VID jau jūlijā konstatēts mēģinājums piekļūt EDS datiem
Programmētājs kļūdījās un aizmirsa ieslēgt drošības sistēmu, VID kļūdījās un nepievērsa uzmanību nelegālai aktivitātei sistēmā un tā rezultātā trīs mēnešus netraucēti EDS saglabātos dokumentus kopēja kāds, kam nav atļaujas. Tas darīts ārpus VID darba laika, automatizēti un no dažādām ārvalstu IP adresēm, kuras regulāri mainītas. Izmeklēšana liecina, ka šī ir vienīgā nelegālā pieslēgšanās VID datu bāzei.
Lai arī kļūda programmatūrā bijusi vienkārša, kiberdrošības eksperti lēš, ka to tik vienkārši pamanīt nevarēja un tam vajadzēja zināšanas IT jomā. Exigen Services izpilddirektors Ivars Puksts sacījis: «Tā kļūda, man jāatzīst, bija vienkārša un tur lauzt neko nevajadzēja. Bet zināmu IT kvalifikāciju tur vajadzēja. Tas nebija tik vienkārši. »
«Lai arī VID darbojas vesela informātikas pārvalde, ne tās darbinieki, ne auditētāji no malas kļūdu nepamanīja. Tikai tagad ar izbrīnu tiek konstatēts lielais pieprasījums pēc datiem. Šī nolaidība visdrīzāk maksās amatu VID informātikas pārvaldes vadītājai Iveta Bērtulsone, arī pašreizējai VID ģenerāldirektora pienākumu izpildītājai Nellijai Jezdakovai durvis uz patstāvīgu šī amata ieņemšanu šķiet ir aizvērušās. Par sankcijām kompānijai, kuras darbinieks kļūdu pieļāva vēl nav lemts, taču neizskatās, ka VID un Exigen sadarbība pārtrūks, » norādīja Nekā personīga.
VID ģenerāldirektora p.i. Nellija Jezdakova raidījuma veidotājiem sacījusi: «Tie ir mūsu ilgstoši partneri, cilvēki, kuri strādā ar mūsu sistēmām. Mēs tos augsti vērtējam. Bieži vien viņi ir labāki nodokļu speciālisti par mums. »
Kā akcentēja Nekā personīga, «EDS galvenokārt ir uzņēmumu grāmatvežu darbarīks. Viņi ievada ziņas par deklarētajiem nodokļiem, algām, atlaistajiem vai pieņemtajiem darbiniekiem. Sistēmas otrā pusē VID datus saņem un ik mēnesi aprēķina, par cik auguši vai krituši ieņēmumi valsts kasē. Gandrīz visi šie dati arī līdz šim bija publiski pieejami.
Sensitīvie dati, par kuru nozagšanu tiešām būtu jāuztraucas, atrodami Valsts amatpersonu deklarāciju nepubliskojamā daļā. Tās ir ziņas par amatpersonu radiniekiem, darījumu partneriem. Līdz šim gadam amatpersonas deklarācijas varēja pildīt ar roku, tāpēc šī datu bāze nav pilnīga.
Ka agri vai vēlu pienāks X stunda un valsts nozīmes datu bāzēm uzbruks, nojauta ne tikai žurnālisti. Pērn decembra beigās valdība lika izveidot īpašu padomi, ko vada Satiksmes ministrija. Padomes uzdevums - novērtēt katra kiberuzbrukuma iespējamo kaitējumu un ātri reaģēt X stundā. Padomē ietilpst piecu ministriju, kā arī valsts un drošības policijas, SAB, Militārās izlūkošanas dienesta, bruņoto spēku, NATO Kiberaizsardzības centra un datoru drošības incidentu reaģēšanas vienības cilvēki. Bet lai padome varētu zibenīgi reaģēt un pārliecināties, vai apdraudējums var kaitēt valsts drošībai, kādam par to, protams, ir jāpaziņo. Bet VID gadījumā tas nenotika, šis posms iztrūka.
VID ne tik nav zinājis kā pareizi rīkoties X stundā, bet nav varējis X stundu atpazīt. Piektdien dienests izplatīja paziņojumu, kurā atklājas, ka ātrās reaģēšanas vienībai tomēr kāds no VID zvanījis, bet nav atklājis, kuru valsts iestādi pārstāv. VID datorspeciālisti uzskatījuši, ka sistēmā notiekošā datu zagšana neatbilst kiberuzbrukuma definīcijai ».
Pēc skandāla nākšanas gaismā izmeklēšanā iesaistījušies gan drošības policijas, gan Satversmes aizsardzības biroja darbinieki.
Kā norādīja Nekā personīga, ārkārtas rīcības plāns ir viens no neskaitāmajiem, ko mūsu valstī pieņem un tūdaļ pat aizmirst. Arī Nacionālās drošības komisijas vadītājs Māris Kučinskis nezina, kā būtu bijis jārīkojas un kam par ko jāatbild tik liela kibernozieguma gadījumā.
Satiksmes ministrija gan saka pretējo – instrukcija ir, bet VID to nav ievērojis. Tāpēc kiberspeciālistu padomei šonedēļ nācās pašai izprasīt ziņas no VID, lai par notikušo jau rīt – tas ir divas nedēļas pēc notikuma - spriestu ārkārtas sanāksmē.
«Mēs jūtamies apzagti, tāpat, kā mūsu nodokļu maksātāji, » raidījumam sacījusi N. Jezdakova, piebilstot, ka viņa saprot, ka viņai jāatvainojas.
Uzmanību!
Pieprasītā sadaļa var saturēt erotiskus materiālus, kuru apskatīšana atļauta tikai pilngadību sasniegušām personām.