Praėjusį trečiadienį žiniasklaida informavo apie dar vieną, jau trečią, saugumo spragą Vyriausiosios Rinkimų Komisijos sistemose. Ši, paskutinioji, yra pati rimčiausia, leidusi atskleisti tūkstančių žmonių asmens kodus (tam tikrais atvejais ir adresus) vos manipuliuojant tinklapio nuoroda. VRK teko uždaryti tinklapį rinkejopuslapis.lt
Kaip technologijų rizikos analitiką, mane šokiravo ne tik pats įvykis, bet ir tai, kiek ribotai į tai reagavo žiniasklaidos priemonės ir valstybės vadovai. Pirmieji apsiribojo tiesiog straipsniais ir interviu, o antrieji – informacijos pasidalinimu. Suprantu, rinkimai, yra kitų prioritetų. Taip, organizuojamas Zenono Vaigausko atleidimas. Tačiau tai – politinis, o ne realus problemos sprendimas.
Sutartis su įmone, kuri padarė šias klaidas, vis dar galioja. Galima tik viltis, kad tikrinami log‘ai ir aiškinamasi ar informacija nutekėjo. Neaišku, ar tiriama, ar dar buvo papildomų skylių, kurios galbūt vedė į kitas valstybines sistemas. Kalbų, kodėl nesuveikė valstybės duomenų sistemų ir jas kuriančių įmonių sertifikavimo standartai ar sprendimų auditas, taip pat nėra. O gal tokie standartai ir auditas iš viso neegzistuoja? Juk matėme panašių problemų skelbiant šauktinių pavardes. Galų gale kas yra atsakingas, jog visi šie IT sprendimai mūsų visų duomenis išlaikys saugius?
Ar tyrimas, toks koks vyksta, užtikrins mūsų valstybės vadovus, jog dabar viskas gerai ir daugiau taip nenutiks, ar ataskaita tiesiog nuguls į kokios nors ministerijos stalčių?
Todėl tokia įvykių seka turi nedelsiant atverti akis esamiems ir būsimiems politikams ir keliauti į patį prioritetų sąrašo priekį. Tai daug didesnė bėda nei permokėti 5 mln. eurų ar keliomis valandomis vėliau publikuoti rinkimų rezultatus. Praradus oficialiuose dokumentuose naudojamą šalies piliečių informaciją galima tikėtis daugybės neigiamų pasekmių.
Tokios atsakomybės tikrai negalime aklai atiduoti apie tai daug nenusimanančiam VRK pirmininkui, KAM vadovams ar ad-hoc būdu parinktoms vis besikeičiančioms konkursus laiminčioms organizacijoms. Būtina turėti tam paskirtą specializuotą valstybės instituciją, kuri neleistų startuoti valdžios projektams, kurie naudoja privačią informaciją, tol kol sprendimas nebuvo nepriklausomai patikrintas arba įmonė neatliko kasmetinio tokios veiklos audito.
Šiek tiek apie auksą ir pasekmes
Anot Lietuvos Banko, Lietuva turi sukaupusi 5,8 tonų atsargų aukso. Šis sudaro dalį šalies finansinių atsargų ir atlieka stabilizavimo funkciją, ypač jei pasaulį krečia krizės ar nenumatyti įvykiai. Mūsų visų auksas laikomas Anglijos banko saugykloje Londone, o ten, kaip ir turėtų būti, naudojamos įspūdingos saugumo priemonės.
Kaip rodo ankstesni pavyzdžiai, privačiai informacijai tokie standartai, panašu, vis dar negalioja. Praradus auksą jo bent galima ieškoti ir susigrąžinti. Internete pasklidus privačiai informacijai, grąžinti džiną į butelį nebėra galimybės – ja gali naudotis visi kas panorėję.
O tai sukeltų įvairių problemų. Turint privačią informaciją (asmens kodą) panaudojimo galimybės yra didžiulės.
Reikia paskolos? Jokių problemų.
Norite prabalsuoti už save ir tūkstančius kitų žmonių? Kodėl gi nepabandžius (atkreipkite dėmesį, jog pranešta, kad paredaguotas adresas rodė kitų žmonių asmens duomenis, bet neanalizuota, ar galima užsiregistruoti tuo kitu vardu).
Pasirašyti kokią nors sutartį su kieno nors kito asmens kodu? Pirmyn.
Tikrinti kieno nors automobilio duomenis? Taip.
Elektroninis balsavimas? Teks atsisakyti labai ilgam.
O dabar, kaip sako Tapinas, rimtai. Vien tik asmens kodas ir adresas yra tik ligos simptomas. Galbūt tai ir padėtų kam nors surinkti visiškai tikslų visų asmenų šauktinių sąrašą, išsiaiškinti tikslų jaunuolių skaičių ar net bandyti balsuoti už kitus asmenis ir paveikti mūsų demokratiją.
Bet visgi sakote – tai tik burbulas. Na, žinoma, nesmagu, bet štai – juk, pavyzdžiui, balsavimo registracijai reikia kitų duomenų (dokumento numerio).
Tačiau, matant tokias elementarias problemas, kas garantuos, jog ir šie duomenys jau nenutekėję? Ar esame įsitikinę, jog panašios skylės neegzistuoja mūsų VMI, Registrų Centro bei vidinėse ministerijų sistemose? Ar žinome, kad šios spragos VRK nepanaudotos gauti duomenų iš kitų valstybinių sistemų? Kaip jie apsaugoti, jei laikomi užsienio valstybėse ir ar žinomi kokie asmenys su jais dirba?
Nepamirškime, jog didžiulės organizacijos, tokios kaip TalkTalk, Adobe ir kitos, investuojančios milijonus į IT sistemas ir saugumą jau prarado savo duomenis. Duomenų informacijos nutekėjimo rezultatus galima pažiūrėti čia. Kodėl manome, kad valstybinės IT sistemos bus mažiau įdomios, juolab kai tiesiog tam atveriame duris?
Net nepanaudojus duomenų tiesiogiai, jų viešinimu bei strateginiais veiksmais galima kelti chaosą visuomenėje ir mažinti pasitikėjimą valstybės institucijomis.
Taisyti reikia jau dabar
Dėl to atsakingiems valstybės asmenims būtina daug rimčiau stebėti situaciją su VRK ir įvertinti:
- Ar ši įmonė gali tęsti savo darbą su VRK (ir visomis kitomis valstybės institucijomis) ir ar ji nepažeidė sutarties dėl nekokybiško darbo?
- Ar įvyko duomenų nutekėjimas ir, jei taip, kur ir kiek? Tokiu atveju turėtų būti informuoti atsakingi asmenys, visuomenė ir sudarytas planas spręsti iškilusiai problemai.
- Ar įvyko pakankamas sprendimų testavimas ir auditas. Jei taip, kodėl šios problemos nebuvo užfiksuotos.
Visos valstybės lygmeniu reikia svarstyti:
- Kas yra atsakingas už piliečių duomenų apsaugą visose valstybinėse institucijose?
- Ar egzistuoja vieninga valstybinių įstaigų strategija, kaip apsaugoti privačius piliečių duomenis ir kertines sistemas?
- Ar šioje strategijoje yra įrašytas visų tokių sistemų testavimas (įsilaužimo, duomenų saugojimo ir atstatymo ir t.t.) ar bent jau įmonių sertifikavimas (kuris parodytų, jog jos pačios geba tai atlikti)?
- Ar turime konkrečius planus, kokių veiksmų bus imtasi ir kas bus atsakingas tokiems duomenis nutekėjus internete?
Šios problemos pasiekė tokį lygį, jog tai nebėra vien Vaigausko atsakomybės klausimas.
Tiek esama, tiek būsimoji valdžia privalo atsakyti, kaip užtikrins, jog mūsų duomenys liks saugūs ir netapsime pirmąja valstybe, kurios visų piliečių privatūs duomenys taps žinomi visiems interneto vartotojams.
Karolis Jankus, jankus.co.uk