Drošības profesionāļu asociācija: CSDD attieksme pret pētnieku, kurš atklāja drošības "caurumu", ir nepieņemama (4)

Asociācijā norāda, ka jūnijā drošības pētnieku Skurulu notiesāja saistībā ar viņa atklāto drošības ievainojamību CSDD informācijas sistēmās.

Asociācijas biedrs un NATO struktūrās strādājošs drošības pētnieks Nils Putniņš norāda, ka Skuruļa atklājums pēc atvērtā tīmekļa lietotņu drošības projekta (OWASP) standartiem tiek klasificēts kā bojāta piekļuves kontrole, kā arī OWASP 2021.gada definīcija paredz, ka tas ir kritiskākais tīmekļa lietojumprogrammu drošības risks.

"Šajā gadījumā to ir viegli pierādīt, izmantojot nozares standarta datorsistēmu drošības ievainojamību nopietnības novērtēšanas (CVSS) metodoloģiju, jo no publiski pieejamās informācijas var secināt, ka pastāvēja iespēja piekļūt ikvienam kontam un veikt izmaiņas, tostarp pārreģistrēt auto citam īpašniekam. Tas nozīmē, ka šī ievainojamība potenciāli apdraudēja visus Latvijas auto īpašniekus un autovadītājus," papildināja Putniņš.

Asociācija uzskata, ka Skuruls par 1000 eiro izspiešanu apvainots nepamatoti, jo, ņemot vērā publiski pieejamo informāciju, bija apzinīgi norādījis uz ievainojamību un vispirms ziņojis par to pašai IT sistēmas pārzinei - CSDD. Tikai pēc tam, kad CSDD nespēja iekšēji atklāt ievainojamību, Skuruls par ievainojamības tehnisko aprakstu prasīja minēto naudas summu, jo tās atklāšanai veltīja daudz laika un uzskatīja, ka ieguldījums nav jādāvina, papildina asociācijā.

Asociācijā arī skaidro, ka viena no Skurula apsūdzībām esot arī draudēšana par ievainojamību paziņot plašākai sabiedrībai ar masu mediju starpniecību. Asociācijas ieskatā tas ir nepieņemami, ka tiesa drošības pētniekam prasa maksāt izdevumus, kas radušies IT pārziņa atbildības rezultātā, turklāt, cenšoties Skurulu sodīt, jo Latvijas sabiedrība un CSDD sistēmas lietotāji uzzinātu par to, ka datu pārzinis nepietiekami aizsargā viņu datus un tie, iespējams, jau ir pieejami trešajām pusēm, norādīja asociācijā.

Lai gan notikumi risinājušies 2018.gadā, asociācijā norāda, ka jautājums ir aktuāls arī patlaban. Pēc asociācijas minētā nesen pieņemtajā Nacionālajā kiberdrošības likumā ir iekļauta koordinēta ievainojamību atklāšana, taču nekas nav minēts par drošības pētnieku aizsardzību no kriminālatbildības, tāpat nav minētas tiesības informēt sabiedrību par drošības ievainojamību, ja tā netiek novērsta. Tāpat likumā nav iekļauta arī drošības pētnieku apbalvošana par ievainojamību atklāšanu, pauž asociācijā.

Asociācijā vērš uzmanību, ka 2022.gada decembrī pieņemtajā Eiropas Savienības (ES) direktīvā, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā ES, dalībvalstis tiek aicinātas ar valsts rīcībpolitiku, cik vien iespējams, risināt problēmas, kas skar ievainojamības pētniekus, tostarp to, ka tiem var tikt noteikta kriminālatbildība saskaņā ar valsts tiesību aktiem, kā arī, ņemot vērā, ka fiziskas un juridiskas personas, kas pēta ievainojamību, dažās dalībvalstīs varētu būt pakļautas kriminālatbildībai un civiltiesiskajai atbildībai, dalībvalstis tiek mudinātas pieņemt pamatnostādnes par kriminālvajāšanas neīstenošanu pret pētniekiem informācijas drošības jomā un viņu darbību atbrīvošanu no civiltiesiskās atbildības.

Tādējādi asociācijā norāda, ka CSDD prakse neveicina Latvijas kiberdrošību, tāpēc asociācija aicina CSDD pielikt visas pūles, lai reabilitētu Skuruli.

LETA jau ziņoja, ka Latgales apgabaltiesa apsūdzībās par izspiešanu notiesājusi Latvijā pazīstamo izgudrotāju Skurulu, kurš bija atklājis drošības "caurumu" CSDD IT sistēmā, informējis par to un aicinājis par ieguldījumu sistēmas pārbaudē samaksāt 1000 eiro, taču tas novērtēts kā izspiešana, iepriekš rakstīja "Latvijas Avīze".

CSDD un Valsts policija (VP) 2018.gada novembrī paziņoja, ka esot atklājuši kādas personas nesankcionētu mēģinājumu piekļūt transportlīdzekļu reģistram un mēģinājumu izspiest naudu. VP Kibernoziegumu apkarošanas nodaļas amatpersonas tolaik sāka kriminālprocesu par informācijas sistēmas darbības traucēšanas mēģinājumu un izspiešanas mēģinājumu mantkārīgos nolūkos.

2021.gada septembrī ar Rēzeknes tiesas spriedumu Skuruls tika atzīts par vainīgu un sodīts ar naudas sodu 12 minimālo mēnešalgu apmērā. Cietušais uzņēmums jeb CSDD uzskata, ka izgudrotājs tam ar savu informāciju par autorizācijas ievainojamību turklāt esot nodarījis būtisku materiālo kaitējumu 3459,52 eiro apmērā, kas veidojās kā darba samaksa trim CSDD programmētājiem, kuri nedēļas laikā tā arī neatrada "caurumu sistēmā", un CSDD samaksas uzņēmumam "WeAreDots" par konsultācijām.

Apsūdzētais pirmās instances tiesas spriedumu pārsūdzēja Latgales apgabaltiesā, kas lēma viņu atzīt par nevainīgu un attaisnot. Ar tādu spriedumu mierā nebija prokurors, kurš ar kasācijas sūdzību vērsās Augstākajā tiesā (AT). Trīs senatori lēma atcelt Latgales apgabaltiesas 2022.gada 2.jūnija spriedumu pilnībā un lietu nosūtīt jaunai izskatīšanai Latgales apgabaltiesā. Šī gada jūnijā Latgales apgabaltiesa nolēma atstāt spēkā Rēzeknes tiesas spriedumu, saskaņā ar kuru Skurulam jāmaksā naudas sods (8400 eiro), kā arī jākompensē CSDD it kā nodarītais mantiskais zaudējums - 3459,52 eiro. Spriedums vēl nav stājies spēkā, jo Skuruls to varēs pārsūdzēt AT Senātā.