Hvala za besedo. Spoštovana predsednica odbora, spoštovane poslanke in poslanci, vsi prisotni!

V zvezi nepooblaščenega vdora v informacijski sistem Uprave za varno hrano, veterinarstvo in varstvo rastlin v bistvu podamo eno poročilo o dejanskem stanju in seveda potek ukrepanja. 29. oktobra 2025 ob 13.30 smo prejeli klic predstavnice informacijskega pooblaščenca, da je bilo na strežniku FFS (fitofarmacevtskih sredstev) zaznan kritičen varnostni problem. Uslužbenka, ki je klicala, ki je klic prejela, je o tem nemudoma tudi obvestila vodjo sektorja pooblaščenega za informacijske sisteme. Vodja sektorja pooblaščenec za informacijske sisteme je takoj ukrepal in ob 14.30. smo ranljivost na strežniku že odpravili, o čemer smo tudi obvestili informacijskega pooblaščenca, ki je odpravo težav ustno potrdil. Tako smo v bistvu ranljivost po prejemu obvestila nemudoma odpravili in onemogočili nadaljnji dostop do podatkov. Tekoče poslovanje organa, zaradi incidenta ni bilo moteno. V zvezi z nepooblaščenim dostopom pa tudi ni bilo podanih nobenih finančnih zahtev ali izsiljevanj. Način nepooblaščenega vstopa v informacijski sistem je omogočal dostop do osebnih podatkov, kot ste že rekli, 873000 fizičnim osebam. To so v bistvu ime, priimek, naslov, EMŠO in davčna številka, ki so bile v preteklosti zavezane k vpisu v registre, ki jih v skladu s področno zakonodajo vodi Ministrstvo za kmetijstvo, gozdarstvo in prehrano ter organi v njegovi sestavi ali pa so bile v bistvu predmet pristojnih inšpekcij na področju kmetijstva. Gre za zbirke podatkov iz zakonov, ki urejajo živila, krmo, veterinarstvo, veterinarska zdravila, zaščito živali, varstvo rastlin, rastlinski semenski material in fitofarmacevtska sredstva, vino agrarne skupnosti, promocijo kmetijskih in živilskih proizvodov, morsko ribištvo in gozdni reprodukcijski material. V naslednjih dneh, po zaključku notranje analize smo vse pristojne organe tudi obvestili v zakonskih rokih in na predpisan postopek. Obvestilo za javnost smo posameznikom, ki bi se lahko prepoznali v navedenih zbirkah podatkov, svetovali, naj ne posredujejo dodatnih osebnih podatkov po telefonu ali elektronski pošti, če niso povsem prepričani o identiteti sogovornika ter da v primeru suma poskusa zlorabe nemudoma obvestijo policijo. Za dodatna pojasnila smo tudi vzpostavili kontaktni elektronski naslov, na katerega so se stranke lahko obračale. Nadalje preverjanje poteka v sodelovanju UHVR z Uradom Vlade Republike Slovenije za informacijsko varnost in policijo. Zunanji izvajalec, se pravi URSIL, je izvedel zunanji varnostni pregled, odkril je dodatne ranljivosti in predlagal, predlagana je bila preventivna ustavitev strežnika. Od urada vlade za informacijsko varnost smo prejeli tudi poročilo o stanju informacijskih sistemov, v katerem so bile opredeljene ranljivosti aplikacije glede na stopnjo tveganja. Uprava je ustrezno obravnavala vse ugotovljene ranljivosti, pri čemer so imeli prednost tiste z visoko stopnjo tveganja. Nemudoma smo pričeli z odpravljanjem ranljivosti z najvišjo prioriteto. Ob tem poudarjamo, da nobena od teh ranljivosti ni pokazala šibkosti, ki bi omogočala krajo podatkov ali spreminjanje podatkov. Do 19. novembra 2025 so bile vse ranljivosti z najvišjo stopnjo tveganja odpravljene. Informacijski sistem UHVR deluje na informacijski strukturi, ki jo opravlja Ministrstvo za digitalno preobrazbo, upravljanje sektorsko specifičnih aplikaciji je v pristojnosti UHVR. Pri razvoju in vzdrževanju posameznih delov informacijskega sistema so bile upoštevane tudi aktualne varnostne usmeritve in prakse. Uvajanje varnostnih mehanizmov in nadzorov je bilo omejeno glede na omejene razpoložljive kadrovske in finančne vire s katerimi razpolaga UHVR in širino sektorskih specifičnih aplikacij glede na obseg pove tudi podatek, da je bil izveden vzorni test na spletnih, na spletu dostopnih 66 aplikacij oziroma končnih točk. Pristojne institucije so bile tako tudi obveščene v zakonskih rokih, obveščena javnost je bila potem usklajena z organi, ki so že izvajali preiskovalna dejanja. Incident sam je v bistvu opozoril, da moramo nenehno vlagati v varnostne protokole in transparentnost. Zato smo javnost obvestili takoj, ko je bilo to mogoče, in zagotovili pravico posameznikov do obveščenosti. Zavzemali se bomo v bistvu za zagotavljanje najvišje ravni varnosti podatkov o transparentnosti in neodgovornega ravnanja. Incident je bil obvladan hitro in učinkovito, a kljub temu obstaja pomembna naloga v bistvu okrepiti odpornost sistema in zaupanje javnosti.

Če se dotaknem glede zahtev Poslanske skupine Nove Slovenije v tistih parih točkah. In seveda 1. točka je tveganje za izvedbo ukrepov skupne kmetijske politike. Sam vdor na UHVR je bil omejen na razkritje podatkov o subjektih, ki sicer nastopajo v različnih evidencah ministrstva, UHVR, inšpektorata in agencije za kmetijske trge, vendar vse ostale evidence niso bile prizadete. Ukrepi skupne kmetijske politike normalno potekajo in na njihovo izvedbo vdor ni vplival. Evidence agencije za kmetijske trge so vključene v državni računalniški oblak Doro v skladu z zahtevami DR se pri vsaki novi različici informacijskega sistema izvaja tudi preverjanje ranljivosti. Nepooblaščen dostop do podatkov v registru UHVR ne predstavlja neposrednega tveganja za postopke, ki jih na podlagi akreditacijskih meril izvaja agencija. Glede tveganja za zlorabo osebnih podatkov v bistvu še vedno upamo, da je prijavitelj dobronamerno opozoril na ranljivost na spletni strani UHVR in da bo do te zlorabe ne bo prišlo.

Seveda pa svetujemo javnosti, da ravna v skladu s priporočili informacijskega pooblaščenca glede standardov dobre prakse informacijske varnosti. Kar se tiče tveganja za motnje v prometu z živili v bistvu zaradi vdora v osebne podatke ne pričakujemo nobene ogroženosti oziroma ogrožene sledljivosti in zakonitosti prometa z živili. Tveganje za finančne korekcije s strani Evropske komisije, v bistvu redni pregledi it sistemov in informacijske varnosti na ministrstvu in tudi na KTRP se bodo opravljali še naprej kot do sedaj. UHVR pa bo moral po odpravi ranljivosti zagotoviti, da se tovrstni incidenti preprečijo. Prvenstveno je namen države, da poskrbi za ustrezno varnost in sprejme vse potrebne poravnalne ukrepe, da se tovrstni incidenti v največji možni meri preprečijo. V kolikor država članica izvede vse primerne ukrepe, kar jih tudi smo, Evropski komisiji ni potrebno niti ukrepati. Glede tveganja zmanjšanja zaupanja in administrativne zmogljivosti, seveda pričakovano je, da se ob tovrstnih dogodkih omaje zaupanje v institucije in narejeno bo seveda vse potrebno, da se tovrstni incidenti v največji možni meri tudi preprečijo.

Glede treh sklepov, ki so bili podani bi v bistvu komentiral oziroma tudi že imam, predlagal že pri prvem sklepu, da se zagotovi celovito revizijska, revizija informacijske varnosti v celotnem resorju. V bistvu na UVHVVR se že izvaja celotni pregled informacijske varnosti in v bistvu smo prejeli že dve priporočili s strani MDP in URSL. Pomanjkljivosti so že večinoma odpravljene. Prav tako pa je tudi ministrica seveda tako izdala sklep o izvedbi celotne analize informacijske varnosti in informacijskih sistemov na ministrstvu, kateri velja tudi seveda za organe v sestavi. To je bilo izdano 12. novembra.

Glede drugega sklepa, ker govorimo o ne, nemudoma ukrepati okrepi varnostne protokole in nadzore dostopa. V bistvu na UVHVVR se že izvaja, prav tako pa tudi pri vseh drugih, da se v bistvu zagotovi varnost podatkov, ki jih dejansko potrebujemo za delo.

Glede tretjega sklepa, ker govorimo o najkrajšem možnem času, se pripravi načrt kriznega upravljanja za primere ponovnih incidentov. Načrt kriznega upravljanja se na ministrstvu in organi v sestavi že izvaja in se še bo tudi in se je že tudi prej. Podrobnosti načrta pa lahko po potrebi pojasnijo tudi moji sodelavci, ki detajlno poznajo informacijsko varnost, ki so v bistvu strokovnjaki s tega področja. To bi bilo tako na kratko. Hvala.