Ekspluatējot jebkuru informācijas sistēmu, jāapzinās, kādi ir ar to saistītie riski, un jāveic mērķtiecīgas darbības šo risku mazināšanai. No publiski izskanējušās informācijas saprotams, ka VID EDS informācijas noplūdes gadījumā šie riski ir neveiksmīgi summējušies, novedot pie lielākās zināmās datu noplūdes Latvijā. Kādus riskus mēs varam novērot situācijā ar VID EDS?
Pirmkārt, vienmēr pastāv iespēja, ka, izstrādājot sistēmu, tiks pieļautas kļūdas. Ar informācijas drošību saistītas nozīmīgas kļūdas (jeb ievainojamības) ir tikušas atrastas ne tikai VID EDS, bet arī praktiski visos plaši lietotos un nozīmīgos programmatūras produktos, ko ir izstrādājušas pieredzējušas pasaules kompānijas. Šī riska mazināšanai veic programmatūras testēšanu vai specializētas pirmkoda analīzes. Prakse rāda, ka programmatūras izstrādātāji testēšanu parasti veic, lai pārliecinātos par produkta funkcionalitātes darbību paredzētajā veidā nevis mēģinājumiem to izmantot neparedzētām darbībām. Tāpēc ir jāveic arī specifiskas drošības pārbaudes, kuru mērķis ir atklāt gan funkcionalitātes izmantošanas iespējas neparedzētos veidos, gan citas ar drošību saistītas ievainojamības.
Otrkārt, drošības testēšanas procesā pastāv risks nepamanīt ievainojamības. Mūsdienu IT attīstības tempos nav iespējams pārliecināties par pilnīgu jeb 100% informācijas sistēmas drošību. Savukārt, lai gūtu ļoti augstas pakāpes pārliecību par to, ka izstrādātajā informācijas sistēmā nepastāv ievainojamības, ir nepieciešami lieli resursi. Šis process var būt arī darbietilpīgāks un dārgāks nekā pašas sistēmas izstrāde, ko lielākā daļa pasūtītāju nevar atļauties. Šī riska samazināšanai IT drošības testētājam jābūt ar augstu profesionālo kvalifikāciju, pietiekamu pieredzi un zināšanām, lai identificētu to funkcionalitāti, kurā iespējamo ievainojamību varētu mērķtiecīgi meklēt un atrast. Palīdz arī izstrādātie IT audita standarti un drošības testēšanas metodoloģijas. Šāda darba kvalitātes uzlabošanai var veikt neatkarīgus izvērtējumus, lai pārbaudītu vai attiecīgais drošības testētājs ir pareizi izvēlējies un piemērojis drošības testēšanas metodiku.
Treškārt, drošības pārbaudes nedod arī 100% garantiju un saglabājas risks, ka kāds cits drošības testētāja neatrasto ievainojamību atklās. Ja tās atklājējs būs gan pietiekami motivēts neautorizēti piekļūt informācijas sistēmai, gan nebaidīsies no potenciālā soda pieķeršanas gadījumā, ievainojamības izmantošanas sekas ir neprognozējamas. Lai nākotnē mazinātu šo risku, ir būtiski atklāt vainīgos neautorizētajā informācijas iegūšanā un piemērot likumā paredzētās sankcijas par šādu nodarījumu.
Ceturtkārt, neautorizētā sistēmas izmantošana var pietiekami ilgu laiku netikt pamanīta, tādā veidā palielinot riska negatīvo ietekmi. Šo risku var mazināt pārdomāta un sistemātiska informācijas drošības uzraudzība, kurai nepieciešami atbilstoši resursi.
Nezinot konkrētas detaļas par informācijas sistēmas izstrādes procesu un veikto drošības testēšanu, kā arī sistēmas darbības uzraudzības kārtību, nav iespējams izvērtēt, vai VID EDS gadījumā tā bija neveiksmīga sakritība vai noziedzīga nolaidība. Taču notikušā sekas no tā nemainās.
Noteikti ir skaidrs, ka vienīgi, sistemātiski strādājot pie informācijas drošības vadības, šos riskus var samazināt līdz vēlamajam līmenim. Bez VID EDS valsts pārvaldē ir daudz citu būtisku informācijas sistēmu, kurām visticamāk netiek pienācīgi veikta drošības uzraudzība, un izstrādes un ieviešanas laikā nav tikusi veikta informācijas drošības risku analīze, ne arī definētas drošības prasības vai veikta drošības testēšana.
Lai uzlabotu šo situāciju, mūsuprāt, pēc būtības ir jāmaina kārtība, kādā tiek finansēta valsts informācijas sistēmu uzturēšana, paredzot finansējumu atbilstoši sistēmas nozīmīgumam un riskiem, kā arī regulāri kontrolējot šo sistēmu pārvaldību un paredzot skaidrus pienākumus un atbildību par pārkāpumiem drošības procedūrās.
ISACA Latvijas nodaļa vienmēr ir paudusi atbalstu mērķtiecīgām un efektīvām darbībām IT pārvaldības un IT drošības situācijas uzlabošanai valsts sektorā. Arī šobrīd ISACA Latvijas nodaļa pauž gatavību iespēju robežās sniegt palīdzību, lai profesionāli izvērtētu gan gadījumu ar informācijas noplūdi no VID EDS, gan veicinātu IT drošības līmeņa paaugstināšanos valsts informācijas sistēmām.
Biedrība "ISACA Latvijas nodaļa" ir globālas IT profesionāļu asociācijas ISACA (Information Systems Audit and Control Association) Latvijas nodaļa, kurā darbojas vairāk nekā 100 Latvijas IT drošības un pārvaldības profesionāļi no valsts pārvaldes institūcijām un komersantiem. Pēc individuālo biedru skaita ISACA Latvijas nodaļa ir lielākā IT profesionāļu biedrība Latvijā, kuras mērķis ir celt profesionālo līmeni un uzlabot sabiedrības informētību informācijas sistēmu drošības un pārvaldības jomā. Sīkāka informācija par ISACA Latvijas nodaļu: www.isaca.lv.
* Informācijas sistēmu audita un kontroles asociācija (ISACA)
Informācijas noplūdes riskus var samazināt drošības vadība
Informācijas noplūdes gadījums no Valsts ieņēmumu dienesta (VID) Elektroniskās deklarēšanas sistēmas (EDS) pēdējās nedēļās ir radījis plašu rezonansi gan publiskajā telpā, gan informācijas tehnoloģiju (IT) drošības profesionāļu vidū. Šajā laikā ir izteikti dažādi viedokļi par informācijas noplūdes iemesliem un pat spriedumi par iespējamiem vainīgajiem. Taču ne visi izteiktie minējumi ir skatīti visaptverošā IT pārvaldības kontekstā, apzinoties jebkuras informācijas sistēmas dzīves ciklu un ar to saistītos riskus.
Uzmanību!
Pieprasītā sadaļa var saturēt erotiskus materiālus, kuru apskatīšana atļauta tikai pilngadību sasniegušām personām.