Принцип домино: в электронной системе CSDD обнаружен пробел

Возможная утечка данных из системы переписи населения вызвала в стране волну проверок в отношении других электронных системы. в частности, журналисты обнаружили пробел и в электронной системе CSDD - e.csdd.lv. Оказалось, там можно зарегистрироваться под чужим именем и получить доступ к данным на любого жителя Латвии.

Стандартное меню авторизации пользователя предлагает подтверждения своей личности через логин и пароль, посредством электронной подписи и с помощью Mobile ID. Выбор первой опции отправляет пользователя на страницу регистрации, на которой его спрашивают о персональном коде. Никакой другой проверки подлинности личности не проводится.

Выходит, зная чужую информацию, можно зарегистрироваться от имени любого жителя страны и получить доступ к его данным, хранящимся в электронной системе CSDD - информации об автомобиле, нарушениях, количестве штрафных пунктов и прочее.

Между тем, как заверил глава пресс-службы CSDD Янис Айзпорс, несанкционированно войти в систему CSDD невозможно. Е-сервис дирекции отвечает всем действующим законам, он был проверен аудиторами и утечка данных из него невозможна. CSDD также не планирует вносить какие-либо изменения в механизмы аутентификации в связи со скандалом вокруг сайта для переписи населения, заявили в пресс-службе CSDD.

Остановлена работа системы е-декларирования СГД

Тем временем, государственная инспекция данных ввела временный запрет на работу системы электронного декларирования Службы Госдоходов.

Запрет будет длиться до тех пор, пока СГД не обеспечит безопасность вводимых в систему данных, сообщила директор инспекции Сигне Плуминя.

Агентство отмечает, что при заполнении приложения D4 к ежегодной декларации доходов «Оправданные расходы на образование и лечебные услуги» клиент указывает данные о членах семьи. При заполнении окошка «персональный код» система сама заполняет остальные графы, «предлагая» имя, фамилию, адрес конкретного лица.

Предполагается, что эти данные получены из Регистра жителей. Таким образом, любой желающий может получить информацию о совершенно постороннем человеке, введя его персональный код.

Перепись по интернету - под угрозой срыва

И еще одна новость на тему кибер-преступности. В интернете стали появляться лже-сайты, дублирующие и по содержанию и по дизайну страницу Центрального статистического управления.

Настоящий сайт - www.tautasskaitisana.lv. Войдя на него, пользователю предлагалось заполнить анкету по линку https://eintervija.csb.gov.lv, о принадлежности ЦСУ которой говорил сертификат SSL (Secure Sockets Layer).

Как известно, Государственная инспекция данных (ГИД) временно запретила заполнение анкет переписи населения в Интернете. Перепись возобновится, когда Центральное статистическое управление устранит угрозу утечки личных данных.

Как выяснилось вскоре после начала всеобщей переписи населения 1 марта, электронная система переписи населения позволяет довольно простым образом получить данные о зарегистрировавшихся жителях Латвии - для этого достаточно знать персональный код человека и номер его паспорта, которые достаточно просто найти в интернете. При подключении к системе переписи населения любой желающий имеет возможность не только увидеть информацию, которую о себе предоставил конкретный человек, но и изменить данные - например, изменить место жительства, ввести имя другого супруга, изменить родной язык, образование и т.д. В то же время, согласно закону о переписи населения, полученная от жителей индивидуальная информация носит конфиденциальный характер.

Получив информацию о том, что третьи лица имеют доступ к анкетам переписи в интернете, министр экономики Артис Кампарс ("Единство") поручил провести служебную проверку, чтобы оценить ответственность работников Центрального статистического управления (ЦСУ), готовивших техническую базу для электронного заполнения анкет. Кампарс выразил благодарность жителям Латвии, обнаружившим изъян в системе. По его мнению, такая ситуация сложилась потому, что кто-то вовремя не проанализировал потенциальных рисков. За это несет ответственность как внешний поставщик услуги, так и ЦСУ. Министр поручил также обеспечить, чтобы те 100 тыс. чел., которые уже заполнили анкеты переписи в интернете, могли убедиться в безопасности и неизменности своих данных.

Со своей стороны, ЦСУ распространило заявление, в котором утверждает, что соблюдало все условия, обеспечивающие защиту личных данных.