По неофициальной информации, попавшей в распоряжение Телеграфа, к возникновению уязвимости в системе электронного декларирования (EDS) привела ошибка в SSL-сертификате, за который ответственна Latvijas Pasts.
За утечку данных СГД ответственно Latvijas Pasts (36)
Обращаем ваше внимание, что статье более пяти лет и она находится в нашем архиве. Мы не несем ответственности за содержание архивов, таким образом, может оказаться необходимым ознакомиться и с более новыми источниками.
Наиболее вероятной причиной возникновения скандальной «дыры» в базе данных Службы госдоходов стал дефект электронного сертификата, за выдачу которого ответственна Latvijas Pasts.
Сама же «дыра» могла быть «черным ходом» для круга лиц, которые тихо и без огласки использовали доступ ко всей информации — причем делали это с ведома отдельных сотрудников СГД, сообщил Телеграфу осведомленный об обстоятельствах дела источник.
Вопросы вызывает также то, почему для обеспечения работы системы электронного декларирования использовался SSL-сертификат от Latvijas Pasts, а не от известного производителя такой продукции. В Latvijas Pasts Телеграфу подтвердили, что до 31 декабря 2009 года там «предоставляли услуги сертификации (SSL) ряду клиентов». В свою очередь в компании Exigen Services заявили, что они лишь разрабатывали систему электронного декларирования для СГД. Но какие-либо действия с ней, в том числе администрирование интернет-серверов и установку SSL-сертификата, производит само СГД.
«Решение, у какой фирмы закупить SSL-сертификат, находится в компетенции СГД. Они по этому вопросу с нами не консультируются, — подчеркнула представитель Exigen Services Лига Криста Солима. — Поэтому мы не можем комментировать такие вопросы, так как это затрагивает инфраструктуру информационной системы и конфигурацию серверов СГД».
Пояснений Службы госдоходов Телеграфу пока получить не удалось.
Кто крайний
Действия 4ATA анонимный собеседник Телеграфа оценил высоко. «Они сработали довольно профессионально, создав компьютерную программу, генерировавшую запрашиваемые номера документов и позволившую скачать большой объем данных. А вот в СГД действовали неверно. Заметив перегрузку системы, любой администратор заглянет в log-файл и попытается выяснить, чем это вызвано и откуда идет нагрузка на систему. Вместо этого в СГД расширили пропускную способность на 2 дня, и данные можно было скачивать еще в большем объеме», — говорит наш источник.
По его мнению, к появлению «дыры» в системе электронного декларирования СГД наверняка имеет отношение разработчик и кто-то из сотрудников СГД – просто так она появиться не могла. Однако установить, когда и кем была создана уязвимость, не должно составлять большого труда: все вносимые в компьютерные программы изменения должны регистрироваться.