c S
Po mnenju računskega sodišča zagotavljanje kibernetske varnosti v Sloveniji neučinkovito 04.03.2021 09:54 Ljubljana, 04. marca (STA) - Računsko sodišče je v reviziji zagotavljanja kibernetske varnosti v Sloveniji od leta 2016 do 2019 ugotovilo, da so bili vlada, urad za varovanje tajnih podatkov in ministrstvo za javno upravo pri tem neučinkoviti. Vlada v tem obdobju namreč ni sprejela strategije informacijske varnosti, problem pa je tudi kadrovska podhranjenost.

Revizija se je natančneje nanašala na obdobje od 1. januarja 2016 do 30. septembra 2019. Računsko sodišče je ob izsledkih revizije zapisalo, da je vlada februarja 2016 sprejela strategijo kibernetske varnosti, aprila 2018 pa je bil na predlog vlade sprejet zakon o informacijski varnosti, s katerim je bila v pravni red države prenesena direktiva Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v EU.

Kot je navedlo sodišče, bi morala vlada nato v roku enega leta sprejeti strategijo informacijske varnosti, "vendar tega ni storila niti do konca obdobja, na katero se nanaša revizija". Seznam bistvenih storitev in metodologijo za določitev izvajalcev bistvenih storitev pa je vlada določila z več kot sedemmesečno zamudo. Zaradi tega je prejela tudi opomin Evropske komisije.

Vlada po navedbah državnih revizorjev prav tako ni določila organov državne uprave, ki upravljajo z informacijskimi sistemi in deli omrežja oz. izvajajo informacijske storitve, nujne za nemoteno delovanje države ali za zagotavljanje nacionalne varnosti. Kljub temu da je vlada strategijo kibernetske varnosti sprejela že leta 2016 in urad za varovanje tajnih podatkov pooblastila za izvajanje nalog s področja kibernetske varnosti, pa ni zagotovila in sprejela akcijskega načrta oz. drugega operativnega dokumenta za izvedbo ukrepov za zagotavljanje kibernetske varnosti.

V reviziji so bili kritični tudi do vladnega nezagotavljanja virov za izvajanje strategije kibernetske varnosti. Leta 2019 je vlada sicer zagotovila pogoje za ustanovitev obeh v zakonu o informacijski varnosti predvidenih organov, vendar pa ni opravila analize potreb in ni pravočasno zagotovila zadostnih sredstev za kadrovsko in tehnološko okrepitev na tem področju. Poleg tega je isto leto, in sicer že nekaj mesecev pred v zakonu o informacijski varnosti predvidenim rokom, ustanovila upravo za informacijsko varnost. Vlada tudi ni uvedla novih programov osveščanja o varnosti in vsebinah s področja kibernetske varnosti v sistem izobraževanja in usposabljanja.

V reviziji so bili kritični tudi do urada za varovanje tajnih podatkov, ki je zaradi kadrovske in finančne podhranjenosti aktivnosti izvajal le v zelo omejenem obsegu. Aktivno je sicer sodeloval na mednarodnih vajah in v okviru mednarodnih delovnih teles, nacionalne vaje s področja kibernetske varnosti pa zaradi pomanjkanja virov ni izvedel, je med drugim še ugotovilo računsko sodišče.

Z večmesečno zamudo pa je ministrstvo za javno upravo sprejelo pravilnik o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev. Pravilnik o varnostni dokumentaciji in varnostnih ukrepih organov državne uprave pa je ministrstvo sprejelo z 12,5-mesečno zamudo.

Ministrstvo po ugotovitvah sodišča prav tako ni pripravilo predloga strategije informacijske varnosti, katere sprejem je predvideval zakon o informacijski varnosti, oz. ni ocenilo, ali bi bilo treba obstoječo strategijo kibernetske varnosti zaradi novosprejete zakonodaje posodobiti ali spremeniti. Ministrstvo je sicer izvedlo oceno kibernetskih tveganj, ni pa izvedlo analize stanja na področju varnosti, na podlagi katere bi ocenilo potrebe in zagotovilo ustrezne vire ter ni navedlo konkretnih predlogov posameznih nalog za izboljšanje.

Ministrstvo tudi ni poskrbelo za izvajanje programov osveščanja na področju kibernetske varnosti, zagotavljalo pa je vire za delovanje nacionalnega centra SI-CERT ter pripravilo interne tečaje za informacijsko varnost.

Kot še ugotavlja računsko sodišče, je ministrstvo sicer pravočasno vzpostavilo odzivni center za kibernetsko varnost organov državne uprave. Prav tako je tudi ministrstvo sodelovalo na mednarodnih vajah in v okviru mednarodnih delovnih teles ter združenj s področja kibernetske varnosti.

Kljub temu pa ministrstvo po ugotovitvah sodišča ni celovito spremljalo zagotavljanja pogojev in izvajanja nalog na področju kibernetske varnosti v skladu z zakonom o informacijski varnosti ter tudi ni prilagajalo ukrepov, ki bi jih pripravilo na podlagi analize spremljanja zagotavljanja kibernetske varnosti.

Računsko sodišče po objavljeni reviziji od vlade in ministrstva zahteva predložitev odzivnih poročil, v katerih morata izkazati popravljalne ukrepe. Prav tako so podali priporočila za izboljšanje stanja.