ĪSUMĀ:
- Cert.lv: Lauvas tiesa pakalpojumu sniedzēju – nevērīgi izturas pret klientu datiem.
- Cert.lv: Kontrole ir Datu valsts inspekcijas (DVI) uzdevums, bet apjoma dēļ tas nav reāli.
- DVI par daudzajām datu noplūdēm nav informēta – sūdzību nav.
- Inspekcija lūgs Cert.lv dalīties ar informāciju.
- IZM neuzņemas atbildību par izglītības iestāžu datu bāzēm.
- Pašas IZM centrālais izglītības reģistrs nav piedzīvojis nevienu drošības incidentu.
- Pagaidām inspekcija vairāk nodarbojoties ar preventīvu darbu.
- Bet, piemēram, Rīga izveidojusi datu centru, kas sadarbojas arī ar “Cert.lv”
Lai gan datu regula paredz īpaši sargāt personu datus, tie noplūst no iestādēm, kurām cilvēki spiesti uzticēt dažkārt arī sensitīvu informāciju. Cert.lv konstatējis aptuveni desmit incidentus - datu noplūdi no namu apsaimniekotājiem, interešu izglītības iestādēm, pavisam nesen arī no diviem Rīgas futbola klubiem, kas apmāca bērnus, kā arī datu noplūdi no ātro kredītu sniedzējiem.
Dažās datu bāzēs glabājās informācija par bērniem un viņu vecākiem, bērnu veselības stāvokli, citās - arī kredītvēsture. Taču nepatīkamākais fakts - šie nav daži izņēmumi, kad nevērīgi izturētos pret klientu datiem. Cert.lv apgalvo – nevērīga ir lauvas tiesa pakalpojumu sniedzēju.
“Lielākā daļa šo “web” lapu ir ievainojamas, ar novecojušām programmatūras versijām, ar iespēju izgūt sensitīvus datus,” norādīja “Cert.lv” vadītājas vietnieks Varis Teivāns.
Dati ir jaunā nafta - šis teiciens raksturo cīņu par datiem kibertelpā. Veidi, kā tos izmantot, atkarīgi no krāpnieku izdomas. Viens no piemēriem – piekļūstot daļai datu, veikt nākamo uzbrukumu, tikt pie daudz nozīmīgākiem datiem, ar ko, piemēram, cilvēku var šantažēt, draudēt informāciju izpaust publiski. Taču tas ir tikai neliels piemērs, ko krāpnieki dara ar nozagto informāciju.
“Tāda satraucoša situācija ir ar personas datu aizsardzību, un, ja mēs skatāmies pēc likuma burta, Datu valsts inspekcija (DVI) būtu tā, kurai it kā vajadzētu kontrolēt šo situāciju. Bet, ja objektīvi pavērtē, cik liels apjoms tas ir, ar katru interešu izglītības pulciņu, tad tas ir faktiski neizdarāms darbs,” atzina Teivāns.
Vairāki incidenti konstatēti arī vidusskolās reģionos, no kurām noplūduši dati. Cert.lv norāda – bumba tikšķ. Iestādes grib būt modernas un piedāvāt visu elektroniski, bet nespēj vai nevēlas maksāt par drošību.
Datu valsts inspekcijā norāda - Cert.lv secinājumi viņiem ir jaunums, jo paši sūdzības par nedrošiem datu glabātājiem vai datu noplūdi nav saņēmuši.
“Es ļoti priecājos, ka “Cert.lv” ir iedziļinājies šajā problēmā, un es ļoti ceru arī uz to, ka viņi dalīsies ar mums šajā informācijā,” pauda Datu valsts inspekcijas direktora vietniece Lāsma Dilba.
“Lūgsim dalīties ar tiem secinājumiem, ko viņi ir ieguvuši, kam mums būtu jāpievērš pastiprināta uzmanība,” piebilda Dilba.
Datu valsts inspekcija norādīja, ka saskaņā ar datu aizsardzības regulu atbildība par datu uzglabāšanas drošību lielā mērā gulstas uz tiem, kam dati uzticēti. Tas nozīmē, ka datu glabātājam jāizvēlas drošākais risinājums.
“Sankcijas ir gan administratīvās atbildības veidā, gan, ja ir nopietnāks pārkāpums, var iestāties arī kriminālatbildība,” atgādināja Dilba.
Tikmēr Izglītības un zinātnes ministrija (IZM) norādīja, ka tā nevar uzņemties atbildību par informāciju, ko katra izglītības iestāde uzkrāj un glabā savā datubāzē.
Ministrija atbild par valsts centrālo izglītības sistēmas reģistru. Tajā dati tiek apkopoti un uzglabāti kopš 2009. gada. Pastāvēšanas laikā datubāze neesot piedzīvojusi nevienu drošības incidentu, kas būtu apdraudējis datus.
Izglītības sistēmas reģistrā glabājas informācija gan par izglītojamajiem, gan izglītības iestādēm, programmām, ko katrs bērns vai jaunietis apgūst, kā arī par izglītības dokumentiem, ko katrs iegūst.
“Mēs regulāri veicam arī šīs sistēmas auditu, lai pārliecinātos, ka šī sistēma ir patiešām droša, un konstatētos uzlabojumus iestrādājam arī sistēmā,” sacīja IZM Informācijas tehnoloģiju un nodrošinājuma departamenta direktora vietniece Inguna Kampāne.
Ministrijā norāda, ka par datu drošību ir atbildīgs sistēmas veidotājs. Tāpēc sistēma izstrādāta tā, lai informācijai varētu piekļūt ierobežots personu loks.
Bet Datu valsts inspekcija pašlaik vairāk nodarbojoties ar preventīvu darbu. Datu regula katrai pašvaldībai uzliek par pienākumu algot datu aizsardzības speciālistu.
Ņemot vērā datu apjomu, Rīga izveidojusi datu centru, kas sadarbojas arī ar “Cert.lv”. Centrs norāda pašvaldības dibinātajām iestādēm uz drošības riskiem, kā arī liek veikt uzlabojumus.
“Katru dienu var parādīties jauns apdraudējums. Kāds katru dienu var izdomāt jaunu programmatūru, kas atrod jaunu ievainojamību, piemēram, mājaslapā, un atkal viss ir jāmaina un atkal viss ir jāpapildina. Tas ir darbs katru dienu,” atzina Rīgas domes Datu aizsardzības un informācijas tehnoloģiju drošības centra vadītāja Signe Plūmiņa.
Plūmiņa, kas iepriekš vadījusi Datu valsts inspekciju, norādīja, ka privātajiem uzņēmējiem likums neparedz tik striktas prasības, kā tas ir valsts un pašvaldību iestādēm, arī viņa novērojusi izpratnes trūkumu. Taču, ja datu noplūde notiek, ir jāatbild likuma priekšā.
