Dombrovskis: datu noplūde liks pārskatīt valsts informatīvo sistēmu drošību un aizsardzību

Logus var ievest arI kāds datorspecialists vai pat tehniķis programas uzstādīšanas laikā ar vai bez "kādas augstas amatpersonas" rīkojuma. Noslauktā informācija labi pārdodās biznesa pasaulē. Ja to varēja atrast hakeri no ārpuses, tad atsakos ticēt, ka šis bija noslēpums VID datoristu grupai. Datoristi vispār ir Ipaša cilvēku pasuga, kas stundām ilgi koncentrēsies uz mērķi uzlauzt kādu programu, lai iekļūtu iekšā un apskatītos kas tur atrodams, tikai lai pierādītu ka to var izdarīt. Par nelaimi, viņiem uznāk vajadzība ar to palielīties. Nesaprotu, kāpēc Latvijai neesot datorspecialistu, jo gandrīz visi jaunie Latvijas latvieši Amerikā, ko sastopu, papildina studijas vai arī strādā tai laukā. Patiešām nav tālu jāmeklē, tik jāsauc mājās!

Tas liecina to ka valsti pārvalda noziedznieki,kuriem nospļauties par valsti.

LATVIJĀ IZRĀDĀS PASTĀVOT valsts informatīvo sistēmu drošība un aizsardzība! Tur jau pat zirgam jāsmejas!!! Ja datu aizsardzībā tiek iesaistītas dažādass firmas no tuvākām un tālākām kaimiņvalstīm... tāpat kā pašas drošības sistēmas koncepcijas izstrādātāji... datu bāzes tiek saslēgtas tiešsaistes ķēdēs, tad par kādu drošību vispār var iet runa. Vēl jāņem vērā, ka presē izskanējusī informācija par pašos dzelžos jau iestrādātiem aktivizējamiem "caurumiem" varētu 'tikt izmantota no dažas labas nopietnākas organizācijas. Tikai šaubos, vai to kāds pamanītu. Ja nu vienīgi kādam no viņu "viedajiem" pēkšņi prātiņš aptumšotos tik lielā mērā, ka izdomātu joka pēc pārmainīt visus kādas valsts augstākās amatpersonas identifikācijas un personas datus. Tad gan laikam sāktu aizdomāties cik drošas ir uzcelto kāršu namiņu sistēmas. Pie tam valsts kopumā tajā visā ir tērējusi simtus miljonu. Un man izbrīnu rada, ka šo nestabilo sistēmu ieviesēji plaši tiek intervēti, taisīts lēts PR, lai pamatotu nākošos tēriņus visādu elektronisku simtus miljonu ieguldījumu prasošu dumjību ieviešanai. Diemžēl šajā valstī nekas nav labojams.

.

Nu labi - ir gadījies konkrēti uzraudzīt pāris applikāciju ieviešanu - visas ir liktas ar pilniem ation logiem - katra tranzakcija, ar lietotāja id., laiku un pilnu veikto izmaiņu struktūru. Protams tas palēlina, un prasa papildus $ izstrādei, bet tieši ar dome ka var būt security issues tas tiek darīts. Vecākas sistēmas - ap 2000-2004 gadu tiešām reti satur pilnus logus, bet šitā taču gan ir pajauna - Exigen ieviesa tikai pirms pāris gadiem. Tur logiem jābūt pilniem - kurš bija read režīmā un pēc tik ieliem apjomiem izķerams 5 minūtēs.

MK noteikumi nedefinē cik daudz ir jālogo. Un nekādā veidā neizšķir operētājsistēmas un aplikācijas līmeņa darbību auditāciju. Ja pirmā parasti notiek un tur visu var atsekot, tad aplikācijas līmenī ļoti bieži dažādu ātrdarbības un vietas trūkuma problēmu dēļ nākas smagi ierobežot šo auditāciju. Un web serveriem šī informācija bieži ir kasāma kopā pat no 3 dažādiem log failiem.

Man patīk mūsu komentu raxtītāji - visi ir ļoti kompetenti gan IT sistēmu izstrādē, gan auditā, gan ekspluatācijā :) Varbūt tomēr ļaut to visu komentēt cilvēkiem kuri ar to nodarbojas profesionāli, kuriem ir vismaz CISA, kuri ir auditējuši gan sistēmu konkrēto, gan procedūru. To vajadzētu darīt E&Y kopā ar iekšējiem uzraugiem, nākot ar konkrētu paziņojumu par iemesliem - tehniskajiem (pieejas pārvaldības - ja tās ir kļūdainas Lokenbaham pa kaklu!) vai procedurālajiem (sadotas tiesības visiem kam nav slinkums, un šajā gadījumā izstrādātāji nav pie vainas). Bez tam MK noteikumi paredz VISU valsts nozīmes IT sistēmu audita logu turēšanu - tas nozīmē, ka ir konkrēti pieraxti kurš, kad un ko kopēja. Visas sitēmas tiek izveidotas un pieņemtas pēc šiem noteikumiem.

Smalkāk datu noplūdi varētu saukt par datu pollūciju vai datu ejakulāciju.

Jāprasa naudiņa atpakaļ no uzstādītājiem un testētājiem....

welcome to anarchy

Jakrāns

Izskatās ka JL kārtējo reizi "nošavis buku" sākot ar Lokenbahu un beidzot ar Repši. Un tagad mēģina attaisnoties un grūst vainu uz citiem diletantiskā manierē

Ja iestādē netiek nodrošināts normāls pārmaiņu pārvaldības un pienākumu nodalīšanas procesi, tad nekāds viskrutākais audits negarantēs drošību. Vienu dienu atnāks auditori no Big4, veiks penetrācijas testus, izpētīs konfigus un tīkla shēmas, firewallu rules un dos atzinumu. Pēc 3 dienām tas viss jau būs miskastē metams, ja nav change managementa.

Drošības speciālistu nav, jo Latvijā tādus negatavo. LU datoriķos drošībai veltīts viens izvēles kurss. Un viens kurss maģistros par auditu. Tas arī viss. Tie nedaudzie speciālisti, kuri valstī ir, to apguvuši pašmācībā un dažādos kursos. Šo speciālistu ir ļoti ļoti maz un tie ir pieprasīti neskatoties uz visām krīzēm. Repšes vienotās nabadzības (saukta atalgojuma) sistēmas ieviešana lielu daļu šo specu no valsts iestādēm dzen prom.

Protams, neviens nav vainīgs, kā jau pēc visām korumpētajām komisiju pārbaudēm...