Uprava Republike Slovenije za zaščito in reševanje (URSZR) se še vedno pobira po lanskem kibernetskem napadu, ki je poleg slabe kibernetske varnosti po inšpekcijskem nadzoru hkrati razkril tudi notranje razsulo v sistemu civilne zaščite. Obrambno ministrstvo je zato odredilo revizijo v URSZR, da ugotovi tveganja na področju informacijskega in komunikacijskega sistema varstva pred naravnimi in drugimi nesrečami.
Kot smo izvedeli, je notranjerevizijski pregled ugotovil, da uprava za zaščito in reševanje ni zagotovila ukrepov za obvladovanje tveganj na področju informacijske varnosti, posledica tega pa je bilo ravnanje v neskladju s predpisi, ki to področje urejajo. Pred časom smo poročali, da je pregled dnevnikov pokazal skoraj 1000 ranljivosti sistema, od šibkih gesel do neuporabe drugih varnostnih protokolov.
Prav tako uprava ne obvladuje tveganj na področju izvedbe projektov. V zadnjih treh letih tako nobeden z načrti varstva pred naravnimi in drugimi nesrečami ni bil dokončan, čeprav so bila finančna sredstva zanje zagotovljena. Revizija poudarja, da je bilo v zadnjih štirih letih za informacijsko-komunikacijski sistem varstva pred naravnimi in drugimi nesrečami porabljenih 15,5 milijona evrov, realizacija na investicijah pa je nizka, manj kot 70-odstotna.
Ob tem v reviziji niso mogli ugotoviti, katere naloge in investicije niso bile realizirane oz. izvršene, ker uprava načrta, s katerim bi lahko primerjali realizacijo, ne pripravlja. URSZR prav tako ni izdelal predloga za naročilo za naslednja leta, čeprav je bil rok za to že 14. oktobra. Revizija ugotavlja, da to povečuje tveganje za slabo letošnjo realizacijo in težave pri delovanju informacijsko-komunikacijskega sistema varstva pred naravnimi in drugimi nesrečami. Hkrati pa uprava sploh naj ne bi imela letnih načrtov, v katerih bi opredelili načrt investicij v informacijsko-komunikacijske sisteme.
Letni načrti varstva pred naravnimi in drugimi nesrečami so sicer med drugim predvidevali prenovo sistema javnega alarmiranja, vzpostavitev platforme za obveščanje in alarmiranje prebivalstva prek mobilnih telefonov in drugih kanalov, ustanovitev nove platforme za sprejem klicev na 112. Revizija ugotavlja, da so se naloge prenašale iz leta v leto, do konca leta 2022 pa nobena izmed njih ni bila v celotni realizirana, uprava pa nima načrtov o tem, kdaj bo katera izmed nalog zaključena in kaj je treba pri posamezni nalogi še narediti.
Revizorji tudi niso bili zadovoljni z načrtom neprekinjenosti poslovanja in okrevanja po nenadnem dogodku. Ta po njihovem mnenju ni pripravljen skladno s predpisi s področja informacijske varnosti. Med drugim uprava ni izdelala načrta odzivanja na incidente niti protokola obveščanja, pogrešajo pa tudi postopke in odgovornosti za obnovitev delovanja sistemov.
Spomnimo, vodja Sektorja za opazovanje, obveščanje in alarmiranje Boštjan Tavčar je bil še dva dni po hekerskem napadu na dopustu in ga kljub napadu sprva ni prekinil. Kot so nam odgovorili na ministrstvu za obrambo, je Tavčar seznanjen z ugotovitvami revizijskega postopka, a dodajajo: "Njegovih komentarjev o ugotovitvah revizije ne poznamo." Kljub nekaterim informacijam, da naj bi Tavčar želel zapustiti aktualno delovno mesto in se kljub polomu na URSZR pridružiti novoustanovljenemu ministrstvu za digitalno preobrazbo, ki ga bo vodila Emilija Stojmenov Duh, pa na ministrstvu odgovarjajo, da URSZR ne namerava zamenjati vodje službe za informatiko.
Tekom notranjega nadzora so ugotovili tudi, da v URSZR niso določili postopkov za dostop do informacijsko-komunikacijskega sistema in nadzora dostopa do storitev in varovanih podatkov.
Težave pa se zrcalijo tudi v pomanjkljivi kadrovski sliki. Služba za informatiko in komuniciranje, ki ima sistematiziranih 15 delovnih mest, ne deluje s polnimi kapacitetami. Od petih uradniških mest so zasedena štiri, od desetih strokovnih pa le šest.
Kibernetski napad je sicer terjal svoj davek tudi v vodstvu URSZR. Vlada je oktobra razrešila nekdanjega direktorja Darka Buta, ki je upravo vodil 11 let, in za vršilca dolžnosti generalnega direktorja uprave imenovala Leona Behina. Butu so očitali slabo vodenje in neorganiziranost. Izvedeli smo tudi, da je bila s strani Urada za informacijsko varnost nekdanjemu direktorju kot odgovorni osebi po lanskem inšpekcijskem pregledu izdana položnica.
KOMENTARJI (22)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.