NORISES
>
Notikumi, problēmas, aktuālas tēmas
TĒMAS
09. martā, 2010
Lasīšanai: 12 minūtes
RUBRIKA: Ziņa
TĒMA: Drošība
4
4

Pēc pārbaudēm disciplinārlietas pret VID ierēdņiem, EDS datu noplūde kriminālizmeklēšanā

Publicēts pirms 14 gadiem. Izvērtē satura aktualitāti! >>

Pēc vairāk nekā 7,4 miljonu dokumentu noplūdes no Elektroniskās deklarēšanas sistēmas tie fragmentāri parādās interneta vidē. Divas atsevišķas - Finanšu ministrijas un VID - komisijas ir pabeigušas darbu incidenta izvērtēšanā, paužot norādes par iespējamajiem pārkāpumiem un neizdarību. Datu noplūdes lietā turpinās kriminālizmeklēšana.

FOTO: Māris Kaparkalējs, LV

Februārī izveidotās divas atsevišķas komisijas - Finanšu ministrijas (FM) drošības incidenta izvērtēšanas komisija, kā arī Valsts ieņēmumu dienesta (VID) pārbaudes komisija – ir izvērtējušas VID Elektroniskās deklarēšanas sistēmas (EDS) datu noplūdes apstākļus, iesaistīto atbildību un iespējamās sankcijas un izteikušas priekšlikumus turpmākai rīcībai.
Katras komisijas secinājumiem paredzamas mērķtiecīgas sekas. Pret vairākiem ierēdņiem ierosināts uzsākt disciplinārlietas, ierosināts pārskatīt līgumu par EDS uzturēšanu.

FM un VID atgādina, ka saistībā ar drošības incidentu EDS notiek kriminālizmeklēšana, kuras uzdevums ir noskaidrot vainīgās personas, kas nelegāli lejupielādēja datus no VID informācijas sistēmas. Ministrija un nodokļu administrācija savukārt vērtēja, kā radās šāda situācija un kādas sistēmas drošības prasības netika ievērotas.

Visi FM un VID rīcībā esošie materiāli ir iesniegti lietas izmeklētājiem, informēja FM Komunikācijas nodaļas VID Sabiedrisko attiecību daļas speciālisti.

Disciplinārlietas VID Informātikas pārvaldē

VID ģenerāldirektora v.i. Nelija Jezdakova atbalstījusi VID dienesta pārbaudes komisijas ierosinājumu par disciplinārlietu uzsākšanu (saskaņā ar Valsts civildienesta ierēdņu disciplināratbildības likuma 36. panta otro daļu) pret trim Informātikas pārvaldes ierēdņiem - direktori Ivetu Bērtulsoni un viņas vietniekiem Viesturu Šķilu un Juri Stumpu. Savukārt dienesta pārbaudes (saskaņā ar Valsts pārvaldes iekārtas likuma 35. panta pirmo daļu) paredzēts uzsākt pret četriem Informātikas pārvaldes Ekspluatācijas daļas darbiniekiem - priekšnieku Juriju Smirnovu, Datu bāzu administrēšanas nodaļas priekšnieku Ingu Cinciusu, Sistēmu lietojumprogrammatūras uzturēšanas nodaļas galveno speciālistu Edgaru Kačerovski, Datu bāzu administrēšanas nodaļas galveno speciālistu Kirilu Ruskuli.

Uzsākto disciplinārlietu un dienesta pārbaužu ietvaros tiks vērtēta konkrēto VID ierēdņu un darbinieku rīcība un atbildības pakāpe saistībā ar EDS drošības incidentu.

Dienesta pārbaudes komisijas uzdevums bija izvērtēt VID Elektroniskās deklarēšanas sistēmas drošības incidentu un noskaidrot, kuru VID amatpersonu pienākumos ietilpa funkcijas un uzdevumi, kas saistīti ar EDS darbības nodrošināšanu, pārraudzību un informācijas sistēmas drošības jautājumiem, kā arī izvērtēt, vai ir pamats uzsākt disciplinārlietas pret konkrētiem ierēdņiem un dienesta pārbaudes pret konkrētiem VID darbiniekiem.

Dienesta pārbaudes ietvaros izvērtēti ārējie un iekšējie normatīvie akti, kas reglamentē VID ierēdņu un darbinieku rīcību un uzdevumus saistībā ar informācijas sistēmu darbības nodrošināšanu, kā arī VID amatpersonu darba pienākumu apraksti, struktūrvienību reglamenti un tajos norādītās funkcijas un uzdevumi.

FM iesaka pārskatīt līgumu ar “DATI Exigen Group”

FM komisija ir konstatējusi, ka nelegāla datu lejupielāde no EDS bija iespējama sistēmas kļūdas dēļ. Izvērtējot sistēmas izstrādātāja AS “DATI Exigen Group” atbildību un iespējamās sankcijas, komisija norāda, ka VID līgumā ar sistēmas izstrādātājiem ir paredzēta pušu atbildība un pienākumi, kā arī iespēja vienai pusei saskaņā ar Civillikumu atlīdzināt otrai pusei nodarītos tiešos vai netiešos zaudējumus. Tādējādi VID pastāv iespēja vērsties tiesā ar civilprasību pret “DATI Exigen Group”. FM komisija iesaka VID pārskatīt ar AS “DATI Exigen Group” noslēgto līgumu par EDS uzturēšanu un pilnveidošanu.

Pārbaudē komisija ir arī konstatējusi, ka VID bija noslēgts līgums ar SIA “KPMG Baltics” par informācijas sistēmu drošības auditu veikšanu, taču tieši konkrētā sistēmas kļūda audita laikā netika atrasta. Komisija iesaka turpmāk, slēdzot līgumus par auditu veikšanu valsts nozīmes informācijas sistēmās, noteikt, ka īpaša uzmanība jāpievērš tieši sistēmas lietojuma drošības pārbaudei.

"Tiks vērtēta konkrēto VID ierēdņu un darbinieku rīcība un atbildības pakāpe saistībā ar EDS drošības incidentu."

Komisija ir arī sniegusi virkni priekšlikumu, lai novērstu iespējamu drošības incidentu atkārtošanos nākotnē – nodrošināt adekvātus resursus drošības risku pārvaldībai, sistēmu uzturēšanai un drošības auditu veikšanai; pienācīgi veikt informācijas sistēmu izmaiņu un jauninājumu testēšanu un drošības kontroli.

Finanšu ministrs Einars Repše ir iepazinies ar komisijas iesniegtajiem materiāliem un secinājumiem un norāda: „Šajā situācijā ir ļoti būtiski ārkārtīgi stingri izvērtēt to Valsts ieņēmumu dienesta darbinieku, kuri atbild par informācijas tehnoloģijām un datu sistēmām, atbildību par savu darbību vai bezdarbību. Turklāt izvērtējumam jāaptver arī atbildība no labas pārvaldības viedokļa, ņemot vērā to, ka VID ir virkne valsts nozīmes informācijas sistēmu, kurās uzkrāts liels daudzums aizsargājamu datu un par kuru drošību VID ir īpaši jārūpējas.”

Kā jau rakstīts, februārī LTV pavēstīja, ka VID EDS atrasts drošības caurums un no EDS, iespējams, noplūduši apmēram 7,4 miljonus dokumentu 120 gigabaitu apmērā. Atbildību par datu noplūdi uzņēmusies cilvēku grupa, kas sevi dēvē par “Ceturtās atmodas tautas armiju” (4ATA).

WEB speciālists Arnis Puškeiris: Datu drošība jeb dižķibele ar EDS

No VID elektroniskās deklarēšanās sistēmas nopludinātie personu dokumenti nu jau kā seriāls parādās publiskajā telpā. Daudziem intriģējošā informācija ir dažbrīd ar gruzduma smārdu, jo vienam otram publikai atklātais nav tīkams. Būtiski, ka februārī, kad nāca gaismā VID “informācijas drošības cauruma lieta”, arī dažas citas iestādes attapa pārbaudīt kārtību savās sistēmās, kas skar personas datu drošību un aizsardzību. Taču joprojām ir aktuāli, kas tad īsti ir noticis, kā tas varēja notikt, proti, par kādiem īsti caurumiem tiek runāts un kas tā ir par problēmu.

Kas ir drošības caurums

Ko mēs darām, kad vēlamies pasargāt savu īpašumu - mēs saskaņā ar vēsturiskām tradīcijām uzceļam sētu, tādējādi liedzot mums nevēlamām personām nokļūt īpašumā. Tā ir pašsaprotama rīcība, kas nodrošina mums drošības pamatpakāpi. Tieši to pašu veic arī jebkuras interneta sistēmas vai datubāzes izstrādātājs – viņš izveido apvalku šai sistēmai, lai tai varētu piekļūt tikai vēlamās personas. Protams, ja sistēma tiek izmantota ļoti svarīgos nolūkos un glabā ļoti būtiskas vai konfidenciālas lietas, par drošību tiek domāts pastiprināti. Tāpat kā ap īpaši sargājamu īpašumu, veidotāji neaprobežojas ar vienkāršu sētu, bet papildus pieslēdz dažādas signalizācijas, kameras un citus drošības rīkus, kā arī noliek sargu pie ieejas, kas pārbauda apmeklētājus, lai līdz minimumam samazinātu iespēju, ka īpašumā nokļūs nevēlama persona.

Kas tad ir šis caurums? Pavisam vienkārši - tā tiek dēvēta iespēja vai sistēmas daļa, kurā drošības pasākumi nav pietiekami un jūsu īpašumā var nokļūt arī ļaundari.

Kā var izveidoties caurums un kā to atklāj

Caurums var izveidoties pavisam vienkārši, jo ikviens no mums ir tikai cilvēks un var netīšām aizmirst kādā daļā uzstādīt drošības ierīces vai netīšām pats sabojāt kādu no šīm ierīcēm. Lielu sistēmu izstrādē atsevišķu drošības ierīču izveide var vienkārši pazust un piemirsties dažādu citu uzdevumu lielā apjoma dēļ. Tieši tādēļ, izstrādājot dažādas sistēmas, darbs ir sadalīts vismaz divos posmos - vispirms vieni cilvēki izstrādā produktu un aizsardzību, pēc tam pavisam citi pārbauda paveikto. Ļoti svarīgu sistēmu gadījumā aizsardzības daļas izveide laika un darba ziņā var pārsniegt pat paša produkta izveidi. Savukārt produkta pārbaude jeb testēšana bieži aizņem pat divtik lielu laiku kā abi iepriekšminētie darbi.

Svarīgu sistēmu pārbaude lielākoties nav vienkārša apskate pēc zināma saraksta ar iepriekš zināmām problēmām. Testētāji pat tēlo zagļus, izmantojot visu savu izdomu, izmēģina ielauzties šajā sistēmā. Lai novērstu iespējamību, ka arī testētāji kaut ko palaiduši garām, testēšanas soļi tiek atkārtoti pat vairākkārt un piesaistot citas personas. Pēc katras testu kārtas izstrādātājiem tiek nodota visa informācija par drošībā atklātajām problēmām, vājajiem punktiem un caurumiem. Izstrādātāji tos izlabo un atkal notiek jauna testēšanas kārta.

Patiešām caurums

Saistībā ar aktuālo dižķibeli EDS, ir jāmin pavisam cita, brīnumaini vienkārša cauruma veids - patiess caurums. Kas tas ir? Atgriežoties pie piemēra par sētu ap jūsu īpašumu, iedomājieties, ka vairāku metru garumā sētas vienkārši nav. Tieši tāda situācija acīmredzot bija ar EDS, tas ir - daļā, kur glabājās iesniegtās atskaites, sētas nemaz nebija. Cilvēki gāja pa vārtiņiem (nosaucot savu numuru un paroli), ieejot iekšā viņi nolika savus dokumentus pilnā pārliecībā, ka te tie būs drošībā ... tikmēr īpašuma otrā malā sētas nemaz nebija. Vienkārši izsakoties, jebkurš garāmgājējs, netīšām varēja nokļūt atskaišu glabātuvē. Ļaundariem nekas nav jālauž vai citādi jābojā, viņi vienkārši iet iekšā.

Kas, kā un sekas

Tātad mēs zinām, ka noliktavā ar uzņēmumu, organizāciju un privātpersonu finanšu atskaitēm trūka sētas. Vai šādu kļūdu izstrādātājs varēja nepamanīt? Visticamāk, nē, jo grūti iedomāties celtnieku, kas nepamanītu, ka nav uzcēlis tik redzamu lietu kā sēta ap īpašumu. Vai to varēja nepamanīt, veicot pārbaudes? Te nemaz nav šaubu – nē, nevarēja nepamanīt.

Šī patiešām ir kritiska kļūme, par kādām satraucas jebkurš izstrādātājs, veidojot jebkuru sistēmu, jo pilnībā apzinās iespējamās sekas. Šāda situācija sistēmu padara pilnīgi neaizsargātu un pieejamu jebkuram garāmgājējam, tādējādi iznīcina visas ieliktās pūles aizsardzības sistēmu izveidē.

Un beidzot nonākam līdz sekām. Kā jau minēju, jebkurš izstrādātājs apzinās iespējamās sekas, ja viņš savu darbu neizpildīs pēc labākās sirdsapziņas. Kā viens no šīs jomas pārstāvjiem varu apgalvot, ka darbs un domas tieši par aizsardzību aizņem vismaz pusi no mūsu ikdienas. Kādas ir šīs sekas, kuru novēršanai programmētājs ir gatavs pat negulēt naktis? Šajā gadījumā tā ir milzīga apjoma visas Latvijas uzņēmumu un iedzīvotāju finanšu informācijas noplūde publiskā vidē. Tiek lēsts, ka šajā gadījumā noplūda 7,4 miljoni atskaišu, kas jau pats par sevi ir astronomisks skaitlis vienai valstij.

"Auditos īpaša uzmanība jāpievērš tieši sistēmas lietojuma drošības pārbaudei."

Kā viens no EDS lietotājiem iedomājos arī apskatīt adreses savām atskaitēm, ievēroju arī to kārtas numurus, kas bija aizsniegušies nedaudz pāri 7,5 miljoniem ... Līdz ar to ir pamatotas bažas, ka noplūdusī informācija ir nevis daļa, bet gandrīz visas tai brīdī (līdz caurums tika aizlāpīts) sistēmā reģistrētās atskaites.

Ko nozīmē šie skaitļi? Iedomājamies dokumentu uz vairākām lapām, tagad iedomājamies tādus 10 dokumentus. Sanāks aptuveni puscentimetru bieza paciņa ar papīriem. Tātad, ja mēs saliktu kaudzītē visus noplūdušos dokumentus, mēs iegūtu trīsarpus kilometrus augstu dokumentu celtni. Vai tas nav grandiozi? Pat, ja mēs neliekam dokumentus kaudzītēs, pietiek ar domu, ka šie dokumenti satur visas Latvijas visu organizāciju un iedzīvotāju informāciju.

Nobeigumā vēlos piebilst - šādi gadījumi neatkarīgi no tā, kas ir vainīgs vai kas ir pieļāvis kļūdu, ir jāpārbauda zem mikroskopa, lai nekad nepieļautu šādu situāciju atkārtošanos. Jo, kad ūdens ir izliets, to vairs nevar sasmelt, toties var nodrošināties, lai tas neatkārtojas. Un varbūt ir jāpaskatās, kas notiek arī citās sistēmās? Nav nekādas garantijas, ka bojāta ir tikai viena no tām.

Labs saturs
4
Pievienot komentāru
LATVIJAS REPUBLIKAS TIESĪBU AKTI
LATVIJAS REPUBLIKAS OFICIĀLAIS IZDEVUMS
ŽURNĀLS TIESISKAI DOMAI UN PRAKSEI