Raziskava: Več kot 80 % domen javnega sektorja v Sloveniji je ranljivih za ponarejanje
Report
• INFORMACIJSKA VARNOST • KIBERNETSKA VARNOST • RAZISKAVA • ZINFV-1 • ZINFV • ZINF •
Raziskava: Več kot 80 % domen javnega sektorja v Sloveniji je ranljivih za ponarejanje
LJUBLJANA 04/07/2026 — Obsežna avtomatizirana varnostna raziskava 1043 domenskih imen, povezanih z 1143 slovenskimi javnimi subjekti, je razkrila kritične ranljivosti in sistemske pomanjkljivosti v konfiguracijah elektronske pošte v javnem sektorju. Študija Kibervarnost.si, izvedena 7. aprila 2026, je zajela organizacije, vpisane v Register zavezancev za informacije javnega značaja (RZIJZ) – obvezno bazo podatkov subjektov, ki so po zakonu dolžni zagotavljati javni dostop do informacij –, pri čemer so bile šole in vrtci izvzeti.
Domene so bile ocenjene po točkovnem sistemu od 0 do 100 na podlagi sedmih ključnih konfiguracijskih kazalnikov. Skupna povprečna ocena slovenskega javnega sektorja znaša le 56,3 od 100. Več kot polovica pregledanih domen javnih subjektov (57 %) spada v razreda »slabo« ali »kritično«, kar kaže na sistemsko nezadostno raven kibernovarnostnih nastavitev njihove javno dostopne infrastrukture.
»Zaščita osebnih podatkov državljanov in javnih storitev zahteva usklajeno ukrepanje na ravni politik,« je povedal mag. Aleksander Sotov, strokovnjak za kibernetsko varnost pri Kibervarnost.si, izvajalcih raziskave. »Ta raziskava jasno izpostavlja nujnost ciljno usmerjenih izboljšav na področju varnosti elektronske pošte, šifriranja in mehanizmov za odgovorno razkritje ranljivosti v celotnem slovenskem javnem sektorju, zlasti v zdravstvu in komunalnih storitvah. Novi Zakon o informacijski varnosti (ZInfV-1), ki je začel veljati junija 2025, je dvignil standarde pri upravljavcih kritične infrastrukture – a ta učinek se v širšem javnem sektorju še ni uveljavil. Nezakrpane platforme za upravljanje vsebin v kombinaciji z odsotnim protokolom DMARC so idealno izhodišče za množične napade. Grožnje lahko sprožijo obsežne phishing kampanje, v katerih se lažno predstavljajo kot javne ustanove in v imenu teh pošiljajo lažne račune z naslovov, ki so videti povsem legitimni. Kibernetsko varnost je treba obravnavati kot verigo – in trenutno je v njej preveč šibkih členov.«
»Naši neodvisni testi predstavljajo objektivno diagnostiko, ta javna raziskava pa je prva te vrste v Sloveniji. Analizirali smo nastavitve SPF, DKIM in DMARC—ključne mehanizme za preprečevanje ponarejanja domen—pri domenah javnih storitev, saj šibke ali manjkajoče politike pomenijo izpostavljenost različnim napadalnim vektorjem. Zlonamerni AI agenti lahko izkoristijo ponarejanje domen (spoofing) za ustvarjanje zelo prepričljivih phishing napadov, namestitev izsiljevalskih virusov (ransomware) ali pošiljanje lažnih računov. Večina teh vektorjev vključuje prevare, kar predstavlja veliko tveganje za zlorabo javnih sredstev.«, je dodal Sotov.
Podrobna poročila
Celotna statistika po skupinah
Ugotovljene ključne ranljivosti
Raziskava je pregledala domenska imena organizacij, vpisanih v register RZIJZ. Metodologija je večjo težo namenila mehanizmom za preverjanje pristnosti elektronske pošte (DMARC, SPF in DKIM) kot merilom odpornosti proti lažnemu predstavljanju, hkrati pa je ocenila varnost prenosnih protokolov (HTTPS, HSTS), suverenost podatkov glede na lokacijo gostovanja ter pripravljenost na odgovorno razkritje ranljivosti (security.txt).
Zbrani podatki razkrivajo več zaskrbljujočih trendov:
Množična izpostavljenost ponarejanju elektronske pošte: Le 19 % domen uveljavlja stroge politike DMARC. Preostalih 81,4 % domen je mogoče trivialno posnemati v napadih lažnega predstavljanja, usmerjenih proti državljanom in javnim ustanovam, kar ustvarja ugodne pogoje za napade z lažnim predstavljanjem poslovnih partnerjev – pogost in finančno škodljiv vektor goljufij.
Idealne razmere za zlorabo sistemov za upravljanje vsebin: Skoraj 40 % domen uporablja javno prepoznaven WordPress, kar napadalcem razkriva natančno površino napada. Kritično je, da 11,3 % vseh domen združuje WordPress z odsotnim uveljavljanjem DMARC – scenarij z visokim tveganjem, ki hkrati omogoča neposredno izkoriščanje ranljivosti in usklajene lažne napade.
Pomanjkljivosti v varnosti komunikacij: Čeprav skoraj 80 % subjektov preusmerja promet na HTTPS, jih več kot 62 % nima vzpostavljenega protokola HSTS (HTTP Strict Transport Security), kar dolgoročne povezave izpostavlja napadom s prisilno razgradnjo šifrirnega protokola.
Sistemska tveganja pri gostovanju: Skoraj 30 % vseh domen javnega sektorja je skoncentriranih pri le dveh ponudnikih gostovanja – Webtasy in Pošta Slovenije. Takšna koncentracija pa pomeni sistemsko tveganje z enotno točko odpovedi. Poleg tega 5 % domen javnega sektorja gostuje zunaj EU, kar vzbuja utemeljena vprašanja glede skladnosti z GDPR.
Odsotnost kanalov za varnostno poročanje: Kar 94 % domen nima datoteke
security.txt, kar pomeni, da neodvisni varnostni raziskovalci nimajo uradne poti za prijavo odkritih ranljivosti, preden jih kdo izkoristi.
»Avtomatizirani pregled domen slovenskega javnega sektorja je le vrh ledene gore,« je opozoril Sotov. »Namenoma smo se osredotočili na konfiguracijo elektronske pošte in domenska imena, a že samo razkritje šibkih konfiguracij pri večini pregledanih domen – skupaj z visoko zastopanostjo javno prepoznavnega WordPressa – kaže, da je prostor za izkoriščanje ranljivosti bistveno širši. Napadi na podatkovne baze, kot so napadi tipa SQL injection, so pri takšnih konfiguracijah tehnično izvedljivi in dosegljivi praktično vsakemu. Z razvojem umetne inteligence pa to tveganje eksponentno narašča: akterji grožnje lahko že danes uporabljajo agente umetne inteligence za avtomatizirano odkrivanje in množično izkoriščanje tovrstnih ranljivosti v obsegu, ki ga ročni napadi ne bi zmogli doseči.«
Razlike med sektorji: od kritične infrastrukture do slovenskih naravnih parkov
Raziskava je razkrila izrazite razlike v ravni kibernetske varnosti med posameznimi sektorji. Subjekti kritične infrastrukture – zlasti energetski holdingi in infrastrukturna podjetja – so izkazali najvišjo varnostno zrelost, kar odraža regulatorno skladnost, ciljno usmerjene naložbe in večjo razpoložljivost virov. Energetski sektor je dosegel povprečno oceno 66,0, holdingi in infrastrukturna podjetja pa 69,8.
Na nasprotnem polu so naravni parki in izvajalci socialnih storitev, ki sta najranljivejši skupini s povprečnima ocenama 40,7 oziroma 44,7. Skoraj polovica spletnih mest naravnih parkov se uvršča v kategorijo »kritično« (ocena pod 40), pri čemer noben subjekt ne uveljavlja politike DMARC.
Zdravstveni sektor (zdravstvo) kljub svoji obsežni digitalni prisotnosti – v vzorec je bilo vključenih 181 subjektov – ostaja visoko izpostavljen kibernetskim tveganjem. Medtem ko 84 % zdravstvenih domen promet uspešno preusmerja na protokol HTTPS, le 14,4 % uveljavlja DMARC, kar kritično komunikacijo s področja zdravja pušča ranljivo za napade z lažnim predstavljanjem.
Komunalna podjetja za oskrbo z vodo in odvajanje odpadnih voda (voda_kanalizacija), ki so del kritične infrastrukture, izkazujejo zanimiv paradoks: dosegla so 100-odstotno uveljavljanje digitalnih podpisov DKIM, a hkrati znatno zaostajajo pri varnosti spletnih komunikacij, saj le 28,6 % uporablja HSTS.
Javna komunalna podjetja (komunala) predstavljajo povprečje: dosegajo zmerno splošno raven kibernetske varnosti s povprečno oceno 57. Čeprav izkazujejo dobro uveljavljanje HTTPS (79,5 %), le četrtina uveljavlja DMARC, kar njihove komunikacije delno izpostavlja tveganjem.
Univerze in fakultete izkazujejo visoko stopnjo uveljavljanja osnovnih mehanizmov za preverjanje pristnosti elektronske pošte – SPF (57,8 %) in DKIM (85,9 %) – a ne prestanejo zadnje preizkušnje: le 10,9 % dejansko uveljavlja strogo politiko zavrnitve ali karantene DMARC. Še zgovornejši je podatek, da članice univerz dosegajo 100-odstotno uveljavljanje DKIM, a niti ena ne uveljavlja politike DMARC – primer tehnične vzpostavitve brez zaključka varnostnih ukrepov na ravni politike v celotnem vzorcu. Univerza v Mariboru, ki je bila leta 2024 žrtev napada z izsiljevalsko programsko opremo (ransomware), v tej raziskavi dosega 85 od 100 točk – med višjimi ocenami v vzorcu.
Regionalne razlike: Piran prekaša Koper
Poleg sektorskih razlik podatki razkrivajo znatne regionalne razlike v pripravljenosti na kibernetske grožnje. Osrednjeslovenska regija se uvršča med najboljše, s povprečno oceno blizu 60, h kateri v veliki meri prispeva visoka koncentracija bolje opremljenih javnih subjektov z višjimi ocenami v prestolnici. Povsem drugačna slika je v Zasavski regiji, ki izkazuje eno najnižjih regionalnih povprečij s povprečno oceno zgolj okoli 51. Ta geografska razlika poudarja stalno vrzel v virih, financiranju in strokovnem znanju s področja informacijske tehnologije med osrednjimi upravnimi središči in manjšimi regionalnimi območji.
Regionalne primerjave prav tako kažejo, da velikost ni zagotovilo boljše kibernetske varnosti. V Obalno-kraški regiji je manjša občina Piran dosegla solidnih 61,2 točke in s tem občutno prehitela večji sosednji Koper z oceno 49,8. V Kopru naša raziskava med vsemi pregledanimi subjekti ni odkrila niti enega z oceno nad 80 – kar bi kazalo na dobro skrbnost –, večina od pregledanih koprskih subjektov pa je bila ocenjena kot »slaba« ali »kritična«.
Priporočila
Za odpravo ugotovljenih sistemskih ranljivosti morajo odgovorni deležniki vzpostaviti načelo vgrajene varnosti (security by default), ki presega zagotavljanje zgolj osnovne digitalne dostopnosti in temelji na zanesljivi avtentikaciji. Prednostni ukrepi na ravni politik bi morali zajemati obvezno uveljavljanje strogih politik DMARC – zavrnitve ali karantene – za vse subjekte RZIJZ, s čimer bi zaprli pot ponarejanju domen, ter obvezno uvedbo HSTS in datoteke security.txt za zaščito uporabniških podatkov in vzpostavitev uradnega kanala za odgovorno poročanje o ranljivostih. Poleg tega bi preselitev strežniške infrastrukture v EU in zmanjšanje odvisnosti od peščice dominantnih ponudnikov gostovanja odpravila sistemska tveganja, ki izhajajo iz prevelike koncentracije, ter zagotovila dolgoročno skladnost z GDPR. Ciljno financiranje in skupne storitve kibernetske varnosti so še posebej nujne za sektorje z najnižjimi ocenami, kot so izvajalci socialnih storitev – ker je varnost celotne digitalne infrastrukture javnega sektorja le tako trdna kot njen najšibkejši člen. Subjekti, ki so bili vključeni v raziskavo, so z zakonom zavezani k odgovornosti do javnosti, in njihova raven kibernetske varnosti je sestavni del te odgovornosti.
Opomba za urednike:
Neobdelani podatki so na voljo na zahtevo; ocene za vsako domeno so dostopne tukaj.
Točkovni sistem v tej raziskavi meri konfiguracijska varnostna pravila javno dostopnih digitalnih storitev – konkretno protokole DMARC, DKIM, HSTS in HTTPS – in ne odpornosti organizacije proti vdorom ali splošne ravni omrežne varnosti. Napadi z izsiljevalsko programsko opremo praviloma prodrejo v sistem prek lažnih e-poštnih sporočil, ranljivosti v VPN-infrastrukturi ali nezakrpanih notranjih sistemov – dejavnikov, ki jih ta model ocenjevanja ne zajema. Ocena 85, ki jo dosega Univerza v Mariboru, je zato točna znotraj svojega okvira merjenja: pomeni, da ima organizacija dobro nastavljeno javno e-poštno in spletno infrastrukturo. Hkrati pa ravno ta primer nazorno opominja, da visoka ocena domene ni jamstvo za odpornost proti kibernetskim napadom – organizacija z odlično konfiguracijo javnih storitev je lahko kljub temu ranljiva za napad, ki vstopi skozi notranje omrežje ali človeški dejavnik.
Ponarejanje domene (Domain spoofing) pomeni, da napadalci ponaredijo spletno mesto ali e-poštno domeno z namenom zavajanja uporabnikov, zlasti v napadih z lažnim predstavljanjem. DMARC (Domain-based Message Authentication, Reporting, and Conformance) je protokol za varnost elektronske pošte, ki preprečuje lažno predstavljanje tako, da preveri, ali sporočilo dejansko prihaja iz domene, za katero se predstavlja. Protokol deluje skupaj s SPF in DKIM za zaznavanje ponarejenih sporočil ter prejemnim poštnim strežnikom naroča, naj jih zavrne ali postavi v karanteno, s čimer varuje organizacije in uporabnike pred goljufijami.
Leta 2025 je SI-CERT zabeležil več kot 6000 incidentov kibernetske varnosti (35-odstotno povečanje glede na predhodno leto), med njimi skoraj 2000 primerov lažnega predstavljanja. To kaže na znatno splošno rast incidentov, pri čemer lažno predstavljanje ostaja eden najpogostejših in najaktivneje obravnavanih varnostnih izzivov.
Vir podatkov o subjektih javnega sektorja je Register zavezancev za dostop do informacij javnega značaja (RZIJZ) – odprta baza podatkov, v kateri so vpisani vsi javni organi in subjekti pod prevladujočim vplivom oseb javnega prava v Sloveniji, ki so po Zakonu o dostopu do informacij javnega značaja (ZDIJZ) dolžni zagotavljati dostop do informacij javnega značaja.
Kibervarnost.si (Center Glas) je slovenska organizacija, ki združuje strokovnjake s področja informacijske in kibernetske varnosti ter skladnosti s predpisi. Razvijamo brezplačna odprtokodna orodja za e-račune v EU ter ponujamo praktična usposabljanja in svetovanja na področju AI in kibernetske varnosti, s ciljem povečati zanesljivost digitalnih procesov.
Podrobna poročila
Celotna statistika po skupinah
Za dodatne informacije ali dostop do celotnih sektorskih razčlenitev in regionalnih podatkov iz Kibernovarnostne raziskave RZIJZ se obrnite na kibervarnost@proton.me
Informacijski pooblaščenec in URSIV preverjata dokumentacijo, ne le sisteme. Ste pripravljeni?
ZInfV-1 zahteva dokazljivo usposabljanje zaposlenih — evidence udeležbe so med prvimi dokumenti, ki jih preveri inšpekcija. Naš praktičen tečaj (prilagojen vaši organizaciji) pokrije zakonsko obveznost in zgradi varnostno kulturo v enem koraku. Pridobite ponudbo za vašo organizacijo →