DELF: "No tālākiem komentāriem "KPMG Baltics" atturas. Īsu komentāru, noraidot sevi kā vienu no sistēmas testētājiem, pirmdien sniedza arī "Ernst&Young" - otrs uzņēmums, kas bija minēts kā sistēmas auditors." Kāpēc netiek aicināti šo firmu direktori? Vai par miljoniem nav jātbild? 

Ernst&Young vispar ir kriminala organizacija. Banku auditi vienmer bus par labu bankam, tas pats attiecas uz visu vinu darbibu. Ja skata visu plasak, tad vini ir tikai dala no kopejas ainas ar to kas notiek pasaule = "jaunas pasaules kartibas" ieviesana. 

Manuprāt atrast to brīdi, kad šis caurums parādījās nemaz nav tik grūti. Pie nosacījuma, ja kāds pēc šī visa nākšanas gaismā jau nav paspējis kaut ko nomuhļīt. Reāli izstrādes gaitā tiek izlaistas vairākas šī produkta versijas, kas tiek dokumentētas un tiek saglabātas kopijas. Tāpat dokumentēti tiek arī testēšanas scenāriji un to rezultāti. Atliek vien iet cauri šiem dokumentiem un vesrijām un pārbaudīt, ir vai nav tas caurums. Tas arī parādītu vai tas ir radies jau izstrādes gaitā, vai jau gatavajā produkcijas sistēmā. Vēl ir jautājums kādiem cilvēkiem bija pieeja produkcijas sistēmai, lai tajā varētu veikt izmaiņas. Veicot izmaiņas produkcijas sistēmā, būtu bijis Apache vai IIS, ko nu šis serveris izmanto, restarts. Līdz ar to šis process noteikti glabājas kādos "log" failos. Un tā varētu turpināt. Secinājums - atliek tikai rakt. 

VID datos nekā krimināla nebūs, jo kurš tad VIDam iesniedz informāciju par savām kriminālajām darbībām. Es gan ieteiktu satraukties bankām kuras izsniedza kredītus pret aplokšņu algām. Jo paanalizējot fizisko personu ienākumus un saņemto kredītu apjomus gan varētu atrast to cik lielos apmēros kredīti tika doti pamatojoties uz aplokšņu algām. Kā arī to cik "reāli" pelna Latvijas bagātākie cilvēki un kā pa nopelnīto viņi spēj nodrošināt savu dzīves līmeni, jo diez vai Kargins un Krasovickis ir vienīgie, kas par saviem ikmēneša ienākumiem nemaksā nekādus nodokļus. 

Latvijā amatpersonas likuma priekšā par pārkāpumiem neatbild! N-tie VK ziņojumi par pašvaldības, par valsts iestāžu nelikumībām tā arī paliek nesodīti! Gada citāts,...ja amatpersonas tiktu sodītas, tad mums nebūtu kas strādā valsts pārvaldē to saka saeimas deputāts! Tad jautājums kāpēc man šai valstī ir jāmaksā nodokļi? 

Mani vairāk satrauc tas, ka vairāk runā par vainīgiem VID pusē, bet nekas netiek runāts par 4ATA meklēšanu. Principā jau notiek izmeklēšana, līdz ar to vajadzētu pagaidīt kau tkādus rezultātus un tad rīkot debates. 

Neo:Starp citu, mēs nesaprotam vienu lietu no Internetā lasītā un redzētā. Kāpēc VID vēl liedzas un cenšas samazināt datu noplūdes apjomu? Viņi no web access logiem var ar pavisam vienkāršām darbībām atlasīt visus GetDuf.aspx, tur visi dokumentu numuri parādītos. Vai arī viņi atslēguši log failu, lai paātrinātu EDS servera darbību :) Tas gan būtu vēl viens epic fail :) ----------------- Šis ir ļoti būtisks moments. Pēc tā varētu pateikt (ja pieņem, ka 4ATA nevilka vienu dokumentu vairākas reizes) vai šos datus tādā veidā ir vilcis arī kāds cits. Iespējams VID nemaz nevar nedz apstiprināt nedz noliegt apjomu vai nu šo log failu neesamības dēļ (bet tas tiešām būtu ārprāts) jeb arī vilkuši vēl ir citi un atšķirt, kuri ir 4ATA un kuri tie citi VID nevar. 

Par atbildību: 1. amatpersonu atbildība. Gudele atkāpās no amata dēļ nieka tortes nenodarot lielu skādi nodokļu maksātājiem, nedz arī uzņēmējiem. Tagad nopludina tūkstošiem dokumentu ar informāciju, kas uzņēmējiem varētu nest pat visai lielus zaudējumus, bet nedz VID ģ-direktors nedz arī FinMin Repše neapsver domu par atkāpšanos. Kam būtu jānotiek, lai Jakāns vai Repše domātu par atkāpšanos? Tikai defaults to panāktu????? 2. Privāto partneru atbildība. Ernst & Young saņēma 2 miljonus par reālu darbu, par uzraudzību, par testēšanu un auditēšanu, bet viņi atzina, ka sistēma ir droša un ok. Paņem 2milj, bet atbildība nekāda??? Tagad būs tiesāšanās, bet par to maksās nodokļu maksātāji??? Par to būtu jāmaksā E & Y!!! 3. Whistle Blower. Manuprāt Neo varētu būt tipisks whistle blower. Tādi noder. 

Sekas būtu pilnībā jāuzņemas VID vadībai (Jakānam) un IT daļas vadībai. Pats skumjākais jau ir ne jau pats fakts kā tāds, bet gan vairākkārtēji izskanējušie pārmetumi bet gan Gudeles pārmetumi sistēmadministratoram, kurš "iespējams varētu būt vainīgs". Bet administratora darba pienākumos neietilpst programmatūras, datu bāzu izstrāde un to testēšana, tā ir pašas VID vistiešākā atbildība, ka tā par milzīgām summām iegādājas s*du! Vēl jo vairāk - Gudele ir tikai pierādījusi to, ka no IT jomas saprot mazāk, nekā zirgs no motocikla! Administratora pienākumos ietilpst tas, lai sistēma darbotos, lai būtu savlaicīgi veiktas dublējumkopijas, bet ne caurumu meklēšana trešās puses izstrādātā nodrošinājumā! tas no Gudeles puses tiešām bija absurds! Un Gudelei ir jāuzņemas atbildība, un atrunas par to, ka VID nevēlējās veikt drošības auditu - tas jau ir jautājums, kurš jāizmeklē: kas, kur, kam un cik solīja, cik, kurš, kā un kādā sakarā kādu labumu saņēma. Man pašam personīgi ir vienalga, ja mani dati kaut kur varētu būt nokopēt, jo datu drošība Latvijā tik un tā ir izteikti zemā drošībā, un tas nav tikai VID, ko izskaidro gan parādu piedziņas kantori, kuri sadzīt rokās radu radus, lai terorizētu, gan uzbāzīgi reklāmkantori, kuri var iegūt gan telefonu, gan adresi, nemaz nerunājot par to, ka personas kodu var pieprasīt visi, kam vien ienāk prātā, lai gan acīmredzami to drīkstētu pieprasīt tikai bankas vai valsts iestādes, kā arī uzņēmumi, kurā strādā p.k. īpašnieks. Datu valsts inspekcija ir bezjēdzīga institūcija, kuras pastāvēšana manā skatījumā nav ne lata vērta! 

Precizēju: atbildība ir jāuzņemas gan pašreizējai, gan bijušajai VID vadībai. 

Šis ir tipisks 'backdoor' gadījums. Vienīgie jautājumi ir 1. Kāpēc šādas durtiņas tika izveidotas - vai tas bija saistīts ar testēšanu un tikai aizmirsts izdzēst gala versijā, vai tas bija nepieciešams sadarbībai ar kādu citu sistēmu, vai arī tas tika radīts ar ļaunu nodomu. Tas jājautā izstrādātājiem. 2. Jautājums VID IT daļai - vai viņi par šādu durtiņu esamību zināja, vai tas bija dokomentēts interfeiss sistēmas aprakstā? Ja runājam par vainīgo meklēšanu, tad noteikti nevajag aizmirst to puisi no sistēmas izstrādātājiem, kurš izpļāpājās par šādu iespēju. 

Šī datu noplūde jau nav vienīgā. Ir VID darbinieki, kuri izmanto dienesta stāvokli, pieeju datu bāzēm un pa telefonu regulāri "nodod" informāciju draugiem ārpusē. Joprojām nav pabeigta iesāktā reforma. Inspektori, kuru amata pienākumi ir centralizēti, neko nedara, dīkdienībā pavada laiku, toties algu saņem. Tāpat ir inspektori, kuri vienkārši netiek laikam līdzi vai arī negrib pieņemt pārmaiņas, vai vienkārši pieraduši neko nedarīt. Sektorā, kurā es strādāju, varētu samazināt darbinieku skaitu uz pusi, atstājot perspektīvākos, un darba kvalitāte un apjomi no tā nezaudētu. 

ta ka parasti neviens par realo situciju neko neteiks, aizbildinoties ar notiekoso izmeklesanu. Jakans gan aicigi tika vala no kresla... Ja si informacija tiesam ir vienas grupas riciba, tad kada ir garantija ka ta vel nav nonakusi vel kada riciba? nav isti skaidrs, ka atzinumus par so sistemu sniedz privatuznemumi, nenesot par to nekadu atbildibu, bet DVI nak tikai tad kad jau uguns ir pakulas? tas loti atgadina FUKTUK principu, kuri ari pamostas kad uguns pakulas un katram no macina izvelk latus, lai nomaksatu KK %. 

Tikko šodien nodarbojos ar līguma ar VID studēšanu par deklarāciju elektronisku iesniegšanu EDS- līgumā melns uz balta viens no punktiem skan: VID garantē iesniegto dokumentu konfidencialitāti. Tātad VID ir pārkāpis līguma nosacījumus. Ko darīt? Lauzt līgumu un iet pie cita pakalpojuma sniedzēja? :) 

Ļoti interesanti, kad kāds to klasificē ka nejaušu ieklīšanu EDS un netīšu datu nokopēšanu, nezinot ka to nedrīkst. Ja es pareizi sapratu, tad tie puikas paši rakstijuši PHP cURL skriptu un reaali uztaisijushi botu, kas to visu darija... taads neslikt netiishaam.... 

Interesanti ir, ka "caurumu" tomēr kāds atklāja un pie aliņa izrunājās. Tikai tā Neo tika pie VID datiem. Tad viens no galvenajiem jautājumiem ir- kas to caurumu uztaisīja un kā interesēs? Kas izmantoja? Vai gribēja izmantot? 

IT "specialisti" Knl intervijā nav.Jābūt elem.priekšstatam par IT drošibas sys. veidošanu un te ir skatijums par elementaru bazi ko var saakumaa testeet piem.ar BackTrack)u.c hjacking mehaanismiem.Kursh to dara LV? 

1)Kas tā vispār ir par informāciju kas nozagta? Kāds viņu ir redzējis to nozagto informāciju? Personas kodi? Algas? Kas? Kam tie dati vajadzīgi? Tāda sajūta ka viss šitais fars no pirksta izzīsts. 2)Tā informācija jau pēc 2-6 mēnešiem vairs nebūs aktuāla, ko cepjaties? 3)Pēc kādiem parametriem viņi noteica cik dati noplūduši? Lūk šitais jautājums man visvairāk interesē! Paši zaga ka zin cik daudz nozaga? Log failos parādās cik dati aizgāja uz kautkādu adresi, varbūt otrā galā visi dati izdzēsti un atstāti tikai kādam interesējošie? 

Sveiks! Šīvakara pārraide bija murgs, valsts ierēdņi peld daudzvārdība, nevienam nav sajēgas par faktu un iespējām kādas varētu ieviest, lai aizsargātu IT sistēmas. Ja ir vēlme, varu informēt un sniegt pārskatu, kā to dara citās valstīs, jo esmu bijis IT sfērā 17 gadus un nodrošinājis dažādas sistēmas citas valsts valdībai! Laikam jau tieši tādēļ ir tiesības man par to spriest un sniegt pārskatus. 

Šķila saka, ka regulāri auditē? Auditācijas pieraksti domāti lai būtu iespēja izmeklēt, ja gadījumā notiek kas nelabs. Arī statistikai. Kaut kad sen, bērnībā, līdzīgā veidā no kāda uzņēmumu kataloga uzņēmuma interneta lapas mēģinājām iegūt e-pasta adreses spamošanas mērķiem. Mūs noķēra jau pēc ~20 pieprasījuma un liedza pieeju līdz apstākļu noskaidrošanai :) Monitorings ir atslēgas vārds! Prevencija! Kā ir ar VID (bez)darbību monitoringa jautājumos?