24. februārī apritēs četri gadi kopš Krievijas iebrukuma Ukrainā, taču Rīgas pašvaldības uzņēmums “Rīgas satiksme” (RS) turpina izmantot Krievijā izstrādātu programmatūru “1C”, ko lieto uzņēmuma vadības un grāmatvedības vajadzībām.
RS janvārī izsludināja iepirkumu "Programmatūras "1C uzņēmums" un tajā iekļauto apakšsistēmu izmaiņu izstrādes pakalpojumi". Iepirkuma paredzamā līguma cena ir 150 000 eiro, neieskaitot pievienotās vērtības nodokli.
Latvijā ir virkne uzņēmumu, kas spēj iepirkuma uzdevumu izpildīt, tāpēc, šķiet, pastāv konkurence un nav jautājumu par to, ka iepirkuma uzvarētājs būtu iepriekš sarunāts. Taču ir citi jautājumi. Galvenais: cik bīstami valsts drošībai ir tas, ka šāds agresīvajā kaimiņvalstī ražots produkts tiek lietots RS, kas ir stratēģiski svarīgs galvaspilsētas uzņēmums?
Programmas nomaiņa maksāšot ļoti dārgi
Komentējot iepirkumu, RS ir skaidrojusi, ka pašlaik izmantotā informācijas sistēma darbojas izolētā, slēgtā vidē un nekādā veidā nekomunicē ar citu valstu serveriem vai ārējām sistēmām, līdz ar to klientu un uzņēmuma datu drošība netiek apdraudēta.
Sistēmas nomaiņa esot sarežģīts, laikietilpīgs un finansiāli ļoti dārgs process, kas īsā laika posmā varot radīt riskus uzņēmuma darbības nepārtrauktībai.
RS pauž, ka konkrētais iepirkums nepieciešams, lai operatīvi varētu nodrošināt uzņēmuma darbības nepārtrauktību, kas saistīta ar pielāgojumiem normatīvo aktu regulējumam un biznesa procesiem pārejas periodā, kamēr tiek izstrādāti un ieviesti alternatīvi risinājumi, kam nepieciešami aptuveni divi līdz trīs gadi.
Tātad vismaz divus vai trīs gadus RS savu resursu vadībai lietos to pašu “1C” un no krievu produkta neatbrīvosies.
Privāti uzņēmumi var darīt, kā tiem šķiet izdevīgāk, un uz savu riska galvu lietot jebkādus tirgū pieejamus IT risinājumus, taču RS nav privāts uzņēmums. Ja Krievijas hakeris ielaužas RS sistēmā, tur iekšā viņu jau gaida pazīstama, “dzimtā” “1C” programma, un visas darbības var paveikt ātri un ērti - “uzkārt”, iznīcināt vai nopludināt datus, vai arī tos vērot - tas ir, izspiegot.
Ja nolūki ļauni, tad tas ir bīstami
“Nra.lv” aptaujātie IT jomas eksperti ir vienisprātis, ka valsts vai pašvaldības uzņēmumā turpināt izmantot agresorvalstī izstrādātu programmatūru ir ļoti slikta prakse un, cik vien ātri iespējams, no tās vajadzētu atbrīvoties.
IT drošības uzņēmumu grupas “Possible Security” valdes loceklis Kirils Solovjovs uzskata, ka jebkura programmatūra var radīt bīstamību, ja ražotājam ir bijis ļauns nolūks.
“Ja tā ir programma no tādām valstīm kā Krievija vai Ziemeļkoreja, vai Ķīna, tad ir lielāka varbūtība, ka tajā var būt iestrādāts kaut kas slikts.
Te nav runa par to, ka noteikti tik tiešām ir kas slikts, bet varbūtība ir lielāka, jo Krievijai varētu būt lielāka motivācija iestrādāt programmā kaut ko sliktu. Tā var būt datu nopludināšana, kontroles pārņemšana pār serveri un visas sistēmas datoriem.
Tie gan ir tikai mani pieņēmumi - es neesmu šo konkrēto gadījumu un šo programmu pētījis. Tad man vajadzētu vairāk informācijas.
Krievijas pilna mēroga karš Ukrainā notiek, un domāju, ka ir pilnībā pamatoti no šādām Krievijā ražotām programmām attiekties,” sacīja Kirils Solovjovs.
Ilgāk ir dārgāk
“Nra.lv” jautāja: vai programmas nomaiņa, ja tā notiek ātri, izmaksās ļoti dārgi, bet, ja ilgākā laika posmā, tad lētāk?
“Es domāju, ka pāreja uz citu programmu izmaksā to pašu naudu, neatkarīgi, vai tas tiek darīts vienā dienā vai vairākos gados. Drīzāk tad jau ilga nomaiņa var izmaksāt vairāk. Droši vien patiesībā ir tā, ka RS budžetā tam nav paredzēta nauda. Tad tā ir budžetēšanas kļūda.
Es domāju, ka risks pastāv un šī “1C” programma būtu jānomaina. Cerams, ka iestādes, kas atbild pat valsts drošību un kiberdrošību, pietiekami nopietni ir izvērtējušas šo lietu,” spriež eksperts.
“1C” - bīstamāk nekā “Kaspersky”
Jautāts par Krievijas “Kaspersky” antivīrusa programmas lietošanu privātos uzņēmumos (agrāk arī valsts uzņēmumos un pat KNAB), Kirils Solovjovs zināja teikt, ka ES un Latvijā nepastāv aizliegums lietot šā uzņēmuma izstrādājumus. Tam ir pat pārstāvniecība Latvijā, jo tas acīmredzot uzskata Latviju par nozīmīgu tirgu. “Atšķirībā no “1C”, antivīrusa programmu izstrādājušajam Kasperskim reputācija ir viss, kas tam ir - ja programma nepildīs uzdevumu aizsargāt klientu pret vīrusiem, tad tam klientu vairs nebūs. Tas, protams, attiecas uz privātajiem klientiem. Valsts un pašvaldību iestādēs šī programmatūra nav jālieto,” uzskata kiberdrošības speciālists.
Nevar zināt, kas “melnajā kastē” iekšā
IT uzņēmējs Gints Ernestsons intervijā “nra.lv” sacīja, ka jebkura agresorvalstī izstrādāta programma ir kā “melnā kaste” - nevar zināt, kas tajā iekšā un kurā brīdī var parādīties bīstamība.
“Dīvaini, ka RS lieto šo programmu, jo divi Latvijas IT uzņēmumi savulaik ir izstrādājuši resursu vadības programmas, kuras abas vēlāk ir nopircis liels Norvēģijas uzņēmums. Šīm programmām ir priekšrocības tajā ziņā, ka tās radītas salāgoti ar Latvijas nodokļu vidi, ar EDS un Uzņēmumu reģistru.
Bet, iespējams, “1C” programmai ir citas priekšrocības - tā maksā mazāk un tai droši vien” ir interfeiss krievu valodā. Acīmredzot “Rīgas satiksmē” šī valoda ir saprotamāka,” ne bez ironijas piebilda Gints Ernestsons.
Barot agresoru ir amorāli
Uzņēmuma “SAF Tehnika” galvenais izpilddirektors Normunds Bergs sarunā ar “nra.lv” izteicās ļoti lakoniski: “Normāli būtu bijis to “1C” izmest jau 2014. gadā, jo barot agresoru ir amorāli. Par tehnisko bīstamību bez pilnas "source code" analīzes to pateikt nav iespējams, tādēļ jebkuras Krievijā (vai Irānā, Ziemeļkorejā, arī Ķīnā) radītas programmas nav lietojamas, īpaši, ja tām jākalpo kritiskas infrastruktūras nodrošināšanai.
Starp citu, tas īpaši attiecas arī uz “TikTok” un “Telegram”.”
