Latvijas IT drošībā ir caurumi (43)

Vispirms viņš atzina, ka pirms diviem gadiem Poikāns šo caurumu VID datu bāzē ir atklājis un izmantojis, lai parādītu, ka ar IT drošību Latvijā nav viss tik smuki, kā to mēģināja apgalvot daži ierēdņi.

«Šogad Tallinas Tehnoloģiju universitātē veiktajā latviešu studenta Arņa Paršova pētījumā atklāts, ka gandrīz visos gadījumos klientu atpazīšana portālos caur internetbankām ir nedroša un dažos gadījumos pietiktu pat tikai ar cilvēka vārdu un personas kodu, lai jebkurš piekļūtu tikai vienam lietotājam domātajai informācijai.

Kāds ir sakars starp šīm divām lietām? Abos gadījumos mēs runājam par IT drošību, pie tam diezgan nopietnā līmenī. Te nav runa par kāda uzņēmuma informatīvās mājas lapas caurumiem.

Runa ir par ļoti nopietnām lietām - personas privātiem datiem.

Kāpēc tieši speciālisti no malas ir atklājuši tik acīmredzamās nepilnības? Naivi būtu domāt, ka Poikāns vai Paršovs speciāli testējuši nozīmīgus resursus visus pēc kārtas ar mērķi atrast ievainojamības.

Noteikti ir runa par nejaušību, kad IT speciālists ir uzdūries noteiktām neprecizitātēm un vienkārši papētījis dziļāk. Ja tas tā ir, tad rodas loģisks jautājums, kur ir bijuši šo uzņēmumu IT speciālisti, kuriem bija pienākums izveidot šīs sistēmas, ieviest dzīvē, veikt pārbaudes, uzturēt sistēmu utt.?

Kāpēc cilvēks no malas ir ieraudzījis vairāk nekā cilvēki, kuriem par šīm lietām tiek maksāts? Iespējams, pie vainas ir finansējums, kas tiek piešķirts šim virzienam. Tas noteikti ir par mazu, tāpēc daudz kas pašlaik turas uz entuziastiem.»

«Latnet Serviss» pārstāvis norādīja, ka gadījumā ar Paršova pētījumu Latvijas nacionālā IT drošības incidentu novēršanas institūcija CERT ir veikusi testus, kas apstiprināja Paršova pētījumā iegūtos datus.

Proti, ir bijuši veiksmīgi gadījumi, kur ir iespējams apiet autentifikāciju un izmantot pārtvertos datus. Ja jau CERT, kas ir oficiālā institūcija, apstiprina šo informāciju, tad ir jāceļ trauksme visās frontēs. CERT skaidri pateica, ka

problēmas rada nepilnīgā informācijas apmaiņa starp bankām un interneta portāliem.

Gurmanam radusies sajūta, ka īsti tomēr nekas nenotiek: «Ir nodotas ziņas FKTK. Bankas apgalvo, ka riski ir ļoti teorētiski. Portāli saka, ka problēmu vispār nav.

Vides un Reģionālās attīstības ministrijā jau pusotru gadu tiek gatavos Autentifikācijas likums, kas, iespējams, oktobrī nonāks valdībā, un nav zināms, kad stāsies spēkā.

Vai tiešām Paršovam bija jāiet NEO pēdās un jāiegūst privātie dati un, iespējams, pat jāizmanto tie, lai piesaistītu lielāku uzmanību šīm problēmām?

Vai tas ir risinājums? Noteikti nē.»

Tikmēr internet pakalpojumu sniedzēju pusē sadarbībā ar NetSafe projektu un CERT top interesants projekts, kura rezultātā tie interneta pakalpojumu sniedzēji, kuri rūpējas par IT drošību un atbilst noteiktiem diezgan stingriem kritērijiem, saņems oficiālu statusu «Atbildīgais interneta pakalpojumu sniedzējs».

Beidzot lietotājiem būs iespējams izvēlēties sev tīkamo interneta pakalpojumu sniedzēju, ne tikai skatoties uz cenu vai ātrumu, bet arī uz to, cik drošs ir šis provaideris. Pašlaik daudzi var uztvert ar ironiju vai skepsi šo ziņu, bet nākotnē tam, cik pakalpojumu sniedzējs ir atbildīgs un drošs, būs izšķirošā nozīme, un

šī oficiālā zīme ir nākamais solis Latvijas IT drošības virzienā.

Gurmans akcentēja, ka šajā ziņā interesants ir topošais pretrunīgi vērtētais Nacionālais attīstības plāns. IT lietām plānā nav veltīta pietiekama uzmanība, savukārt izvirzītās prioritātes ir tik cieši saistītas ar IT attīstību, ka atliek tikai brīnīties kā izdosies visus mērķus sasniegt, ja daudzas IT lietas attīstīsies pašplūsmā.

««Latnet» ļoti cer, ka jebkura veida attīstība ies roku rokā ar IT drošības jautājumu risināšanu un mums nevajadzēs, lai piesaistītu tam uzmanību, visu laiku runāt par drošības jautājumiem publiski.»