Datu drošības eksperti ir izbrīnīti par zemo datu drošības līmeni Centrālas statistikas pārvaldes (CSP) organizētajā tautas skaitīšanā internetā un brīdina, ka iespēja jebkuram lietot publiski pieejamus personas datus, lai apskatītu vai sagrozītu iedzīvotāju tautas skaitīšanas sniegtos datus, var nodarīt lielu kaitējumu.
Jau ziņots, ka Datu valsts inspekcija (DVI) secinājusi, ka, nodrošinot iespēju tautas skaitīšanas anketu internetā aizpildīt norādot personas kodu un pases numuru, CSP rīcībā esošie fizisko personu dati var tikt nodoti trešajām personām bez tiesiska pamata.
Latvijas Universitātes matemātikas un informātikas institūta mākslīga intelekta pētnieks Ilmārs Poikāns, kas ieguva slavu kā informācijas nopludinātājs no Valsts ieņēmumu dienesta (VID) datubāzes ar segvārdu «Neo», teica, ka notikušais neliecina par «drošības caurumu, bet drīzāk par domāšanas caurumu» tajā, ka pieļāva sistēmas uzbūvi ar tik bīstamu autorizācijas veidu.
Pieļaudams, ka daudzi varētu izmēģināt iespēju apskatīt vai pat sagrozīt savu līdzpilsoņu datus, izmantojot publiski pieejamu informāciju par pases datiem un personu kodiem, Poikāns pajokoja, ka «diez vai policijai būs kapacitāte noķert visus, kas pārbaudīs šo caurumu».
Jaunās datu drošības incidentu reaģēšanas vienības «CERT.LV» vadītāja Baiba Kaškina «Nozare.lv» teica, ka nevarot palīdzēt tiem, kuru iesniegtie dati ir apdraudēti, vienīgi ieteikt iespējami ātri likvidēt iespēju piekļūt tautas skaitīšanas anketām ar personas kodu un pases datiem. Jau ziņots, ka tas noticis.
Kaškina arī teica, ka CSP nebija konsultējusies ar «CERT.LV» par tautas skaitīšanas internetā paņēmieniem. «Mēs esam maza vienība un nevaram tikt galā ar katru iestādi, bet būtu varējuši ieteikt speciālistus un drošības auditorus, ja mums būtu iepriekš prasīts,» viņa teica un piebilda, ka «neviens likums neprasa, ka, projektējot sistēmu, ar mums būtu jākonsultējas.«
Arī «Datoru drošības tehnoloģiju» mārketinga direktors un drošības eksperts Valdis Šķesters bija izbrīnīts, ka viens autentifikācijas vai piekļuves paņēmiens tautas skaitīšanas mājaslapai balstījies uz «publiski pieejamu informāciju». Tas, viņaprāt, esot tas pats, kas tautas skaitīšanas datus atstāt bez nekādas datu aizsardzības.
«Neredzu, kā šādā veidā var veikt tautas skaitīšanu,» teica Šķesters, norādot uz datu sagrozīšanas iespējām.
Datu drošības speciāliste un Latvijas universitātes pasniedzēja Ilze Murāne biznesa portālam teica, ka šķietami nemākulīgi veidotā tautas skaitīšanas sistēma var izraisīt nepatīkamas sekas vismaz trīs dažādos līmeņos.
«Tā var radīt uzticības zudumu e-pārvaldei valstī kopumā, jo cilvēkiem būs aizdomas, ka arī citās jomās nav domāts par datu drošību,» Murāne teica.
Otrs kaitējums, pēc ekspertes domām, ir ēna pāri visiem līdz šim internetā ievāktiem tautas skaitīšanas datiem, jo līdz pat 70% esot nodoti, lietojot nedrošo autentifikāciju ar pases datiem un personas kodu.
«Būs jāveic šo datu pārbaude, lai atklātu, vai nav notikusi datu sagrozīšana,» Murāne teica. Viņa arī norādīja, ka var tikt sagrauta uzticība tādiem datiem, kurus CSP cerēja ievākt, bet kurus nevar, līdzīgi dzīves vai darba vietām, pārbaudīt no citiem datu avotiem.
«Ja cilvēkiem prasa un viņi atbild, piemēram, ka mājās lieto latgaliešu dialektu, to nevar pārbaudīt un šo datu ticamību var sagraut varbūtība, ka tie ir sagrozīti,» Murāne sacīja.
Drošības eksperte arī saredz risku dažiem publiski pazīstamiem indivīdiem vai politiķiem, ka, uzzinot viņu personas un pases datus no publiski pieejamiem avotiem, var notikt viņu tautas skaitīšanas datu nesankcionēta apskate vai pat izķēmošana. Turklāt, ja piekļuvei izmanto publiski pieejamus personas datus, indivīdam ir teju neiespējami pierādīt, ka viņš nav nodevis tautas skaitīšanas datus, kas var būt viltoti.
Kaškina un Murāne pieļāva, ka kādam no tautas skaitīšanas rīkotājiem ir ienācis prātā izmantot pases datus un personas kodu kā piekļuves līdzekļus, jo tādējādi iespējami liels cilvēku skaits piedalītos tautas skaitīšanā ar interneta palīdzību.
Lai gan ar šādu lēmumu var panākt zināmus laika un cilvēkresursu ietaupījumus, Murāne teica, ka vēlētos redzēt to CSP riska izvērtējuma dokumentu, ar ko pamatots šāds rīcības modelis. Viņa neticot, ka tāds esot bijis.
