Valsts ieņēmumu dienests: Par Valsts ieņēmumu dienesta datu noplūdes pārbaudēm

Ziņojumus par veiktajām pārbaudēm saistībā ar drošības incidentu Valsts ieņēmumu dienesta (VID) Elektroniskās deklarēšanas sistēmā (EDS) ir sagatavojusi gan Finanšu ministrijas (FM) drošības incidenta izvērtēšanas komisija, gan VID dienesta pārbaudes komisija, izvērtējot incidenta rašanās faktiskos apstākļus, visu iesaistīto pušu atbildību un iespējamās sankcijas, kā arī priekšlikumus turpmākai rīcībai.

FM un VID atgādina, ka saistībā ar drošības incidentu EDS tiek veikta kriminālizmeklēšana, kuras uzdevums ir noskaidrot vainīgās personas, kas veica nelegālu datu lejupielādi no VID informācijas sistēmas. FM un VID uzdevums no savas puses ir izvērtēt, kā radās šāda situācija un kādas sistēmas drošības prasības netika ievērotas. Visi FM un VID rīcībā esošie materiāli ir iesniegti lietas izmeklētājiem.

Finanšu ministrs Einars Repše ir iepazinies ar komisijas iesniegtajiem materiāliem un secinājumiem un norāda: “Šajā situācijā ir būtiski ļoti stingri izvērtēt to Valsts ieņēmumu dienesta darbinieku, kuri atbild par informācijas tehnoloģijām un datu sistēmām, atbildību par savu darbību vai bezdarbību. Turklāt izvērtējumam jāaptver arī atbildība no labas pārvaldības viedokļa, ņemot vērā, ka VID ir vairākas valsts nozīmes informācijas sistēmas, kurās uzkrāts liels daudzums aizsargājamu datu un par kuru drošību VID ir īpaši jārūpējas.”

VID dienesta pārbaudes komisijas rezultāti

Saņemot un izvērtējot dienesta pārbaudes komisijas atzinumu un secinājumus, VID ģenerāldirektora v.i. Nelija Jezdakova atbalstījusi dienesta pārbaudes komisijas ierosinājumu par disciplinārlietu sākšanu pret trim VID Informātikas pārvaldes ierēdņiem un dienesta pārbaužu sākšanu pret četriem VID Informātikas pārvaldes darbiniekiem.

Šobrīd tiek gatavoti rīkojumi par disciplinārlietu sākšanu par Valsts civildienesta ierēdņu disciplināratbildības likuma 36.panta otrajā daļā minēto iespējamo disciplinārpārkāpuma izdarīšanu, nenodrošinot Elektroniskās deklarēšanas sistēmas kvalitatīvu administrēšanu, darbību, kvalitātes testēšanu, uzraudzību un analīzi, nepietiekami koordinējot pasākumus tās nodrošināšanai, pret:

• VID Informātikas pārvaldes direktori Ivetu Bērtulsoni,

• VID Informātikas pārvaldes direktores vietnieku Viesturu Šķilu,

• VID Informātikas pārvaldes direktores vietnieku Juri Stumpu.

Tāpat, pamatojoties uz Valsts pārvaldes iekārtas likuma 35.panta pirmo daļu, nenodrošinot Elektroniskās deklarēšanas sistēmas kvalitatīvu administrēšanu, darbību, kvalitātes testēšanu, uzraudzību un analīzi, nepietiekami koordinējot pasākumus tās nodrošināšanai, tiek gatavoti rīkojumi par dienesta pārbaužu sākšanu pret:

• VID Informātikas pārvaldes Ekspluatācijas daļas priekšnieku Juriju Smirnovu,

• VID Informātikas pārvaldes Ekspluatācijas daļas Datu bāzu administrēšanas nodaļas priekšnieku Ingu Cinciusu,

• VID Informātikas pārvaldes Ekspluatācijas daļas Sistēmu lietojumprogrammatūras uzturēšanas nodaļas galveno speciālistu Edgaru Kačerovski,

• VID Informātikas pārvaldes Ekspluatācijas daļas Datu bāzu administrēšanas nodaļas galveno speciālistu Kirilu Ruskuli.

Uzsākto disciplinārlietu un dienesta pārbaužu ietvaros tiks vērtēta konkrēto VID ierēdņu un darbinieku rīcība un atbildības pakāpe saistībā ar notikušo elektroniskās deklarēšanas sistēmas drošības incidentu.

Dienesta pārbaudes komisijas uzdevums bija izvērtēt VID Elektroniskās deklarēšanas sistēmas drošības incidentu un noskaidrot, kuru VID amatpersonu pienākumos ietilpa funkcijas un uzdevumi, kas saistīti ar VID Elektroniskās deklarēšanas sistēmas darbības nodrošināšanu, pārraudzību un informācijas sistēmas drošības jautājumiem, kā arī izvērtēt, vai ir pamats sākt disciplinārlietas pret konkrētiem ierēdņiem un dienesta pārbaudes pret konkrētiem VID darbiniekiem. Dienesta pārbaudē tika izvērtēti ārējie un iekšējie normatīvie akti, kas reglamentē VID ierēdņu un darbinieku rīcību un uzdevumus saistībā ar informācijas sistēmu darbības nodrošināšanu, kā arī VID amatpersonu darba pienākumu apraksti, struktūrvienību reglamenti un tajos norādītās funkcijas un uzdevumi.

Dienesta pārbaudes komisija savu darbu sāka 2010.gada 12.februārī, savukārt dienesta pārbaudes komisijas atzinumu iesniedza VID ģenerāldirektora v.i. N.Jezdakovai 2010.gada 1.martā.

FM drošības incidenta komisijas rezultāti

Komisija ir konstatējusi, ka nelegāla datu lejupielāde no EDS bija iespējama sistēmas kļūdas dēļ. Izvērtējot sistēmas izstrādātāja AS “DATI Exigen Group” atbildību un iespējamās sankcijas, komisija norāda, ka VID līgumā ar sistēmas izstrādātājiem ir paredzēta pušu atbildība un pienākumi, kā arī iespēja vienai pusei saskaņā ar Civillikumu atlīdzināt otrai pusei nodarītos tiešos vai netiešos zaudējumus. Tādējādi VID pastāv iespēja vērsties tiesā ar civilprasību pret AS “DATI Exigen Group”. FM komisija iesaka VID pārskatīt ar AS “DATI Exigen Group” noslēgto līgumu par EDS uzturēšanu un pilnveidošanu.

Pārbaudes gaitā komisija ir arī konstatējusi, ka Valsts ieņēmumu dienestam bija noslēgts līgums ar SIA “KPMG Baltics” par informācijas sistēmu drošības auditu veikšanu, taču tieši konkrētā sistēmas kļūda audita laikā netika atrasta. Lai nākotnē nodrošinātu labākus rezultātus sistēmu drošības auditiem, komisija iesaka turpmāk, slēdzot līgumus par auditu veikšanu valsts nozīmes informācijas sistēmās, noteikt, ka īpaša uzmanība jāpievērš tieši sistēmas lietojuma drošības pārbaudei.

Komisija ir arī sniegusi vairākus priekšlikumus, lai novērstu iespējamu drošības incidentu atkārtošanos nākotnē, – nodrošināt adekvātus resursus drošības risku pārvaldībai, sistēmu uzturēšanai un drošības auditu veikšanai; pienācīgi veikt informācijas sistēmu izmaiņu un jauninājumu testēšanu un drošības kontroli u.c.

FM drošības incidenta izmeklēšanas komisija ar finanšu ministra E.Repšes rīkojumu tika izveidota 2010.gada 15.februārī, un tai līdz 26.februārim bija jāsniedz finanšu ministram ziņojums par pārbaudē konstatēto. Finanšu ministrs, iepazinies ar komisijas sākotnējo ziņojumu, ar rezolūciju uzdeva komisijai līdz 5.martam sagatavot atzinuma precizējumus un papildinājumus, padziļināti izvērtējot iesaistīto pušu atbildību un iespējamās sankcijas.

Finanšu ministrijas Komunikācijas nodaļa,

Valsts ieņēmumu dienesta Sabiedrisko attiecību daļa