Spoštovani vsi prisotni in dobrodošli na 45. nujni seji Odbora za kmetijstvo, gozdarstvo in prehrano.
Najprej vas obveščam, da je danes zadržana naša članica doktor Tatjana Greif, ki je tudi prinesla opravičilo. Za zdaj še nimamo, imamo, imamo še eno opravičilo in to je gospod Tomaž Lisec. Pričakujemo še udeležbo drugih članov odbora, ker vseh še ni, vendar ugotavljamo pa, da smo sklepčni, zato lahko začnemo z nadaljnjim delom.
Dnevni red seje ste prejeli 11. novembra s sklicem. Predlogov za spremembo dnevnega reda v poslovniškem roku nisem prejela, zato je dnevni red določen takšen kot ste ga prejeli s sklicem.
Zato prehajamo na obravnavo 1. IN EDINE TOČKE DANAŠNJE SEJE IN SICER TO JE VARNOSTNI INCIDENT V INFORMACIJSKEM SISTEMU UPRAVE ZA VARNO HRANO, VETERINARSTVO IN VARSTVO RASTLIN - SISTEMSKA TVEGANJA ZA IZVAJANJE SKUPNE KMETIJSKE POLITIKE IN ZA PROMET Z ŽIVILI.
Poslanska skupina Nove Slovenije - krščanski demokrati je 10. novembra letos zahtevala sklic nujne seje našega odbora.
K tej točki smo vabili ministrico Matejo Čalušić, ki jo nadomešča državni sekretar Ervin Kosi, Informacijsko pooblaščenko doktor Jeleno Virant Burnik, ki je med nami in jo tudi lepo pozdravljam, tako kot tudi državnega sekretarja, direktor Urada za informacijsko varnost doktor Uroš Svete, ki je tudi med nami in ga lepo pozdravljam. Vabili smo tudi predstavnika Kmetijsko gozdarske zbornice doktor Jožeta Podgorška, tukaj je direktor, in vabili smo predstavnika Sindikata kmetov, tudi Sindikat kmetov je tukaj po svoji pooblaščenki.
Torej zato prehajamo na obravnavano točko dnevnega reda, ki sem vam jo prej napovedala in seveda v imenu predlagateljev bom sama zelo na kratko obrazložila, zakaj smo se odločili za sklic te seje, sklepe, ki smo jih predlagali, predvsem pa željo, da bi od vseh odgovornih, predvsem pa tistih, ki to področje dobro poznajo, dobili zagotovila, odgovore in zagotovila, da se zaradi tega velikega vnosa področje kmetijstva ne bo zatreslo, če rečem po domače, bodo vsi procesi, ki na kmetijstvu morajo teči, tudi tekli naprej.
Torej, kot sem na začetku rekla, smo izvedeli, da se je 29. oktobra zgodil ta incident, da je skozi upravo za varno hrano, skozi enega od vstopnih mest informacijskih uprave za varno hrano prišlo do razkritja osebnih podatkov. več kot 870 tisoč posameznikov, to je res skoraj polovica Slovenije. Da je prišlo do razkritja, tako smo razumeli tudi informacijsko pooblaščenko, največjega, odkar to stvar spremljamo, odkar imamo tudi zakonodajo, da do tega ne bi prišlo. In da je prišlo seveda do razkritja najbolj pomembnih osebnih podatkov, to pa so na eni strani EMŠO-ji, na drugi strani pa tudi davčni podatki, kar pomeni, da obstaja velika verjetnost, da bi, če bi kdo se tako odločil, tudi ob vpogledu v te podatke te podatke kasneje lahko izkoristil. Torej, na kratko, gre za podatke vseh državljanov naše države, ki smo kakorkoli in kdajkoli, bi rekli, poslovali z MKGP, z ministrstvom, ne samo z organi v sestavi. Namreč vstopno mesto je bilo res na upravi, ker lahko rečemo, da je informacijska varnost na upravi bila slaba, bom tako rekla, in je popustila temu pritisku, ampak varnost osebnih podatkov pa je za moje pojme na ministrstvu za kmetijstvo, kajti tam so dejansko vsi podatki in tam je vozlišče podatkov, t se pravi, so vsi registri, ki jih potem vsi organi v sestavi, tokrat pa posebej moram omeniti agencijo, uporabljajo za poslovanje z državljankami in državljani. To se pravi, vsi, ki kakorkoli, ali so to kmetje in vse, kar je povezano s kmetijstvom, ali pa lastniki hišnih ljubljencev tudi, gospodarski subjekti, podjetja, ki jih recimo nadzirajo inšpektorji organov v sestavi ali pa dobivajo denar, vsi tisti so pravzaprav bili na razpolago temu tako imenovanemu hekerju.
Zato je moje prvo vprašanje dejansko ali je prišlo do zlorabe podatkov. In če še ni, kdaj bomo lahko rekli, da so tisti, ki smo, ali bomo tako rekli, najbrž nas je tudi večina od teh med temi podatki, kdaj bomo lahko rekli, da smo varni. Drugo je, zame poleg te informacijske varnosti oziroma varstva osebnih podatkov slehernika, ki se je znašel v teh registrih, je za naš odbor in zame pomembno ali obstaja tveganje za izvajanje ukrepov skupne kmetijske politike, po domače SKP, in izplačilo subvencij. Ker vemo, da so ti sistemi posebej odobreni in akreditirani. Seveda pa tudi v povezavi s tem ali se je za bati, da bi prišlo tudi do kakšnih finančnih korekcij s strani Evropske komisije.
Zaključila bom s tem, da je dejansko bilo ob odkritju teh vseh podatkov gotovo, da zelo zmanjšano zaupanje nas vseh, ki z ministrstvom poslujemo in je na nek način ministrstvo izgubilo tudi na ugledu. Vendar bolj pomembno je, da danes izvemo, kakšni so bili korekcijski ukrepi in kakšna zagotovila bomo dobili od odgovornih, kot sem rekla, predvsem za izvajanje skupne kmetijske politike. Vsekakor smo, si želimo, da bi se te napake, ki so se zgodile, tudi v bodoče ne zgodile več in da bi se na ministrstvu zavedali svoje odgovornosti skupaj z organi v sestavi in preprečili v toliko kolikor se prepreči da, da se ta stvar ne bi več ponovila. Zato smo pripravili tudi tri sklepe, v katerih predlagamo, da naš odbor ministrstvu naloži, v kolikor to že narejeno, da res naredi celotno revizijo kompletnega informacijskega sistema. in da dejansko naredi protokole nadzora, ki bodo vsaj bi rekli, na nek način zagotavljali v normalnih pogojih, da se več, da ne pride več do takega incidenta. In da, tudi to, kar je bilo delno narejeno, da tisti, ki so odgovorni, prevzamejo tudi odgovornost. Zdaj, mi smo vsi slišali, da je, zaradi objektivne odgovornosti odstopila direktorica Uprave za varno hrano. Jaz še enkrat ponavljam, Uprava za varno hrano, mislim da so bili to podatki o fitofarmacevtskih sredstvih, so bili, kot sem jaz razumela, samo vstopno okno, ampak vprašanje je, zakaj ministrstvo ni ob dejstvu, da so vsi ti registri navezani in črpajo tudi podatke iz Centralnega registra prebivalstva, zakaj ni zagotovilo, da ne bi prišlo do zlorabe teh osebnih podatkov oziroma da bi prišlo do varstva osebnih podatkov, bom rekla, v skladu z GDRP, to se pravi v skladu z uredbo? To od vas pričakujemo, da nam boste potem pojasnili, kaj se je dejansko zgodilo in kakšni so korekcijski ukrepi. In seveda, ali v bodoče računate na ministrstvu in kaj računate na ministrstvu narediti, da ne bi več prišlo do takih zlorab? Kajti, kot smo rekli, v javnosti smo slišali, da je direktorica odstopila, direktorica še vedno opravlja svojo nalogo kot mi je znano do zdaj, v javnosti nismo slišali, da bi prišlo tam do zamenjave, kar bi pa jaz rekla, milo rečeno, da je na nek način to samo zavajanje ali pomirjanje javnosti. Jaz mislim, da si skoraj milijon ljudi, ali bomo rekli 900000 ljudi zasluži, da se ve, kdo je prevzel odgovornost in kdo bo prevzel odgovornost, da bodo ti podatki odslej naprej zaščiteni. Zato tudi od ministrstva pričakujem, da bo naredilo konkretne korake z zamenjavo teh ljudi in z zagotavljanjem, da bo tako uprava na eni strani kot ministrstvo lahko izpolnjevalo vse zakonske obveznosti, ki so tukaj dobro znane na področju in informacijske varnosti kot tudi varovanju osebnih podatkov.
Toliko s strani predlagatelja. Ker govorimo o Ministrstvu za kmetijstvo, bom zdaj najprej dala besedo državnemu sekretarju, gospodu Ervinu Kosiju, da poskuša odgovoriti nazaj na ta naša vprašanja, ki sem jih zdajle zelo praktično naštela in se opredeli tudi do teh sklepov oziroma nas seznani s tem, kaj je do sedaj ministrstvo dejansko naredilo. Hvala lepa. Gospod državni sekretar, beseda je vaša.
Ervin KosiHvala za besedo. Spoštovana predsednica odbora, spoštovane poslanke in poslanci, vsi prisotni!
V zvezi nepooblaščenega vdora v informacijski sistem Uprave za varno hrano, veterinarstvo in varstvo rastlin v bistvu podamo eno poročilo o dejanskem stanju in seveda potek ukrepanja. 29. oktobra 2025 ob 13.30 smo prejeli klic predstavnice informacijskega pooblaščenca, da je bilo na strežniku FFS (fitofarmacevtskih sredstev) zaznan kritičen varnostni problem. Uslužbenka, ki je klicala, ki je klic prejela, je o tem nemudoma tudi obvestila vodjo sektorja pooblaščenega za informacijske sisteme. Vodja sektorja pooblaščenec za informacijske sisteme je takoj ukrepal in ob 14.30. smo ranljivost na strežniku že odpravili, o čemer smo tudi obvestili informacijskega pooblaščenca, ki je odpravo težav ustno potrdil. Tako smo v bistvu ranljivost po prejemu obvestila nemudoma odpravili in onemogočili nadaljnji dostop do podatkov. Tekoče poslovanje organa, zaradi incidenta ni bilo moteno. V zvezi z nepooblaščenim dostopom pa tudi ni bilo podanih nobenih finančnih zahtev ali izsiljevanj. Način nepooblaščenega vstopa v informacijski sistem je omogočal dostop do osebnih podatkov, kot ste že rekli, 873000 fizičnim osebam. To so v bistvu ime, priimek, naslov, EMŠO in davčna številka, ki so bile v preteklosti zavezane k vpisu v registre, ki jih v skladu s področno zakonodajo vodi Ministrstvo za kmetijstvo, gozdarstvo in prehrano ter organi v njegovi sestavi ali pa so bile v bistvu predmet pristojnih inšpekcij na področju kmetijstva. Gre za zbirke podatkov iz zakonov, ki urejajo živila, krmo, veterinarstvo, veterinarska zdravila, zaščito živali, varstvo rastlin, rastlinski semenski material in fitofarmacevtska sredstva, vino agrarne skupnosti, promocijo kmetijskih in živilskih proizvodov, morsko ribištvo in gozdni reprodukcijski material. V naslednjih dneh, po zaključku notranje analize smo vse pristojne organe tudi obvestili v zakonskih rokih in na predpisan postopek. Obvestilo za javnost smo posameznikom, ki bi se lahko prepoznali v navedenih zbirkah podatkov, svetovali, naj ne posredujejo dodatnih osebnih podatkov po telefonu ali elektronski pošti, če niso povsem prepričani o identiteti sogovornika ter da v primeru suma poskusa zlorabe nemudoma obvestijo policijo. Za dodatna pojasnila smo tudi vzpostavili kontaktni elektronski naslov, na katerega so se stranke lahko obračale. Nadalje preverjanje poteka v sodelovanju UHVR z Uradom Vlade Republike Slovenije za informacijsko varnost in policijo. Zunanji izvajalec, se pravi URSIL, je izvedel zunanji varnostni pregled, odkril je dodatne ranljivosti in predlagal, predlagana je bila preventivna ustavitev strežnika. Od urada vlade za informacijsko varnost smo prejeli tudi poročilo o stanju informacijskih sistemov, v katerem so bile opredeljene ranljivosti aplikacije glede na stopnjo tveganja. Uprava je ustrezno obravnavala vse ugotovljene ranljivosti, pri čemer so imeli prednost tiste z visoko stopnjo tveganja. Nemudoma smo pričeli z odpravljanjem ranljivosti z najvišjo prioriteto. Ob tem poudarjamo, da nobena od teh ranljivosti ni pokazala šibkosti, ki bi omogočala krajo podatkov ali spreminjanje podatkov. Do 19. novembra 2025 so bile vse ranljivosti z najvišjo stopnjo tveganja odpravljene. Informacijski sistem UHVR deluje na informacijski strukturi, ki jo opravlja Ministrstvo za digitalno preobrazbo, upravljanje sektorsko specifičnih aplikaciji je v pristojnosti UHVR. Pri razvoju in vzdrževanju posameznih delov informacijskega sistema so bile upoštevane tudi aktualne varnostne usmeritve in prakse. Uvajanje varnostnih mehanizmov in nadzorov je bilo omejeno glede na omejene razpoložljive kadrovske in finančne vire s katerimi razpolaga UHVR in širino sektorskih specifičnih aplikacij glede na obseg pove tudi podatek, da je bil izveden vzorni test na spletnih, na spletu dostopnih 66 aplikacij oziroma končnih točk. Pristojne institucije so bile tako tudi obveščene v zakonskih rokih, obveščena javnost je bila potem usklajena z organi, ki so že izvajali preiskovalna dejanja. Incident sam je v bistvu opozoril, da moramo nenehno vlagati v varnostne protokole in transparentnost. Zato smo javnost obvestili takoj, ko je bilo to mogoče, in zagotovili pravico posameznikov do obveščenosti. Zavzemali se bomo v bistvu za zagotavljanje najvišje ravni varnosti podatkov o transparentnosti in neodgovornega ravnanja. Incident je bil obvladan hitro in učinkovito, a kljub temu obstaja pomembna naloga v bistvu okrepiti odpornost sistema in zaupanje javnosti.
Če se dotaknem glede zahtev Poslanske skupine Nove Slovenije v tistih parih točkah. In seveda 1. točka je tveganje za izvedbo ukrepov skupne kmetijske politike. Sam vdor na UHVR je bil omejen na razkritje podatkov o subjektih, ki sicer nastopajo v različnih evidencah ministrstva, UHVR, inšpektorata in agencije za kmetijske trge, vendar vse ostale evidence niso bile prizadete. Ukrepi skupne kmetijske politike normalno potekajo in na njihovo izvedbo vdor ni vplival. Evidence agencije za kmetijske trge so vključene v državni računalniški oblak Doro v skladu z zahtevami DR se pri vsaki novi različici informacijskega sistema izvaja tudi preverjanje ranljivosti. Nepooblaščen dostop do podatkov v registru UHVR ne predstavlja neposrednega tveganja za postopke, ki jih na podlagi akreditacijskih meril izvaja agencija. Glede tveganja za zlorabo osebnih podatkov v bistvu še vedno upamo, da je prijavitelj dobronamerno opozoril na ranljivost na spletni strani UHVR in da bo do te zlorabe ne bo prišlo.
Seveda pa svetujemo javnosti, da ravna v skladu s priporočili informacijskega pooblaščenca glede standardov dobre prakse informacijske varnosti. Kar se tiče tveganja za motnje v prometu z živili v bistvu zaradi vdora v osebne podatke ne pričakujemo nobene ogroženosti oziroma ogrožene sledljivosti in zakonitosti prometa z živili. Tveganje za finančne korekcije s strani Evropske komisije, v bistvu redni pregledi it sistemov in informacijske varnosti na ministrstvu in tudi na KTRP se bodo opravljali še naprej kot do sedaj. UHVR pa bo moral po odpravi ranljivosti zagotoviti, da se tovrstni incidenti preprečijo. Prvenstveno je namen države, da poskrbi za ustrezno varnost in sprejme vse potrebne poravnalne ukrepe, da se tovrstni incidenti v največji možni meri preprečijo. V kolikor država članica izvede vse primerne ukrepe, kar jih tudi smo, Evropski komisiji ni potrebno niti ukrepati. Glede tveganja zmanjšanja zaupanja in administrativne zmogljivosti, seveda pričakovano je, da se ob tovrstnih dogodkih omaje zaupanje v institucije in narejeno bo seveda vse potrebno, da se tovrstni incidenti v največji možni meri tudi preprečijo.
Glede treh sklepov, ki so bili podani bi v bistvu komentiral oziroma tudi že imam, predlagal že pri prvem sklepu, da se zagotovi celovito revizijska, revizija informacijske varnosti v celotnem resorju. V bistvu na UVHVVR se že izvaja celotni pregled informacijske varnosti in v bistvu smo prejeli že dve priporočili s strani MDP in URSL. Pomanjkljivosti so že večinoma odpravljene. Prav tako pa je tudi ministrica seveda tako izdala sklep o izvedbi celotne analize informacijske varnosti in informacijskih sistemov na ministrstvu, kateri velja tudi seveda za organe v sestavi. To je bilo izdano 12. novembra.
Glede drugega sklepa, ker govorimo o ne, nemudoma ukrepati okrepi varnostne protokole in nadzore dostopa. V bistvu na UVHVVR se že izvaja, prav tako pa tudi pri vseh drugih, da se v bistvu zagotovi varnost podatkov, ki jih dejansko potrebujemo za delo.
Glede tretjega sklepa, ker govorimo o najkrajšem možnem času, se pripravi načrt kriznega upravljanja za primere ponovnih incidentov. Načrt kriznega upravljanja se na ministrstvu in organi v sestavi že izvaja in se še bo tudi in se je že tudi prej. Podrobnosti načrta pa lahko po potrebi pojasnijo tudi moji sodelavci, ki detajlno poznajo informacijsko varnost, ki so v bistvu strokovnjaki s tega področja. To bi bilo tako na kratko. Hvala.
Najlepša hvala. Zdaj bom dala besedo informacijski pooblaščenki, doktor Jeleni Virant Burnik, izvolite.
Dr. Jelena Virant BurnikHvala za besedo, predsedujoča. Se pravi, informacijski pooblaščenec se s to zadevo ukvarja v okviru pravil varstva osebnih podatkov. Torej, kar nekaj vprašanj, ki ste jih izpostavili izven tega področja. Ampak kot je že bilo povedano, informacijski pooblaščenec je prejel anonimno prijavo in pač takoj ukrepal. Obvestil zavezanca glede ranljivosti, da je bila ranljivost takoj odpravljena in da seveda ni, da se ni mogla zgoditi neka nadaljnja zloraba.
Takoj, informacijski pooblaščenec je stvar takoj začel preiskovati v inšpekcijskem postopku. Zdaj, namen inšpekcijskega postopka pa je odprava nepravilnosti oziroma vseh teh uveljavitev ukrepov, ki preprečujejo, da se kakršnakoli taka nepravilnost spet pojavi, da se pojavlja naprej, da prihaja do zlorab. Inšpekcijski postopek imamo mi v teku še vedno. Skoncentriran je na preverjanje skladnosti z 32 členom splošne uredbe o varstvu podatkov in 34 členom. 32. člen govori o tem, da mora upravljavec osebnih podatkov sprejeti take ukrepe zavarovanja, da bodo podatki varni pred nepooblaščenimi dostopi in tudi celoviti in dostopni za tistega. Se pravi, to je en fokus. 34. člen pa govori o tem, da kadar pride do kršitve varstva osebnih podatkov in mora upravljavec o tem obvestiti prizadete posameznike. Se pravi, to je fokus inšpekcijskega postopka, ta še traja in zato več informacij na tej točki zaradi interesa postopka jaz ne morem podati tukaj. Obravnavamo pa to absolutno z najvišjo prioriteto in bo tudi v zelo kratkem zaključen. En del tega inšpekcijskega postopka je seveda tudi seznanitev s poročilom Urada za informacijsko varnost. S tem se še nismo mi seznanili, kjer je več informacij pač o forenzičnem delu tega primera.
Se pravi, bistvo pod črto je to, da je bistvo našega postopka ta, da se odpravijo vse pomanjkljivosti, ki so vodile v to ranljivost in v to razkritje podatkov in da se zagotovi zavarovanje teh podatkov za naprej. In ko je to zagotovljeno, ko so sprejeti vsi ukrepi s strani zavezanca, ki je tu, v našem primeru Urad za varno hrano, takrat mi postopek lahko zaključimo, ker je odpravljena, se pravi, ta neskladja, nepravilnost. Potem pa se seveda ugotavlja odgovornost za kršitev v prekrškovnem postopku. Ampak to je pa naslednja faza, o kateri tudi na tej točki zdaj ne moremo še.
Glede vašega vprašanja o tveganjih za posameznike. Se pravi, naš drugi fokus v tovrstnih primerih, je neka pomoč, svetovanje posameznikom, kaj lahko narediti, kadar pride do raznih takih razkritij podatkov. In tu smo. Na informacijskem pooblaščencu, smo objavili sporočilo za javnost, z razumljivimi navodili in pojasnili, kaj in kako se lahko posamezniki zaščitijo. Dejstvo je, da sta, zaenkrat je dejstvo, še vedno ostaja, da zaenkrat ni indicev, da bi bili ti podatki kje dostopni, na spletu, na temnem spletu, se pravi, zaenkrat še vedno ni indicev, da bi bili uporabljeni za kak drug namen, kot za se pravi prijavo ranljivosti in pomanjkljivosti pri zavarovanju, ampak ne glede na to, v to seveda ne moremo biti prepričani, na tak način, torej velja vseeno, da je dobro, da posamezniki poznajo tveganja, katerim so lahko izpostavljeni v primeru tovrstnih izpostavljenosti osebnih podatkov. Se pravi, če sta izpostavljena davčna in EMŠO, to vsekakor je neka kombinacija, ki omogoča neko ranljivost pred dodatnimi zlorabami. Se pravi, tukaj govorimo lahko o krajah identitete, lahko govorimo o tem, da se nekega posameznika premami, da se ga prevara v to smer, da posreduje še dodatne osebne podatke in se potem lahko zgodijo zlorabe.
Je pa dejstvo, kar je pa tudi treba opozoriti, da za neke pomembnejše pravne posle, se pravi sklepanje pogodb, bančni posli in tako naprej. Običajno je poleg EMŠO in davčne zahtevana še neka tretja vrsta ali identifikacija, mora človek priti osebno na mesto, mora pokazati osebni dokument, mora biti neka dvojna avtentikacija, uporabniški, email računi. Tako da predvsem je naš nasvet vsem, ki bi se našli v tem opisu te zbirke, ta, da so izjemno pazljivi pri poslih, kjer sta udeležena in davčna in EMŠO. Pa še kak drug način avtentikacije in identifikacije, da ne bi pač domnevali, da zgolj zaradi poznavanja EMŠO in davčne, bi pozabili na to, da je treba biti previden.
Glede upravljavcev raznih registrov, pa z naše strani velja enako. Treba je biti izjemno previden pri dodajanju dostopnih pravic, pri tem, da zavarovanje podatkov ni enkratna naloga, ampak je nekaj, kar se mora dogajati stalno, v vseh ciklih obdelave podatkov, da mora biti stalno posodobljena, sploh kadar gre za registre in zbirke podatkov, ki so tako široke in ki vključujejo tako veliko število posameznikov.
Tako da mogoče na tej točki z moje strani je to, to vse, več pa bomo lahko podali informacij, ko bo postopek zaključen.
Najlepša hvala.
Preden dam besedo naprej doktor Jožetu Svetetu, vas bi samo vprašala, sem vas prav razumela? Vsi vaši postopki so izključno vezani na upravo. Niste na ministrstvo preslikali tega, namreč vi morate vedeti, če še ne veste, ne, da uprava prav nič ne rabi davčne številke, ne, ko prijavijo recimo kužka, nekdo. Torej, podatki, ki se jim reče po moje varstvo osebnih podatkov, so vezani na MKGP, vaši, vaši postopki pa niso potekali na MKGP, izključno samo na upravo, sem vas prav razumela? In oziroma če boste to nadaljevali z MKGP?
