Ина Гуделе: «Кибертерроризм актуален и для Латвии…» 9

Такие разные данные

- Г-жа Гуделе, за полторы недели Латвию потрясли два громких скандала, связанных с утечкой данных из государственных структур. Первый скандал был связан с обнародованием в Интернете личной информации автовладельцев, украсивших свои машины георгиевскими ленточками. Второй – беспрецедентная утечка данных из системы электронного декларирования СГД.

- Я бы разделила две эти темы. Список “нелояльных автовладельцев” необязательно “утек” из Дирекции безопасности дорожного движения (CSDD), которая является госструктурой. Его могли cлить какие-то частные компании, которые имеют доступ к этой базе данных, а это и банки, и страховые компании, и другие фирмы, работающие в сфере транспорта.

Эти компании заключают договор с CSDD, где четко оговорено, что они могут использовать эти данные только для своей коммерческой деятельности, а не для публикаций.

Люди, которые обнародовали эти данные в Интернете, должны понести серьезное наказание. Причем не только от государства, но и от своего работодателя, которого они подставили. Они, очевидно, превысили свои служебные полномочия…

Законы надо менять

- Но наказание за распространение личных данных в Латвии до смешного мало – от 100 до 500 латов. Может быть, стоит увеличить размер штрафов?

- Я думаю, что эти нормы необходимо пересматривать. Понимаете, личные данные ведь тоже разные. Одно дело – вы узнаете мой персональный код, следовательно, поймете, сколько мне лет. Это самое страшное, что может случиться. Но есть ведь и другая информация – например, где я живу, кто члены моей семьи, какой у меня доход, какие сделки я осуществляла… Последствия от утечки информации могут быть гораздо более серьезными. За это надо наказывать.

- Какие последствия могут быть от утечки информации из Службы госдоходов? Ничего секретного там вроде бы не было…

- Во-первых, пострадал имидж государства. Утекли серьезные данные. Эти данные не являются публичными. Декларации жителей Латвии разделены на две части: публичную и непубличную. Госслужащие должны заполнять публичную декларацию, а простым жителям это делать не обязательно.

Информация, которая утекла из СГД, может попасть в руки криминальных структур. Там список лиц cо всеми доходами. Отличная находка для криминала. Государство на блюдечке предоставило им всю необходимую информацию.

Хакеры или халатность?

- На ваш взгляд, утечка из СГД стала причиной хакерской атаки и банальной халатности чиновников?

- На данный момент информации о случившемся мало. Специалисты могут лишь догадываться, что случилось. Официальной информации от представителей СГД не поступало. Я считаю, что общество должно знать, что случилось. Я рассматриваю несколько вариантов. Первый – был взлом системы. Это сняло бы ответственность с должностных лиц. Но по информации в СМИ, никакого взлома не было. Серьезная система – а в СГД была серьезная система! – фиксирует любую попытку взлома. Любой системный администратор это заметил бы.

Остается еще два варианта – банальная оплошность и осознанно оставленная дыра в системе. Последний вариант самый печальный.

- К какой версии вы склоняетесь?

- У меня недостаточно информации. Было бы глупо, не обладая ею, сидеть и рассуждать… Помните, в советское время было высказывание – книгу не читал, но мнение выскажу.

О проблемах говорили давно

- В 2005 году вы, еще будучи министром по делам электронного управления, обращали внимание правительства на то, что система защиты СГД несовершенна. Что вам тогда ответили?

- Это было первое мое серьезное выступление – с целью привлечь внимание к тому факту, что госструктуры должны иметь серьезные системы защиты данных. Аудит системы СГД тогда был проведен, и он показал, что в системе масса недостатков. После моего доклада государство выделило деньги на содержание системы (раньше давали только на создание), и СГД привела ее в порядок.

Печально, что после этого случая СГД перестала позволять проводить аудит своей системы третьими сторонами.

- Почему?

- Мне трудно сказать, но это явление распространено не только в Латвии, но и в других странах. Государственные институции часто не подпускают к своим информационным системам посторонних. Но самый лучший аудит проводят специалисты со стороны.

Доходило до курьезов. В хорошие времена у министерства были средства для проведения аудита информационных систем. У нас был список систем, аудит которых нужно было провести. Но очень много времени и сил у нас уходило на то, чтобы уговорить руководителей госучреждений провести аудит на “их территории”. Без согласия и сотрудничества со стороны госструктур аудит провести невозможно..

- Вы сказали в одном из интервью, что в Латвии еще у трех-четырех структур могут возникнуть проблемы, аналогичные тем, что случились у СГД.

- Иногда нужно, чтобы у кого-то случилось что-то страшное, чтобы другие поняли – надо что-то делать. После катастрофического цунами в Южной Азии эти страны поняли, что надо устанавливать систему оповещения. Так и у нас. После серьезной оплошности государственные институции поняли, что надо проводить аудит. Это надо было делать давно. И если начинать сейчас, то надо проводить их регулярно.

Хакеры атакуют регулярно

- Для Латвии актуальна проблема кибертерроризма?

- Эта проблема актуальна для всех стран. В Латвии, к счастью, серьезных атак до сих пор не было. Мелкие попытки – вроде входа в чужие информационные системы или взлома домашней страницы – предпринимаются каждую секунду. У нас, кстати, существует индустриальный шпионаж.

Наши банки, например, очень серьезное внимание обращают на защиту данных. Особенно после событий в Эстонии в 2007 году, когда эта страна подверглась массированной хакерской атаке. Мы извлекли уроки. Но, как оказалось, видимо, не до конца.

К тому же у нас недостаточно хороших специалистов в госсекторе. Я всегда считала, что в этом необходимости нет. Госструктурам не обязательно держать штат программистов, они могут пользоваться услугами частных компаний, которые будут обслуживать их системы.

Зачем МВД или минблагу целый штат программистов? Не думаю, что госструктуры должны в этом сегменте конкурировать с частным сектором. В коммерческом мире все проще: один систему создал, второй внедрил, третий провел аудит. И в этом случае есть с кого спросить в случае форс-мажора. С фирмы, которая занималась обслуживанием системы.

А с кого можно спросить в госсекторе? С системного администратора?

- Как вы считаете – министр финансов, в подчинении которого находится СГД, должен уйти в отставку после этого случая?

- Я сама в свое время подала в отставку с поста министра. За менее серьезное нарушение. (Гуделе обвинили в том, что она купила торт за госсчет. – Авт .) У каждого человека свой моральный стандарт. Мне трудно сказать, как должен поступить Репше.

- Но вы, если бы оказались в такой ситуации, ушли бы с поста?

- Я ушла бы. Это очень серьезное нарушение.