Šeit pieejami „Kas notiek Latvijā?” vadītāja un redakcijas raksti saistībā ar raidījumā apspriesto vai citām aktualitātēm. 21.12.2024.
 
Pēc Neo jeb Ilmāra Poikāna aizturēšanas saistībā ar Valsts ieņēmumu dienesta (VID) Elektroniskās deklarēšanas sistēmas (EDS) datu ieguvi un izmantošanu, atkal aktualizējušies jautājumi par atbildības sadali un samērību starp Neo, EDS administratoriem un izstrādātājiem. „Kas notiek Latvijā?” (KNL) jau kopš datu noplūdes skandāla februārī turpināja pētīt EDS „cauruma” rašanos, kā arī VID un „Exigen Services Latvia” (Exigen) rīcību, pēdējās atbildes iegūstot tikai maija sākumā. Iegūtie materiāli pastiprina šaubas par VID un Exigen atbildību par iespējamās datu noplūdes konstatāciju un nenovēršanu.
Mg    17:17  |  19.05.2010.

Te daži mani komentāri par šo, jāsaka labi uzrakstīto, rakstu un "mūžīgo" jautājumu – kas vainīgs? 1. "automatizētas datu apstrādes sistēmas resursu ietekmēšanai". Kas tad īsti ir sistēmas resurss? Vai tikai dati? Jā, dati netika ne dzēsti, ne mainīti, bet sistēmai tika sūtīti pieprasījumi, kurus sistēma apstrādāja, tātad tika izmantoti sistēmas resursi, sistēmas žurnālos (logos) tika veikta ieraksti... Nu tur lai juristi strīdas vai tā ir "ietekmēšana" vai nav. Tīri sadzīviski - ja es Tev uzdošu daudzus jautājumus, uz kuriem Tu atbildēsi, tad es Tevi būšu ietekmējis vai nebūšu? :) 2. "netika veikts .. uzbrukums”. Kas tad ir uzbrukums un kas ir "hakeris”? Viens no visizplatītākajiem hakerēšanas veidiem ir drošības caurumu izmantošana. Un nav būtiski vai drošības caurums bija Microsoft vai Exigen Service izveidotajā programmatūrā. Tātad tika apieta drošības kontrole. Un tas neko nenozīmē, ka tam vienam modulim drošības kontrole nestrādāja, jo visai sistēmai drošības kontrole bija. Sadzīviski runājot – tika mājā ieiets pa neaizslēgtām sētas durvīm. 3. Kam šī kļūda bija jāpamana? Protams, ka izstrādātājam. Vai VIDam vajadzēja ko pamanīt? Šis jautājums nav tik vienkārši atbildams. Ja drošības caurums būtu Microsoft programmatūrā, tad diez vai kāds iedomātos vainot VIDu, ja nu vienīgi administrators būtu aizmirsis uzlikt kādus drošības uzlabojumus. Bet kur tad ir būtiska atšķirība? Jā, kļūda bija smieklīga un gana tipiska, bet diez vai VID darbiniekiem vajadzēja iepazīties ar visiem programmas tekstiem un meklēt tur kļūdas, arī akcepttesti tiek veikti ar uzdevumu pārliecināties par programmas funkcionalitāti, nevis vai tai nav drošības caurumi. Sadzīviski runājot – ja jums kāds uzstāda mājai jaunas durvis, tad jūs tās pieņemot pārliecināsieties vai tās var viegli atvērt, aizvērt, vai var viegli atslēgt un aizslēgt, bet diez vai pārbaudīsiet vai tās tik pat viegli nevar atslēgt ar kādu citu atslēgu. Arī oficiālā disciplinārlietas versija, ka kāds tur VIDā nebija rūpīgi pētījis log failus diez vai ir tik droši apgalvojama. Protams, visu var darīt cītīgāk, bet, kā redzams no sarakstes, tad VIDa darbinieki bija ziņojuši izstrādātājam par pamanītajām kļūdām un diez vai viņiem no šī skopā kļūdas paziņojuma vajadzēja izdomāt, ka notiek nelikumīga datu kopēšana, jo izstrādātājs jau bija nodevis sistēmu, kurā bija iestrādāts nopietns autorizācijas mehānisms. Vai to vajadzēja pamanīt auditoriem? Visdrīzāk jau ka jā, bet arī ir svarīgi vai auditors tiešām veica drošības pārbaudes testus vai tikai pēc dokumentācijas pārliecinājās, ka sistēmas drošība atbilst noteiktiem kritērijiem un tam par pamatu bija, piemēram, izstrādātāja apliecinājums, ka sistēmas veidošanā ir ievēroti noteikti normatīvi. 



Komentāri:       
Lai pievienotu komentāru, mājas lapas drošības apsvērumu dēļ, ievadiet zemāk attēlā redzamo 4 zīmju kodu. * e-pasts tiks uzrādīts pie komentāra
Neo un VID dati  

     Kas notiek ar Neo atklāšanu un kratīšanu pie žurnālistes?

         Dalibnieki         


Autors: