Tudi davčna uprava popravila varnost svojega spletnega portala

Davčna uprava je že pred meseci napovedala izboljšanje katastrofalne varnost portala eDavki. Zdaj je končno izpolnila obljubo.

Pred štirimi meseci je strokovnjak za informacijsko varnost Matej Kovačič odkril hude ranljivosti spletnih portalov davčne uprave, pa tudi notranjega ministrstva. Ranljivosti so omogočale krajo osebnih podatkov uporabnikov storitev in celo krajo identitete uporabnikov.

Obe inštituciji sta nam takrat obljubili, da bosta ranljivosti odpravili v dveh mesecih. Ministrstvo za notranje zadeve je vsaj delno izboljšalo svojo varnost, dacarji pa so obljubo snedli.

Ko smo jih pred mesecem dni soočili z našo ugotovitvijo, da portal eDavki še kar vsebuje kritične varnostne ranljivosti, so nam izboljšave obljubili za konec meseca septembra. Prvotne obljube po njihovih pojasnilih niso mogli izpolniti zaradi »zapletov pri delovanju nekaterih funkcionalnosti na novi opremi.«

A na davčni upravi so tokrat pozitivno presenetili. Ob preverjanju smo namreč ugotovili, da so varnost svojih portalov že nadgradili. Ocena varnosti portala eDavki na lestvici A-F tako zdaj znaša B (prvotna ocena je bila najnižja možna, F).

durstest
Varnostna ocena portala eDavki se je zvišala z F na B. A prostor za izboljšave še obstaja

Prostor za izboljšave še ostaja. Davčna uprava še ne uporablja dveh najmočnejših kriptografskih protokolov, TLS 1.1 in TLS 1.2. Z uporabo teh dveh protokolov bi varnost še izboljšali, saj bi morebitnim napadalcem otežili dešifriranje davčnih podatkov, ki jih podjetja pošiljajo davčni upravi. Nadgradnjo strežnikov, ki bo omogočala uporabo TLS 1.1 in TLS 1.2, pri Dursu obljubljajo v mesecu novembru.

Obenem pa portal eDavki, kot tudi portal notranjega ministrstva eUprava, še kar trpi zaradi neprimernih digitalnih potrdil. Digitalna potrdila nepridipravom preprečujejo, da bi na spletu postavili lažno spletno stran, ki bi izgledala natanko tako kot spletna stran eDavki, nato pa promet obiskovalcev s strani eDavki preusmerjali na to lažno spletno stran. Nič hudega sluteči uporabnik bi tako svoje podatke izdal lažni spletni strani (in s tem nepridipravom) v veri, da komunicira z davčno upravo.

Z notranjega ministrstva so nam sporočili, da težavo z digitalnimi potrdili še rešujejo.

Za varnost spletnih portalov eUprava in eDavki po pojasnilih obeh državnih organov skrbijo zaposleni na notranjem ministrstvu in Dursu. Dursu pri tem pomagata podjetji Unistar LC in S&T Slovenija, ki sta odgovorni za vzdrževanje strojne opreme (strežnikov). Unistar je od leta 2003 do danes s poslovanjem z Dursom zaslužil dober milijon evrov, S&T Slovenija pa 7,2 milijona evrov.

Nastanek tega članka ste omogočili bralci z donacijami. Podpri Pod črto

Deli zgodbo 0 komentarjev



Več iz teme: Komunikacijska varnost

Kako varno je naše komuniciranje z drugimi prek spleta, telefona in ostalih komunikacijskih kanalov? Preverjamo varnost različnih oblik komunikacije.

36 prispevkov

Kdo je odgovoren za slabo informacijsko varnost na UKC Ljubljana

UKC Ljubljana je slabo zavaroval podatke o zdravstvenem stanju posameznikov. Pooblaščenec za informacijsko varnost v UKC Ljubljana je nekdanji direktor …

Tema: Komunikacijska varnost
Članek,

Zakaj FURS strankam priporoča uporabo varnostno ranljivih brskalnikov

Finančna uprava je v začetku marca razburila z nasvetom, naj uporabniki Mac in Linux operacijskih sistemov prenehajo posodabljati brskalnik Firefox.

Tema: Komunikacijska varnost
Članek,

0 komentarjev

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

Zadnje objavljeno