Publicēts pirms 13 gadiem. Izvērtē satura aktualitāti! >>
FOTO: Inga Kundziņa, A.F.I
No malas vērtējot, izskatās, ka nav adekvāti novērtēti iespējamie riski un izvēlēti pareizie autorizācijas veidi. Te nav runa par tehniska rakstura drošības problēmām sistēmā, bet gan par konceptuālu kļūdu mehānismā, kā klients tiek identificēts.
Jau no paša sākuma nedrīkstēja pieļaut autentifikāciju ar tik nedrošu paņēmienu - pases numuru un personas kodu, jo šāda informācija mūsdienās ir pieejama ļoti daudziem cilvēkiem, sākot ar ceļojumu aģentiem, līzinga kompānijām un beidzot ar jebkuru pakalpojumu sniedzēju, kā arī diemžēl dažkārt tiek publicēta pat oficiālu valsts iestāžu mājaslapās. Jebkurš var iegūt un modificēt informāciju par cilvēku, kura dati tapuši viņam zināmi, un tas ir pretrunā gan ar Fizisko personu datu aizsardzības likumu, gan grauj sabiedrības uzticēšanos pašam tautas skaitīšanas procesam.
Jāpiezīmē, ka Lietuvā, kur arī pašlaik norisinās tautas skaitīšana, tiek piedāvāta līdzīga autorizācijas iespēja ar personas kodu un pases numuru.
Viena no iespējām bija izmantot tikai esošos pārbaudītos un par pietiekami drošiem atzītos piekļuves mehānismus - e-parakstu, banku un citu iestāžu (kā VID, LAD, rekini.lv) piedāvātās iespējas. Jauna autorizācijas veida izmantošana prasa nopietnu analīzi un izsvēršanu starp lietošanas ērtumu un drošības līmeni.
Ja Latvijā būtu jau attīstīta personas elektroniskās identitātes (EID) iespēja, to varētu izmantot kā galveno autorizācijas veidu tautas skaitīšanas procesā un šādām problēmām nevajadzētu rasties. Personas elektroniskā identitāte jau ir ieviesta Igaunijā un tika izmantota gan vēlēšanās, gan arī pašreiz notiekošajā tautas skaitīšanā.
"Jauna autorizācijas veida izmantošana prasa nopietnu analīzi un izsvēršanu starp lietošanas ērtumu un drošības līmeni."
Lielākajai daļai personu esošajā situācijā pastāv risks, ka tās dati ir nesankcionēti apskatīti vai modificēti. Tomēr CSP sola nodrošināt iespēju iegūt informāciju par datu apskates un modificēšanas laikiem, tādējādi radot iespēju pārliecināties, ka neviens nav konkrētās personas datus nesankcionēti pētījis vai labojis, vai arī, ja tas tomēr noticis, tad mēģināt atrast vainīgo personu, kas gan varētu būt diezgan sarežģīti un laikietilpīgi. Kā pozitīvu iezīmi var minēt to, ka sabiedrība ātri atrada un informēja gan CSP, gan Datu valsts inspekciju par nesankcionētu datu ieguves un modificēšanas iespēju un šis nedrošais piekļuves mehānisms tika operatīvi aizliegts.
Šobrīd CSP ir jāizvēlas, vai ar nedrošo autorizācijas mehānismu ievadītajiem datiem uzticēties vai ne. Tas nav viegls lēmums un ir atkarīgs no dažādiem apsvērumiem, piemēram, no konstatēto nesankcionēto datu iegūšanas un modificēšanas incidentu skaita.
Svarīgi būtu tagad visiem kopā panākt, lai šis gadījums neietekmē uzticēšanos e-pārvaldei un e-pakalpojumu drošībai kopumā, jo pati ideja par tautas skaitīšanu tiešsaistē ir ļoti laba un iedzīvotājiem vajadzīga.
Šis gadījums arī atkārtoti raisa jautājumu par to, kāpēc tik daudzas privātās un valsts iestādes prasa un uzglabā personas datus, tai skaitā, piemēram, pases numuru, kas visdrīzāk bieži tiek jautāts bez pamatota iemesla. Otra problēmas puse, protams, ir izglītot sabiedrību un aicināt to rūpīgi glabāt un brīvi nesniegt privātos personas datus (jo sevišķi dokumentu kopijas), ja vien tam nav pietiekami pamatots iemesls.
* "Par statistiskās informācijas konfidencialitātes noteikumu neievērošanu to valsts institūciju darbinieki, kuras nodarbojas ar valsts statistiku, kā arī statistiskās informācijas vākšanā un apkopošanā uz laiku iesaistītās personas tiek sauktas pie atbildības normatīvajos aktos noteiktajā kārtībā." (Valsts statistikas likums, 22.pants.)
