Hvala lepa za besedo.

Spoštovani predsednik, spoštovane in spoštovani, lep pozdrav.

Leto 2022 je bilo izrazito stresno leto, leto preizkušenj za sistem zaščite in reševanja v Republiki Sloveniji. Ob požarih, naravnih nesrečah, ko je bil ves sistem do mala vpet v preprečevanje posledic, je Upravo Republike Slovenije za zaščito in reševanje potem doletel še kibernetski napad. Pred kibernetskimi napadi seveda nismo imuni in ne moremo biti imuni, in kot je rekel predsednik na začetku, seveda so se dogajali in se bodo še dogajali v prihodnje, vendar bistveno vprašanje, kako tak napad odbiti, kako ob takem napadu preživeti s čim manj posledicami. Informacijski sistem, sama Uprava Republike Slovenije za zaščito in reševanje seveda skupaj z informacijskim sistemom kot s podpornim sistemom, eden izmed treh stebrov nacionalne varnosti. S tem se najbrž lahko vsi strinjamo in zato je seveda še toliko pomembnejše, da znotraj uprave in v komunikaciji navzven informacijski sistem deluje brezhibno, ker je od delovanja tega informacijskega sistema v mnogo čem odvisna varnost državljank in državljanov Republike Slovenije, varnost premoženja, infrastrukture in vsega drugega, kar je lahko prizadeto ob naravnih nesrečah. Temeljno vprašanje seveda je, kaj je privedlo do tolikšnega obsega posledic tega kibernetskega napada. Trdim, na začetku in po vsem tem kar smo lahko doslej dognali pri preiskovanju tega dogodka, pri revizijah in inšpekcijskih nadzorih, da je tolikšnim posledicam tega kibernetskega napada botroval predvsem neodgovoren, malomaren, podcenjujoč odnos do tega področja, do področja informacijske varnosti takratnega vodstva Uprave Republike Slovenije za zaščito in reševanje. Če ste podrobneje pogledali revizijsko poročilo, poročilo o inšpekcijskem nadzoru, dognanja iz teh dokumentov na to tudi jasno kažejo. Treba je pogledati malo vsebino, ni se vse začelo avgusta 2022. Dogodkom, ki so privedli do teh posledic kibernetskega napada, so seveda botrovali predhodni, več let predhodni dogodki ali pa ne dogodki, kar se seveda iz revizijskega poročila tudi jasno vidi. Za informacijsko varnost je odgovoren predstojnik organa, v tem primeru direktor Uprave Republike Slovenije za zaščito in reševanje in za obvladovanje tveganj je odgovoren vodja informacijske varnosti. To iz vseh dokumentov, iz vseh pristojnosti, ki jih imata tako predstojnik kot vodja informacijske varnosti, nedvoumno izhaja.

Uprava Republike Slovenije za zaščito in reševanje, torej načrtuje, gradi, vzdržuje enotni informacijsko- komunikacijski sistem na področju varstva pred naravnimi in drugimi nesrečami. Uprava Republike Slovenije za zaščito in reševanje, kot je razvidno iz dokumentov, vse do tega kibernetskega napada ni ne načrtovala, ne gradila in ne vzdrževala tega sistema. To je v bistvu, zakaj so stvari potem ob tem kibernetskem napadu šle tako hudo narobe. Zdaj, kot je videti, se projekti s tega področja, pa ne samo s tega področja, tudi iz marsikaterega drugega, ampak danes govorimo o informacijski varnosti. Projekti so večinoma ostajali nedokončani, se niti niso začenjali, finančna sredstva so sicer bila planirana za posodabljanje sistema, za vzdrževanje sistema, ampak tudi iz leta v leto nerealizirana, praktično ni bilo nobenih načrtov, še za leto 2023, takrat ob samem kibernetskem napadu in v dneh po tistem je bilo jasno videti, da celo načrta javnih naročil za to področje za leto 2023 sploh ni bilo. Delovna mesta za področje informacijske varnosti, informacijsko-komunikacijske varnosti in sploh vzdrževanja samega sistema so nezasedena. Mislim, da tam v dveh tretjinah samo glede na kadrovski načrt. Tisto, kar je pravzaprav pri vsem tem najpomembneje in kjer se je vse skupaj začelo, upravljanja dostopnih pravic do samega informacijsko-komunikacijskega sistema praktično ni bilo. Bilo je popolnoma neurejeno, zato se je lahko tudi zgodilo, da je bil vstop, da je bila vstopna točka tega napada zasebni računalnik enega izmed ali celo dveh zaposlenih, ki sta dostopala od doma brez formalnih pooblastil, niti ni še zdaj v tem trenutku še vedno ne popolnoma jasno, kdo jima je te pravice na popolnoma nezavarovan, nezavarovanih računalnikih sploh odobril. Od tod je potem prišel ta virus v sam sistem. Toliko smo lahko dognali, kdo je za to odgovoren ta trenutek, mislim da sploh še nismo uspeli ugotoviti.

Zdaj, če govorimo o planiranju in realizaciji planiranih sredstev za vzdrževanje, za nadgradnjo informacijsko-komunikacijskega sistema v okviru Uprave Republike Slovenije za zaščito in reševanje, bom dal samo en primer. Če so planirali oziroma, če so sploh kaj planirali in kako so planirali. Recimo platforma za sprejem klicev na 112, izjemno pomembna platforma, ki je sicer v, resnici na ljubo, številka 112 je med samim trajanjem kibernetskega napada sicer delovala, mislim kakšne težave pa so imeli operaterji na terenu, pa je bilo več ali manj mnogokrat komunicirano, pa tudi v nadaljevanju bomo lahko o tem kaj rekli. No, ampak ta nova platforma za sprejem klicev 112 je bila planirana december, z dokončanjem decembra 2020, decembra 2021 in decembra 2022. Zdaj smo v letu 2023, je ni, je ni. Ampak kako so bila planirana sredstva. Za 2020 – 400 tisoč evrov, pa ni bilo nič. Potem za 2021 je bilo kar nenadoma dovolj 150 tisoč evrov, pa spet ni bilo nič. Za 2022 je bilo planiranih pa 800 tisoč evrov, pa tudi še ni bilo realizacije.

Zdaj jaz, če strnem, pa bomo potem v posameznih primerih, primerih oziroma točkah iz tega revizijskega poročila in inšpekcijskega nadzora lahko pojasnjevali še podrobneje, kaj je botrovalo posledicam tega kibernetskega napada. Uprava v tistem trenutku ni imela pravnega akta o varovanju samega sistema. Ni imela strategije razvoja samega sistema. No, saj to se iz teh podatkov, kako so na primer neko investicijo planirali več let in s kakšnimi sredstvi, tudi jasno razvidno. Ni imela formalno urejenih postopkov za dostop do sistema, zato seveda ta nepooblaščen dostop, oddaljen dostop in prek njega razširitev posledic kibernetskega napada. In pri samem revizijskem pregledu je bilo ugotovljeno tudi, da niti projektov, ki so tekli, ni nihče spremljal in ostajajo več ali manj vsi s tega področja, vsaj za tisto obdobje v lanskem letu nezaključeni. Do nekaterih podatkov prav zaradi tega, ker spremljanja izvajanja projektov sploh ni bilo, celo pri reviziji ni bilo mogoče priti.

Zdaj, kje smo danes po več mesecih po tem kibernetskem napadu. Sistem v celoti še vedno ne deluje. Sicer Uprava Republike Slovenije za zaščito in reševanje lahko ob obnovljenem sistemu deluje, vendar je še cel kup aplikacij, pri katerih so še vedno varnostni zadržki, dokler ne bodo ustrezno varnostno pregledane in še ne delujejo. Torej je okrnjeno delovanje.

Ministrstvo za obrambo je v okviru ukrepov in iz svojih pristojnosti v trenutku, ko se je ta incident zgodil, ves čas nudilo vso strokovno pomoč Upravi Republike Slovenije za zaščito in reševanje, najprej s samo zaustavitvijo celotnega sistema in od tod izvirajo potem te glavne posledice, celoten sistem je bilo treba praktično ustaviti. V tej prvi fazi, na začetku je Ministrstvo za obrambo Upravi Republike Slovenije nudilo zamenjavo strežnikov, novih strežnikov s strežniki na katerih je sistem deloval prej, so bili preprosto zastareli. Izgovor takratne uprave je bil, da so to seveda imeli namen zamenjati, ampak da javno naročilo teče že dve leti. Lepo vas prosim. Javno naročilo teče dve leti. Mi smo na primer v lansko leto za 20 milijonsko investicijo z nabavo 40. specialnih vozil za področje zaščite in reševanja in nadgradnje teh vozil javni razpis pripravili in realizirali v dveh mesecih. V dveh mesecih brez afer, brez afer in pogodbe so podpisane. Torej, tukaj menda zaradi dolgotrajnih postopkov tudi po dveh letih niso uspeli kupiti nekih par strežnikov.

V prihodnje, to je bilo tudi vprašanje, potem, ko se sistem počasi postavlja na noge, kako v prihodnje zagotavljati ustrezno varnost samega sistema Uprave za zaščito in reševanje in ali, bom rekel, inkorporirati ta sistem v sistem Ministrstva za obrambo. Do neke mere je to mogoče, ne pa v celoti. Na nekaterih področjih je ta sistem vendarle toliko odprt do državljanov in državljank in do drugih služb, da ga seveda ni mogoče v celoti umestiti v sistem Ministrstva za obrambo. Na nekaterih področjih in ta proces zdaj teče, pa je to možno, torej da poskrbimo za zavarovanje sistema in seveda tako kot je zdaj teklo postopno vključevanje sistema, da bo temu primerno to pripeljano tudi do konca.

Jaz sem želel na tem mestu predstaviti kaj vse je botrovalo, da smo potem prišli v situacijo, v kakršno smo prišli, in da se to ni zgodilo kar samo od sebe. D da je temu res tako, potrjuje tudi podatek, tudi Ministrstvo za obrambo je bilo, pa ne dolgo po tistem, tarča kibernetskega napada. To je tudi javno znano. Ampak zaradi robustnega varnostno-ustreznega sistema seveda ni bilo popolnoma nobenih posledic, tako da je vsa ta zgodovina tega kibernetskega napada zelo dobro popisana v samem revizijskem poročilu, tudi z mnogimi priporočili sedanji Upravi Republike Slovenije za zaščito in reševanje, ki je pred zahtevno nalogo. Ta priporočila imajo nekatera izjemno kratke roke, čeprav se sanirajo stvari za več let ali pa desetletja ali pa še več za nazaj, ampak v teh izjemno kratkih rokih seveda zdaj nova Uprava Republike Slovenije za zaščito in reševanje dolžna ta priporočila oziroma zahteve revizorjev tudi uresničevati.

Hvala lepa.