Pagājušā gada pavasarī Latviju pāršalca ziņas par vērienīgu datu noplūdi no Valsts ieņēmumu dienesta (VID). Toreiz daudz runāja par valstij uzticēto datu drošību un tās palielināšanu. Pagājis gads. Portāls TVNET interesējās, vai un kas pa šo laiku ir mainījies. Eksperts saka - uzlabojumi ir, taču ar to ir par maz. Ja steidzīgi nenotiks visaugstākā līmeņa auditi, tad mēs vēl dzirdēsim par caurumiem, noplūdēm un kļūdām valsts datu sistēmās...
Raksta beigās pievienota jaunākā informācija
Latvijā un citās valstīs strādājošās IT&T kompānijas "Latnet" Pārdošanas departamenta vadītājs Vladislavs Gurmans portālam TVNET atzina, ka pēc būtības pa šo gadu no sistēmu drošības viedokļa gandrīz nekas nav mainījies: "Likumdošanas ziņā gan ir labas izmaiņas, bet ar to ir par maz."
Viņš atzina: "Noteiktie valsts dati ir drošībā, bet to nevar apgalvot par visiem valsts datiem. Katru gadu šāds datu apjoms krietni palielinās. Pie tam sistēmas, kas uztur šo informāciju, ir dažādas, katrai ir savas īpatnības un līdz ar to arī vājās vietas.
Esmu pārliecināts - ja steidzīgi no valsts puses netiks nokārtoti visaugstākā līmeņa auditi, tad
mēs vēl dzirdēsim par caurumiem, kļūdām, noplūdēm no valsts datu sistēmām."
Gurmans atgādināja, ka caurumi var būt dažādi - tehniskie (piemēram, izstrādes kļūdas programmatūrā) vai administratīvie (piemēram, veidojot noteiktu sistēmu, netiek atbilstoši izvērtēti informācijas piekļuves nosacījumi un netiek pareizi modelēti iespējamie gadījumi, kā tautas skaitīšanas gadījumā).
Ne visi caurumi ir aizvērti
"Nevar viennozīmīgi pateikt, ka visi caurumi ir atrasti un aizvērti, jo tam vajadzīgs katras valsts institūcijas audits. Bet situācija ar VID datu noplūdi 2010.gadā un sistēmas izstrādātāja "Exigen" izteiktais viedoklis liek "Latnet" pārstāvim apšaubīt, ka citās valsts iestādēs dati ir drošībā, ja jau pat izcilie profesionāļi savā jomā "Exigen" bija tā kļūdījušies.
Uzņēmums, kas ir viens no labākiem IT uzņēmumiem Eiropā, esot atzinis, ka „sistēma bija ieprogrammēta pret nesankcionētu iejaukšanos, bet "netika ieslēgts slēdzītis". Tas nav pamanīts arī audita laikā, un kļūdas ir summējušās. Vēl viena kļūda esot tas, ka netika pamanīta informācijas lejupielādēšana.
Tāpat Gurmans atzina, ka ir skaidri redzams IT profesionāļu trūkums valsts iestādēs.
Arī VID datu noplūdes gadījumā IT administratoram vajadzēja pamanīt šo kļūdu krietni ātrāk.
"Runājot par neseno nu jau kārtējo VID datu noplūdi no EDS sistēmas, tad pašlaik pēc Datu valsts inspekcijas iejaukšanās kārtējā kļūda sistēmā ir izlabota. Bet tas viss notiek pēc notikušā incidenta, nevis pirms," viņš norādīja.
Svarīgais naudas faktors
Uz jautājumu, vai pēc pagājušā gada gadījuma valsts iestāžu interese par IT sistēmu auditiem un stāvokli ir pieaugusi, speciālists atzina: "Visu izšķir nauda. IT sistēmu auditi ir pietiekoši skrupulozs darbs, kas ir jāveic, tikai piesaistot visaugstākā līmeņa speciālistus.
Pie tam šīs darbs ir gan tehniskais, gan administratīvais un pat juridiskais (sistēmas katras funkcijas atbilstība visām normām). Varam iedomāties cik dārgi ir šādu speciālistu pakalpojumi. Interese par IT sistēmu auditiem noteikti pieaugusi vēl pēc 2010.gada notikumiem, bet iespēju saņemt patiešām kvalificētu speciālistu vērtējumu ir maz, jo piešķirtais finansējums valsts iestādēm nav pietiekošs.
Bet noteikti ir jādomā par finansējuma palielināšanu vai pat piesaistīšanu no Eiropas, jo valsts iestāžu elektronisko sistēmu nevainojamais darbs ir ļoti svarīgs valsts pastāvēšanas elements mūsdienu pasaulē."
Gurmans uzskata, ka
nav izdarīts viss, lai turpmāk šāda datu noplūde nevarētu notikt.
"Ir jādara vēl daudz kas - ir jāalgo kompetentākie, bet līdz ar to arī dārgākie darbinieki, ir jāpiesaista profesionāļi auditiem, pirms palaiž noteiktu sistēmu. Šai saistībā ļoti interesanti būtu pasekot līdzi Būvniecības informācijas sistēmas tapšanai, ko veidos Ekonomikas ministrija. Mēs gaidām arī aktīvāku Datu valsts inspekcijas darbību."
"Latnet" pārstāvis brīdināja, ka datu noplūde nākotnē varētu atkārtoties, "jo šai gadījumā pat nebija runa par ielaušanos sistēmā".
Daudz izdarīts
Viņš atgādināja, ka pret kibernoziegumiem un ielaušanos Satiksmes ministrija kopā ar nozares pārstāvjiem ļoti operatīvi izveidoja darba grupu, kas izstrādāja un iesniedza komisijai likumu un vēlāk arī atbilstošus valdības noteikumus par Drošības incidentu novēršanas institūcijas izveidi. Izveidots arī kritiskās infrastruktūras jēdziens un aprakstītas atbilstošās darbības.
"Tas ir nopietns solis cīņā pret kibernoziedzniekiem un nepārtrauktu pakalpojumu nodrošināšanu, bet šī cīņa pēc būtības pagaidām notiek post factum, jau pēc noziedzīgām darbībām. Agrāk bija atbilstoša ministrija, proti, E-lietu ministrija, kuras speciālisti arī veica vairāku valsts nozīmīgu datu sistēmu auditu, bet pašlaik, piemēram, mums nav skaidrības, kur būtu jāgriežas valsts sistēmu pasūtītājiem vai uzturētājiem pēc pārbaudes un vai vispār tas viņiem ir jādara vai arī jāgaida kārtējā noplūde vai atklātā kļūda."
Tāpat šai jomā darbojas Datu valsts inspekcija.
Atbildība ir katras iestādes rokās
Atbildot uz portāla TVNET jautājumiem, inspekcijā norādīja, ka tā nav atbildīga par valsts informācijas sistēmu drošību. Par to jājautā Vides aizsardzības un reģionālās attīstības ministrijas pārstāvjiem.
Datu valsts inspekcijas kompetencē ir fizisko personu datu aizsardzības uzraudzība.
Par personas datu adekvātu aizsardzību ir atbildīgs katrs pārzinis,
kas veic konkrēto personas datu apstrādi, – tas attiecināms gan uz privāto, gan publisko sektoru. Tātad ikviena valsts pārvaldes institūcija, kuras rīcībā ir fizisko personu dati, ir atbildīga par to, lai šie dati būtu drošībā un tiktu izmantoti konkrētam mērķim.
Datu valsts inspekcija savu viedokli var sniegt no fizisko personu datu aizsardzības viedokļa, bet katras valsts informācijas sistēmas pārzinis ir atbildīgs par datu drošību konkrētajā informācijas sistēmā. Piemēram, attiecībā uz VID veikto personas datu apstrādi
inspekcija arī šogad ir norādījusi uz nepilnībām VID veiktajā personas datu apstrādē elektroniskajā vidē.
Iedzīvotāji sūdzas, taču bieži vien paši pakļauj sevi riskam
Inspekcija katru dienu saņem iedzīvotāju sūdzības par, iespējams, nelikumīgu personas datu apstrādi, arī valsts un pašvaldību iestādēs. Aizvien pieaug to sūdzību skaits, kur iedzīvotāji norāda uz iespējami nelikumīgām darbībām ar personas datiem.
Vienlaikus inspekcijā vērsa uzmanību, ka nereti pats cilvēks interneta vidē ir publiskojis par sevi informāciju, kas satur personas datus, tādējādi sevi pakļaujot nelikumīgas personas datu apstrādes riskam.
Inspekcijā atgādināja, ka datu aizsardzībai vajadzētu regulāri pievērst uzmanību, turklāt jāņem vērā informāciju tehnoloģiju attīstības dinamika.
Aģentūras "Leta" mājas lapa nav pieejama
Datu drošības jautājums šodien aktuāls kļuva arī ziņu aģentūrā "Leta".
Atverot tās mājas lapu, ierastās ziņu lentas vietā šodien varēja ieraudzīt šādu paziņojumu: "Dārgie kolēģi, pirms publicēt apšaubāmu speciālistu viedokļus par nelielu serveru hostingu kompānijām un diskutētu par kompetenci, ieteiktu tomēr pārskatīt šo nomelnojošo ziņu saturu un pārstāt publicēt šos aizvainojošos reklāmas rakstus. Kā redzat - nekas nav drošs un neuzlaužams, ja vajag. Tāpēc nevajag lēkt augstāk par savu d. Paldies par uzmanību. Hakeris."
Pēc šā teksta sekoja saite uz internetā publicētu aģentūras rakstu par to, ka vairāku Latvijas mazo un vidējo uzņēmumu mājaslapām uzbrukuši hakeri.
