onemogočila še isti dan.

Dodali so, da primer zelo nazorno kaže to, kako hude posledice ima lahko omogočanje neposrednega dostopa do velikih državnih zbirk podatkov, kot je centralni register prebivalstva, ali ustvarjanje lokalnih kopij takšnih registrov, in kako pomembno je zagotavljanje ustrezne varnosti takih zbirk podatkov. Dostopi sploh do velikih državnih zbirk morajo biti omejeni na nujno potrebne in morajo biti sorazmerni, hkrati pa mora biti zagotovljen robusten sistem varnosti. Dostopnost podatkov iz velikih državnih registrov nepooblaščenim osebam lahko namreč trajno ogrozi njihovo zaupnost, posameznike pa izpostavi tveganjem za kraje identitete, nenamenske uporabe njihovih osebnih podatkov in druge zlorabe.

Opozorilo urada za informacijsko varnost

"Osebni podatki, ki so bili sicer izpostavljeni, omogočajo identifikacijo posameznika in bi v primeru zlorabe lahko bili uporabljeni za krajo identitete ali potencialne finančne prevare, možno bi bilo pošiljanje lažnih sporočil (phishing) v imenu državnih organov, bank ali drugih institucij oziroma socialni inženiring ter poskusi pridobitve dodatnih podatkov (npr. številk bančnih računov, gesel ipd.)," so opozorili na uradu za informacijsko varnost.

Zato svetujejo naslednje previdnostne ukrepe:

• Bodite pozorni na neobičajna sporočila, klice ali elektronsko pošto, ki zahtevajo osebne ali finančne podatke.
• Ne posredujte EMŠO, davčne številke ali številke bančnega računa, če niste prepričani o identiteti pošiljatelja.
• Aktivirajte dvofaktorsko avtentikacijo (2FA) pri bančnih in drugih spletnih storitvah.
• Morebitne zlorabe prijavite policiji in obvestite Informacijskega pooblaščenca.

Več o tem, kakšnim nevarnostim smo izpostavljeni, kadar so naši podatki dostopni malopridnežem, preberite v članku Osebni podatki 900 tisoč ljudi dostopni na spletu: zakaj je to lahko problem?