Iekšlietu ministrija pārkāpj digitālās drošības rekomendācijas

 
©Pixabay

Izmantojot savā darbā Krievijas izcelsmes lietvedības programmu ДоксВижн (arī DocsVision), Iekšlietu ministrija pārkāpj valsts drošības iestāžu sniegtās rekomendācijas informācijas tehnoloģiju drošības pārvaldībai valsts un pašvaldību institūcijās un informācijas tehnoloģiju kritiskajā infrastruktūrā. Krievijas digitālie produkti ir potenciāls apdraudējuma avots Latvijas valstij. Sistēmas jaunāko versiju uzstādīšanu ministrija tomēr esot apturējusi.

Programma ДоксВижн ir tehnoloģisks risinājums lietvedības un uzņēmējdarbības procesu organizēšanai - dokumentu apritei, arhivēšanai un saziņai. Eksistē arī citi lietvedības risinājumi, taču Iekšlietu ministrija kopš 2006. gada lieto tieši šo - Krievijas Federācijā uzņēmumā ДоксВижн tapušo. Iekšlietu resors tāds ir vienīgais. Kā Neatkarīgā vakar jau vēstīja - šī konkrētā programma tiek plaši lietota Krievijas valdības iestādēs, valsts uzņēmumos un ministrijās. Teorētiski pastāv bīstamība, ka programmā ir iestrādāta iespēja piekļūt tai no ārpuses, un tādā gadījumā Latvijas valstij nozīmīga informācija varētu kļūt pieejama svešai nedraudzīgai valstij.

Formāli MK noteikumi ievēroti

Konkrētu normatīvo aktu, kas regulē valsts iestāžu programmnodrošinājuma iegādes, Iekšlietu ministrija nepārkāpj, jo uzņēmums E-pasaule, no kā tiek pirkta programma un tās atjauninājumi, pasūtīti jauni moduļi un apkalpošana, ir reģistrēts Latvijas Republikā. Minimālās drošības prasības valsts un pašvaldību institūciju IKT sistēmām ir noteiktas Ministru kabineta noteikumos Nr. 442 Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām. Un te svarīgākais ir 36. punkts: «Paaugstinātas drošības sistēmu uzturēšanas ārpakalpojuma līgumu atļauts slēgt vienīgi ar juridisku personu, kas ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, vai fizisku personu, kas ir NATO, Eiropas Savienības, Eiropas Ekonomikas zonas valsts pilsonis vai Latvijas Republikas nepilsonis.» Tātad formāli viss ir kārtībā, un to Neatkarīgajai atzīst arī Aizsardzības ministrijā, kas noteikumus izstrādājusi. Oficiālā atbilde ir šāda:

«Katrai iestādei, lemjot par informācijas un komunikācijas tehnoloģiju iepirkumu, ir jānodrošina to atbilstība tiesību normām un jāizvērtē iespējamie riski un apdraudējumi, jāveic pasākumi, lai aizsargātu sistēmas informācijas resursus, nodrošinātu informācijas pieejamību un integritāti. Gala lēmumu izdara iestādes vadītājs. Aizsardzības ministrija, CERT.LV nepieciešamības gadījumā var sniegt rekomendācijas un atbalstu savas kompetences ietvaros.»

Ieteikumi tiek ignorēti

Tieši attiecībā uz Iekšlietu ministrijā varbūt kādreiz veikto izvērtējumu pastāv šaubas, jo līgums par konkrētās programmas iegādi slēgts vēl tajos gados, kad Latvijas un Krievijas kaimiņattiecības bija gana draudzīgas. Vēl nebija sācies karš Gruzijā, nemaz nerunājot par Ukrainas notikumiem, un tie visu mainīja. Pasaulē notiekošā informācijas un hibrīdkara apstākļos valsts drošības iestādes - Valsts drošības dienests, Satversmes aizsardzības birojs un Militārās izlūkošanas un drošības dienests - pērn izstrādāja kopīgas rekomendācijas attiecībā uz informācijas tehnoloģiju iepirkumiem. Tās ir stingrākas par noteikumiem, jo iesaka pilnībā izvairīties no Krievijas ražojumiem. Valsts un pašvaldību institūcijas, kā arī informācijas tehnoloģiju kritiskā infrastruktūra:

«Vērtējot infrastruktūras funkcionēšanai nozīmīgu informācijas tehnoloģiju produktu un pakalpojumu iepirkumus, nedod priekšroku tādiem produktiem un pakalpojumiem, kuru izcelsmes vai mītnes valstīm ir ofensīvas kiberprogrammas pret NATO, Eiropas Savienību un to dalībvalstīm (piemēram, Krievijai, Ķīnai, Ziemeļkorejai, Irānai).» Jāatzīst gan, ka šīs rekomendācijas tika publiskotas jūlijā, tātad vēl pēc pēdējā Iekšlietu ministrijas iepirkuma, kas notika aprīlī. Toreiz iepirkuma priekšmets bija «Iekšlietu ministrijas dokumentu vadības sistēmas DocsVision atbalsta pakalpojumu un tiesību jaunāku versiju uzstādīšanai iegāde uz trim gadiem». Dīvaini tomēr, ka ministrija pati savlaicīgi nav sapratusi, ka Krievijā ražotu digitālo risinājumu lietošana pašreizējā ģeopolitiskajā situācijā ir pārmērīga riska uzņemšanās. Un nesaprot joprojām.

Sistēmas jaunākā versija apturēta

Neatkarīgā caur preses dienestu uzdeva ministrijas vadībai jautājumu: Vai un kā programmas ДоксВижн lietošana ir izvērtēta no valsts drošības viedokļa? Un saņemtā atbilde ir, lūk, šāda:

«Lai nodrošinātu Iekšlietu ministrijas un tās padotībā esošo

iestāžu dokumentu pārvaldības sistēmu pilnveidi un atbilstību

mūsdienu tehnoloģiju sniegtajām iespējām, tostarp nodrošinot

dokumentu pārvaldības mobilitāti, drošību un efektivitāti,

Iekšlietu ministrijas Informācijas centrā tiek īstenoti pasākumi

iepriekš minētā mērķa sasniegšanai atbilstoši valsts drošības

iestāžu rekomendācijām par izmantojamām informācijas un

komunikācijas tehnoloģijām.

Esošajā lietvedības sistēmā tiek apstrādāta vispārpieejama

informācija un ierobežotas pieejamības informācija atbilstoši

Informācijas atklātības likuma prasībām, neiekļaujot

lietvedības sistēmā informāciju dienesta vajadzībām un

informāciju, kura ir aizsargājama atbilstoši likumam Par valsts

noslēpumu. Papildus tam, lai novērstu riskus nelikumīgai piekļuvei

lietvedības sistēmā apstrādājamai informācijai, Iekšlietu

ministrijas Informācijas centrs nodrošina drošības pasākumu

kopumu, kas liedz piekļūt sistēmai no publiskajiem tīkliem,

tostarp liedzot piekļuvi sistēmas ražotāja pārstāvjiem, kā arī

ir apturēta sistēmas jaunāko versiju uzstādīšana.»

Krievijas risinājums Latvijas drošībai

Kas vainas jaunākajām versijām un kādēļ to uzstādīšana ir apturēta, ministrija nekonkretizē, taču neapstrīdams ir fakts, ka dokumentu pārvaldības «efektivitāti, drošību un mobilitāti» ministrijas īstenoto pasākumu rezultātā joprojām nodrošina Krievijas Federācijā radīts digitāls risinājums.

Neatkarīgā ar šo faktu iepazīstināja arī digitālās drošības incidentu novēršanas institūciju CERT.LV. Tā atsaucas uz jau piesauktajām drošības struktūru rekomendācijām: «Publicētajos ieteikumos ir

minēts, ka Latvijas valsts drošības iestādes rekomendē izmantot

tehnoloģijas un iekārtas, kuru izcelsme ir Eiropas Savienības, NATO vai

EEZ dalībvalstis. CERT.LV aicina iestādes un uzņēmumus iepazīties ar šīm rekomendācijām un tās ieviest.» Krievija pilnīgi noteikti neietilpst minēto valstu uzskaitījumā, tātad šis aicinājums tiešā veidā attiecas uz Iekšlietu ministriju. Vienlaikus CERT.LV uzsver, ka «ar konkrētu informācijas sistēmu izveidi un uzturēšanu saistītos jautājumus valsts iestādēs lemj iestādes vadītājs, lēmumus balstot uz iekšējo drošības politiku». Iekšlietu ministrijas vadītājs ir valsts sekretārs Dimitrijs Trofimovs.