Šeit pieejami „Kas notiek Latvijā?” vadītāja un redakcijas raksti saistībā ar raidījumā apspriesto vai citām aktualitātēm. 20.09.2019.
 

Kam ciktāl jāatbild par datu noplūdi: Neo, VID un Exigen?

Neo un VID dati video_f doc

17.05.2010. Lāsma Rozenfelde  A A A Komentāri: 1
Pēc Neo jeb Ilmāra Poikāna aizturēšanas saistībā ar Valsts ieņēmumu dienesta (VID) Elektroniskās deklarēšanas sistēmas (EDS) datu ieguvi un izmantošanu, atkal aktualizējušies jautājumi par atbildības sadali un samērību starp Neo, EDS administratoriem un izstrādātājiem. „Kas notiek Latvijā?” (KNL) jau kopš datu noplūdes skandāla februārī turpināja pētīt EDS „cauruma” rašanos, kā arī VID un „Exigen Services Latvia” (Exigen) rīcību, pēdējās atbildes iegūstot tikai maija sākumā. Iegūtie materiāli pastiprina šaubas par VID un Exigen atbildību par iespējamās datu noplūdes konstatāciju un nenovēršanu.

Vai Neo ietekmēja EDS resursus?


Kriminālprocess, kura ietvaros notika Neo aizturēšana un kratīšana Ilzes Naglas dzīvoklī, ir ierosināts 10.februārī pēc Krimināllikuma 244.panta otrās un 145.panta pirmās daļas. Pirmais paredz atbildību par datorprogrammu neatļautu izgatavošanu vai pielāgošanu izmantošanai, kas paredzēta „automatizētas datu apstrādes sistēmas resursu ietekmēšanai nolūkā izdarīt noziedzīgu nodarījumu”. Otrais paredz atbildību par nelikumīgām darbībām ar fiziskās personas datiem, tātad – iegūtās informācijas tālāko izmantošanu. Pirmajā gadījumā sankcijas attiecas uz darbībām, kas izraisījušas smagas sekas, otrajā – ja ar to radīts būtisks kaitējums.

To, ka datu lejupielāde nenotika manuāli, Neo atzina 17.februāra intervijā KNL, skaidrojot, ka interneta adresēs dokumentu numurus ar roku nemainīja: „Ja interesē programma, kas lejupielādēja, tad tā ir curl, tur var daudz dažādus parametrus uzstādīt, ieskaitot automātisku ID mainīšanu. Protams, vēl bija pašu rakstītas palīgprogrammas un palīgskripti.” Taču šādā rīcībā nav atrodama Krimināllikuma pantā minētā sistēmas resursu ietekmēšana – visa publiskotā informācija liecina, ka šāda ietekmēšana nenotika un dati VID sistēmā nav ne mainīti, ne dzēsti.

To, ka nav apieta nekāda autorizācijas sistēma, jo tās vienkārši nebija, KNL debatēs jau februārī apliecināja arī citas iesaistītās puses. „Exigen Services Latvia” (Exigen) izpilddirektors Ivars Puksts skaidroja, ka datu bāzes aizsardzībai, kas bija programmēta, gadiem ilgi nebija „ieslēgts slēdzītis”. VID Informātikas pārvaldes direktora vietnieks Viesturs Šķila vairākkārt uzsvēra, ka netika veikts ne uzbrukums, ne arī kādas darbības drošības sistēmās.
Tai pat laikā izpēte par EDS „cauruma” atklāšanu un novēršanu liek izvirzīt jautājumus par atbildību citos virzienos.

VID divus mēnešus ignorēja tūkstošiem EDS kļūdas

Neo intervijā norādīja uz to, ka dokumentu ID secībā ir caurumi un, pieprasot neeksistējošu dokumentu, sistēmā tika saglabāts kļūdas paziņojums: „Tātad paziņojumi par kļūdām tika kaut kur saglabāti, bet neviens tos nekontrolēja”. KNL no VID un Exigen iegūtā informācija liecina, ka kļūdu paziņojumi bija iemesls atklāt „caurumu” EDS, taču ar pamatīgu novēlošanos.

VID jau pagājušā gada 9.novembrī – tātad saprātīgā laika termiņā pēc datu „pumpēšanas” sākuma oktobrī – nosūtīja Exigen problēmziņojumu, ka tiek konstatētas daudz kļūdas, norādot arī kļūdas piemēru. VID Sabiedrisko attiecību daļas vadītājas Agneses Grīnbergas izsniegtā informācija apliecina, ka šo kļūdu cēlonis bija ar norādīto numuru neeksistējošu dokumentu pieprasījumi EDS. 10.novembrī Exigen nosūtīja sistēmas labojumu, un ar to aktivitātes uz laiku arī beidzās. Taču Exigen nebija atradis pareizo kļūdu paziņojumu iemeslu, līdz ar to nevarēja to arī izlabot.

Šī gada 11.janvārī VID nosūtīja Exigen otru problēmziņojumu par to, ka ir daudz kļūdas ar vienveidīgiem paziņojumiem. VID informācija liecina, ka ziņojumā norādītais kļūdas paziņojuma piemērs bija „līdzvērtīgs” tam, kas bija iekļauts pirmajā problēmziņojumā. Tas nozīmē, ka VID darbinieki nepārbaudīja to, vai Exigen atsūtītais sistēmas labojums reāli strādā, un tādas pašas kļūdas, bez reakcijas uz tām, turpinājās vēl divus mēnešus. Turklāt Neo iepriekš norādīja, ka dokumentu pieprasīšana ar laiku kļuva arvien intensīvāka – tam vajadzētu nozīmēt arī biežākus kļūdu paziņojumus. Saskaņā ar Neo teikto, dokuments ar attiecīgu numuru neeksistēja vairāk nekā 19 tūkstošos gadījumu. Tas ir iespējamais kļūdu skaits, uz ko nereaģēja VID.

Nelija Jezdakova, kas tobrīd vēl bija VID ģenerāldirektora vietas izpildītāja, KNL debatēs šo daļu „izlaida”, apgalvojot, ka darbinieki to, ka kaut kas notiek ar sistēmām, konstatējuši janvārī. Pēc skandāla par datu noplūdi VID vadītāja kvalificēja, ka viņas atbildība ir „lielākoties tomēr morāla”, bet par padotajiem izteicās, ka vainīgie „bargi jāsoda”.

Kā zināms, praksē disciplinārlietas pret trim ierēdņiem vēl nav beigušās, jo tām tika pagarināti termiņi, savukārt četriem darbiniekiem piemērots disciplinārsods vien rājiena formā. Nav dzirdēts, ka kāda darbinieka nolaidīga bezdarbība būtu vērtēta kriminālatbildības līmenī. Lai gan, pēc visa spriežot, VID varēja rīkoties krietni ātrāk, un tā rezultātā kaitējumu VID darbam un reputācijai notikušais, šķiet, nodarījis vairāk nekā Neo īstenotā selektīvā datu publiskošana.

Exigen atbildē – nevis risinājums, bet solījums

Tas, kas notika pēc minētā otrā problēmziņojuma nosūtīšanas, raisa jautājumus arī par Exigen atbildību. Saskaņā ar līguma projektu, kas bija pievienots konkursa nolikumam, Exigen pēc problēmziņojuma saņemšanas bija jāievēro konkrēts reakcijas laiks – tas ilgst „līdz brīdim, kad tiek piedāvāts konkrētās problēmas risinājums”, tātad pašu risinājumu var izstrādāt ilgāk, bet tas ir jāpiedāvā.

Realitātē Exigen nākamajā dienā nosūtīja „reakcijas laika atbildi Nr.1”, kurā pavēstīts, ka tiek analizēta ziņojumā esošā informācija, gadījumi, kad tāds kļūdas paziņojums var parādīties, un tas, kā tas var ietekmēt lietotāju, savukārt pēc izpētes pabeigšanas solīts sniegt otru reakcijas laika atbildi. Pēc KNL jautājuma A.Grīnberga atzīst, ka termina „otra reakcijas laika atbilde” līgumā nav.

„Šāda klasifikācija ir ieviesta, lai netiktu sajaukta secība izstrādātāja sniegtajai informācijai par atbildēm reakcijas laikā. Sākotnējā izstrādātāja reakcija notika atbilstoši līgumā noteiktajiem termiņiem,” uzsver VID pārstāve. Exigen nepiekrīt, ka, solot nosūtīt otro reakcijas laika atbildi, ir pārkāpis līgumu, jo tā pēc būtības esot precizēta reakcijas laika atbilde un nepilnīgas piegādātās informācijas dēļ ne vienmēr ir iespējams sniegt risinājumu uzreiz. „Turklāt jebkura sadarbības forma līguma izpildes ietvaros, ja tā nav speciāli atrunāta līgumā un abām pusēm ir pieņemama, nav līguma pārkāpums,” interpretē Līga Krista Solima, Exigen mārketinga direktore Baltijā.

Exigen skaidro – sākotnējais slēdziens bija, ka kļūda ir saistīta ar programmatūras darbību, taču uzreiz nebija iespējams noteikt lietotāja veikto darbību kopu, kas šo kļūdu izraisītu. Tā kā nebija saņemta informācija, ka lietotāji izvirzītu pretenzijas par funkcionalitāti, tad netika uzskatīts, ka problēma lietotājiem ir aktuāla. Exigen arī raida pārmetumus VID virzienā – ka problēmziņojuma „teksts nesniedza pietiekamu informāciju, lai varētu novērtēt problēmas smagumu” un „VID nepauda aizdomas par drošības pārkāpumu”.

No VID informācijas ir redzams, ka tas problēmziņojumiem bija piešķīris prioritāti „steidzams”, nevis „kritisks”. Exigen arī uzsver, ka „vēl izstrādātāji centās EDS realizēt jaunās likuma normas, kuras valdība bija steidzamā kārtā ieviesusi un bija svarīgas VID pamatfunkciju veikšanai”. Par šo tematu KNL debatēs izteicās arī I.Puksts, kurš sacīja, ka pagājušā gada nogalē pieņemtos lēmumus Exigen bija spiests realizēt „līdz 31.janvārim”. Šie skaidrojumi rada bažas par to, vai problēmas izpētei jau uzreiz tika novirzīti pienācīgi resursi – iespējams, citu prioritāšu un apdraudējuma nesaskatīšanas dēļ – un vai EDS „cauruma” atklāšana tikai februāra sākumā nav skaidrojama tieši ar to.

Nav prettiesiskas rīcības, nav sankciju

4.februārī Exigen informēja VID, ka, veicot otrā problēmziņojuma padziļinātu izpēti, tika konstatēta nesankcionētu EDS failu lejupielādes iespēja. Taču „reakcijas laika atbildi Nr.2” Exigen nosūtīja tikai 22.februārī, post factum informējot par 5.feburārī nosūtītajiem labojumiem, kas beidzot EDS „caurumu” aiztaisīja. Nevar izslēgt, ka Exigen par pienākumu nosūtīt otru atbildi uz laiku bija piemirsusi. KNL vaicāja Exigen pārstāvei, vai viņa var sniegt citu novēlotās reakcijas skaidrojumu, taču atbildi nesaņēma.

Vismaz pagaidām nekādus sodus par līguma pārkāpšanu VID attiecībā pret Exigen nav piemērojis. Līgums paredz, ka pusēm ir pienākums atlīdzināt otrai pusei nodarītos tiešos vai netiešos zaudējumus, ja tādi ir radušies prettiesiskas rīcības rezultātā. Exigen vēl arvien savā darbībā prettiesisku rīcību nesaskata.

Skaidrojot, kāpēc atbildība līgumā noteikta tieši šādā redakcijā, abas puses nenoliedz, ka tas noticis saskaņā ar paša VID sagatavoto projektu. Vaicāta, vai šis formulējums viņiem „nesasien rokas” pretenzijām par zaudējumiem, VID pārstāve atbild, ka tas ir ļoti juridisks jautājums: „Kas un kā varētu tikt tulkots gadījumā, ja VID vērsīsies tiesā, būs zināms tad, ja tas kādreiz reāli notiks.”


Video: Ivars Puksts, Viesturs Šķila un Nelija Jezdakova par to, kāpēc varēja notikt datu noplūde, un atbildību. (Fragments no „Kas notiek Latvijā?”, 17.02.2010.)

Valsts ieņēmumu dienesta sniegtās atbildes

„Exigen Services Latvia” sniegtās atbildes

Atklātā konkursa nolikuma pielikums – līguma projekts


Komentāri:       
Lai pievienotu komentāru, mājas lapas drošības apsvērumu dēļ, ievadiet zemāk attēlā redzamo 4 zīmju kodu. * e-pasts tiks uzrādīts pie komentāra
Neo un VID dati  

     Kas notiek ar Neo atklāšanu un kratīšanu pie žurnālistes?

Partneri:



         Dalibnieki         


Autors: