1 min read

Javni denar za sistem z začetniško varnostno napako

Javni denar za sistem z začetniško varnostno napako

Ministrstvo za javno upravo je v četrtek, 6. 1. 2022, javnost obvestilo o zagonu nove aplikacije za elektronsko naročanje na upravne enote.¹ Že naslednji dan so aplikacijo ugasnili, saj je bila odkrita kritična varnostna napaka.²

Odkrita varnostna napaka (vrivanje SQL stavkov) je zelo pogosta ranljivost spletnih aplikacij, o kateri se učijo že začetniki programiranja. Morebitni napadalci bi lahko iz sistema enostavno pridobili podatke o naročenih in njihovih terminih ter se poigrali z delovanjem upravnih enot.³

A to še ni vse, portal hkrati ni spoštoval osnov zakonodaje varstva osebnih podatkov.⁴

Da se kaj takega pripeti pri projektu, financiranem iz javnih sredstev, je sramotno in nesprejemljivo. Skupna vrednost pogodbe med ministrstvom za javno upravo in podjetjem Ortus Inc, d.o.o. znaša 300.000 evrov.⁵

Državna uprava ni sposobna izpeljati javnih naročil s področja digitalizacije, ker ji manjka ustreznega kadra na tem področju, ki bi oblikoval primerne razpise in prepoznal dobre in slabe ponudbe. Namesto tega se odločajo na podlagi birokratskih standardov, prek katerih se razpise prikroji po meri podjetij, ki niti približno niso primerna za vzpostavljanje teh sistemov.

Dokler se to ne spremeni, bomo še naprej priča predragim, v veliki meri neuporabnim projektom, ki bodo za povrh še polni kritičnih napak tako iz varnostnega vidika kot iz vidika varstva zasebnosti uporabnikov.

Državna informacijska politika potrebuje vizijo in primerne strokovnjake na odločevalskih pozicijah: prt.si/digiJU

¹ prt.si/eue

² prt.si/euefail

³ prt.si/SQLvriv

prt.si/sloTeue

prt.si/elevatenje