Сотрудники службы Государственных доходов уже неоднократно наказывались за утечку чувствительных (сенситивных) данных. При этом работники обходятся довольно несущественными дисциплинарными наказаниями, тогда как информация, возможно, попадает к лицам, которые полученные данные могут использовать в корыстных целях. Почему вопросы государственной внутренней безопасности защищаются, как пустые ворота в хоккее, и кто должен нести за это ответственность?
В поле зрения BNN попал очередной случай, когда Бюро по предотвращению и борьбе с коррупцией (БПБК) наказало должностных лиц СГД, пойманных на незаконном получении данных из внутренних систем. 14 ноября появилось сообщение, что сотрудницы СГД, руководствуясь личными мотивами, ознакомились с информацией, которая не требовалась им для выполнения должностных обязанностей. Это были главные налоговые инспекторы Ольга Логинова и Линда Бурова-Берзиня, подтвердили в СГД. Назначенное им наказание несоизмеримо мало по сравнению с полученной незаконно информацией — штрафы в размере 70 и 80 евро.
BNN связался с консультантом СГД по вопросам коммуникации и связей с общественностью Андрейсом Вайварсом с просьбой прокомментировать ситуацию, на что он сообщил: «Это не была утечка информации, речь идет о ее просмотре. Эти люди заглянули в файлы, которые их не касались. Эти сотрудницы не передали данную информацию дальше».
На вопрос BNN, известно ли, какую именно информацию просматривали сотрудницы, Вайварс ответил, что он этого не знает, добавив, что эта информация не разглашаема.
Таким образом, работник СГД утверждает, что данный случай не может классифицироваться как утечка информации, то есть когда сотрудник получает доступ к информации, которая не нужна ему для исполнения должностных обязанностей. Вайварс уверен — Управление внутренней безопасности СГД убедилось в том, что сотрудницы службы «никому ничего не сказали».
В телефонном разговоре Вайварс признает, что сотрудники СГД ранее неоднократно предупреждались, что подобные действия непозволительны.
Несмотря на то, что должности и обязанности работников службы различаются, работники одного и того же отдела имеют доступ к файлам коллег, сообщил консультант СГД по вопросам коммуникации и связей с общественностью. «Доступ закрыт не полностью», — отметил Вайварс.
Это не первый случай, когда СГД своих сотрудников за доступ к чувствительным данным не увольняет, а лишь дисциплинарно наказывает.
Это в свою очередь наводит на мысль, что службе давно уже следовало внести изменения в контроль за структурами СГД. Следует понимать, что проблемы в службе расцениваются, как вопрос внутренней государственной безопасности. Если конкретный случай не рассматривается, как утечка информации, нужно осознавать, что сотрудницы СГД получили информацию незаконным путем. Может ли быть в основанием недостатка защиты данных желание должностных лиц «заглянуть» в непредназначенные для них файлы, что все же не вызывает в жителях уверенности в том, что увиденная информация не была передана дальше, а честно держится сотрудниками при себе? Поэтому ли сотрудницам после штрафа в 70 и 80 евро разрешено продолжать занимать должности?
Связавшись с БПБК, которое назначает штрафы, и спросив, как оцениваются суммы штрафов в случае нарушений, допущенных должностными лицами СГД, BNN получил следующий ответ: «Принимая решение о размере штрафов, БПБК руководствуется правилами «Кодекса Латвии об административных нарушениях», в том числе оценивается характер нарушения, личность нарушителя, степень его вины, состояние имущества, смягчающие или усиливающие ответственность обстоятельства».
«Меры безопасности в системе защиты данных СГД должны соблюдаться, как правила гигиены»
Госконтролер Элита Круминя, комментируя в интервью BNN случай с действиями с информацией ограниченного доступа в СГД, подчеркнула, что за защиту данных строгую ответственность должен нести руководитель каждого учреждения.
«Внутренний контроль должен быть таким, чтобы утечка информации была невозможна».
Меры безопасности для защиты информации в СГД должны соблюдаться, как «правила гигиены». Эти меры должны быть сами собой разумеющимися, поскольку в базах данных хранится весьма сенситивная информация, например, налоговые аудиты, история налоговых выплат, данные о задолженностях, размер налоговых перечислений и т. п. Госконтроль отмечает, что это обсуждается с СГД каждый год. В руках службы — огромный ресурс, которым нужно управлять с максимальной тщательностью.
Круминя также отметила дискуссию, которая была посвящена подходу СГД к данным вопросам. Госконтроль подчеркнул, что очень важно привести эту сферу в порядок. Также говорилось о том, как часто нужно проводить аудиты безопасности. Это не бюрократия, а страхование от возможных рисков, сообщили в Госконтроле.
Также важно, как работают люди, имеющие доступ к сенситивным данным. «Есть множество способов, как учреждение может обеспечить, чтобы у людей был доступ [только] к той информации, которая им нужна для работы. Также есть возможность обеспечения контроля, чтобы можно было проверить, кто именно получал доступ к информации».