VID EDS fail

Vēl joprojām nav nekādas precīzas informācijas par notikušo, tādēļ izstāstīšu, kas manuprāt notika un kas būs tālāk.

Izstrādātājs

Exigen, kas kādreiz bija latviešu firma Dati, treknajos gados meklēja programmētājus. Nāca visādi tirliņi un uzreiz gribēja 1000Ls uz rokas. Neko nevar darīt, kāds no viņiem tik un tā bija jāpieņem darbā. Exigen vienmēr ir tēmējis uz valsts un pašvaldības pasūtījumiem, jo tie ir stabili klienti, kas turklāt nemaz tik viegli nevar atteikties no pakalpojuma piegādes. Exigen stiprā puse vienmēr ir bijusi dokumentācija, to demonstrē arī tie nodevumi, kas ir pieejami tiem, kas programmē priekš EDS. Arī kvalitātes kontrole ir atstrādāts mehānisms. Taču paša programmētāja darbā neviens nejaucas. Vienmēr visi uzskata, ka programmētājs jau zin ko dara un ja nezin, tad testētājs atklās šīs kļūdas. Lai novērstu ātrdarbības, drošības un citas koda kvalitātes problēmas, ir nepieciešams atbildīgos darbus uzticēt pieredzējušajiem programmētājiem, bet melno darbu uzticēt tirliņiem. To, protams, varētu izdarīt, ja būtu pietiekama konkurence, bet diemžēl pēdējos gados visi profesionāļi ir konkurējuši ar celtniekiem un būvgružvedējiem nevis savā starpā. Lai nu kā, domāju, ka šī bija naturāla neuzmanības kļūda, kuru pielaida kāds programmētājs.

Auditors

Šobrīd auditori cenšas atkratīties no tā, ka viņi būtu auditējuši tieši šādus drošības caurumus. Man jau vienalga, bet par miljons latiem vajadzētu spēt noauditēt visu, kas kustas vai nekustas. Diemžēl, auditi ir formāli, kas izpaužas tā, ka ierodas džeki uzvalciņos un izklāsta visiem zināmas patiesības, par ko protams nākas bargi samaksāt. Sistēmu drošība parasti tiek auditēta šādos pamatvirzienos:

1) Vai ir nepieciešamie dokumenti? Rīkojumi, dokumenti par tiesību piešķiršanas kārtību un varbūt uzņēmuma IS drošības politikas dokuments vtml.

2) Vai paroles ir drošas? Pietiekami garas un sarežģītas, lai tās nevarētu uzreiz atminēt.

3) Vai dati ir drošībā? Vai nevar aplūst un aizdegties serveris un pazust visi dati.

Šīs ir universālās zāles, kas der visiem un neder nevienam. Šobrīd ir īstais laiks rasties jaunam uzņēmums, kas piedāvā sistēmu drošības auditu, kur akcents ir likts nevis uz dokumentiem, bet uz tehnoloģijām un praktisku to drošības testēšanu. Vai kāds nevēlas pieteikties? Es pats arī labprāt ar kaut ko tādu nodarbotos, tas ir daudz interesantāk nekā programmēt nodokļu atskaites priekš EDS, kuras izrādās var lasīt jebkurš.

4. atmodas tautas armija

Lai cik arī uzjautrinoša nebūtu versija par to, ka NEO īstenībā ir Jakāns, kurš šobrīd sabotē VID darbu, lai nomelnotu Jezdakovu un pēc tam pats atkal uzvarētu konkursā uz VID ģenerāldirektora amatu, man tomēr ticamāk šķiet variants, ka NEO ir RTK II kursa students Māris. Par ko šobrīd būtu jāuztraucas NEO? Viņš droši vien caur Īrijas VPN un/vai proxy pieslēdzās EDS, kas viņam lika domāt, ka policija viņu meklēs Īrijā un atradīs, ka tur dzīvo vairāki desmiti tūkstoši latviešu. Vēlāk viņš atklāja šo caurumu. Diemžēl pēc ielogošanās EDS viņš aizmirsa nomainīt IP, un tagad VID ir zināms, kurš tieši nodokļu maksātājs ir piekļuvis atskaitei, kurā ir redzama Jezdakovas alga. Pavērojot web servera log failu atklāsies, ka šim failam ir piekļuvuši klienti tikai no divām dažādām IP adresēm. Viena no tām ir VID IP adrese, bet otra ar kuru EDS ielogojās NEO. Šajā brīdī VID jau zina, kāda precīzi ir NEO paša, mātes vai kāda paziņas deklarētā adrese.

Politiskā virtuve

Jakāns centīsies kaut kādā veidā norādīt, ka vainīga ir visa pasaule, izņemot viņu. Repše teiks, ka vainīgs Jakāns un Tautas partija, kas neļāva viņam laicīgi viņu atbrīvot no darba. Repše uzskatīs, ka tā nav viņa atbildība, bet liks veikt atkārtotu EDS auditu un iespējams izveidos darba grupu, kura ģenerēs dokumentus, kurus atkal neviens nelasīs līdz brīdim, kad uzradīsies NEO2. Jezdakova neuzņemsies atbildību par notikušo un teiks, ka EDS drošības jautājums nekad nav bijusi viņas tiešā kompetence, un kā v.i. viņa tikai nodrošina VID eksistenci, līdz tiks apstiprināts jaunais ģenerāldirektors. Zalāns teiks, ka šāda kļūda nebūtu radusies, ja laicīgi būtu ieviestas e-ID. DVI centīsies mazināt savu nozīmi šajā sakarā, norādot uz nepilnībām normatīvajos aktos. Lai gan paliks jautājums, kāda tad ir jēga, ka DVI izdod licences personu datu glabāšanai, ja šo licenci var saņemt arī sistēmas, kas šos datus padara pieejamus trešajām personām. Policija neko nespēs noskaidrot, bet par laimi NEO pats pieteiksies, kā rezultātā izvairīsies no cietumsoda un kļūs par zvaigzni, lai arī nepiekritīs nekad televīzijā rādīt savu seju.

Rezultātā

Vainīgie un nekompetentie būtu pelnījuši pērienu. Pēriens paliks tikai uz viņu sirdsapziņas, izņemot kādu grēkāzi no VID. Taču nākotnē daudzi programmētāji un citu iesaistītās personas nedaudz vairāk piedomās pie sistēmu drošības, kas savukārt ir ieguvums. Uzticība elektroniskajiem pakalpojumiem tiks iedragāta minimāli un e-pakalpojuma ieviešana turpināsies tādā pašā gliemežu gaitā kā līdz šim. Es ar pāris draugiem un vienu riktīgu huligānu-hakeri dibināsim uzņēmumu sia “e1337 Latvia” un pēc 5 gadiem, kad mēs būtu pierādījuši savu kvalitāti un brīvajā laikā norādījuši uz valsts nozīmes informācijas sistēmu drošības caurumiem, mūs pārpirktu kāds ārzemju uzņēmums. Tad es beidzot nonāktu vadošā amatā, kurā vairs nebūtu jāsēž piekaltam pie klaviatūras 12h dienā.