Tieslietu ministrija un MaksÄtnespÄ“jas kontroles dienests gadiem ilgi ir slÄ“puÅ¡i konstatÄ“tos pÄrkÄpumus un riskus administratoru nejauÅ¡Ä izvÄ“lÄ“
Pietiek lasÄ«tÄjs · 13.03.2023. · Komentāri (0)Tieslietu ministra Dzintara RasnaÄa “valdÄ«šanas” laikÄ tika konstatÄ“ts, ka vairÄkas reizes administratoru nejaušas izvÄ“les sistÄ“ma it kÄ nedarbojas, kÄ rezultÄtÄ administratoru kandidÄti tika atlasÄ«ti manuÄli, neizmantojot nejaušas atlases sistÄ“mu. BÅ«tiski atzÄ«mÄ“t, ka šÄ« sistÄ“mas “nedarbošanÄs” notika tieši interesantÄko maksÄtnespÄ“jas procesu “nejaušas” atlases datumos.
Ziņas par šiem pÄrkÄpumiem nekavÄ“joties tika padarÄ«tas par ierobežotu pieejamÄ«bu un tika slÄ“ptas no sabiedrÄ«bas. Nenotika arÄ« dienesta pÄrbaude par konstatÄ“tajiem pÄrkÄpumiem un vienlaicÄ«gi neviena persona par šiem pÄrkÄpumiem netika saukta pie jebkÄdas atbildÄ«bas.
Tieslietu ministra JÄņa BordÄna laikÄ tika veikti administratoru nejaušas atlases sistÄ“mas auditi, kuru rezultÄtÄ tika secinÄts, ka sistÄ“ma atļauj veikt “nejaušu” administratoru atlasi vairÄkkÄrtÄ«gi, tas ir – tik ilgi, kamÄ“r ir sasniegts personai ar pieeju sistÄ“mai nepieciešamais administratoru atlases rezultÄts.
TurklÄt atlases sistÄ“ma nenodrošinÄja autentifikÄcijas un autorizÄcijas protokolÄ“šanu, kÄ arÄ« datu neizdzÄ“šamÄ«bu par veiktajÄm darbÄ«bÄm sistÄ“mÄ. Audita rezultÄti, kuros tika konstatÄ“ti pÄrkÄpumi un riski tika padarÄ«ti par ierobežotas pieejamÄ«bas informÄciju.
JautÄjumi tieslietu ministrei Inesei LÄ«biņai – Egnerei un MaksÄtnespÄ“jas kontroles dienesta direktorei Inesei Šteinai
Vai MaksÄtnespÄ“jas administrÄcija (pašlaik MaksÄtnespÄ“jas kontroles dienests) jebkad ir vÄ“rsusies Valsts policijÄ saistÄ«bÄ ar aizdomÄm par administratoru nejaušas izvÄ“les iespÄ“jamiem pÄrkÄpumiem? Ja atbilde ir – jÄ, tad lÅ«dzu sniegt atbildes uz sekojošiem papildus jautÄjumiem:
Ja atbilde ir – jÄ, tad sniedziet atbildes uz sekojošiem papildu jautÄjumiem:
KurÄ datumÄ un saistÄ«bÄ ar kÄdiem maksÄtnespÄ“jas procesiem tika ziņots policijai?
KÄds bija šÄ« ziņojuma faktisko apstÄkļu izklÄsts?
Kura amatpersona parakstīja iesniegumu policijai?
Kura persona sagatavoja iesniegumu policijai?
Vai Valsts policija veica pÄrbaudi saistÄ«bÄ ar šo iesniegumu?
KÄds bija šÄ« iesnieguma izskatÄ«šanas rezultÄts?
KÄdus faktus pÄrbaudes rezultÄtÄ konstatÄ“ja policija?
KÄda bija MaksÄtnespÄ“jas administrÄcijas (pašlaik MaksÄtnespÄ“jas kontroles dienests) rÄ«cÄ«ba pÄ“c pÄrbaudes rezultÄtu paziņošanas?
Vai MaksÄtnespÄ“jas administrÄcija (pašlaik MaksÄtnespÄ“jas kontroles dienests) par šo notikumu ziņoja Tieslietu ministrijai, un, ja ziņoja, kÄda bija Tieslietu ministrijas reakcija? Vai Tieslietu ministrija saistÄ«bÄ ar to ir sagatavojusi kÄdu dokumentu?
Vai Tieslietu ministrija noteica šÄ«m ziņÄm ierobežotas pieejamÄ«bas statusu?
Vai MaksÄtnespÄ“jas administrÄcija (pašlaik MaksÄtnespÄ“jas kontroles dienests) ir sagatavojusi jebkÄdus dokumentus saistÄ«bÄ ar policijas veikto pÄrbaudi?
Vai MaksÄtnespÄ“jas administrÄcija (pašlaik MaksÄtnespÄ“jas kontroles dienests) jebkad ir vÄ“rsusies Latvijas UniversitÄtes MatemÄtikas un informÄtikas institÅ«ta InformÄcijas tehnoloÄ£iju drošÄ«bas incidentu novÄ“ršanas institÅ«cijÄ CERT.LV (turpmÄk tekstÄ – CERT) saistÄ«bÄ ar aizdomÄm par administratoru nejaušas izvÄ“les iespÄ“jamiem pÄrkÄpumiem?
KurÄ datumÄ un saistÄ«bÄ ar kÄdiem maksÄtnespÄ“jas procesiem tika ziņots CERT?
KÄds bija šÄ« ziņojuma faktisko apstÄkļu izklÄsts?
Kura amatpersona parakstīja iesniegumu CERT?
Kura persona sagatavoja iesniegumu CERT?
Vai CERT veica pÄrbaudi saistÄ«bÄ ar šo iesniegumu?
KÄds bija šÄ« iesnieguma izskatÄ«šanas rezultÄts?
KÄdus faktus pÄrbaudes rezultÄtÄ konstatÄ“ja CERT?
KÄda bija MaksÄtnespÄ“jas administrÄcijas (pašlaik MaksÄtnespÄ“jas kontroles dienests) rÄ«cÄ«ba pÄ“c pÄrbaudes rezultÄtu paziņošanas?
Vai MaksÄtnespÄ“jas administrÄcija (pašlaik MaksÄtnespÄ“jas kontroles dienests) par šo notikumu ziņoja Tieslietu ministrijai, un, ja ziņoja, kÄda bija Tieslietu ministrijas reakcija? Vai Tieslietu ministrija saistÄ«bÄ ar to ir sagatavojusi kÄdu dokumentu?
Vai Tieslietu ministrija noteica šÄ«m ziņÄm ierobežotas pieejamÄ«bas statusu?
Vai MaksÄtnespÄ“jas administrÄcija (pašlaik MaksÄtnespÄ“jas kontroles dienests) ir sagatavojusi jebkÄdus dokumentus saistÄ«bÄ ar CERT veikto pÄrbaudi?
Vai ir ticis veikts administratoru rindas un administratoru nejaušas izvÄ“les sistÄ“mas audits? Ja atbilde ir - jÄ, sniedziet atbildi uz sekojošiem papildu jautÄjumiem:
Par kuriem gadiem ir ticis veikts sistēmas audits?
KÄdi bija uzdotie jautÄjumi audita veicÄ“jam?
KÄdi bija audita secinÄjumi?
Vai auditu rezultÄtÄ ir ticis secinÄts, ka sistÄ“ma pilnÄ«gi vai daļēji neveic autentifikÄcijas protokolÄ“šanu/fiksÄ“šanu?
Vai sistÄ“ma nodrošina autentifikÄcijas fakta neizdzÄ“šamÄ«bu?
Vai auditu rezultÄtÄ ir ticis secinÄts, ka sistÄ“ma pilnÄ«gi vai daļēji neveic autorizÄcijas protokolÄ“šanu/fiksÄ“šanu?
Vai sistÄ“ma nodrošina autentifikÄcijas fakta neizdzÄ“šamÄ«bu?
Vai sistÄ“ma nodrošina auditÄcijas pierakstu/protokolu neizdzÄ“šamÄ«bu?
Vai auditu rezultÄtÄ ir ticis secinÄts, ka sistÄ“ma pilnÄ«gi vai daļēji neveic sistÄ“mÄ veikto darbÄ«bu fiksÄ“šanu?
Vai sistÄ“ma pilnÄ«gi vai daļēji nodrošina satura integritÄti?
Vai audita rezultÄtÄ tika pÄrbaudÄ«ta iespÄ“jamÄ«ba, ka personai ar piekļuvi sistÄ“mai ir iespÄ“ja dzÄ“st sistÄ“mÄ veikto darbÄ«bu pÄ“das, kÄ arÄ« notikušo autorizÄciju un autentifikÄciju?
Vai audita rezultÄtÄ tika konstatÄ“ti gadÄ«jumi, kad MaksÄtnespÄ“jas administrÄcija (pašlaik MaksÄtnespÄ“jas kontroles dienests) veica administratoru izvÄ“li, neizmantojot administratoru nejaušas izvÄ“les sistÄ“mu? Kuros datumos ir bijuši šie gadÄ«jumi?
Vai audita rezultÄtÄ tika konstatÄ“ti gadÄ«jumi, kad MaksÄtnespÄ“jas administrÄcija (pašlaik MaksÄtnespÄ“jas kontroles dienests) veica administratoru izvÄ“li, manuÄli sagatavojot administratoru kandidÄtu tabulu un neizmantojot administratoru nejaušas izvÄ“les sistÄ“mu? Kuros datumos ir bijuši šie gadÄ«jumi?
Vai administratoru kandidÄtu atlase ir ievainojama pret pÄrlases uzbrukumiem (brute force attack), ļaujot nejaušo atlasi veikt atkÄrtoti bez ierobežojumiem tik ilgi, lÄ«dz iegÅ«ts vÄ“lamais rezultÄts?
Vai sistÄ“mÄ par katru atlases mÄ“Ä£inÄjumu paliek neizdzÄ“šami pierÄdÄ«jumi?
KÄpÄ“c tiek slÄ“ptas ziņas par veikto auditu rezultÄtiem?
Kura persona MaksÄtnespÄ“jas kontroles dienestÄ ir atbildÄ«ga par nejaušas administratoru atlases sistÄ“mas rezultÄtu fiksÄ“šanu un paziņošanu?
LÅ«dzu izsniegt visus JÅ«su rÄ«cÄ«bÄ esošos dokumentus, kas ir tikuši sagatavoti un saņemti saistÄ«bÄ ar uzdotajiem jautÄjumiem.