Vdor v informacijski sistem Uprave za varno hrano ogrozil podatke ogromno Slovencev

Uprava za varno hrano, veterinarstvo in varstvo rastlin sporočila, da je prišlo do nepooblaščenega vstopa do njihove baze podatkov

V sporočilu za medije, je Uprava za varno hrano, veterinarstvo in varstvo rastlin (UVHVVR) potrdila, da je bila prejšnji teden seznanjena z nepooblaščenem dostopom do podatkov v informacijskem sistemu.
Nemudoma so bili sproženi vsi nujni postopki za odpravo ranljivosti, s čimer je bil onemogočen nadaljnji dostop do podatkov. Po odpravi ranljivosti informacijski sistem UVHVVR deluje nemoteno.

Ogroženi osebni podatki številnih Slovencev

Urad informacijskega pooblaščenca je UVHVVR 29. oktobra 2025 popoldan obvestil o neavtoriziranem dostopu do osebnih podatkov preko spletne strani, kjer je objavljen seznam registriranih fitofarmacevtskih sredstev.

Uporabljen način nepooblaščenega vstopa je omogočil dostop do osebnih podatkov 873.201 fizičnih oseb (ime, priimek, naslov, EMŠO in davčna številka), ki so bile v preteklosti zavezane vpisu v registre, ki jih v skladu s področno zakonodajo vodi Ministrstvo za kmetijstvo, gozdarstvo in prehrano ter organi v sestavi ministrstva (Agencija za kmetijske trge in razvoj podeželja, Uprava za varno hrano, veterinarstvo in varnost rastlin, Inšpektorat za kmetijstvo, gozdarstvo, lovstvo in ribištvo) ali so bili predmet nadzora inšpekcij na področju kmetijstva.

To med drugim vključuje registre rejnih živali, registre kmetijskih gospodarstev, prejemnike kmetijskih subvencij, register hišnih živali itd. Gre za podatke zavezancev, ki so na podlagi Zakona o kmetijstvu in povezanih zakonov ter podzakonskih aktih vpisani v evidenco subjektov.

Ranljivost v sistemu odpravljena

UVHVVR je ranljivost nemudoma odpravila, s čimer je bil onemogočen nadaljnji dostop do podatkov. Tekoče poslovanje ni bilo ovirano, ravno tako ni bilo nobenih finančnih zahtev, povezanih z nepooblaščenim dostopom.

Posameznikom svetujejo, da ne delijo dodatnih osebnih podatkov po telefonu ali e-pošti, če niso 100-odstotno prepričani, s kom govorijo. Če zaznajo poskus takšne zlorabe, naj nemudoma obvestijo policijo.

UVHVVR je o nepooblaščenem dostopu takoj obvestila pristojno skupino SIGOV-CERT kot pristojno skupino za odzivanje na kibernetske incidente v organih javne uprave na državni in lokalni ravni (organizacijska enota Urada Vlade Republike Slovenije za informacijsko varnost) in informacijsko pooblaščenko ter podala prijavo na policijo.

Posamezniki, ki se prepoznajo v teh zbirkah podatkov, se lahko za dodatne informacije obrnejo na elektronski naslov [email protected].

Postopek proti Upravi za varno hrano, veterinarstvo in varstvo rastlin

Zaradi suma neustreznega zagotavljanja varnosti podatkov, Informacijski pooblaščenec (IP) vodi zoper Upravo za varno hrano, veterinarstvo in varstvo rastlin (UVHVVR) inšpekcijski postopek.

IP je dne 29. 10. 2025 prejel anonimno prijavo kršitve varnosti podatkov pri UVHVVR. Prijavitelj je navedel, da je na spletni strani zavezanca odkril ranljivost, ki omogoča pridobitev osebnih podatkov več kot 870.000 posameznikov, uparjenih s Centralnim registrom prebivalstva. IP je UVHVVR nemudoma po prejemu prijave seznanil s prijavo, uprava pa je dostop do osebnih podatkov na zadevni spletni strani onemogočila še isti dan.

Kršitev varnosti osebnih podatkov pomeni kršitev, ki vodi do nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja oziroma dostopa do osebnih podatkov. Kršitev je lahko storjena nehote (npr. iz malomarnosti) ali pa je načrtovana oziroma naklepna. Upravljavci so dolžni o zaznani kršitvi varnosti podatkov, če je (vsaj) verjetno, da so bile s kršitvijo ogrožene pravice in svoboščine posameznikov, najkasneje pa v 72 urah obvestiti IP. Kadar je verjetno, da kršitev varnosti podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, pa mora upravljavec o taki kršitvi brez odlašanja obvestiti tudi zadevne posameznike.

Ker je predmetni inšpekcijski postopek še v teku, trenutno več informacij ni na voljo.

Dostop do podatkov bi moral biti omejen

Po mnenju informacijskega pooblaščenca, primer nazorno kaže, kako hude posledice ima lahko omogočanje neposrednega dostopa do velikih državnih zbirk podatkov, kot je centralni register prebivalstva, ali ustvarjanje lokalnih kopij takšnih registrov, in kako pomembno je zagotavljanje ustrezne varnosti takih zbirk podatkov.

Iz tega razloga, bi morali dostopi do velikih državnih zbirk biti omejeni na nujno potrebne in biti sorazmerni, hkrati pa mora biti zagotovljen robusten sistem varnosti. Dostopnost podatkov iz velikih državnih registrov nepooblaščenim osebam lahko namreč trajno ogrozi njihovo zaupnost, posameznike pa izpostavi tveganjem za kraje identitete, nenamenske uporabe njihovih osebnih podatkov in druge zlorabe.