OZ 2017/1-2

44 ORGANIZACIJA ZNANJA 2017, LETN. 22, ZV. 1 - 2 Konferenca Informatika v javni upravi je potekala 5. in 6. decembra 2016 v Kongresnem centru Brdo pri Kranju. Rdeča nit konference je bila Digitalna preobrazba javne uprave – GaaS. Konferenca je postala že tradicionalna in je priložnost za predstavitev primerov dobre prakse v javni upravi. Pomembno sporočilo konference je, da je informatizacija javne uprave ključna za celotno državo, ne le za javno upravo. Javna uprava kot informacijski sistem razpolaga z velikim bogastvom podatkov in tisti podatki, ki so javno dostopni, lahko zainteresiranim omogočijo razvoj novih storitev, s tem pa tudi poslovni zagon in konkurenčno prednost. Soočanje z najpogostejšimi ranljivostmi spletnih aplikacij državnih organov Anže Mihelič in Simon Vrhovec s Fakultete za varnostne vede Univerze v Mariboru sta v svojem prispevku predstavila identificiranje in analiziranje varnostnih tveganj, ki so jim izpostavljene spletne aplikacije državnih organov. Pri tem sta se osredotočila na najbolj kritične ranljivosti, kot so vrivanje SQL, nedelujoče upravljanje avtentikacije in sej ter napad XSS. Zaradi visoke občutljivosti podatkov, ki se shranjujejo in pretakajo po kanalih spletnih aplikacij državnih organov, javnost pričakuje zagotavljanje visoke stopnje varnosti pri komunikaciji ter pri hrambi in obdelavi osebnih in drugih podatkov, kar v splošnem razumemo kot varovanje sredstev informacijskega sistema in zagotavljanje nadzora nad dostopom do informacij. Med najpogostejša varnostna tveganja, ki so jim izpostavljene vse spletne aplikacije, med drugim tudi aplikacije državnih organov, spadata vrivanje SQL in napad XSS. Omenjeni ranljivosti sta izbrani predvsem zaradi pogostosti in preprostosti zaznavanja. V povprečju je omenjenim tveganjem izpostavljenih kar 81,6 odstotkov digitaliziranih javnih uprav vseh analiziranih držav. V Evropi je ta delež nekoliko višji, saj znaša 90 odstotkov. Vrivanje SQL (angl. SQL injection ) je napad na spletno aplikacijo in zbirko podatkov, pri katerem napadalec med podatke, ki jih aplikaciji posreduje uporabnik, vrine del poizvedbe (angl. SQL query ) in s tem spremeni INFORMATIKA V JAVNI UPRAVI 2016 osnovno delovanje ukaza. Napad je možno izvesti pri aplikacijah, ki ne preverjajo vhodnih podatkov, temveč jih neposredno prenesejo v dinamične poizvedbe. Napad XSS (angl. Cross-Site Scripting ) je napad na spletno aplikacijo, pri katerem napadalec v aplikacijo vstavi ukaze JavaScript, ki se izvedejo v brskalniku uporabnika. Gre za spreminjanje spletne aplikacije, tako da ob obisku strani spletni brskalnik obdela vstavljeno zlonamerno programsko kodo kot del spletne strani. Z napadomXSS lahko napadalci spreminjajo in poneverjajo podatke spletne strani ter pridobijo najrazličnejše podatke – od osebnih podatkov do podatkov o kreditnih karticah. (Mihelič in Vrhovec, 2016) Izzivi pri vzpostavitvi sistema podatkovnega skladišča in poslovne analitike v državni upravi Predavatelji so bili Aleš Veršič in Karmen Kern Pipan z Direktorata za informatiko ter Samo Dečman iz podjetja 3 GEN, d. o. o. Ugotavljajo, da slovenska javna uprava na področju razvoja poslovne analitike, podatkovnih skladišč in masovnih podatkov ne izkorišča vseh potencialov, ki jih ponuja digitalni način poslovanja, in to tako v smislu povečevanja učinkovitosti poslovanja kot tudi boljšega prilagajanja uporabnikom. NaMinistrstvu za javno upravo so začeli projekt za vzpostavitev skladišča podatkov in sistema poslovne analitike, ki bosta v naslednjih letih na voljo kot horizontalna storitev na državnem računalniškem oblaku (DRO) za organe državne uprave. Poseben izziv predstavljata tudi anonimizacija osebnih podatkov pri prenosu v podatkovno skladišče in njihova uporaba v poslovni analitiki. Odpira se veliko vprašanj glede lastništva podatkov ter varstva osebnih podatkov in podatkovnega vira, ki bi bil lahko uporaben za vse uporabnike sistema. Tak primer je lahko register prostorskih enot, v katerem so med drugim naslovi in seznam občin. Pomembno vprašanje je vprašanje odgovornosti pri zagotavljanju delovanja podatkovnega toka. Treba bo dovolj jasno opredeliti matriko odgovornosti za posamezno aktivnost v procesu. https://doi.org/10.3359/oz1712044 1.25: DRUGI ČLANKI ALI SESTAVKI