VID EDS datu noplūde (papildināts)

Lietas būtība ir ļoti vienkārša – zinātāju rokās ir nonākusi saite, kurai pieliekot galā identifikatora numuru, iespējams bez autorizācijas piekļūt VID EDS iesniegtajiem dokumentiem.

Jāsatraucas pirmkārt būtu tiem uzņēmumiem vai amatpersonām, kuri ir iesnieguši savus datus, lietojot EDS. Tās ir dažnedažādas deklarācijas, kuras satur, piemēram, personu kodus, atalgojumu utt. Tie, kuri ar EDS ir strādājuši, to arī paši vislabāk zinās. Parastajam mirstīgajam cilvēciņam, kurš EDS neizmanto vai arī izmanto tikai attaisnoto izdevumu atmaksai, diez vai būtu daudz par ko satraukties.

VID iekšienē strādā vairāki tūkstoši cilvēku un daudziem no viņiem tāpat ir piekļuve šai nopludinātajai informācijai. Objektīvi nevar izslēgt varbūtību, ka tie paši dati ir tikuši vai joprojām tiek nopludināti citā veidā. Gan diez vai tik lielos apjomos kā šajā gadījumā, bet tomēr. Pie n-tās reizes apgrieztajām VID darbinieku algām šajos apstākļos interesants var šķist jebkāds veids, kā izdzīvot.

Ja kāds uztraucas par sava personas koda vai deklarētās adreses aiziešanu neceļos, ieteiktu atslābināties. Īpaši jau personas kods daudz kur tiek lietots – skolā, universitātē, darba vietā, VID utt. Arī iepērkoties interneta veikalos šad tad mēdz pieprasīt norādīt personas kodu un adresi. Par kādu konfidencialitāti var būt runa, ja šie sensitīvie dati tiek glabāti kādās 10-30 datu bāzēs? Tām visām ir savi administratori, lielāki vai mazāki drošības caurumiņi un ziņkārīgi lietotāji, par hakeriem nemaz nerunājot.

Mani personīgi šajā stāstā visvairāk sadusmoja Ernst&Young veiktais drošības audits. Ziņās īpaši tas netika uzsvērts, bet Ernst&Young 2008. gadā par gandrīz vienu miljonu latu ir veicis VID informācijas sistēmu drošības auditu, to skaitā arī EDS. Man savulaik ir nācies saskarties ar šī ļoti labi apmaksātā uzņēmuma speciālistu darbu un neteikšu, ka tas atstāja pārliecinošu iespaidu. Īsumā kopiespaids palika apmēram tāds – mēs esam megakrutie, jūs jau neko nejēdziet, mēs jūs tūlīt visu uzlauzīsim, tikai īsti nav gribēšanas tik ilgi ķēpāties un jūsu sistēmu arī mazliet žēl… Kaut kādi sīkumi jau, protams, tika atklāti, bet nebija nekādas ticības, ka bez tiem sistēma tiešām ir droša.

Nezinu, kādu atbildību Ernst&Young nes par sevis veiktajiem auditiem, bet šis gadījums izskatās pēc tāda, ka vajadzētu aprēķināt kopējos zaudējumus un vismaz daļēji piedzīt tos no E&Y. Par izstrādātāja – Exigen services Latvia atbildību ir grūti ko pateikt. Ja tiešām ir bijis norādījums no VID augšas, kā tas tiek apgalvots, tad izstrādātājam šādai prasībai ir bijis jāklausa. Kā pasūtītājs vēlas, tādu arī produktu jāveido.

Manuprāt, atbildība ir jāuzņemas tiem, kuri tajā 2008. gadā bija atbildīgajos amatos. Ja mājiens par drošības caurumu no VID augšgala tiešām ir bijis, tad tas nācis no Dzintara Jakāna, Nellijas Jezdakovas (patlaban VID ģenerāldirektora vietas izpildītāja), Kaspara Čerņecka (patlaban VID Finanšu policijas pārvaldes direktors) vai Ivetas Bērtulsones (VID Informātikas pārvaldes (IP) direktore). Katrā gadījumā pēdējai jau nu būtu jāzina, vai šāds mājiens ir ticis izteikts un realizēts. Informācijai vajadzētu būt arī abiem direktores vietniekiem – Jurim Stumpam un Viesturam Šķilam.

Ja notiks lielās raganu medības, vainīgajiem būtu jābūt manis nosaukto personu vidū. Varbūt tie ir pat visi nosauktie. Katrā gadījumā vismazāk es vēlētos redzēt scenāriju, pie kura noteikti jau tiek cītīgi strādāts – novelt visu vainu uz amatu hierarhijā zemāk stāvošajiem speciālistiem. VID IP ir populāra prakse – pieprasīt darbiniekiem rakstīt paskaidrojumus par vissīkākajiem pārkāpumiem. Vēlāk tie sagulst mapītēs un pēc vajadzības tiek vilkti laukā. Pēc vajadzības – tas nozīmē gadījumā, ja rodas kāda lielāka liksta, lai vienmēr būtu pa rokai kāds sīkais speciālists, uz kuru novelt visu vainu. Atsevišķs jautājums IP ir arī attieksme pret darbiniekiem, kuru īsumā visai trāpīgi raksturo kāds komentārs zem vienu delfu raksta:

VID darbinieks, 15.02.2010 14:31

Nav pamata sokam. Zinot ka IP viss izskatas no ieksienes, tas bija tikai laika jautajums …
Vai Jums patiesam liekas, ka ar tadu kadru rotaciju un atalgojumu ir iespejams nodrosinat sistemu stabilu uzturesanu un aizsardzibu? Te drizak butu jajauta – kuraa sisteemaa naakamajaa tiks atrasts kads caurums?
Bartulsone un vinas pakalpins/dibenlaizis ar savu psihologisko teroru, jebkuru katru normalu cilveku sagraus 3-4 menesos. Loti ceru, ka finansu ministrs iztiris to odzu midzenis

Neteikšu, ka visi IP ilgāk par 4 mēnešiem strādājošie būtu galīgi sagrauti, tomēr par normāliem darba apstākļiem nevar būt ne runas. Skumjākais, ka nav jau īsti iespējams tos lielākos kretīnus izmest laukā. Cik zinu, ir bijis vismaz viens ievērojamāks mēģinājums sūdzēties, kurš beidzies ar kārtējo formālo izmeklēšanas komisiju, kura neko sevišķu nav konstatējusi. Ja mapītēs vienmēr atrodas visādi paskaidrojumi par visādām dzīves situācijām, grūti kaut ko paveikt. Šajā gadījumā es ceru uz reāliem sodiem, vismaz pāris atbildīgo izmešanu no amatiem. Noderētu arī atstādināšana no amata pienākumu veikšanas uz izmeklēšanas laiku.

Papildinājums

Pēc diskusijas raidījumā “Kas notiek Latvijā” man personīgi joprojām palika daudzi neskaidri jautājumi. Tas, ka neviens negribēs uzņemties atbildību, bija jau paredzams. Nebiju gaidījis, ka VID puse izskatīsies tik ievainojama un vainīga un ka Dz.Jakāns tik apņēmīgi turēsies pie savas ģenerāldirektora lomas un stāstīs diezgan maz ticamas lietas. It kā raidījumā tika teikts, ka auditu veicis KPMG. Pats KPMG to neapstiprina un arī VID nevienā brīdī neatklāja, kurš tad īsti bijis auditors un kas tieši ticis darīts. Vēl vairāk. Raidījuma morāle vilka uz to, ka vajag rūpīgāk izvērtēt informācijas sistēmas nākotnē. To es neapšaubu, bet, ja tas nozīmēs, ka turpmāk sistēmas vērtēs vēl vienu reizi tādi paši ļoti labi atalgoti speciālisti kā tie no KPMG vai Ernst&Young, tad tā ir naudas mešana miskastē.

4 thoughts on “VID EDS datu noplūde (papildināts)

  1. cik var noprast no netā atrodamā vairākos saitos:
    “DeFacto vajadzētu pārbaudīt informāciju pirms to izplatīt kā faktu. E&Y ir ieguvis tiesības veikt darbus nākotnē. Turklāt, tie nekādā veidā neattiecas uz EDS un arī pagātnē attiecībā uz EDS darbi nav veikti un samaksa nav saņemta. Tā ir publiski pārbaudāma informācija. Līdz ar to nav īsti skaidrs, kādēļ saistībā ar šo skandālu tiek saistīts E&Y vārds. Cerams, ka DeFacto atvainosies nākamajā raidījumā, bet neslava jebkurā gadījumā tika radīta. Raidījums ir labs, bet vajadzētu rūpīgāk piestrādāt pie informācijas analīzes un pārbaudes.”

    http://www.db.lv/2/a/2010/02/15/Personu_un_uznemumu_dati?readcomment=1#comment

    1. Es to diemžēl vairs nevaru vēlreiz pārbaudīt, bet man šķiet, ka tie ir meli. 2008.gadā tika veikts drošības audits VID informācijas sistēmām, kopskaitā kādām 20. Grūti noticēt, ka EDS toreiz tika atstāts maliņā, jo tā tomēr ir viena no svarīgākajām VID IS.
      Turklāt viens mazs komentāriņš raksta apakšā kopā ar pārējiem mirstīgajiem komentētājiem nevis oficiāla preses relīze neatstāj pārliecinošu iespaidu. Tikpat labi es arī tādu komentāru būtu varējis uzrakstīt.

  2. Vairākas neprecizitātes tevis sarakstītajā un daži komentāri no manas puses:
    1) E&Y tiešām neveica EDS auditu, tā vietā viņi auditēja ĀLR. Miljona piesaukšana arī šajā gadījumā nav korekta, jo tā ir kopējā noslēgtā līguma summa un par šo 2008.gadā veikto auditu viņi saņēma tikai konkrētu daļu no šīs summas – tā ka par šiem cipariem žurnālisti nedaudz pūš no mušas ziloni un dramatizē.
    2) Savukārt EDS auditu 2008.gadā veica KPMG (pat 2 reizes!) un nevienā šo auditu slēdzienā nebija norādīts konkrētais drošības caurums pa kuru tos datus tad arī izzaga. Protams, savu galvu ķīlā netaisos likt, jo neesmu tieši saistīts ar EDS un šos slēdzienus neesmu redzējis, bet pieļauju, ka, ja šis caurums būtu auditos atklāts un iekļauts audita slēdzienā, tad būtu viens no pirmajiem, kurš tiktu salabots.
    3) Nu par darba organizāciju IP laikam nav ko piebilst, tie kas tur strādājuši to ļoti labi zina. Man pat ir ļoti konkrētas aizdomas, kas varētu būt tevis citētā komentāra autors 🙂
    4) T.s. Domburšovā tika pateiktas arī dažas visai prātīgas lietas, bet nu skaidrs bija arī tas, ka savu vainu neviens atklāti neatzīs un rādīs ar pirkstu uz citiem. 3 uzaicinātie, kas izcēlās negatīvā nozīmā bija Jakāns, VDI priekšniece un FM padomniece. Visvairāk tracināja tā sieviete no FM, kas ļoti aktīvi mēģināja turpināt Jakāna nomelnošanas kampaņu a.la Repše #2. Nesaku, ka Jakāns ir pavisam bez vainas, bet nu viņas teksti bija ļoti tendenciozi! Tas viņas veltītais teksts Exigen par to, ka valstī ir krīze un jāstrādā ātrāk vispār bija kkas unikāls! Puksta atbilde par 9 sievietēm bija pat ļoti vietā. Un pilnīgi piekrītu viņam arī jautājumā par to kā VID, FM, MK un citas atbildīgās valsts struktūras virza visus likumdošanas grozījumus, jaunos likumus u.c. dokumentus attiecībā pret kuriem ir nenormālā tempā jāpielāgo valsts sistēmas, kas turklāt (pretimnākšanas veidā) ļoti bieži tiek darīts pirms šie dokumenti ir oficiāli apstiprināti, lai tikai iekļautos termiņos. Šajā ziņā izstrādātājs uzņemas paaugstinātu risku uz sevi un, kā redzams, tad kļūdas ir neizbēgamas. Necenšos attaisnot Exigen kā izstrādātāja kļūdas, bet domāju, ka šis atgadījums viņiem būs laba mācība un turpmāk uz absurdiem termiņiem viņi vnk neparakstīsies.
    Nepārliecinošu iespaidu atstāja arī VDI priekšniece, kura centās izskatīties ļoti gudra un bīdīja visādus tekstus, bet kaut kā neradās pārliecība, ka viņas vadītā iestāde tiešām spēlē kādu nozīmīgu lomu visā šajā procesā.
    Pārējie diskusijas dalībnieki kādu vērtīgu domu pamanījās izteikt. Mans gala secinājums gan bija tāds (varbūt ne gluži tiešā kontekstā ar šo EDS datu noplūdi) – kārtējo reizi apliecinās, ka valstī ir n-tās struktūras, kas katra par kko atbild un viena otru uzrauga, bet, kad atgadās kkāds ČP, tad sākas panika, rādīšana ar pirkstu, n-to komisiju veidošana, kas vērtē un izvērtē, kā rezultātā atrod vienu grēkāzi, bet pa lielam jau nekas nemainās. Man ir klusa cerība, ka varbūt šoreiz sekas būs nopietnākas, bet nu tāda tā kārtība pie mums Latvijā diemžēl ir…

    1. Tu savā komentārā esi pateicis vairāk nekā visi VID pārstāvji Domburšovā. Kaut gan kāpēc KPMG mēģina vēl kaut ko liegties un kāpēc viņus neviens nenostāda par galvenajiem vainīgiem, man joprojām nav skaidrs.
      Par Domburšovu arī atliek vienīgi piekrist. Man liekas, ka tai tantei no FM vajadzētu pastrādāt VID IP – lai tad arī viņa atrod izstrādātājus visos tajos gadījumos, kad mīļie politiķi zibens ātrumā pieņem nodokļu grozījumus. Un tie fantastiskie termiņi nav tikai nodokļu grozījumu gadījumos vien.

Ir ko piebilst?