V poskusni fazi je projekt UeNaročanje tekel brez težav, v decembru so namreč izvedli 15 tisoč naročil. Ministrstvo za javno upravo pod vodstvom Boštjana Koritnika je nato minuli četrtek storitev predstavilo javnosti. Testna storitev naj bi omogočala sistem spletnega naročanja na UE Ljubljana, Litija in Logatec. Že dan po predstavitvi pa se je izkazalo, da ima projekt več varnostnih težav.
Težave so se kopičile in ministrstvo je aplikacijo že dan po zagonu zaprlo za uporabnike, nato pa včeraj še za interno javnost.
Piratska stranka: gre za začetniško varnostno napako
V Piratski stranki so zapisali, da je ugotovljena varnostna napaka v aplikaciji, vrivanje SQL stavkov, pogosta začetniška napaka, na katero so opozorjeni že začetniki učenje programiranja. Opozorili pa so še na dejstvo, da portal za spletno naročanje ni ustrezno varoval osebnih podatkov uporabnikov.
"Morebitni napadalci bi lahko iz sistema enostavno pridobili podatke o naročenih in njihovih terminih ter se poigrali z delovanjem upravnih enot. A to še ni vse, portal hkrati ni spoštoval osnov zakonodaje varstva osebnih podatkov. Da se kaj takega pripeti pri projektu, financiranem iz javnih sredstev, je sramotno in nesprejemljivo. Skupna vrednost pogodbe med ministrstvom za javno upravo in podjetjem Ortus Inc, d.o.o. znaša 300.000 evrov," so zapisali v Piratski stranki.
Slo-tech: to je malomarnost programerjev
Na spletni strani slo-tech.si, ki strokovno obvešča o novicah, povezanih z informacijsko tehnologijo, so o napaki vrivanja SQL stavkov zapisali: "Gre za tako pogosto ranljivost, da se o njej učijo že začetniki programiranja. Kadar je spletna aplikacija ranljiva na SQL injection torej gre za neupoštevanje minimalnih dobrih praks na področju programiranja in za veliko malomarnost programerjev." Dodajajo, da so se podobne napake pojavljale že pri spletnih straneh AJPES, kjer so leta 2017, le malo po obnovi, javno objavili kar vse svoje registre. Takrat je bilo javno dostopnih vsaj 59 podatkovnih baz.
Državni upravi manjka usposobljenih kadrov
Na Piratski stranki ocenjujejo, da je glavni krivec za napake v aplikaciji dejstvo, da državna uprava zaradi pomanjkanja ustrezno usposobljenih kadrov ni sposobna izpeljati javnih naročil s področja digitalizacije. Pri takih naročilih je namreč pomembno prepoznavanje dobrih in slabih ponudb in pa oblikovanje razpisov, za kar pa je potrebno strokovno znanje javnih uslužbencev. "Namesto tega se odločajo na podlagi birokratskih standardov, prek katerih se razpise prikroji po meri podjetij, ki niti približno niso primerna za vzpostavljanje teh sistemov," so še zapisali Pirati.
Ministrstvo se opravičuje za nevšečnosti
Na ministrstvu zatrjujejo, da bodo naročene stranke lahko opravile storitve v terminih, ki so jih rezervirale. Od izvajalca storitev so zahtevali podatke o rezervacijah terminov, saj so zaposleni na Upravnih enotah z umikom aplikacije izgubili tudi podatke o vseh terminih, ki so jih uporabniki rezervirali prek spleta.
Dodatno so sporočili, da bodo zahtevali izvorno kodo sistema, saj želijo zagotoviti varnost osebnih podatkov uporabnikov in v čim krajšem času odpraviti pomanjkljivosti.
Strank ne morejo naročati
Z Upravne enote Ljubljana so za 24ur.com pojasnili, da so po navodilih ministrstva za javno upravo aplikacijo za spletno naročanje zaradi tehničnih težav v celoti zaprli, kar pomeni, da nima nihče dostopa do nje. Podatki v aplikaciji pa niso izgubljeni, so zagotovili. Ob tem so danes zjutraj prek ministrstva zahtevali od izvajalca storitev, da jim pošlje podatke o naročenih strankah. "Te podatke smo tudi prejeli," so potrdili na UE Ljubljana.
Upravna enota sicer posluje, vendar sprejema le že naročene stranke. Strank pa danes še ne morejo naročati na nove termine, zato v navezi z ministrstvom iščejo rešitve, da bi lahko čim prej začeli z delom s pomočjo aplikacije.
Izvajalec še ni dobil plačanega niti evra
Generalni direktor direktorata za informatiko na ministrstvu za javno upravo Peter Grum danes pojasnil, da je izvajalec dobil 345.000 evrov za aplikacijo z varnostnimi pomanjkljivostmi, poudaril, da izvajalec še ni dobil plačanega niti evra in ga tudi ne bo, dokler ne bodo pogledali, kako je bila pogodba izvedena.
Ob očitkih o domnevni neodgovorni izbiri izvajalca pa meni, da je bil razpis pripravljen korektno, tudi sama pogodba ima številna varnostna določila in določila o varovanju osebnih podatkov, s katerimi se je izvajalec strinjal, je poudaril.
V primeru nespoštovanja teh določil je predvidena kazen v višini treh odstotkov celotne vrednosti pogodbe. Za morebitno nastalo škodo je izvajalec tudi v celoti odškodninsko odgovoren.
