Pred štirimi meseci je strokovnjak za informacijsko varnost Matej Kovačič odkril hude ranljivosti spletnih portalov davčne uprave, pa tudi notranjega ministrstva. Ranljivosti so omogočale krajo osebnih podatkov uporabnikov storitev in celo krajo identitete uporabnikov.

Obe inštituciji sta nam takrat obljubili, da bosta ranljivosti odpravili v dveh mesecih. Ministrstvo za notranje zadeve je vsaj delno izboljšalo svojo varnost, dacarji pa so obljubo snedli.

Ko smo jih pred mesecem dni soočili z našo ugotovitvijo, da portal eDavki še kar vsebuje kritične varnostne ranljivosti, so nam izboljšave obljubili za konec meseca septembra. Prvotne obljube po njihovih pojasnilih niso mogli izpolniti zaradi »zapletov pri delovanju nekaterih funkcionalnosti na novi opremi.«

A na davčni upravi so tokrat pozitivno presenetili. Ob preverjanju smo namreč ugotovili, da so varnost svojih portalov že nadgradili. Ocena varnosti portala eDavki na lestvici A-F tako zdaj znaša B (prvotna ocena je bila najnižja možna, F).

Prostor za izboljšave še ostaja. Davčna uprava še ne uporablja dveh najmočnejših kriptografskih protokolov, TLS 1.1 in TLS 1.2. Z uporabo teh dveh protokolov bi varnost še izboljšali, saj bi morebitnim napadalcem otežili dešifriranje davčnih podatkov, ki jih podjetja pošiljajo davčni upravi. Nadgradnjo strežnikov, ki bo omogočala uporabo TLS 1.1 in TLS 1.2, pri Dursu obljubljajo v mesecu novembru.

Obenem pa portal eDavki, kot tudi portal notranjega ministrstva eUprava, še kar trpi zaradi neprimernih digitalnih potrdil. Digitalna potrdila nepridipravom preprečujejo, da bi na spletu postavili lažno spletno stran, ki bi izgledala natanko tako kot spletna stran eDavki, nato pa promet obiskovalcev s strani eDavki preusmerjali na to lažno spletno stran. Nič hudega sluteči uporabnik bi tako svoje podatke izdal lažni spletni strani (in s tem nepridipravom) v veri, da komunicira z davčno upravo.

Z notranjega ministrstva so nam sporočili, da težavo z digitalnimi potrdili še rešujejo.

Za varnost spletnih portalov eUprava in eDavki po pojasnilih obeh državnih organov skrbijo zaposleni na notranjem ministrstvu in Dursu. Dursu pri tem pomagata podjetji Unistar LC in S&T Slovenija, ki sta odgovorni za vzdrževanje strojne opreme (strežnikov). Unistar je od leta 2003 do danes s poslovanjem z Dursom zaslužil dober milijon evrov, S&T Slovenija pa 7,2 milijona evrov.