Tā, kurai zalkši nāk mājās ([info]putnelis) rakstīja,
@ 2010-02-15 07:18:00

Previous Entry  Add to memories!  Tell a Friend!  Next Entry
No VID noplūdis apjomīgs daudzums dokumentu

Valsts Ieņēmumu dienesta (VID) elektroniskās deklarēšanas sistēmā (EDS) atrasts drošības "caurums", pa kuru trīs mēnešu laikā nezināmas personas ieguvušas apmēram 7,4 miljonus dokumentu 120 gigabaitu apjomā, svētdien, 14. februārī vēsta LTV1 raidījums "de facto".

Lēš, ka no potenciālā kaitējuma viedokļa – šī ir vislielākā datu noplūde līdz šim Latvijā.

Faktu, ka VID elektroniskās deklarēšanas sistēmā bijusi milzīga datu noplūde, raidījums uzzināja no cilvēku grupas, kas sevi dēvē par Ceturtās atmodas tautas armiju. Šīs armijas pārstāvis e-pastā apraksta, kā iegūti dati:

"Jau 2009. gada pavasarī 4ATA (4-ās Atmodas Tautas armijas) rīcībā nonāca informācija, ka EDS sistēmā ir caurums, pa kuru var iegūt visus EDS datu failus. No mūsu aģenta sarunas ar cilvēku, kas kādreiz strādāja pie EDS izveides, varēja noprast, ka caurums tika izveidots pēc ļoti augstas VID amatpersonas norādījuma. Visticamāk, lai vajadzības gadījumā ļautu nemanāmi nopludināt sensitīvu informāciju. Mēs bijām pārsteigti - caurums bija ģeniāli vienkāršs, un tas atradās visu acu priekšā, visticamāk jau no pirmās EDS dienas. Jebkuru EDS dokumentu pat anonīms web lietotājs varēja lejupielādēt bez autorizācijas. 2010. gada 3. vai 4. februārī EDS caurums esot aiztaisīts.

"De facto" tikuši atsūtīti daži no VID iegūtie faili, lai varētu pārliecināties par informācijas autentiskumu. Starp šiem failiem bija arī Latvijas televīzija darbinieku algu saraksts ar personas kodiem, kas atbilstot patiesībai. Pārbaudei saņemti arī VID darbinieku algu saraksts ar personas kodiem. No šiem datiem var secināt, ka, piemēram, par 2009.gada maiju VID ģenerāldirektora pienākumu izpildītāja Nelija Jezdakova pirms nodokļiem saņēmusi 1999 latus. Jezdakova "de facto" apstiprina, ka noplūdušie dati ir patiesi un, iespējams, nāk no EDS.

Tomēr VID Informātikas pārvaldes direktore Iveta Bērtulsone intervijā raidījumam nespēj paskaidrot, vai VID darbinieki paši konstatējuši lielo datu noplūdi un drošības " caurumu" aizvēruši. Lai gan 11.februāra intervijā VID ģenerāldirektora p.i Nelija Jezdakova pauž pārsteigumu par atklāto datu noplūdi, kļuvis zināms, ka par atklāto caurumu VID jau 6.februārī – tātad pirms nedēļas ir uzrakstījis iesniegumu Valsts policijai. VID acīmredzot cerējis, ka par notikušo liela apjoma datu noplūdi no viņu sistēmas neviens neuzzinās. Par to liecina arī šo piektdien, 12.februāra vakarā izsūtītā VID preses relīze par iespējamu datu noplūdi. Šis paziņojums tapis tikai pēc raidījuma izrādītās intereses, jo izskanējis pusotru nedēļu pēc tam, kad datu noplūde apturēta.

Cilvēku grupa, kas sakās ieguvusi šos datus no VID elektroniskās deklarēšanas sistēmas sevi sauc par Ceturtās atmodas tautas armiju (4ATA). Tā esot radīta ar mērķi organizēties vienotai cīņai par labāku Latvijas nākotni. Pašlaik 4ATA galvenā mītne atrodas Lielbritānijā, lai neradītu priekšlaicīgu interesi no Latvijas specdienestu puses. 4ATA Kodolu veido Īrijas un Lielbitānijas brigādes, ar atbalstītājiem un aģentiem Latvijā. Viens no Ceturtās atmodas tautas armijas mērķiem esot valsts izzadzēju saukšanu pie atbildības un tāpēc armijas darba grupa strādā pie iegūto datu automātiskas apstrādes un analīzes sistēmas izveides. Tas liek domāt, ka daļa iegūtās informācijas kaut kad var tik publiskota, lai atklātu datus par nodokļu nemaksātājiem, dīvainiem darījumiem, lielām algām vai prēmijām valsts pārvaldes darbiniekiem.

LTV raidījuma aptaujātie IT speciālisti visi kā viens apgalvo, ka "caurums" VID elektroniskās deklarēšanas sistēmā ir bijis ļoti primitīvs un dati nav tikuši pietiekami aizsargāti. Vismaz tādus secinājumus var izdarīt pēc noplūdušo datu ieguvēja atsūtītā apraksta. IT drošības konsultants Ingus Krūmiņš, kurš ikdienā veic dažādus drošības testus atzīst – šādu caurumu atrast nav grūti, jo tā esot standarta kļūda, un viņš to varētu atrast vienas dienas laikā.

Agris Krusts, "IT Centrs" valdes priekšsēdētājs uzskata, ka Latvijā ir tūkstošiem cilvēku, kas pietiekami labi pārzina IT lietas, lai spētu šādu "caurumu", kāds atklāts VID sistēmā, atrast. "Liela daļa iestāžu pat nezina, ka viņiem pazūd dati", uzskata Krusts, norādot, ka visticamāk šajā reizē tas nav darīts nolūkā gūt peļņu, jo informācijas ieguvēji ir paši pieteikušies. Tomēr nav zināms, cik lielam skaitam cilvēku ir bijusi informācija par šo "caurumu" VID sistēmā.

Atšķirībā no VID amatpersonām, IT speciālisti šo datu iegavēju, par hakeri nesauc, jo nekādas paroles nav tikušas uzlauztas. Pie tam, datu ieguve pēc "cauruma" atrašanas esot bijusi ļoti vienkārša. IT izdevuma "Digital Times" galvenais redaktors Degi Karajevs norāda, ka jebkurš cilvēks, kas saņemtu e-pastu ar saiti uz "caurumu", varētu datus iegūt, pat nenojaušot, ka kaut ko pārkāpj. "Pieņemsim, ka tas caurums tur vēl arvien ir. Es vienkārši pārlūkprogrammā ievadu saņemto saiti, nesaņemu nekādu paziņojumu, ka tā ir slēgtā zona, ka te ir kāds apsargājams valsts objekts, neviens nebrīdināja, ka te iet nevar. Es paņēmu vienkāršu saiti, - neizmantoju nekādus īpašus līdzekļus, man nebija nekādu ļaunu nolūku. Es vienkārši ievadīju adresi, nospiedu un lūk – saraksts ar kaut kādiem datiem. Pamainīju cipariņu – ieguvu citus datus. Es neko neuzlauzu. Nekādus likumus nepārkāpu," tā situāciju skaidro Karajevs.

Tomēr intervijā "de facto" VID amatpersonas vairakkārt apgalvoja, ka ar informācijas sistēmām notiekot regulārs darbs un testi. Iepirkumu uzraudzības biroja mājas lapā atrodamā informācija liecina, ka 2008.gadā VID samaksājis vismaz 1 063 524 latus par savas informācijas sistēmu drošības un veiktspējas novērtēšanu un drošības konsultācijām. Ernst&Young Baltic saņēmis kopā 937 tūkstošus latu, bet KPMG Baltics – 126 tūkstoši latu. Ne maza summa samaksāta arī Exigen Services, kas izstrādāja VIDa elektroniskās deklarēšanas sistēmu.

Karajevs uzskata, ka "Diemžēl lielas kompānijas, kas pilda valsts projektus, Latvijā bieži strādā pēc principa – kurš kuram vairāk atmaksās. Produkta kvalitāte, tā funkcionalitāte, tehniskais pilnīgums, mūsdienīgums nevienu neinteresē. Kā likums – interesē budžeta summa un formāls rezultāts, lai būtu ko parādīt KNAB, ja kas. Paskatieties uz VID mājas lapas izskatu – tas taču ir pagājušais gadsimts."

No rīcībā esošās informācijas, starp noplūdušajiem datiem, ir ziņas arī par vairāku lielu privātu un valsts uzņēmumu darbiniekiem, viņu ienākumiem un nomaksātajiem nodokļiem. Iespējams noplūduši dokumenti, kuros atrodami, piemēram, apsardzes firmu darbinieku vārdi, ziņas par atsevišķu advokātu birojos strādājošajiem, arī Valsts prezidenta Valda Zatlera personas kods. Prezidenta kanceleja datu patiesumu gan nevēlējās apstiprināt. VID nav nosargājis arī ziņas par, piemēram, "Rīgas siltumā" strādājošajiem cilvēkiem.

Uzņēmuma valdes locekle Biruta Krūze "de facto" sacīja, ka pagaidām grūti pārliecināties, vai visi dati atbilst patiesībai, viņa gan atzina, ka "šajās te iesniegtajās izdrukās esam atpazinuši failu formātu, kādu sniedzam VID elektroniski deklarējoties, dati izskatās līdzīgi šim formātam."

Rīgas siltums sola iesniegt sūdzību Datu valsts inspekcijā. Uzņēmums arī sašutis, ka šāda veida informācija, kas tikusi uzticēta VID, nu nonākusi nezināmu cilvēku rokās un var skart pašu darbiniekus. "Mēs tomēr gribētu, lai tās valsts amatpersonas, kuras ir vainīgas datu noplūdē vai cauruma neaiztaisīšanā, tiktu sodītas, mēs lūgsim to izvērtēt," raidījumam sacīja Krūze.

Noplūdušas ziņas arī par Datu valsts inspekciju, kas uzrauga datu glabāšanas noteikumu ievērošanu – sarakstos atrodami inspekcijas darbinieku vārdi, personas kodi, arī nomaksātie nodokļi un saņemtie ienākumi. Inspekcijā atzīst – noplūdusī informācija visticamāk esot patiesa.

"Jā, tie dati izskatās, viņi atbilst", raidījumam sacīja inspekcijas direktore Signe Plūmiņa. Inspekcija par notikušo datu noplūdi sola veikt pārbaudi. Ja atklāsies nopietni pārkāpumi, varētu sekot iesniegums prokuratūrai. Plūmiņa skaidro, ka šajā gadījumā runa ir par ļoti nopietnu pārkāpumu, ja ne pat noziegumu, par kura pastrādāšanu varētu draudēt kriminālatbildība. Turklāt ne vien datu ieguvējam, bet arī pašam datu glabātājam – proti, Valsts ieņēmumu dienesta amatpersonām.

Plūmiņa skaidro, ka "noplūšanā nav jēdziena nejaušs. Tāds nav. Datu aizsardzībā ir simtiem IT metožu, testēšanu, tāpēc ir daudzi standarti, kas reglamentē un profesionāļi, kas var izdarīt." Plūmiņa uzskata, ka šajā gadījumā noteikti jārunā par VID amatpersonu neizdarību, jo "nolaidība, neizdarība, tie ir tie vārdi", situāciju raksturoja Plūmiņa.

Zināms, ka ceturtdien Valsts policija sākusi kriminālprocesu par noziedzīgu nodarījumu pret vispārējo drošību un sabiedrisko kārtību. Plašākus komentārus policija nesniedz. Savukārt Drošības policija sola savas kompetences ietvaros izmeklēšanā palīdzēt. Šobrīd zināms, ka datus ieguvušie līdz šim slepeno dienestu uzmanības lokā nav nonākuši.

Drošības policijas pārstāve Kristīne Apse Krūmiņa atturīgi vērtēja iespējamos nolūkus, kam noplūdušo informāciju varētu izmantot. Krūmiņa sacīja, ka "tīri teorētiski varam pieņemt, ka šāda informācijas ieguve varētu tikt izmantota, lai vērstos pret kādu juridisko personu vai atsevišķām valsts iestādēm, kā arī lai norādītu uz kādiem nedrošības caurumiem kādā drošības sistēmā."

Raidījums norāda - kamēr tiesībsargājošās iestādes skaidro notikušo, mazrunīgas kļuvušas valsts amatpersonas. "De facto" zināms, ka jau ceturtdienas vakarā, pēc tam, kad uzdoti jautājumi vairākām iesaistītajām amatpersonām, notikusi sazvanīšanās gan ar premjeru, gan citiem ministriem. Lielās nervozitātes iemesls – joprojām tā arī nav skaidrs, cik lielu apjomu informācijas Ieņēmumu dienestam nav izdevies nosargāt. Tomēr ne nozari pārraugošais finanšu ministrs, ne premjers šonedēļ par iespējamo datu noplūdi nebija gatavi sniegt komentārus.

Finanšu ministra Einara Repšes preses sekretārs Aleksis Jarockis "de facto" vien sacīja, ka "tad, kad tiesībsargājošās institūcijas, kuras ir nopietni iesaistījušās šī incidenta izmeklēšanā, sniegs savu atzinumu, norādot, ka vainīgs konkrētais posms, tad finanšu ministrs var runāt par apgalvojumiem, kas vainīgs." Jarockis gan atzina, ka "šī ir ārkārtīgi nopietna situācija".

Saraksts ar uzņēmumu un iestāžu nosaukumiem, par kuriem noplūdusi informācija, atrodams LTV ziņu mājas lapā www.ltvzinas.lv.


(Lasīt komentārus) - (Ierakstīt jaunu komentāru)


[info]optimiste
2010-02-15 10:30 (saite)
Njā..... datu aizsardzība jau tā te Latvijā nav nekādā augstā līmenī (caur draugu draugu paziņām var uzzināt arī kodētu infirmāciju), bet nu šitais ir kaut kas unikāls!!!!!!

(Atbildēt uz šo)


(Lasīt komentārus) -

Neesi iežurnalējies. Iežurnalēties?