Eiropas vārti plaši vaļā...
Mēs nekad nebūsim brāļi!
Dok. filma "Latviešu leģions"
Par latviešu pašapziņu. prof.soc. D.Beitnere
PSRS okupācijas karaspēks 1939.g. ieņem Rietumukrainu
Hakamada: visi slikti, tikai mēs, Krievija, balti un pūkaini
Protesta mītiņš Kijevā pret Timošenko atgriešanos politikā
Revolūcijas cīnītāji Ukrainā bažījas, ka vecais režīms tiks aizvietots ar jaunu
Janukoviča bandīti ar kaujas munīciju šauj uz protestētājiem
Ternopolē "Berkut" specvienība pāriet tautas pusē
Cīņa Ukrainā (tiešraide)
VID EDS datu noplūde
    • BLOGS
    • 2010-02-15

    VID EDS datu noplūde

    Lietas būtība ir ļoti vienkārša – zinātāju rokās ir nonākusi saite, kurai pieliekot galā identifikatora numuru, iespējams bez autorizācijas piekļūt VID EDS iesniegtajiem dokumentiem.

    Jāsatraucas pirmkārt būtu tiem uzņēmumiem vai amatpersonām, kuri ir iesnieguši savus datus, lietojot EDS. Tās ir dažnedažādas deklarācijas, kuras satur, piemēram, personu kodus, atalgojumu utt. Tie, kuri ar EDS ir strādājuši, to arī paši vislabāk zinās. Parastajam mirstīgajam cilvēciņam, kurš EDS neizmanto vai arī izmanto tikai attaisnoto izdevumu atmaksai, diez vai būtu daudz par ko satraukties.

    VID iekšienē strādā vairāki tūkstoši cilvēku un daudziem no viņiem tāpat ir piekļuve šai nopludinātajai informācijai. Objektīvi nevar izslēgt varbūtību, ka tie paši dati ir tikuši vai joprojām tiek nopludināti citā veidā. Gan diez vai tik lielos apjomos kā šajā gadījumā, bet tomēr. Pie n-tās reizes apgrieztajām VID darbinieku algām šajos apstākļos interesants var šķist jebkāds veids, kā izdzīvot.

    Ja kāds uztraucas par sava personas koda vai deklarētās adreses aiziešanu neceļos, ieteiktu atslābināties. Īpaši jau personas kods daudz kur tiek lietots – skolā, universitātē, darba vietā, VID utt. Arī iepērkoties interneta veikalos šad tad mēdz pieprasīt norādīt personas kodu un adresi. Par kādu konfidencialitāti var būt runa, ja šie sensitīvie dati tiek glabāti kādās 10-30 datu bāzēs? Tām visām ir savi administratori, lielāki vai mazāki drošības caurumiņi un ziņkārīgi lietotāji, par hakeriem nemaz nerunājot.

    Mani personīgi šajā stāstā visvairāk sadusmoja Ernst&Young veiktais drošības audits. Ziņās īpaši tas netika uzsvērts, bet Ernst&Young 2008. gadā par gandrīz vienu miljonu latu ir veicis VID informācijas sistēmu drošības auditu, to skaitā arī EDS. Man savulaik ir nācies saskarties ar šī ļoti labi apmaksātā uzņēmuma speciālistu darbu un neteikšu, ka tas atstāja pārliecinošu iespaidu. Īsumā kopiespaids palika apmēram tāds – mēs esam megakrutie, jūs jau neko nejēdziet, mēs jūs tūlīt visu uzlauzīsim, tikai īsti nav gribēšanas tik ilgi ķēpāties un jūsu sistēmu arī mazliet žēl… Kaut kādi sīkumi jau, protams, tika atklāti, bet nebija nekādas ticības, ka bez tiem sistēma tiešām ir droša.

    Nezinu, kādu atbildību Ernst&Young nes par sevis veiktajiem auditiem, bet šis gadījums izskatās pēc tāda, ka vajadzētu aprēķināt kopējos zaudējumus un vismaz daļēji piedzīt tos no E&Y. Par izstrādātāja – Exigen services Latvia atbildību ir grūti ko pateikt. Ja tiešām ir bijis norādījums no VID augšas, kā tas tiek apgalvots, tad izstrādātājam šādai prasībai ir bijis jāklausa. Kā pasūtītājs vēlas, tādu arī produktu jāveido.

    Manuprāt, atbildība ir jāuzņemas tiem, kuri tajā 2008. gadā bija atbildīgajos amatos. Ja mājiens par drošības caurumu no VID augšgala tiešām ir bijis, tad tas nācis no Dzintara Jakāna, Nellijas Jezdakovas (patlaban VID ģenerāldirektora vietas izpildītāja), Kaspara Čerņecka (patlaban VID Finanšu policijas pārvaldes direktors) vai Ivetas Bērtulsones (VID Informātikas pārvaldes (IP) direktore). Katrā gadījumā pēdējai jau nu būtu jāzina, vai šāds mājiens ir ticis izteikts un realizēts. Informācijai vajadzētu būt arī abiem direktores vietniekiem – Jurim Stumpam un Viesturam Šķilam.

    Ja notiks lielās raganu medības, vainīgajiem būtu jābūt manis nosaukto personu vidū. Varbūt tie ir pat visi nosauktie. Katrā gadījumā vismazāk es vēlētos redzēt scenāriju, pie kura noteikti jau tiek cītīgi strādāts – novelt visu vainu uz amatu hierarhijā zemāk stāvošajiem speciālistiem. VID IP ir populāra prakse – pieprasīt darbiniekiem rakstīt paskaidrojumus par vissīkākajiem pārkāpumiem. Vēlāk tie sagulst mapītēs un pēc vajadzības tiek vilkti laukā. Pēc vajadzības – tas nozīmē gadījumā, ja rodas kāda lielāka liksta, lai vienmēr būtu pa rokai kāds sīkais speciālists, uz kuru novelt visu vainu. Atsevišķs jautājums IP ir arī attieksme pret darbiniekiem, kuru īsumā visai trāpīgi raksturo kāds komentārs zem vienu delfu raksta:

    VID darbinieks, 15.02.2010 14:31

    Nav pamata sokam. Zinot ka IP viss izskatas no ieksienes, tas bija tikai laika jautajums …
    Vai Jums patiesam liekas, ka ar tadu kadru rotaciju un atalgojumu ir iespejams nodrosinat sistemu stabilu uzturesanu un aizsardzibu? Te drizak butu jajauta – kuraa sisteemaa naakamajaa tiks atrasts kads caurums?
    Bartulsone un vinas pakalpins/dibenlaizis ar savu psihologisko teroru, jebkuru katru normalu cilveku sagraus 3-4 menesos. Loti ceru, ka finansu ministrs iztiris to odzu midzenis

    Neteikšu, ka visi IP ilgāk par 4 mēnešiem strādājošie būtu galīgi sagrauti, tomēr par normāliem darba apstākļiem nevar būt ne runas. Skumjākais, ka nav jau īsti iespējams tos lielākos kretīnus izmest laukā. Cik zinu, ir bijis vismaz viens ievērojamāks mēģinājums sūdzēties, kurš beidzies ar kārtējo formālo izmeklēšanas komisiju, kura neko sevišķu nav konstatējusi. Ja mapītēs vienmēr atrodas visādi paskaidrojumi par visādām dzīves situācijām, grūti kaut ko paveikt. Šajā gadījumā es ceru uz reāliem sodiem, vismaz pāris atbildīgo izmešanu no amatiem. Noderētu arī atstādināšana no amata pienākumu veikšanas uz izmeklēšanas laiku.

    Papildinājums

    Pēc diskusijas raidījumā "Kas notiek Latvijā" man personīgi joprojām palika daudzi neskaidri jautājumi. Tas, ka neviens negribēs uzņemties atbildību, bija jau paredzams. Nebiju gaidījis, ka VID puse izskatīsies tik ievainojama un vainīga un ka Dz.Jakāns tik apņēmīgi turēsies pie savas ģenerāldirektora lomas un stāstīs diezgan maz ticamas lietas. It kā raidījumā tika teikts, ka auditu veicis KPMG. Pats KPMG to neapstiprina un arī VID nevienā brīdī neatklāja, kurš tad īsti bijis auditors un kas tieši ticis darīts. Vēl vairāk. Raidījuma morāle vilka uz to, ka vajag rūpīgāk izvērtēt informācijas sistēmas nākotnē. To es neapšaubu, bet, ja tas nozīmēs, ka turpmāk sistēmas vērtēs vēl vienu reizi tādi paši ļoti labi atalgoti speciālisti kā tie no KPMG vai Ernst&Young, tad tā ir naudas mešana miskastē.

    Ievietotāja profils | Komentāri (5)
  • Iesaki rakstu savējiem!
    Iesaki Facebook