Jūsu vadītā asociācija (LATA) februāra beigās izplatīja publisku paziņojumu, kurā norādāt, ka kriminālatbildības piemērošana informācijas tehnoloģiju (IT) administratoriem un programmētājiem kiberdrošības incidentu gadījumos, ja nav pierādāms ļaunprātīgs nodoms vai sodāma neuzmanība, nav adekvāta un būtībā apdraud ne tikai atsevišķus speciālistus, bet arī Latvijas spēju attīstīties kā digitālai valstij. Atgādināsim – ar šo viedokli asociācija nāca klajā saistībā ar to, ka Valsts policija krimināllietā par pašvaldību datu noplūdi rosinājusi prokuratūrai apsūdzēt SIA ZZ Dats darbinieku un ir sākts process par piespiedu ietekmēšanas līdzekļa piemērošanu uzņēmumam. Līdz ar to jautājums – ar kādām sekām, jūsuprāt, mums jārēķinās, ja šim pirmajam gadījumam sekos arī citi līdzīgās situācijās?
Nozare patlaban ir pievērsusi padziļinātu uzmanību Krimināllikumā noteiktajām sankcijām attiecībā uz informācijas pārvaldības drošības pārkāpumiem. Un tas, ko esam konstatējuši – Krimināllikuma 245. pants definē vispārīgus apstākļus, kam ir piemērojama kriminālatbildība organizāciju, uzņēmumu vai valsts pārvaldes iestāžu darbiniekiem. Un šī atbildība, kas noteikta Krimināllikumā, nav saistīta ar sekām, nav saistīta ar pārkāpuma smagumu, bet ir saistīta ar vienkārši faktu – ir bijis vai nav bijis kaut kāds pārkāpums, kā rezultātā ir radušās sekas. Lai attiecīgi piemērotu kriminālatbildību, ir jābūt informācijas zaudēšanas, informācijas nolaupīšanas vai informācijas bojāšanas faktam. Un šeit netiek runāts par to, kāda tieši informācija ir domāta, piemēram, tā var būt arī uzņēmuma Ziemassvētku pasākuma fotogrāfiju nozaudēšana, jo arī tā ir informācija. Un līdz ar to mēs šobrīd esam situācijā, ka sāk piemērot kriminālatbildību darbiniekiem, nevērtējot nemaz pārkāpuma būtību – vai tas ir bijis ļauns nolūks vai tā bijusi neuzmanība vai citi iemesli.
Ja pareizi saprotu, jūsu pieminētais likuma pants teorētiski neliedz procesa virzītājam izvērtēt, vai bijusi ļaunprātība, apzināta nolaidība vai nejaušība, bet tikpat labi viņš to var nedarīt – vienkārši konstatēt datu zaudēšanas faktu un attiecīgi ierosināt lietu pret cilvēku, kurš atbildīgs par konkrētas mājaslapas funkcionēšanu un tajā esošo datu drošību. Tā sanāk?
Jā. Un tas, ko mēs novērojam – šis Krimināllikuma pants tiek piemērots ļoti selektīvi, izvēles kārtībā, jo līdz šim mēs neesam praksē piedzīvojuši, ka šis pants būtu izmantots.
Drošības procedūru pārkāpumu patiesībā ir daudz, kiberincidentu, kas noved pie datu bojāšanas, pazaudēšanas vai nolaupīšanas, ir daudz, mēs paši esam piedzīvojuši situācijas, kad tiekam informēti par mūsu paroļu nozaudēšanu vai to parādīšanos kaut kādos melnā tirgus paroļu sarakstos… Piemēram, Google paroles – Google tevi informē, ka tava parole ir parādījusies kādā no melnā tirgus paroļu sarakstiem, un lūdz nomainīt paroli – tātad šī parole ir bijusi nolaupīta. Kāpēc netiek uzsākts kriminālprocess?
Google ir starptautiska korporācija…
Un te ir tas piemērs – mūsu Krimināllikums neattiecas uz Google pakalpojumiem.
Šobrīd ir populāri tā sauktie mākoņpakalpojumi, kurus piedāvā arī Google. Tas būtībā nozīmē: ja es kā privātpersona izmantoju šo pakalpojumu un ievietoju mākonī savus datus, bet ja man tie dati tiek nozagti, sanāk, ka rodas dubultais standarts – es nevaru vērsties mūsu policijā un lūgt ierosināt kriminālprocesu, jo vienkārši mūsu likumi uz viņiem neattiecas.
Jā, tā tas ir. Un tas ir tas, uz ko vēršam uzmanību – šāda prakse veicinās citu valstu mākoņpakalpojumu sniedzēju produktu izmantošanu un vājinās Latvijas IT industriju.
Kāpēc tā domājat?
Ja šis pants (Krimināllikuma 245. pants – red.) netiks grozīts, tad Latvijas IT nozares darbinieki, apzinoties kriminālatbildības risku par šādiem pārkāpumiem, drīzāk izvēlēsies strādāt uzņēmumos ārpus Latvijas, taču dzīvos tepat Latvijā. Jo šobrīd digitālās iespējas būtiski paplašina darba iespējas ārpus valsts, nemainot dzīvesvietu. Un vēl jo vairāk – šis Krimināllikuma pants uz ārvalstu pakalpojumu sniedzējiem neattiecas.
Starp citu, ir viena interesanta nianse visā šajā situācijā – kad parādījās pirmās ziņas par kriminālprocesa ierosināšanu, tad arī valsts pārvaldes iestāžu vadītāji, ar kuriem man ir bijusi saruna par šiem jautājumiem, pauda bažas par to, ka viņu darbinieki, uzzinot, ka viņiem pastāv šāds kriminālatbildības risks, vienkārši aizies no darba.
Respektīvi, tie valsts pārvaldē strādājošie IT speciālisti, kuri ir atbildīgi…
Par drošības risku pārvaldību.
Ko tas nozīmēs praksē? Potenciāli drošības risku palielināšanos, ja šāda līmeņa speciālisti nolemj pamest savas amata vietas?
Jā! Ja mums aiziet labs speciālists, tad mums palielinās drošības riski.
Man atmiņā nāk salīdzinoši sen piedzīvotais skaļais notikums ar IT speciālistu Neo un caurumu Valsts ieņēmumu dienesta (VID) datubāžu drošībā. Toreiz bija milzīgs skandāls, ar apsūdzībām vērsās pret Neo, tomēr apsūdzības netika uzrādītas nevienam, kurš bija atbildīgs par drošības sistēmām. Kas tad, jūsuprāt, tagad pēkšņi ir noticis, ka tiesībsargi mainījuši viedokli? Turklāt šis taču nav vienīgais drošības incidents pēdējo gadu laikā… Pēkšņi kāds ir attapies, ka Krimināllikumā ir šāds pants?
Tas, ko mēs šobrīd redzam – Krimināllikuma konkrētais pants tiek piemērots selektīvi un netiek piemērots vienādi visos gadījumos. Arī VID datu noplūdes incidenta gadījumā tad būtu bijis jāpiemēro šis pats Krimināllikuma pants, kas bija spēkā arī toreiz, bet šis pats netika piemērots, iespējams, tāpēc ka bija iespēja atrast vainīgo, kurš…
Savā ziņā pats atzinās.
Pats atzinās, tieši tā! Un te parādās dubultie standarti. Patiesībā es pat negribētu tik daudz runāt par dubultajiem standartiem, bet par absurdu tiesisko regulējumu, kas ir pieļauts. Un, lai nomierinātu IT jomas speciālistus, kuri nodarbojas ar sistēmu administrēšanu, drošības pārvaldību ne tikai privātajos uzņēmumos, bet arī publiskās pārvaldes iestādēs, mums ir jāmaina šis tiesiskais regulējums. Jo šobrīd kiberincidenti ir mūsu ikdiena.
Es personīgi ļoti ilgi strādāju IT nozarē un nekad vēl neesmu redzējis sistēmu drošības audita ziņojumu, kurā nebūtu norādīts uz trūkumiem. Līdz ar to – ja mums ir trūkumi, tad mums ir pārkāptas procedūras, un, ja mums ir pārkāptas procedūras, tad šie IT darbinieki ir pakļauti kriminālatbildības riskam visos gadījumos.
No jūsu teiktā nākas secināt – cilvēks, kurš ir tieši atbildīgs (tostarp ar potenciālu risku tikt apsūdzētam kriminālprocesā) par konkrētām lietām, savā ziņā ir ķīlnieks, jo, kā teicāt, neviens audita ziņojums nav bijis bez konstatētiem lielākiem vai mazākiem trūkumiem, bet vainīgs būs konkrētais darbinieks. Patiesībā sanāk, ka visa šī sistēma ir neloģiska.
Kriminālatbildības pants ir neloģisks, jo sistēma kā tāda ir veidota pareizi. Proti, ir risku pārvaldības metodoloģija, un attiecībā uz informācijas sistēmu drošības pārvaldību mēs nevaram novērst riskus, tajā skaitā šādus ievainojamības riskus, ko pieļaujam, administrējot sistēmas, konfigurējot un nodrošinot sistēmu drošības pārvaldību. Toties mēs varam šos riskus mazināt, un tieši tādēļ ir šie regulārie drošības auditi – atkarībā no sistēmu kritiskuma līmeņa mēs piemērojam intensīvāku vai mazāk intensīvu drošības pārvaldību. Kritiskām sistēmām drošības auditi ir jāveic ļoti regulāri, un šajos drošības auditos arī parādās ievainojamības riski, tajā skaitā konfigurācijas kļūdas, kas var novest pie datu noplūdes. Šajā situācijā mēs nevainojam darbinieku, mēs vienkārši drošības audita rezultātā konstatējam ievainojamību un to novēršam.
Pērn spēkā stājās Nacionālās kiberdrošības likums, kas nosaka tiesības gan Satversmes aizsardzības birojam, gan arī Nacionālajam kiberdrošības centram izdot administratīvo aktu un uzlikt par pienākumu novērst trūkumus informācijas sistēmu pārvaldībā, kā arī piemērot administratīvo (naudas) sodu gan uzņēmumiem, gan valsts pārvaldes iestādēm. Tas nozīmē, ka mums jau ir regulējums, kas šos jautājumus regulē un sakārto.
Atgriežoties pie Krimināllikuma 245. panta – būtībā tas paredz sodu, taču neparedz nekādu nodarījuma gradāciju? Respektīvi, nevienu neinteresē, vai bijusi ļaunprātība, nepiedodama nolaidība vai nejaušība, ir viens pants ar paredzēto sodu. Proti, ja no mājaslapas pēkšņi pazūd Ziemassvētku pasākuma bildes, bet priekšnieks ir sliktā noskaņojumā, viņš var uzrakstīt iesniegumu policijā par cilvēku, kurš atbildīgs par mājaslapas darbību. Respektīvi, nekādas seku gradācijas un cēloņu vērtēšanas nepastāv.
Tas tā ir. Šis seku smagums vai apstākļi un arī nolūks netiek vērtēts, vismaz likums nenosaka, ka tas būtu jāvērtē. Visticamāk, seku smagumu vērtētu tiesa, lemjot par piemērojamo sodu, bet pats kriminālatbildības fakts no tā nemainās. Sprieduma smagums ir tiesas jautājums, bet tas nemainītu faktu, ka darbinieks ir krimināli sodīts. Krimināllikuma 245. panta nosaukums ir Informācijas drošības noteikumu pārkāpšana, un tur ir teikts: "Par saskaņā ar informācijas režīmu vai tās aizsardzību izstrādātu informācijas glabāšanas un apstrādes noteikumu vai citu informācijas datorsistēmas drošības noteikumu pārkāpšanu, ko izdarījusi persona, kura ir atbildīga par šo noteikumu ievērošanu, ja tas bijis par iemeslu informācijas nolaupīšanai, iznīcināšanai vai bojāšanai vai ja ar to radīts cits būtisks kaitējums, soda ar īslaicīgu brīvības atņemšanu vai ar probācijas uzraudzību, vai ar sabiedrisko darbu, vai ar naudas sodu."
Savā paziņojumā LATA aicina par kiberdrošības politiku atbildīgo Aizsardzības ministriju, Tieslietu ministriju, Iekšlietu ministriju, Ministru kabinetu un Saeimu novērst trūkumus Krimināllikumā, kas patlaban nenosaka skaidru atbildības līmeni un apstākļus kriminālatbildības piemērošanai informācijas sistēmas drošības noteikumu pārkāpšanā. Vai kāds no uzrunātajiem jūs ir sadzirdējis? Esat varbūt jau uzaicināti tikties un izrunāt šo jautājumu? Un kāds ir nozares piedāvājums, lai novērstu šo absurdo situāciju?
Mēs šobrīd ar vairākām citām uzņēmēju organizācijām gatavojam kopīgu vēstuli atbildīgajām iestādēm, tostarp arī Ministru prezidentei, Saeimai, Aizsardzības, Iekšlietu, Tieslietu un Viedās administrācijas un reģionālās attīstības ministrijai, ar lūgumu pārskatīt šo regulējumu un gatavojam priekšlikumu, kā to vajadzētu mainīt. Protams, par ļaunprātīgi pieļautu kiberdrošības incidentu, kas radījis smagas sekas, ir jāpiemēro atbildība – par to jautājumu nav. Bet te ir jautājums gan par samērīgumu, gan par veselo saprātu un arī par sabalansētu šo sankciju regulējumu. Ja mums vienā gadījumā par drošības procedūru pārkāpumiem tiek piemēroti administratīvie sodi uzņēmumiem, tad sodīt darbiniekus ar kriminālatbildību par darbavietas iekšējās kārtības noteikumu pārkāpumu, kas ir novedis pie kiberincidenta – tas ir absolūti nesamērīgi. Protams, izņemot situāciju, kad šis darbinieks to ir darījis ļaunprātīgi. Taču esošajā tiesiskajā regulējumā šāda īpaši norādīta ļaunprātība nav paredzēta.
Starp citu, ja darbinieks tiek atzīts par vainīgu un viņam tiek piemērots kriminālsods, vai tas ir naudas sods, sabiedriskie darbi vai īslaicīgs cietumsods, tik un tā viņš ir krimināli sodīts. Un nav svarīgi, vai tā ir bijusi nenovēršama situācija vai apzināta ļaunprātība. Cilvēkam reputācija sabojāta un, iespējams, arī karjeras perspektīvas vairs nekādas īpašās nerādās… Varbūt es nedaudz dramatizēju potenciālo scenāriju…
Jā, tas ir nedaudz dramatizēti, bet tas, ka nākotnē šim cilvēkam būs profesionālās darbības ierobežojumi, ir fakts. Piemēram, aviācijas pakalpojumu nodrošināšanā nedrīkst strādāt krimināli sodīta persona, kritiskās infrastruktūras darbības nodrošināšanā – arī ne, par pielaidi valsts noslēpumam aizmirsti! Līdz ar to – jā, šādam cilvēkam nākotnē profesionālās darbības ierobežojumi būs.
Un noslēdzot – skatīsim, protams, ar ko beigsies konkrētais kriminālprocess, taču skaidrs, ka tas ir un paliks nopietns precedents, kura galaiznākums radīs noteiktas konsekvences. Bet pieņemot sliktāko scenāriju konkrētajam apsūdzētajam cilvēkam – ar kādām sekām IT jomā mums tiešām jārēķinās, ja IT jomas eksperti sāks apsvērt savus riskus un pārdomāt par konkrētā darba turpināšanu. Vēl jo īpaši vairāk tāpēc, ka mēs visi redzam – kiberapdraudējumu un kiberļaunprāšu aktivitāšu skaits tikai pieaug. Un visam klāt – Latvijā IT joma tiek uzsvērta kā būtiska attīstībai. Ja radīsies labu IT speciālistu deficīts, vai neriskējam ieslīgt stagnācijā? Jo, apzinot savus riskus, speciālists vai nu būs pieejams tikai par ļoti lielu naudu, vai viņš vienkārši atteiks darba piedāvājumam…
Domāju, ka drīzāk būs otrs variants. Kāpēc viņam prasīt lielu samaksu, strādājot Latvijas uzņēmumā vai valsts pārvaldes iestādē, taču ar risku tikt krimināli apsūdzētam, ja viņš, neriskējot ar savu brīvību un reputāciju, to pašu naudu var saņemt, strādājot priekš ārvalstu uzņēmuma? Mēs vienkārši zaudēsim personālu. Pirmkārt, zaudēsim kvalificētu personālu, un arī mazāk kvalificēts personāls, domāju, izvēlēsies neriskēt un atradīs darbu vai nu citā nozarē, vai arī kādā ārvalstu uzņēmumā. Savukārt ja modelējam šo situāciju tālāk – ja mums sāks trūkt savu IT speciālistu, tad mēs arvien plašāk izmantosim lielo korporāciju mākoņpakalpojumus, kurus IT speciālisti administrēs priekš mums, bet tie nebūs pakļauti darbinieku kriminālatbildībai, kas šobrīd ir noteikta Latvijas tiesību regulējumā.