O ugotovitvah inšpektorjev vladnega urada za informacijsko varnost, ki ga je država ustanovila lani, je informacije pridobil portal Necenzurirano. Kot navaja portal, so se problemi z informacijskimi sistemi v Univerzitetnem kliničnem centru (UKC) Ljubljana nabirali v zadnjih dveh desetletjih, v tem času so se namreč ti sistemi razvijali neučinkovito.
V zadnjih 15 letih je UKC Ljubljana sicer krmarilo osem generalnih direktorjev: Darinka Miklavčič, Simon Vrhunec, Andrej Baričič, Brigita Čokl, Andraž Kopač, Aleš Šabeder, Teodor Žepič in Janez Poklukar. Od lani je šef bolnišnice Jože Golobič, ki so mu zdaj inšpektorji dali na voljo nekaj mesecev za odpravo nepravilnosti.
Varovalka pred vstopom v prostore informacijskega centra je le vpis v fizično knjigo
Uradnih informacij o inšpekcijskem pregledu še ni, saj ta da še ni končan. Po navedbah Necenzurirano pa so inšpektorji opozorili na tveganje nepooblaščenega vdora v informacijski center, ki bi moral biti najbolj varovani del stavbe, in pomanjkljive ukrepe pri zagotavljanju varnosti pred požari in poplavami.
V UKC Ljubljana se namreč informacijski center nahaja v kletnih prostorih, do katerih lahko obiskovalec pride skozi glavni vhod. Varovalka pred tem je le vpis v fizično knjigo. Nato nadaljuje skozi lesena vrata, ki se zaklepajo z navadno ključavnico. Pred vstopom ni niti mehanizma dvojnega preverjanja verodostojnosti s kartičnim dostopom in šifro niti videonadzornega sistema. Nihče pa vstopa ne varuje fizično. Poleg tega je na vratih steklo, skozi katero se s hodnika vidi notranjost sobe, natančno opisuje Necenzurirano.
To pa še ni vse. Na delno odstranjenem zaščitnem stropu v notranjosti so vidne vodovodne in druge cevi, iz katerih je kapljala voda. To naj bi inšpektorji sklepali na podlagi krp in posod. Na stropu so nameščeni detektorji dima, v prostorih pa ročni gasilniki na ogljikov dioksid.
Odgovor UKC Ljubljana: Zagotavljamo, da dostop do informacijskega centra nikakor ni neoviran
Predstavniki iz UKC Ljubljana so nam danes potrdili, da Urad RS za informacijsko varnost izvaja inšpekcijski nadzor, kako v bolnišnici upoštevajo določene ukrepe za varnost omrežij in informacijskih sistemov, ki so določeni po Zakonu o informacijski varnosti (ZInfV). Pojasnili so, da inšpektorji med drugim ugotavljajo, ali upoštevajo zakonska določila, povezana z določitvijo kontaktne osebo za informacijsko varnost in njenega namestnika. Preiskujejo, kako so v ljubljanskem kliničnem centru določili svoje ključne, krmilne in nadzorne informacijske sisteme ter dele omrežja, s katerimi v bolnišnici zagotavljajo izvajanje bistvenih storitev. Inšpektorje zanima, ali so v bolnišnici sprejeli ustrezne ukrepe za preprečitev in zmanjšanje vpliva incidentov, ki vplivajo na varnost teh omrežij in informacijskih sistemov. Nadalje preverjajo, ali v UKC Ljubljana imajo in vzdržujejo dokumentiran sistem upravljanja varovanja informacij, ali izvajajo potrebne varnostne ukrepe in kako imajo urejeno priglasitev v primeru incidentov, ki ne bi smeli vplivati na neprekinjeno izvajanje bistvenih storitev, ki jih zagotavljajo v bolnišnici.
Na navedbe portala Necenzurirano, da je "mogoče praktično neovirano dostopati do informacijskega centra" in da uradnih informacij o inšpekcijskem pregledu ni mogoče dobiti, v največji bolnišnici v državi ogovarjajo: "Neuradnih informacij ne komentiramo, zagotavljamo pa, da dostop do informacijskega centra nikakor ni neoviran in da nepooblaščene osebe ne morejo vstopati vanj."
Ob tem so nam na UKC Ljubljana pojasnili, da se ukvarjajo z več aktivnostmi, ki urejajo sistem upravljanja in varovanja informacij v informacijskih sistemih. "Te aktivnosti med drugim vsebujejo tudi dvig nivoja zrelosti upravljanja informacijskih tveganj, neprekinjenega poslovanja informacijskih sistemov in zagotavljanja kibernetske varnosti. Te aktivnosti je UKC Ljubljana začel izvajati že v letu 2019 in jih od takrat kontinuirano izvaja, še posebej intenzivno pa jih izvaja od leta 2021 dalje. Skladnost z ZInfV in še nekaterimi drugimi predpisi in standardi bomo vzpostavili na različne načine, nekatere na primer s tehničnimi sredstvi, druge z organizacijskimi spremembami in tako naprej," so utemeljili.
Na uradu za informacijsko varnost so za Necenzurirano sicer potrdili, da so UKC Ljubljana izrekli ukrepe za odpravo nepravilnosti in mu podali priporočila. Je pa portal pridobil dodatne informacije, da morajo v bolnišnici v naslednjih mesecih zagotoviti ustrezno fizično in tehnično varovanje informacijskega centra, pripraviti dodatne analize obvladovanja tveganj, načrte varnostnih ukrepov, načrte odzivanja na kibernetske incidente in druge dokumente, s katerimi bi zagotovili nemoteno delovanje bistvenih informacijskih sistemov in preprečili njihov morebitni izpad v primeru motenj oziroma napadov.
V zadnjih sedmih letih so se direktorji UKC Ljubljana menjavali na približno leto in pol
K reševanju omenjene problematike, ki ima že dolgo zgodovino, zagotovo ni prispevalo nenehno presedanje na vodstvenem stolu. V zadnjih sedmih letih so se direktorji UKC Ljubljana menjavali na približno leto in pol. Ravno prejšnji teden je minister za zdravje Danijel Bešič Loredan Golobiča javno poklical k odstopu. Med glavnimi očitki vodstvu so slabi poslovni rezultati in številni zamujeni roki. "Podatki so izjemno slabi. Upravljanje in vodenje največje zdravstvene ustanove je po moji oceni in tudi po oceni predsednika vlade izpod kritike," je dejal prejšnji teden Bešič Loredan.
Golobič je v odzivu odgovoril, da razlogov za odstop ne vidi, in je ministrove očitke zavrnil.
KOMENTARJI (36)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.