Iesūti ziņu!

Izgudrotājs atklāj “caurumu” CSDD informācijas sistēmā, viņu notiesā par izspiešanu (14)

Ilustratīvs attēls.
Ilustratīvs attēls. Foto: CSDD

Latgales apgabaltiesa apsūdzībās par izspiešanu notiesājusi Latvijā pazīstamo izgudrotāju Raimondu Skurulu, kurš bija atklājis drošības "caurumu" Ceļu satiksmes drošības direkcijas (CSDD) IT sistēmā, informējis par to un aicinājis par ieguldījumu sistēmas pārbaudē samaksāt 1000 eiro, taču tas novērtēts kā izspiešana, raksta "Latvijas Avīze".

CSDD un Valsts policija (VP) 2018.gada novembrī paziņoja, ka esot atklājuši kādas personas nesankcionētu mēģinājumu piekļūt transportlīdzekļu reģistram un mēģinājumu izspiest naudu. VP Kibernoziegumu apkarošanas nodaļas amatpersonas tolaik sāka kriminālprocesu pēc Krimināllikuma 183. panta pirmās daļas, 241. panta trešās daļas un 15. panta ceturtās daļas, proti, par informācijas sistēmas darbības traucēšanas mēģinājumu un izspiešanas mēģinājumu mantkārīgos nolūkos.

Policija toreiz aizturējusi Skurulu, kurš uz pāris dienām ievietots īslaicīgās aizturēšanas izolatorā. Skuruls ir radioinženieris un inženieris konstruktors, kuram savulaik par kādu izgudrojumu pasniegta Latvijas Zinātņu akadēmijas un Latvijas Patentu valdes prestižā Valtera Capa balva.

Kā vēsta laikraksts, 2018.gada oktobrī Skuruls zvanījis uz CSDD, nosaucis savu vārdu un informējis, ka viņš konstatējis iespējamu autorizācijas ievainojamību CSDD nodrošinātajos e-pakalpojumos saistībā ar "Transportlīdzekļu un to vadītāju valsts reģistru". Sazvanītie CSDD darbinieki vairākas reizes sūtījuši zvanītāju no vienas personas pie citas, līdz Skuruls palūdzis, lai ar viņu sazinās kāds konsultants, kas būtu kompetents šajā jautājumā un saprastu problēmas nopietnību.

CSDD kā konsultantu saziņai ar Skurulu piesaistījis juridisku personu SIA "WeAreDots". Šī uzņēmuma vārdā ar Skurulu sazinājies informācijas tehnoloģiju (IT) drošības risinājumu grupas vadītājs Kaspars Līcis. Kad CSDD brīdinājumu par autorizācijas ievainojamību tomēr ņēmusi nopietni, tā paralēli uzsākusi sava reģistra drošības pārbaudi. Tam norīkoja trīs CSDD darbiniekus - programmētājus, kam pēc tam par virsstundu darbu tika samaksāti 3074,52 eiro. Pēc nedēļas darba viena ievainojamība tikusi atklāta, tikai CSDD speciālistiem nebijis skaidrs, vai tā ir tā pati, par kuru brīdināja Skuruls. Kā vēlāk izrādījās, tas bijis cits CSDD informācijas sistēmas defekts, bet savā ziņā līdzīgs, jo vienotās pieteikšanās modulī pastāvējusi iespēja autorizēties ar citas personas identitāti.

Vienlaikus "WeAreDots" darbinieks Līcis turpinājis komunicēt ar Skurulu. Arī izgudrotājs, kuram bija radušās aizdomas par CSDD autorizācijas ievainojamību, tās atklāšanai bijis patērējis daudz stundu sava darba, tāpēc Skuruls uzskatījis, ka viņam savs ieguldījums nav jādāvina un viņš par savu pakalpojumu vēlējies 1000 eiro atlīdzību. Pēc saziņas "WeAreDots" noslēdzis līgumu ar Skurula uzņēmumu "Acoustic Power LAB". Līgumā bijis noteikts, ka vispirms Skuruls nosūtīs Līcim visus viņa rīcībā esošos materiālus par autorizācijas ievainojamību, tad "WeAreDots" to pārbaudīs un izvērtēs, vai CSDD drošības sistēmai tiešām ir tāda problēma. Konstatējot, ka ievainojamība ir reāla, Līcis dotu ziņu Skurulam, lai tas sava uzņēmuma vārdā izraksta rēķinu par 1000 eiro.

Pēc tam, kad abas puses noslēgušas līgumu, to parakstot elektroniski, Skuruls pa e-pastu nosūtīja Līcim informāciju, atklājot nepilnību interneta vietnes "e-csdd.lv" autorizācijas mehānismā, kas ļāva iegūt neautorizētu pieeju darbībām. Skuruls esot izpētījis, kā darbojas šī ievainojamība, bet pats to neesot izmantojis, tāpēc par sistēmas darbības traucēšanas mēģinājumu, par ko viņš sākotnēji tika turēts aizdomās, apsūdzība Skurulam netika uzrādīta. Izgudrotājs ir pārliecināts, ka gadījumā, ja par šo ievainojamību uzzinātu kādas personas ar kriminālām tendencēm, tās varētu ne tikai iegūt visu informāciju no CSDD datu bāzēm, bet pat, piemēram, pārreģistrēt jebkuru transportlīdzekli no vienas personas uz jebkuru citu.

"Sadarbība" rezultējusies ar to, ka CSDD vadība oktobra nogalē vērsās ar iesniegumu Valsts policijā, kas uzsāka kriminālprocesu. Kā atzīmē laikraksts, Skurula situāciju lietā pasliktina tas, ka, komunicējot ar CSDD darbiniekiem, viņš izteicies - gadījumā, ja viņi neko nedarīs, viņš par "caurumu" drošības sistēmā informēs Latvijas sabiedrību, izmantojot tam plašsaziņas līdzekļus.

2021.gada septembrī ar Rēzeknes tiesas spriedumu Skuruls tika atzīts par vainīgu un sodīts ar naudas sodu 12 minimālo mēnešalgu apmērā. Cietušais uzņēmums jeb CSDD uzskata, ka izgudrotājs tam ar savu informāciju par autorizācijas ievainojamību turklāt esot nodarījis būtisku materiālo kaitējumu 3459,52 eiro apmērā, kas veidojās kā darba samaksa trim CSDD programmētājiem, kuri nedēļas laikā tā arī neatrada "caurumu sistēmā", un CSDD samaksas uzņēmumam "WeAreDots" par konsultācijām.

Apsūdzētais pirmās instances tiesas spriedumu pārsūdzēja Latgales apgabaltiesā, kas lēma viņu atzīt par nevainīgu un attaisnot. Ar tādu spriedumu mierā nebija prokurors, kurš ar kasācijas sūdzību vērsās Augstākajā tiesā. Trīs senatori lēma atcelt Latgales apgabaltiesas 2022.gada 2.jūnija spriedumu pilnībā un lietu nosūtīt jaunai izskatīšanai Latgales apgabaltiesā. Šomēnes Latgales apgabaltiesa nolēma atstāt spēkā Rēzeknes tiesas spriedumu, saskaņā ar kuru Raimondam Skurulam jāmaksā naudas sods (8400 eiro), kā arī jākompensē CSDD it kā nodarītais mantiskais zaudējums - 3459,52 eiro. Spriedums vēl nav stājies spēkā, jo Skuruls to varēs pārsūdzēt AT Senātā.

Nepalaid garām!
Uz augšu