Moto: Two things are infinite: the universe and human stupidity; and I’m not sure about the universe. Albert Einstein
(Divas lietas ir bezgalīgas: universs un cilvēku muļķība; un es neesmu pārliecināts par universu).
… ir patiešām apbrīnojama. Vēl apbrīnojamāka ir tā bezrūpība ar kādu vieni to uzglabā un otri savus datus ar vieglu roku dod, itin nemaz nepainteresējoties, vai tos vajag, kāpēc tos vajag, kam tos lietos, kam tos dos, kam tos nedos, kā tos uzglabās. Latvijā pēdējā laikā ir bijuši vismaz pārītis precedentu, kad datubāzes ar parolēm, lietotāju vārdiem, uzvārdiem, personas kodiem, adresēm, izglītībām, profesijām un sazin ko vēl vienkārši nosper un publicē internetā. Pirmā bija šeit, otrā šeit. Lai gan man ir ļoti skaidrs viedoklis par otrajā gadījumā minēto organizāciju, par to šoreiz nav runa. Runa ir par faktu, ka ir nozagta informācija, piedevām gana sensitīvā kontekstā. Protams, mēs varam vainot ļaunos hakerus, Kanādu un Dievs vien zina vēl ko visos šais grēkos, bet vispirmām kārtām mums ir jāvaino pašiem sevi. Ja mums mājās ir pietiekami vērtīgas lietas, vēl jo vairāk, ja šīs lietas mums glabāšanā ir uzticējuši citi cilvēki, tad mūsu pienākums ir rūpēties, lai šīs lietas nenozog. Ja mēs nevaram nodrošināt pienācīgu apsardzi, tad labāk šādas lietas neglabāt. Ņemot vērā to, ka klientu vēlmes reizēm mēdz būt visai neadekvātas, izstrādātāju pienākums ir vismaz painformēt viņus par potenciālajām sekām, kas notiks, ja tiks nozagta uzkrātā informācija. Kā minimums pats mazākais sods būs reputācijas zudums, kas dažām kompānijām var būt visai nopietni. Sliktākā gadījumā var iestāties arī tiesu darbi, piemēram, runājot par otro gadījumu, kas no sensitīvā viedokļa dažiem dalībniekiem varētu būt ļoti nepatīkams. Otrām kārtām mums ir jāvaino sevi vēlreiz – ja mēs esam tik dumji, ka dodam savus personas datus pa labi un pa kreisi, rakstam savu vārdu uzvārdu, rakstam savus dzimšanas datus, rakstam savu personas kodu, savu darba vietu, amatu un tā tālāk, tad neko darīt – mums ir jārēķinās, ka pastāv pietiekami liela varbūtība, ka šo info agrāk vai vēlāk iegūs kāda(-s) personas(-s), kam tā nebija paredzēta un augšminētais otrais gadījums ir fantastiski perfekts piemērs, jo šīs iestādes mājaslapā ir rakstīts, ka viņi savu biedru sarakstu nedos nevienam un ne pa kam, taču kaut kā dzīvē ir izrādījies savādāk…
Tātad – ko darīt izstrādātājiem un datubāzu turētājiem, lai tas nenotiktu?
- Vispirmām kārtām sākt uztvert šīs lietas nopietni. Pat ja Jūsu datubāzē ir 100 cilvēki, bet Jūs viņiem nez kāpēc esat prasījuši amatus, personas kodus, adreses un e-pastus, no kuriem ļoti bieži var izsecināt darba vietu, kā tas diemžēl ir augšminētajā otrajā gadījumā, tad saprotiet, ka arī tas prasa drošības ievērošanu.
- Atrast cilvēku, kas kaut ko sajēdz no drošības un tās nodrošināšanas Jūsu datubāzei, kas satur sensitīvus datus. Tajā brīdī, kad kāds nozags Jūsu db, izmaksas gan tiešās, gan netiešās būs daaaaaudz lielākas nekā tās, ko Jums nāksies samaksāt pietiekami gudram administratoram.
- Beidzot izvētīt savas prasības un reālo nepieciešamību un glabāt tikai patiesi nepieciešamos datus, nevis visu ko vien var paprasīt, ar domu – ja nu ievajagas. Tā arī neesmu sapratis, kāpēc ntajās starptautiskajās interneta vietnēs, piemēram, prasa adresi un telefonu. Kam tas ir vajadzīgs? Statistikai pilnīgi pietiktu ar valsti, Latvijā ar pilsētu vai rajonu. Kāpēc un cik vispār likumīgi augšminētajā otrajā gadījumā bija cilvēkiem prasīt personas kodu? No kura atgādinu, var iegūt dzimšanas datumu.
- Ja Jums nav naudas zinošam cilvēkam un nav arī vēlmes dzēst sensitīvus un patiesībā Jums nevajadzīgus datus, tad vismaz izraujiet vadu. Tīkla vadu. Līdz šim nekas vēl nav dzirdēts par hakeriem, kas būtu datorus uzlauzuši pa elektrības vadiem. Glabājiet atsevišķi lietotāja vārdus un paroles, kas nepieciešami ikdienas darbam un potenciālajiem interneta lietotājiem no pārējiem datiem, tādiem kā amats, epasts, personas kods un sazin vēl kas. Ja nozags paroles būs nepatīkami. Bet vēl daudzkārt nepatīkamāk būs tad, ja nozags personas kodus un amatus.
Ko darīt interneta lietotājiem, kuriem nekaunīgi prasa datus, kas patiesībā ir sensitīvi?
- Vispirmām kārtām paturēt prātā, ka par spīti visiem apgalvojumiem, ka Jūsu datus nevienam nedos pat ar pistoli pie pieres, tas viss lielākoties ir tikai tukši vārdi bez reāla seguma. Pat ja speciāli nedos, kāds var atnākt un paņemt. Katrā gadījumā pārdomājiet, cik ļoti Jums nepatiks, ja šos datus kaut kur publiski atklās. Ja tas Jums uzdzen šermuļus pār kauliem, tad labāk nevajag. Labāk ejiet prom.
- Ja nu tomēr Jūsu vēlme piereģistrēties ir nepārvarama, tad norādiet tik maz, cik vien nepieciešams. Aizpildiet tikai obligātos laukus, aizpildiet tos ar “Rīga” Jūsu adreses vietā. Rakstiet pseidonīmus, rakstiet kaut ko citu, izvēlieties noklusētās vērtības.
- Iegādājieties kādu publisku e-pasta adresi. Nemaz nerunājot par to, ka vairums ļaužu neievēro (parasti) darba noteikumos rakstīto, ka darba epastu nedrīkst izmantot privātiem mērķiem, pēc tā var noteikt Jūsu darba vietu. Vai Jūs to vēlaties? Ja ne, tad kautkas@gmail.com vai sazinkas@inbox.lv būs daudz labāk.
- Atcerieties, ka ar mūsdienu grafiskajiem redaktoriem var panākt brīnumus, kaut vai šādu jau gandrīz vai klasisku pajokošanos par GWB, kas ir tikai viena no ļoti daudzām. Visticamāk, ka Jūs nekļēsiet par tādu “slavenību”, bet ar to ir jārēķinās un tas ir jāatceras.
Arī perfekta tehnika un drošības programmas nav 100% drošas
Tas ir vairāku iemeslu dēļ. Pirmā kā jau moto teikts, ir cilvēku muļķiba, kas ir bezgalīga. Pietiek kaut vai atcerēties samērā neseno skandālu Lielibritānijā, kur kāds ierēdnis izmantojot kurjeru nosūtīja uz CD diskiem ierakstītas ziņas par 25 miljoniem cilvēku. Sūtījums netika nekā speciāli iereģistrēts un tā arī galā neieradās. Lai uzliktu punktu uz i, sūtījums tika nosūtīts vēlreiz, šoreiz ar ierakstītu pastu un tomēr galu galā nokļuva galamērķī. Pirmais sūtījums tā arī netika atrasts. Fakts, ka vājprātīgi idiotiskā darbība tika veikta otrreiz mazliet uzlabotā variantā rada sevišķu drošības sajūtu 😉 Šādos gadījumos diemžēl nekāda programmatūra nelīdzēs, jo zinošs idiots diemžēl spēj sagraut praktiski visu. Otra lieta, par ko potenciāli ir vērts atcerēties, bet kas mums visdrīzāk vēl nedraud, jo esam maziņi un neinteresanti, ir pietiekami lielas un nopietnas organizācijas, kas velta pūles, lai kaut ko nozagtu, sabojātu vai vadītu ne tā kā paredzēts. Kā jau teikts, nebūt ne visam, kas rakstīts internetā ir jātic, tai skaitā arī šim rakstam, bet gan jau ka zināma daļa patiesības ir arī šai rakstā.
Varbūt kādam šis raksts liksies paranojisks, varbūt kādam tas liksies kā ziloņa izpūšana no mušas, bet es esmu pārliecināts, ka šī problēma ir reāla un diemžēl pieteikami daudz datu turētāji to neuztver nopietni, un tai pašā laikā bariem cilvēku nekad nav aizdomājušies, ko patiesībā var nozīmēt fakts, ka es ievadu savu personas kodu, adresi un epastu atkal kādā tiešsaistes formā. Mēstules var būt mazākais ļaunums…
Datubāzes 
Smiekli nāk kā visi te cepās, kad boot.lv jūzeru tabulu nodumpoja, tad visiem bija pohuj. Tagad visi gārdz – ak dies’ cik nesmuki un pazemojoši…
ai nu par ko tu te vispār runā, mums (darbā) cilvēki regulāri sūta savus personas kodus pa e-pastu, lai dabūtu paroli, lai gan viņiem to neprasa!
Personas kodam nemaz nevajag slikti glabātas datubāzes. Piemēram, pirms dažiem gadiem kaut kādam labdarbības pasākumam ziedoju dažus latus. Tagad atklāju, ka mans personas kods ir visai viegli atrodams, jo visām organizācijām jāpublicē publiskie pārskati ar ziedotājiem un viņu personas kodiem (kurus laikam iedod bankas, kad veic pārskaitījumu). Pārskats tiek publicēts Latvijas Vēstnesī, kurš savu saturu ievieto savā interneta lapā un tur glabā ļoti ilgi laiku 🙂
@Arnolds
Es personīgi neko briemīgi necepos, katrā ziņā, ne būtiski vairāk kā par to biju cepies līdz šim. Vienkārši cenšos pēc iespējas plašāku sabiedrību informēt par šādiem precedentiem cerībā, ka kāds tomēr paskatīsies pie sevis un atklās – oops man taču arī tā ir, varbūt tomēr kaut ko izdarīt…
@Sapnis
Nu ja cilvēkiem ir vienalga un tā ir labi, tad neko darīt, tad viņi ir laimīgi tāpat 🙂
@Atis
Hmmm, cik zinu, tad vismaz ziedot.lv ir iespēja pateikt, ka gribi ziedot anonīmi, un pat, ja esi ziedojis neanonīmi, tad uzskaitījumā bija tikai vārds un uzvārds. Acīmredzot ziedojuma saņēmēji visdrīzāk mazliet pārcentušies.
Protams, ka visvairāk jābaidās no tādam kompānijām, ka google. Ja tā padomāt, tad google zina visu par mani, manas paroles (jo kad es paroli aizmirsu, man parole tiek nosūtītā uz pastu), ko es meklēju, ko es pirku uz ebay, cik es par to samaksāju, par ko interesējos, kur uzglabāju naudu, par kādam ziņām interesējos, kādus blogus lasu, cik bieži… un sarakstu var turpināt un turpināt.
Runājot konkrēti par personas kodu, tad godīgi sakot, nezinu kas tur ir briesmīgs, ka cilvēki zina manu personas kodu, tā taču ir kā primāra atslēga manam vārdam/uzvārdam. Ja es nebaidos sevi nosaukt, tad kāpēc man baidīties pieminēt savu pk?
Nu tas ka kāds zina, ka eksistē persona A ar kodu B, varbūt nav nekas ļoti briesmīgs, kaut gan arī ir bieži iestādes kur ieejot iekšā un stādoties priekšā kā persona A ar kodu B, neviens nemaz neprasa dokumentus.
Bet tas, ka persona A ar kodu B strādā iestādē C (ko var uzzināt no epasta) amatā D ir Mozaīkas biedrs, jau kādam varētu būt krietni nepatīkamāk. Tantukiem būs mēnesi, ko mēles trīt. Konteksts šai gadījumā ir svarīgs 😉
BTW aizmirsu pateikt, ka šeit ir ļoti izsmeļošs raksts par šo Mozaīkas datubāze 😉
Es pilnībā atbalstu autoru. Mūsu datiem ir vairāk informācijas apakšā kā reizēm paši par to iedomājamies. Piemēram, tik elementārs jautājums: “Vai tu regulāri brauc ar mašīnu?” atbilde var būt vienkārš “Jā vai Nē”, bet ja nepareizam cilvēkam sāk izklāstī par savas mašīnas īpašībām, kur braucam un citu informāciju. No tā mēs varam secināt par taviem ienākumiem, par tavu atrašanās vietu un cik bieži neesi mājās. Secinājumus Jūs varat izdarīt paši 🙂