Tip:
Highlight text to annotate it
X
Droši vien daudzi no jums internetā ir maksājuši par gāzi, elektrību un telefona sarunām,
balsojuši portālā manabalss.lv, deklarējuši savu dzīvesvietu, vai, piemēram, aplūkojuši savu veselības vēsturi.
Lai šos pakalpojumus izmantotu, vienmēr jāveic tāda papildus operācija kā ar šādu
internetbankas kodu karti vai kodu kalkulatoru jāiereģistrējas savā internetbankā,
lai pakalpojumu sniedzējs saprastu un atpazītu, ka saņemtais rēķins vai nodotā balss nāk tieši no Jums.
Tā kā Latvijā elektroniskais paraksts vai identifikācijas kartes ir maz izplatītas, klientu atpazīšana caur internetbankām ir plaši izmantota.
Mūsu rīcībā ir nonācis Tallinas Tehnoloģiju universitātē veiktais latviešu studenta Arņa Paršova pētījums.
Tajā atklāts, ka gandrīz visos gadījumos klientu atpazīšana caur internetbankām ir nedroša
un dažos gadījumos pietiktu pat tikai ar Jūsu vārdu un personas kodu, lai jebkurš piekļūtu tikai Jums domātai informācijai.
Vai Jūs būtu priecīgs, ka kāds viltotu Jūsu identitāti internetā
un iegūtu ziņas par Jūsu veselības vēsturi,
apskatītu telefonu numurus, kam esat zvanījis,
vai, piemēram, Jūsu vārdā nobalsotu par nepieciešamību mainīt Latvijas valsts himnu.
Droši vien, ka nē.
Pēdējos gados Latvijā daudz portāli ļauj lietot elektroniskos pakalpojumus, klientus atpazīstot ar internetbanku palīdzību.
Tas notiek tā. Pie datora piesēžas, pieņemsim, Jānis Bērziņš,
atver portālu, lai, piemēram, samaksātu par, fotoradara pārkāpumu.
Portāls pieprasa, lai lietotājs apliecina, ka patiešām ir Jānis Bērziņš.
Ja Bērziņam ir elektroniskā paraksta vai jaunizveidotā ID karte,
viņš to var izdarīt uzreiz. Bet lielākajai daļai šādu karšu nav.
Tāpēc turpat visi elektronisko pakalpojumu piedāvātāji klientu atpazīšanā sadarbojas ar bankām.
Bērziņš bankai apstiprina savas personības īstumu,
un bankas nosūta portālam apstiprinājumu, ka tas tiešām ir Bērziņš.
Un viņš var sākt izmantot portāla pakalpojumus.
Tallinas Tehnoloģiju universitātē studējošais IT drošības speciālists Arnis Paršovs
atklājis, ka šī sistēma ir nedroša,
jo internetbankas atpakaļ sūtīto apliecinājumu, ka Bērziņš ir Bērziņš,
viegli var pārveidot par Kociņš, Kalniņš, vai, piemēram, Ilmārs Poikāns.
Tas darbības princips ir tāds, ka pēc tam, kad lietotājs autentificējas bankā,
banka viņam izsniedz šos autentifikācijas datus. Šajos autentifikācijas datos
ir vārds, uzvārds, personas kods, laiks, un šie dati tiek parakstīti ar elektronisko parakstu.
Un tālāk lietotāja dators viņus pārsūta tālāk portālam - galamērķim.
Un viena iemesla vai cita iemesla dēļ bija iespējams norādīt svešu personas kodu,
un to elektroniskā paraksta pārbaudi apmuļķot.
Ja situāciju salīdzina ar pases uzrādīšanu, tad bankas, kā apliecinājumu izsniedz pasi bez fotogrāfijas
vai bez pases derīguma termiņa, vai pavisam bez kādas plašākas informācijas par klientu,
un portāli notic, ka nepilnīgais dokuments apliecina Jāņa Bērziņa īstumu.
Datorspeciālists eksperimentāli pārliecinājās, ka visiem gandrīz 20 analizētajiem portāliem
ir drošības problēmas, kas saistītas ar autentificēšanos caur internetbankām.
Tika pārbaudīti 17 Latvijas portāli, un visos portālos tika atrastas kļūdas.
Šādas vai citādas drošības kļūdas.
Ja lielu daļu šo kļūdu var novērst paši portāli, tad šo divu banku gadījumā (Citadele un Swedbank)
šīs kļūdas sā***ā ir jānovērš bankām.
Par atklājumiem jūnijā Arnis Paršovs ziņoja Latvijas Nacionālajai IT drošības incidentu novēršanas institūcijai CERT.
Iestāde uz karstām pēdām pārbaudījusi, ka Arņa atklājumi patiešām ir patiesi un nopietni.
Mēs esam veikuši testus, pamatojoties uz tā darba rezultātiem, arī paši,
un es varu apstiprināt, ka ir bijuši veiksmīgi gadījumi, kur ir iespējams apiet autentifikācijas procesu
un izmantot šos te pārtvertos datus.
CERT pārstāvji secina, ka problēmas rada nepilnīgā informācijas apmaiņa starp bankām un interneta portāliem.
Latvijā nav noteikts, kādas ziņas bankai jāiekļauj elektroniskajā dokumentā, kas apliecina klienta īstumu.
Savukārt portāli uzticas bankām un no savas puses nepārbauda, vai saņemtās ziņas ir drošas.
Tā saite starp banku un pakalpojuma sniedzēju - viņa faktiski neeksistē.
Un ir iespējams teorētiski realizēt atsevišķos gadījumos uzbrukumus tādus, ka uzbrucējs
var savākt kādā noteiktā laikā datus par lietotāju, kas taisās autentificēties, izmantojot banku kādā pakalpojumu sniedzēja servisā,
pārtvert tos un teorētiski izmantot, ja implementācija to ļauj, citā pakalpojumu sniedzējā.
CERT jūnijā satraucošās ziņas nodeva banku uzraugam Finanšu un kapitāla tirgus komisijai.
Komisijas vadība apliecina, ka bankām par viņu nepilnībām ir paziņots, un nu jāgaida, kad tās savas sistēmas sakārtos.
Protams, ka šis pētījums ir atklājis arī tādas lietas, ko mēs ar bankām arī esam pārrunājuši,
tajā skaitā mēs esam konstatējuši, ka šī sadarbība ar portāliem, ja ne savādāk,
tad rada kā minimums reputācijas riskus priekš mums, ka mēs, piemēram,
sniedzam kādu pakalpojumu kādai trešajai pusei, kura varbūt līdz galam nav tāda kvalitatīva, kāda mums gribētos,
pat ja šis pakalpojums mums kā finanšu institūcijai nerada problēmas.
Šis ar bankām arī ir pārrunāts, un bankas gan to ir sapratušas, gan arī mēs pievērsīsim uzmanību, kā mēs šo novēršam.
Pētījumā pārbaudītās bankas savas kļūdas atzīst negribīgi.
Viņuprāt, kibernoziedznieku uzbrukums viņu klientu datiem esot ļoti teorētisks un dzīvē maz iespējams.
Tomēr bankas jau gatavo izmaiņas, lai klientu dati, kas tiek sūtīti citiem portāliem, būtu vēl drošāki.
Tas, ka līdz šim bija šis te moments, tas nenozīmē, ka šis te rīks bija nedrošs.
Tas bija tāpat drošs, vienkārši šī ir papildus prasība, papildus faktors, ko banka tagad iekļauj
datu apmaiņas protokolā, kas būtībā paredz vēl pastiprināt atbildību no portālu puses, autentificējot savus klientus.
Tad šī problēma jau ir novērsta, vai tiks novērsta ar to jauno rīku?
Šis te rīks ir izstrādāts, un tas reāli sāks darboties aptuveni mēneša laikā.
Protams, ka šīs lietas mēs arī esam skatījuši, un arī šī konkrētā studenta pētījuma dati
arī pirms kāda laika jau ir analizēti. Un ja tur arī bija kādas lietas uzlabojamas, tad dzīvē šīs nianses ir pielabotas,
kas ir ļoti tehnoloģiska diskusija, un arī šie riski, ko mēs redzam,
ir vairāk teorētiski, un dzīvē viņi ir praktiski nerealizējami.
Gan bankas, gan kibernoziedznieku ķērāji CERT uzskata, ka lielākā atbildība ir interneta portālu pusē -
tie nepārbauda, vai ziņas par klientiem ir drošas.
Tā lielākā problēma, kas pētījuma laikā tika atklāta, ir tā, ka piecos samērā populāros portālos
ir iespējams pilnībā apiet šo banku autentifikāciju un autentificēties
kā jebkurai Iedzīvotāju reģistrā esošai personai.
Šeit ir runa par virtuālo e-parakstu, Lattelecom, Latvijas Universitātes Informācijas sistēmu,
Lursoft un portālu manabalss.lv.
Virtuālais e-paraksts ir otrās paaudzes droša elektroniskā paraksta veids,
kura lietošanai vairs nav nepieciešamas papildierīces.
Latvijas Valsts Radio un Televīzijas Centrs, kas nodrošina virtuālā elektroniskā paraksta pakalpojumu, atzīst,
ka problēma ir bijusi, un šobrīd tā salabota.
Ir bijušas bankas, kuras es negribētu nosaukt, kuru autentifikācijas mēs uz laiku izņēmām,
lūdzām pilnveidot šos procesus, kas tieši skar arī drošību.
Ja Radio un Televīzijas Centrs savus caurumus ir aizlāpījis, tad citos portālos tas nav noticis.
Manabalss.lv veidotājus šādas nepilnības nemaz neuztrauc.
Portāla veidotājiem galvenais esot iespēja ļaut cilvēkiem izteikt savu viedokli.
Mēs vienkārši saņemam no bankas - re, kur, šis te cilvēks ir konkrētais - ar vārdu, uzvārdu un personas kodu.
Mēs paši neesam saskārušies, ka būtu kaut kādi "gļuki".
Ja kāds tur vilto kaut ko, mēs neredzam problēmu.
Ja kādam tik ārprātā gribas tikt būt uzklausītam, tad varbūt viņu ir jēga uzklausīt.
Labdien! Es esmu Mārtiņš Smilga. Pārstāvu Valsts reģionālās attīstības aģentūru, un es Jums šodien pastāstīšu,
kādus datus Jūs varat apskatīties par sevi portālā Latvija.lv.
Visplašākais valsts piedāvāto e-pakalpojumu klāsts atrodams portālā Latvija.lv.
To pārrauga Valsts reģionālās attīstības aģentūra.
Te var deklarēt dzīvesvietas adresi, pieteikties studijām augstskolās un pārbaudīt dokumentu īstumu.
Arī Latvija.lv izmanto internetbanku autentifikācijas pakalpojumus ar visiem konstatētajiem riskiem.
Neskatoties uz to, ka reģionālās attīstības aģentūrai būtu jābūt elektronisko pakalpojumu ieviešanas flagmanim,
paši viņi uzlabot neko netaisās, bet gaidīs, kad to izdarīs bankas.
Mēs esam saņēmuši šo pētījumu no Igaunijas studenta
un esam izskatījuši, un izvērtējuši, un aizsūtījuši tālāk arī uzturētājiem.
Uzturētāji mums ir snieguši pirmo atbildi, ka šāds risks nepastāv portālā Latvija.lv.
Kāds risks?
Risks, kas minēts pētījumā, ka varētu apiet autentifikāciju.
Pētījuma autors Arnis Paršovs portāla Latvija.lv veidotājiem nepiekrīt.
Viņa eksperimenti ļauj apšaubīt apgalvojumu, ka portālā caurumi nav bijuši.
Tā galvenā problēma ir tāda, ka šie banku autentifikācijas pakalpojumi netiek vispār regulēti no valsts puses.
Netiek nekādas drošības prasības izvirzītas, un netiek arī kontrolēti šie te tehniskie un organizatoriskie pasākumi, kas ir nepieciešami.
Sajukums internetbanku autentifikācijā ieviesies, pieaugot e-pakalpojumu skaitam.
Valsts ar kārtības ieviešanu strauji augošajai nozarei netiek līdzi.
Vides un pašvaldību ministrijā jau pusotru gadu tiek gatavots Autentifikācijas likums, kas noteiks, kā bankas apliecina klienta personību.
Oktobrī tam vajadzētu nonākt valdībā, tad to skatīs Saeima, un, kad tas stāsies spēkā, pagaidām nevar prognozēt.
Kā rūpēties par datu drošību līdz tam, nemāk pateikt arī ministrijā.
Nav tāds jēdziens kā simt procentu drošība. Katram tehniskajam risinājumam ir kaut kādi riski.
Jautājums, vai kāds to vispār šobrīd kontrolē?
Nemāku atbildēt.
Ir izveidojusies ačgārna situācija. Lai iedzīvotāji varētu piekļūt dažādu valsts iestāžu pakalpojumiem internetā,
valsts izmanto ne savu, bet privātbankām piederošu sistēmu.
No otras puses valsts līdz šim nav bankām noteikusi vienādus drošības kritērijus, lai iedzīvotāju dati būtu drošībā.
Patiesībā, kā šie dati tiek izmantoti un vai tie glabājas drošībā - tas ir atstāts uz pašu banku un portālu sirdsapziņas.
Iepriekšredzētais pētījums pierāda, ka izpratne par drošību internetā dažādām valsts iestādēm ir dažāda.
Pateicoties arī Arņa Paršova darbam, vairāki caurumi gan banku, gan valsts iestāžu sistēmās jau ir salāpīti.
Šeit gan jāatgādina, ka Arņa Paršova pētījumā minētās nepilnības nekādā veidā neatticas uz pašu internetbanku drošību.
To uzrauga Finanšu un kapitāla tirgus komisija un viņi mums apliecināja,
ka visas operācijas, kas saistītas ar klienta naudas pārskaitījumiem, bija un ir drošas.
Šonedēļ valdība arī nolēma, ka ilgi lolotais plāns par vēlēšanu rīkošanu internetā kārtējo reizi jāatliek.
Ministrijas joprojām nav atradušas veidu, kā nodrošināt e-vēlēšanu drošumu.
Tikmēr Saeimas deputāti turpina darbu pie likuma, kas pašvaldībās ļaus rīkot lokāla līmeņa referendumus,
un, kā mums apstiprina deputāti, viena no iespējām ir referendumus organizēt, balsotājus atpazīstot ar internetbanku starpniecību.
Iepriekšējā sižetā redzētais gan ļauj uzdot jautājumu, vai šobrīd tas būtu labs plāns.