Использование номера паспорта и персонального кода для идентификации в системе переписи населения в интернете, свидетельствует о некомпетентности и халатности должностных лиц Центрального статистического управления (ЦСУ), признали эксперты по безопасности информационных технологий.
Специалисты отмечают, что решение Госинспекции данных приостановить электронную перепись, используя паспортные данные, является правильным.
«Где только мы не используем свой номер паспорта?», – задала риторический вопрос преподаватель ЛУ Илзе Муране, сразу же назвав в качестве примера магазин. Она, также как и работающий в Латвии и за рубежом специалист по безопасности IТ Андрис Бриезе, объясняет, что номер паспорта и персональный код настолько распространенные и общественно доступные идентификационные данные, что их нельзя использовать в качестве средств для подлинности безопасности.
«Ни в коем случае! Совершенно неадекватно! В скольких государственных учреждениях не снимается номер паспорта и персональный код? [..] В качестве средства аутентификации — абсолютно неадекватный. Это некомпетентность и халатность!», – остро отреагировал Бриезе. Он подчеркнул, что многие годы работая в Латвии, убедился, что для госучреждений важные критерии для создания баз данных — это стоимость, функциональность и то, как быстро система может быть создана. Что касается безопасности, создавая базы данных госучреждений, о ней не думают, сказал Бриезе.
Муране подчеркнула, что легкий доступ к чужим данным в результатах переписи населения — это ответственность ЦСУ, так как оно является заказчиком системы. Преподаватель ЛУ объяснила — если бы систему взломали, то виновны были бы тестировщики системы, но взлома не было, просто использование слабых сторон системы.
Муране отметила, что этот случай показывает несбалансированные требования к безопасности системы и доступности для пользователей. Чтобы люди могли как можно удобнее «подсчитаться» и использовать систему, забыли о соблюдении условий безопасности. По ее мнению, самым приемлемым средством аутентификации должна быть е-подпись или банковская идентификационная карта. В этом случае данные были бы защищены, а ЦСУ точно бы знало, кто заполнил анкету переписи.
Бывшая министр по е-делам Ина Гуделе также признает, что нет ничего хорошего, если можно получить доступ к данным других людей, но призывает не делать из этого трагедию. «Это плохо, если кто-то так делает, но это и не трагедия», – сказала Гуделе.
Она признала, что банковская идентификационная карта может быть лучшим средством безопасности. В ходе разговора бывшая министр неоднократно заявляла, что нет ничего страшного в том, что другие люди могут узнать чужие личные данные, потому что в дальнейшем их использовать нельзя. Также и с точки зрения переписи населения, по его мнению, нет ничего страшного, так как и переписчик может сам вручную записать данные о жителях. Поэтому никакой надежности нет ни в электронной версии, ни при обходе людей.
На вопрос, можно ли продолжать перепись в интернете, эксперты ответили несколько осторожно. Муране сказала, что сейчас приостановка переписи в интернете оправдана.
Бриезе, в свою очередь, призвал пересмотреть всю систему и решить, что надежнее — исправить эту или сделать новую.
Муране надеется, что люди не будут использовать данные, если кто-то их уже получил в злонамеренных целях. «Если мы видим в подъезде открытую дверь, мы же не заходим в квартиру», – сравнила она.
Напомним, министр экономики Артис Кампарс заявил журналистам, что в связи с «дырками» в системе электронной переписи населения будут оценена работа ответственных лиц и «будут приняты меры».