FOTO: Margarit Ravel, www.sxc.hu
LV.LV jautā: Kā var izveidoties šāds drošības “caurums”
Arnis Puškeiris: Programmētāju grupai, veicot izstrādi, ir daudz sīku uzdevumu un uzdevumu pielikt aizsardzību šai daļai gluži vienkārši var "palaist garām". Tāpēc pēc izstrādes parasti tiek veikti vismaz nelieli izmēģinājumi, kā sistēma strādā un kāda ir tās drošība.
Kas vispār ir “caurums”?
Tas ir kā caurums žogā: ja trūkst viena posma jūsu apvilktajā žogā, tad īpašumā var iekļūt jebkurš. Lielākoties gan šādas situācijas sistēmu drošībā ir sarežģītākas, piemēram, ir atstāta iespēja žogā izveidot caurumu (žogam nav signalizācijas). VID gadījumā situācija ir cik ģeniāla, tik vienkārša, – žogā patiešām trūkst vesela posma, šiem dokumentiem pavisam vienkārši nebija uzlikta nekāda aizsardzība.
Foto: Māris Kaparkalējs, LV |
Vai tiešām to testējot nevar pamanīt?
Neviena sistēma nav 100% droša, jo vienmēr atrodas kāds gudrāks cilvēks. Mūsu gadījumā – es neticu, ka to nepamanīja. Jo pārbaude, vai sistēmā nevar iekļūt, ierakstot pilnu adresi, ir viens no pirmajiem punktiem pārbaužu sarakstā. Šādus sarakstus izstrādātāji bieži cits citam dod blogos un vienkārši pieredzes apmaiņā, un šo punktu zina pat tikko darboties sākuši amatieri. Mans viedoklis ir: izstrādātājs un kompānijas, kas testēja un konsultēja, NEVARĒJA nepārbaudīt šo sistēmas daļu. Līdz ar to varētu secināt – vai nu viņu viedoklis netika ņemts vērā, vai arī šis žoga posms ir pazudis pavisam nesen (pēc drošības testiem).
"Ap šiem datiem vienkārši nebija žoga, un tie bija pieejami ikvienam."
Praktiski šajā gadījumā ļaundariem nekas nebija jālauž, ap šiem datiem vienkārši nebija žoga, un tie bija pieejami ikvienam.
Vai "caurumam" nejauši var uzdurties nezinātājs?
Pavisam noteikti. Jums atliek tikai netīšām ievadīt adresi uz dokumentu, un jums sistēma neprasītu nekādu paroli vai ko tamlīdzīgu. Kopsummā sanāk, ka šie dokumenti bija brīvi pieejami jebkuram, kurš iedomājās apskatīties. Piemēram, ja es to pamanītu, es varētu vienkārši nokopēt adresi un nosūtīt jums uz e-pastu un jūs bez problēmām varētu šos dokumentu apskatīt, tikai atverot adresi.
Varbūt varat salīdzināt no VID “aiznesto” datu izmērus – 7,4 miljoni dokumentu 120 gigabaitu apmērā. Tā ir tāda vidēja bibliotēka, vai?
Par dokumentu daudzumu varam tikai mēģināt izspriest, cik liels daudzums ir 7,5 miljoni uz uzņēmumu skaitu Latvijā. Manā skatījumā, šāds skaits varētu būt par visiem Latvijas uzņēmumiem un organizācijām dažu pēdējo gadu laikā.
Par ko un kam tagad būtu jāsatraucas?
Situācija, manuprāt, ir ļoti nopietna, un mums vēl ir jāgaida, kā uz šādu konfidencialitātes pārkāpšanu reaģēs ārvalstis, piemēram, tie uzņēmumi, kuru darījumi ar Latvijas biedriem šajās atskaitēs parādās, un kā uz šo visu reaģēs paši elektronisko pārskatu sniedzēji. Un, pats galvenais, kas notiks turpmāk – kad un kādā veidā šī pārskatu informācija tiks publicēta. Šķiet, nav šaubu, ka turpinājums sekos. Jo, ja šie dati ir nonākuši ārpusē, mūsdienu tehnoloģijas ļauj tos acumirklī pavairot vai kopēt visā pasaulē, piemēram, uz serveriem atsevišķās valstīs, kurām Latvijas drošībsargājošajām instancēm nav iespēju pieprasīt datorus likvidēt. Tāpat šie dati var atrasties pie neskaitāmām privātpersonām, jo nav taču nekādu problēmu dokumentu kaut kur aizsūtīt uz e-pastu, pat miljoniem e-pasta adrešu.
Es domāju, ka sabiedrība netiek pietiekami informēta par situācijas nopietnību Latvijas un pasaules līmenī. Šajās atskaitēs ir finanšu informācija, darījumi, summas, personas kodi, reģistrācijas numuri, vārdi, uzvārdi, telefonu numuri, adreses.
Vienīgais ierobežojums, kā šo visu informāciju izmantot ļaunos nolūkos, ir cilvēka iztēle.