VIEDOKĻI
>
Par Latviju. Par Tevi Latvijā.
TĒMAS
16. februārī, 2010
Lasīšanai: 5 minūtes
RUBRIKA: LV portāls jautā
TĒMA: Drošība
11
11

Kas tas ir - caurums informācijas drošības sistēmā?

Publicēts pirms 14 gadiem. Izvērtē satura aktualitāti! >>

FOTO: Margarit Ravel, www.sxc.hu

Pēc datu noplūdes no Valsts ieņēmumu dienesta elektroniskās deklarēšanas sistēmas interneta tehnoloģiju zinātāji nu jau apšauba visu Latvijas informācijas sistēmu drošību. Parastie no tām atkarīgie lietotāji rādās tādi kā satraukti – bailes ir, tik nevar saprast, no kā bīties. Šajās batālijās ir arī kāda dīvaina sakritība – līdzīga ķibele nupat draudējusi arī Igaunijas Nodokļu un muitas administrācijas interneta vietnē, kur pagājušonedēļ atklātā drošības “plaisa” likvidēta. Latvijā sūci informācijas kuģī dēvē par drošības “caurumu”. Kas tas ir un kā var izveidoties, LV.LV jautāja WEB projektu izstrādātājam Arnim Puškeirim.

LV.LV jautā: Kā var izveidoties šāds drošības “caurums”

Arnis Puškeiris: Programmētāju grupai, veicot izstrādi, ir daudz sīku uzdevumu un uzdevumu pielikt aizsardzību šai daļai gluži vienkārši var "palaist garām". Tāpēc pēc izstrādes parasti tiek veikti vismaz nelieli izmēģinājumi, kā sistēma strādā un kāda ir tās drošība.

Kas vispār ir “caurums”?

Tas ir kā caurums žogā: ja trūkst viena posma jūsu apvilktajā žogā, tad īpašumā var iekļūt jebkurš. Lielākoties gan šādas situācijas sistēmu drošībā ir sarežģītākas, piemēram, ir atstāta iespēja žogā izveidot caurumu (žogam nav signalizācijas). VID gadījumā situācija ir cik ģeniāla, tik vienkārša, – žogā patiešām trūkst vesela posma, šiem dokumentiem pavisam vienkārši nebija uzlikta nekāda aizsardzība.

Foto: Māris Kaparkalējs, LV

Vai tiešām to testējot nevar pamanīt?

Neviena sistēma nav 100% droša, jo vienmēr atrodas kāds gudrāks cilvēks. Mūsu gadījumā – es neticu, ka to nepamanīja. Jo pārbaude, vai sistēmā nevar iekļūt, ierakstot pilnu adresi, ir viens no pirmajiem punktiem pārbaužu sarakstā. Šādus sarakstus izstrādātāji bieži cits citam dod blogos un vienkārši pieredzes apmaiņā, un šo punktu zina pat tikko darboties sākuši amatieri. Mans viedoklis ir: izstrādātājs un kompānijas, kas testēja un konsultēja, NEVARĒJA nepārbaudīt šo sistēmas daļu. Līdz ar to varētu secināt – vai nu viņu viedoklis netika ņemts vērā, vai arī šis žoga posms ir pazudis pavisam nesen (pēc drošības testiem).

"Ap šiem datiem vienkārši nebija žoga, un tie bija pieejami ikvienam."

Praktiski šajā gadījumā ļaundariem nekas nebija jālauž, ap šiem datiem vienkārši nebija žoga, un tie bija pieejami ikvienam.

Vai "caurumam" nejauši var uzdurties nezinātājs?

Pavisam noteikti. Jums atliek tikai netīšām ievadīt adresi uz dokumentu, un jums sistēma neprasītu nekādu paroli vai ko tamlīdzīgu. Kopsummā sanāk, ka šie dokumenti bija brīvi pieejami jebkuram, kurš iedomājās apskatīties. Piemēram, ja es to pamanītu, es varētu vienkārši nokopēt adresi un nosūtīt jums uz e-pastu un jūs bez problēmām varētu šos dokumentu apskatīt, tikai atverot adresi.

Varbūt varat salīdzināt no VID “aiznesto” datu izmērus – 7,4 miljoni dokumentu 120 gigabaitu apmērā. Tā ir tāda vidēja bibliotēka, vai?

Par dokumentu daudzumu varam tikai mēģināt izspriest, cik liels daudzums ir 7,5 miljoni uz uzņēmumu skaitu Latvijā. Manā skatījumā, šāds skaits varētu būt par visiem Latvijas uzņēmumiem un organizācijām dažu pēdējo gadu laikā.

Par ko un kam tagad būtu jāsatraucas?

Situācija, manuprāt, ir ļoti nopietna, un mums vēl ir jāgaida, kā uz šādu konfidencialitātes pārkāpšanu reaģēs ārvalstis, piemēram, tie uzņēmumi, kuru darījumi ar Latvijas biedriem šajās atskaitēs parādās, un kā uz šo visu reaģēs paši elektronisko pārskatu sniedzēji. Un, pats galvenais, kas notiks turpmāk – kad un kādā veidā šī pārskatu informācija tiks publicēta. Šķiet, nav šaubu, ka turpinājums sekos. Jo, ja šie dati ir nonākuši ārpusē, mūsdienu tehnoloģijas ļauj tos acumirklī pavairot vai kopēt visā pasaulē, piemēram, uz serveriem atsevišķās valstīs, kurām Latvijas drošībsargājošajām instancēm nav iespēju pieprasīt datorus likvidēt. Tāpat šie dati var atrasties pie neskaitāmām privātpersonām, jo nav taču nekādu problēmu dokumentu kaut kur aizsūtīt uz e-pastu, pat miljoniem e-pasta adrešu.

Es domāju, ka sabiedrība netiek pietiekami informēta par situācijas nopietnību Latvijas un pasaules līmenī. Šajās atskaitēs ir finanšu informācija, darījumi, summas, personas kodi, reģistrācijas numuri, vārdi, uzvārdi, telefonu numuri, adreses.

Vienīgais ierobežojums, kā šo visu informāciju izmantot ļaunos nolūkos, ir cilvēka iztēle.

***
Šajā publikācijā paustais intervētās personas viedoklis un skatījums var nesakrist ar LV portāla redakcijas nostāju. Ar LV portāla redakcionālo politiku var iepazīties šeit.
Labs saturs
11
Pievienot komentāru

LATVIJAS REPUBLIKAS TIESĪBU AKTI
LATVIJAS REPUBLIKAS OFICIĀLAIS IZDEVUMS
ŽURNĀLS TIESISKAI DOMAI UN PRAKSEI