Related posts:

1. Mazs google ihack
2. Google izmanto drošības caurumu atklāšanai
3. Google (i) nozagts Gaia izejas kods :)

Viss sākās ar to, ka atnākot 5dien mājās atvēru pārlūkā savu blogu un tur man priekšā sagaidīja šāda bilde:

No sākuma cerēju, ka tas ir kaut kāds gļuks (naivi ne?) un atvēru administrēšanas paneli, bet tur tiešām kā pēdējais raksts rādījās “Hacked by n2n”.

Jocīgi bija arī tas, ka visi raksti kopš 2009. gada bija ievietoti “Trash”.

Pieņemu, ka nedarbs pastrādāts un brīnumdaris licis mani mierā, lēnā garā mēģinu saprast kas un kā.

Bet, kas tev deva- pēc aptuveni 1. minūtes pienāk epasts no wordpress- admin lietotājam nomainīts epasts un pieprasīta jauna parole.

Skaidrs tagad džekiņš jau mēģina tikt pie wordpress admin konsoles. Neko darīt- jābloķē viņam pieeja

No teorijas- ja vari kontrolēt ko tieši brīnumdaris (hacker) dara tavā lapā, serverī, utt, tas neapdraud draudu konfidencialitāti, integritāti, pieejamību, un ja tas palīdzēs viņu noķert, tad pieeju var riskēt saglabāt.

Ātri ielogojos hostera config panelī un aizliedzu piekļūt visam saturam (izņemot no manas IP).

Darīts- jāsāk skatīties kapēc tas varēja notikt-

Sāku tāpat, kā iepriekšējā rakstā par testa vides problēmām ar webalizer un awstat analīzi.

Skatos references:

pēdējā un svaigākā no pods.lv

Atveru pods.lv- tiešām pie pēdējiem komentāriem “Hacked by n2n”:

Cik sapratu, tas ir plugins, kas attēlo saistītos rakstus un tiklīdz manam rakstam nomainījās nosaukums, tas attēlojās iekš pods.lv.

Viltus trauksme ejam tālāk.

Kas mums ir ar apmeklējumu?

1 apmeklētās apskatījis- 408 lapas un uztaisījis 1507 hitus- uztaisītu noteikti vairāk, ja nepiegrieztu pieeju

Skatāmies, ko viņš ir vēris vaļā:

Tātad ievainojamība bija šajā failā.

Skatāmies vai varam sazīmēt ļauno IP adresi- varam 41.99.45.23. Google piedāvā izsmalcināti info par to.

Atveru wordpres.org un skatos vai nav konstatēta kļūda šinī failā un 2.9.2(pēdējā aktuālā uz to brīdi)- viss kārtībā, kļūda ir bet par to publika vēl nezin

Vairākos forumos (piemēram šinī) ir arī konstatēta šāda problēma, bet pagaidām bez atrisinājuma.

Atveru googli un mēģinu kaut ko sagooglēt.

Martā vienā lapā ir publicēts skaners, kas mēģina exploitēt arī šo failu.

Iespējams, ka pret mani tika pielietots tieši šis Vēlāk biju domājis paeksperimentēt ko viņš tieši dara, kā strādā un kādus rezultātus var iegūt, bet kaut kā vēl līdz šai dienai nav sanācis laiks.

Atšķirībā no iepriekšējā raksta “Hackeri uzbrūk“- šoreiz ir pieejami apache access logs.

Sākumā ar lielu entuziasmu, bet pēc tam ar apnicību gāju tam cauri. Tomēr neko sakarīgu atrast neizdevās.

Visu laiku viens un tas pats-

1) admin-ajax.php failam tiek veikts POST pieprasījums- ļoti žēļ, ka apacis nelogo POST pieprasījumus, tas uzreiz atviegloto manu darbu un dotu skaidru atbildi- ko īsti brīnumdaris tur darīja.

Pats nepārbaudīju, bet uz ātro atradu pamācību, kā iemācīt apacim logot POST datus. Daudzi cepjās- logs augs nejēgā un to visu saglabāt nebūs iespējams, protams, bet ir jau alternatīvas- glabājam īsāku laiku, kopējam uz citurieni, utt. Viss ir atkarīgs vai no šādas info ir jēga- uzlaušanas gadījumā ir.

2) atgriezts rezultāts, pēc tam tiek veikts mistisks GET- cik sapratu atkarībā no POST pieprasījuma rezultāta.

Kas tad beigās tika izdarīts?

• Veidojot mistiskos pieprasījumus http://dll.lv/wp-admin/admin-ajax.php failam brīnumdaris bija izdevies pārvietot lielu daļu rakstu uz trash.
• Viņa posts “Hacked by n2n”, nebija izveidots no jauna, bet vienam rakstam no 2009, gada tika nomainīts saturs un virsraksts.
• Tika izdzēsti visi tagi
• Beigās izdevās nomainīt admin lietotāja epastu un tādā veidā iegūstot admina paroli.

!!!AAA tiko ienāca prātā- vai tikai nebija ievietojis kādā no rakstiem javascript, kas nostrādāja, kad biju ielogojis admin sadaļā un tādā veidā nomainīja admin epasta adresi?

Par labu šai teorijai ir fakts, ka epastu nomainīja apmēram 2. minūtes pēc tam, kad mājās biju ielogojies administrēšanas sadaļā, kaut gan uzbrukums jau bija sācies 1h atpakaļ.

Varbūt sakritība. Bet pārbaudīt man to vairs neizdosies, jo visu iepriekšējo saturu jau esmu izdzēsis.

Secinājumi:

Kārtējo reizi apstiprinās- uzstādod pēdējo “drošo” versiju, neviens nav pasargāts tik un tā.

Uzhakos ne tikai Windows, bet arī ar wordpress..

Backup- tas ir spēks

Manas darbības pēc tam?

Viss kā pēc grāmatas-

Lādējam no wordpres.org wordpress un pluginus no jauna (jo pastāv iespēja, ka esošajā struktūrā ir izveidoti backdoor),

Izveidojam jaunu datubāzi

No rezerves kopijas paceļam pēdējo “drošo” DB versiju (izvēlējos nedēļu pirms uzbrukuma, jo man tā pat pa vidu bija tikai 1 posts.)

Šoreiz nevis vienkārši admin lietotājam uzstādam sarežģītu paroli, bet to izdzēšam.

Uzstādam jaunas paroles.

Meklējam rakstus par wordpress drošību (izrādās viņu ir pa pilno, piemēram šāds) un izpildām to norādījumus

Uzstādam wordpress plugin (http://wordpress.org/extend/plugins/wp-secure-by-sitesecuritymonitorcom/), kas palielina drošību.

Uzstādam plugin (http://wordpress.org/extend/plugins/threat-scan-plugin/) , kas pārbauda vai sistēmā nav kaut kas ieperinājies.

Esam nemitīgā stresā

Related posts:

1. Hackeri uzbrūk vai gadās arī tā
2. Nozagtas Facebook lietotāju paroles
3. Drošības caurums CSDD un Parex mājaslapā

Tā kā esmu jau aizmirsi, kas man tikai nestāv atveru FTP klientu, lai paskatītos direktoriju saturu.

Identificēju trīs izstrādes lapas, kuras jau ir nodotas un tātad tās var dzēst ārā. Tā kā miglaini atceros, kuras tās bija, tad ar lielu interesi ievadu pirmo:

http://dll.lv/test

Un mani sagaida brīnums

Neliels pārsteigums…

Pārējās lapās izmaiņas nav konstatētas un tās tiek izdzēstas

Gribu saprasta kas un kā.

Skatos failu struktūra vietā, bet ir parādījies jauns fails index.html (faila izveidošanas datums 17.03.2010- tāda vairāk kā mēnesi atpakaļ ), lai tas netraucētu gaisu pārsaucu par index.html1.

Skatāmies, kas notiek ar pašu joomla: Izskatās, ka arī datubāzi izdzēsis- atveru phpmyadmin un tiešām:

Paskatos joomla config failu:

Tas atbild uz jautājumu, kāpēc nav izdzēst viss pārējais- katrai testa sistēmai veidoju vienu  datubāzi un vienu lietotāju, kuram pieeja ir tikai konkrētai datubāzei. Izskatās, ka tas mani ir arī paglābis un brīnumdaris nenonesa pilnīgi visu.

Nav miera un gribu paskatīties dziļāk:

• Joomla logs izdzēsts ar visu datubāzi
• Skatos Apache access log-  ieraksti ir pieejami tikai par pēdējo mēnesi, un līdz 17. maijam vairs nesniedzas. Izmainu konfigurāciju, lai turpmāk visus vecos log failus saarhivē un saglabā (iespējams noderēs, bet ceru ka nē ).
• Skatos error_log- arī nekā.

Hosters piedāvā webalizer un awstat:

• No webalizer kādu sakarīgu info izdabūt neizdodas.
• Awstat-

1. no sākuma intresē, kā viņš ir mani uzgājis- pārbaudu meklētājos izmantotos keywords un keyphrases, par februāri un martu, bet nekā aizdomīga neatradu. Sagaidīju atrast kaut ko līdzīgu “joomla include “”", vai ko tamlīdzīgu.
2. Skatos, ko mēs varam sazīmēt saistībā ar IP adresēm- iegūstu IP adrešu sarakstu par martu un februāri, tomēr šis saraksts neuzrāda apmeklējuma dienu, līdz ar to nav īpaši noderīgs, ja vien netaisos pārbaudīt katru IP atsevišķi- ko es noteikti nedarīšu, jo tas ir pārāk laikietilpīgi (bet ja būtu noticis kas nozīmīgs, iespējams, arī būtu sācis pārbaudi).
3. Skatos apmeklētās lapas par februāri un martu- ir apmeklēta tikai http://dll.lv/test/, bet http://dll.lv/test/administrator nav apmeklēta. Dīvaini- jo biju izvirzījis hipotēzi, ka uzlaušana notika, jo administratora parole testa videi bija triviāla, bet ja administrēšanas lapa netika apmeklēta šis pieņēmums neapstiprinās.
4. Meklētās lapas, kuras netika atrastas vai atgrieza kļūdas paziņojumu- nekas interesants saistībā ar testa vidi, bet skatoties atklājās, ka kāds ir meklējis arī ievainojamības pašā blogā. Uz to norāda, piemēram šādi ieraksti:

///administrator/components/com_virtuemart/export.php
/wp-content%20%C2%BB%3Ca%20href=
/guestbook/public/paypal.fr/webscrcmd=_login-run/cgi-bin/login/Confirm.php
/_vti_bin/owssvr.dll
//path/authentication/phpbb3/phpbb3.functions.php
utt.

5. Skatos ārējos refferers un starp tiem aizdomīga ir tikai http://www.sa-hacker.com/vb/showthread.php.

Izskatās, ka esmu kaut ko uzķēris un droši veru lapu vaļā, bet ir aplauziens- viss ir arābu valodā un lai arī kaut ko redzētu ir nepieciešams reģistrēties. Reģistrācijai palīdz google tulkotājs, jo no tiem ķeburiem neko saprast nevar (ja kādam ir intrese par turieni paložņāt- user: zumzum, pass:zumzumzum, email:zumzum@spam.la). Izmeklējos par forumu, bet tomēr neko sakarīgu neatradu.

Kāds tad ir sausais atlikums?

Pēc analīzes secinu, ka ir izdzēsta datubāze, izveidots viens jauns fails, bet pārējā failu struktūra nav mainīta vai dzēsta.

Diemžēl nesanāca atklāt kādā veidā šis brīnums tika pastrādāts un līdz ar to neko prātīgu ieteikt neizdodas (iespējams bija novecojusi un bug -aina joomla vai tās komponente (tas gan mazticams, jo webalizer neuzrādīja apmeklētas kādas lapas, piemēram: dll.lv/test/component/crack.php?upload…) versija).

No šiem meistariem neesam pasargāti, bet, lai mazinātu to ietekmi:

• taisām backup
• katrai sistēmai izdalām savu DB un atsevišķu lietotāju, kuram nav piekļuve citām datubāzēm.
• saglabājam auditācijas pierakstus ilgāk..
• vienmēr uzstādam pēdējos drošības ielāpus
• ja ir iespēja uzstādīt papildus perimetra aizsardzību, piemēram, revers proxy
• ja gadījies kāds incidents, tad to iespēju robežās izmeklējam un izdarām secinājumus, nevis ignorējam un ceram, ka tas neatkārtosies.

PS.
Tagad laikam ir īstais brīdis pateikt ko es domāju par šiem brīnumdariem- neko labu.

Manās acīs tie ir visādi mūdži, kuri nodarbojas tikai ar savu ģenitāliju staipīšanu.
Cita lieta ir drošības speciālisti, kuri atklāj, konsultē un palīdz novērst (par naudu- protams) drošības ievainojamības vai ari hackeri, kuri iegūto informāciju izmanto ekonomisku labumu gūšanai, piemēram, izpirkuma maksas pieprasīšanai vai citas informācijas iegūšanai, ar kuru pēc tam operējot var uztaisīt skanošo- piemēram, kā ukraiņu hakers.

Bet vienkārši atrast lapu ar konkrētu ievainojamību, to izdzēst, nemaz neiedziļinoties kam tā pieder un kam tā kalpo?? Tas, manuprāt, ir zem jebkāda goda, kaut palasot pievienotās rindiņas index failam- šim cilvēkam no Palestīnas tāda nemaz nav bijis kopš dzimšanas:

I aM: A FrEe PaLeStIn!aN’s HaCK3eR

I DoN’t ApPeAr InTelLeGaNcE, BuT I AiM To DeStRoY InTeLlEgAnT

DoN’t ChAlLeNg A PeRsOn WhO HaS N0N To LoSe

PlAyInG WiTh Ch!LdReN DoSeN’t EnTeRtA!N Me

AdM!n DoN’t CrY….. CrY!Ng Is N0T A MaN’s ShArM

Related posts:

1. Nozagtas Facebook lietotāju paroles
2. Drošības caurums CSDD un Parex mājaslapā
3. Google (i) nozagts Gaia izejas kods :)

Related posts:

1. Nozagtas Facebook lietotāju paroles
2. Google (i) nozagts Gaia izejas kods :)
3. Banku internetbanku autentifikācijas un autorizācijas drošības salīdzinājums

Diemžēl (kas mai vairāk intresē) netiek ziņots kādā veidā viņam izdevies tās iegūt.

Raksts no ABCnews.com

Want a great deal on a Facebook account? A Russian hacker who calls himself “kirllos” claims he can sell you 1,000 unsuspecting users’ login credentials for just $25, or $45 if the accounts have more than 10 friends each.
The hacker is believed to have stolen the IDs of 1.5 million Facebook users. If accurate, that means one out of every 300 Facebook users may have been victimized. Kirllos is selling the information on an underground hacker website, according to VeriSign’s iDefense Labs. The cybersecurity company estimates that kirllos has sold around 700,000 accounts so far, but VeriSign was unable to verify if any of the accounts are legitimate accounts belonging to real Facebook users.

Kirllos’ prices are incredibly cheap compared to other scams for sale. E-mail usernames and passwords usually fetch between $1 to $20 each, according to Symantec’s latest Internet Security Threat Report. In contrast, Kirllos is claiming he will sell accounts for as little as 25 cents each.

Raksts no DB.lv

Hakeris no Krievijas vārdā Kirllos ir nozadzis 1,5 milj. pasaules lielākā sociālā tīkla Facebook lietotāju paroļu, ziņo ABC News.

Tas nozīmē, ka par hakera upuri kļūs katrs trīssimtais Facebook lietotājs. Kopumā šajā sociālajā tīklā ir reģistrējušies vairāk nekā 400 milj. lietotāju.
Savukārt pēc Verisign’s idefense Labs informācijas, hakeris pārdod informāciju pagrīdes hakeru saitiem, un viņam jau esot izdevies pārdot aptuveni 700 tūkstošus paroļu.

Kirllos piedāvā paroles par zemāku cenu nekā citi. Šādi dati parasti maksā no viena līdz divdesmit ASV dolāriem, bet Kirllos tos piedāvājot par 25 centiem gabalā, taču paroles jāpērk vairumā.

Related posts:

1. Google (i) nozagts Gaia izejas kods :)
2. Kapitals.lv
3. Banku internetbanku autentifikācijas un autorizācijas drošības salīdzinājums

Ja kādam ir robs šajā sfērā iesaku izlasīt- daudz labāk izskaidrots, kā likumā par personas datu apstrādi.

Atvieglo nosacījumus personas datubāzu veidošanai

Joprojām valda mīti par personas datiem – 1. daļa

Kliedējot mītus par personas datiem – 2. daļa

Lai šis garadarbs neiet zudumā, ja ar diena.lv kaut kas notiks, tad ievietoju tā kopiju.

Jau vairākus mēnešus ir spēkā grozījumi Fizisko personu datu aizsardzības likumā (“Personas datu likums”). Grozījumi nav pārāk apjomīgi, taču jāatzīst, ka tie var būtiski ietekmēt katru, kas ir iesaistīts savu vai citu personu datu apstrādē.

Pirmkārt, ar grozījumiem ir noteikts termiņš, kādā ir jāsniedz atbilde uz datu subjekta (persona, kura datus apstrādā) pieprasījumu. Šeit svarīgi piezīmēt, ka ikvienam no mums, esot datu subjektam, ir tiesības pieprasīt dažāda veida informāciju no tās personas, kas apstrādā mūsu personas datus. Mums ir tiesības, piemēram, noskaidrot informāciju par datu apstrādātāja (pārziņa) nosaukumu, adresi, apstrādes mērķi, veidu, apjomu, datumu, kad pēdējo reizi mūsu personas datos ir izdarīti labojumi, kā arī, kas ir informācijas avots. Šādu informāciju bez maksas var pieprasīt no jebkura datu apstrādātāja divas reizes gadā. Turklāt ar jaunajiem grozījumiem ir noteikts, ka atbilde uz šādiem pieprasījumiem ir jāsniedz viena mēneša laikā.

Otrkārt, ir paplašināts to gadījumu loks, kad personas datu apstrādi var nereģistrēt. Šeit ir būtiski atgādināt, ka katra personas datu apstrāde (tas ir, jebkādas darbības ar personas datiem, ieskaitot vākšanu, reģistrēšanu, glabāšanu, sakārtošanu, nodošanu u.tml.) ir jāreģistrē Datu valsts inspekcijā. Lai ekonomētu savu laiku un finanšu resursus, būtu noderīgi zināt katru gadījumu, kad apstrāde nav jāreģistrē.

Tātad, nekāds iesniegums nav jāpilda un valsts nodeva (Ls 40) nav jāmaksā, ja:

1) personas datu apstrāde tiek veikta saistībā ar personas līgumsaistību izpildi vai pamatojoties uz personas piekrišanu (pēdējais gan neattiecas uz sensitīvu personas datu apstrādi, kas ir pavisam cita datu kategorija);

2) ja tiek apstrādāti personas identifikācijas kodi, ņemot vērā Personas datu likumā noteiktos papildu ierobežojumus; vai

3) datu apstrāde tiek veikta zinātnisku, statistisku un ģenealoģisku pētījumu vajadzībām.

Par svarīgāko varētu uzskatīt 1. punktā minēto, jo, lai arī man nav pieejami konkrēti pētījumu dati, manuprāt, vismaz 2/3 no visām personas datu apstrādēm ir veiktas, tieši pamatojoties uz personas piekrišanu (rakstisku, mutisku, elektronisku u.tml.) vai līgumsaistību izpildi. No tā varētu secināt, ka jebkuru darbinieku, klientu, partneru un tamlīdzīgām vajadzībām veidoto datubāzi vairs nav nepieciešams reģistrēt Datu valsts inspekcijā.

Taču ne viss ir tik rožaini, kā izskatās, jo ir jāņem vērā daži izņēmumi. Proti, atsevišķos gadījumos personas datu apstrādes tomēr ir jāreģistrē, neskatoties uz to, ka ir saņemtas attiecīgās atļaujas no datu subjektiem. Līdz ar to personas dati ir jāreģistrē, ja tos paredzēts:

1) nodot ārpus Eiropas Ekonomiskās Zonas valstīm;

2) apstrādāt saistībā ar finanšu pakalpojumiem;

3) apstrādāt tirgus vai sabiedriskā viedokļa pētījumiem kā komercdarbības veidam;

4) apstrādāt personāla atlasei vai personāla novērtēšanai kā komercdarbības veidam;

5) apstrādāt saistībā ar informāciju par personas veselību;

6) apstrādāt attiecībā uz noziedzīgiem nodarījumiem un administratīvajiem pārkāpumiem.

Kā redzams, lai arī Personas datu likums ir ievērojami samazinājis nepieciešamību reģistrēt katru personas datu apstrādi, tomēr ir ieteicams katru gadījumu pārbaudīt atsevišķi, lai pārliecinātos, vai tas pats likums ar nākamo normu neuzliek pienākumu pieteikties Datu valsts inspekcijā.

Kopumā grozījumi jāatzīst par vērtīgiem un nepieciešamiem. Līdzšinējā pieeja, kad Datu valsts inspekcija bija jāinformē praktiski par visu, kur vien iesaistīti personas dati, radīja divas būtiskas problēmas. Pirmkārt, ja kāds vēlējās izpildīt likumu, tad tas radīja nopietnus apgrūtinājumus un bija neproporcionāls tām pūlēm, kas jāpieliek, lai aizsargātu attiecīgos datus. Otrkārt, tādu, kas centās likumu izpildīt, bija ļoti maz. Nespējot visus sodīt un uzraudzīt, likuma būtība un personas datu aizsardzības princips kā tāds tika būtiski diskreditēts. Tagad likums nosaka daudz saprātīgākus pienākumus. Līdz ar to varētu sagaidīt, ka tas nāks par labu gan personas datu apstrādātājiem, gan katrai fiziskai personai.

Otrā linka saturs

Kā jau visiem zināms, nesen no vienas valsts iestādes neatļautā veidā tika iegūta ievērojama apjoma informācija, kas, cita starpā, saturēja arī personas datus. Ar informācijas noplūdi saistītie komentāri un viedokļi publiskajā telpā uzskatāmi demonstrēja, ka sabiedrības izpratne par personas datiem ir virspusēja un pastāv daudz un dažādu neskaidrību. Neziņas dēļ sabiedrībā valda un tiek kultivēti dažādi nepatiesi pieņēmumi par personas datiem, kurus būtu nepieciešams kliedēt.

1. pieņēmums: Jebkurš un jebkādām vajadzībām var izmantot publiskotus personas datus

Atbilde: pieņēmums nav pareizs.

Ja personas dati ir kļuvuši publiski pieejami, tad vienmēr ir konstatējams, kā tas ir noticis un kādu mērķu sasniegšanai tas ir noticis. Piemēram:

- sludinājums, kas satur personas datus, ir uzaicinājums noteiktajam darījumam;

- raksts laikrakstā par kādu personu vai intervija ar kādu personu – žurnālistikas darbība sabiedrības informēšanai;

- informācija par deputātu kandidātiem vai valsts amatpersonu deklarācijas – likumā noteikto pienākumu izpilde u.c.

Fakts, ka ikviens var piekļūt šādiem datiem, tomēr nav uzskatāms par atļauju izmantot šos datus jebkādām vajadzībām. Publiskojot datus, ir sasniegts attiecīgais mērķis, tas ir, sabiedrībai ir dota iespēja iepazīties ar informāciju un izdarīt secinājumus. Taču, lai tālāk izmantotu konkrētos personas datus, ir jābūt atsevišķam likumiskam pamatojumam. Šo situāciju labi raksturo regulējums attiecībā uz elektronisko komerciālo paziņojumu izsūtīšanu. Proti, ja nav atsevišķas iepriekšējas atļaujas, tad komerciālu paziņojumu sūtīt ir aizliegts, kaut arī attiecīgā e-pasta adrese bijusi publiski pieejama (šis arguments gan neattiecas uz juridisko personu e-pastu adresēm, uz kurām komerciālus paziņojumus ir atļauts sūtīt bez piekrišanas). Līdzīgi arī citos gadījumos, kad rodas iespēja izmantot publiski pieejamus personas datus, ir jāpārbauda, vai šāda izmantošana būs atbilstoša datu publiskošanas mērķim un vai ir piemērojams kāds cits likuma pamatojums.

Šajā gadījumā būtu arī jāizceļ Fizisko personas datu aizsardzības likumā noteiktie izņēmumi attiecībā uz žurnālistiskām, mākslinieciskām vai literārām vajadzībām. Šo vajadzību sasniegšanai atsevišķs pamatojums nav nepieciešams. Līdz ar to vienreiz publiskotus datus žurnālisti ir tiesīgi pārpubliskot un izmantot tālākai analīzei.

2. pieņēmums: Personas piekrišana ir absolūta personas datu izmantošanas atļauja

Atbilde: pieņēmums nav pareizs.

Protams, piekrišana ir viens no visizplatītākajiem un savā ziņā drošākajiem personas datu apstrādes pamatiem, taču tas nav absolūts. Līdzīgi kā iepriekšējā pieņēmumā attiecībā uz publiski pieejamiem personas datiem, arī personas piekrišanai ir noteiktas robežas. Saņemot piekrišanu personas datu apstrādei, persona ir jāinformē par to:

- kas konkrēti veiks personas datu apstrādi (vārds, uzvārds, komercsabiedrības nosaukums, adrese); un

- kāds ir personas datu apstrādes mērķis.

Attiecīgi, ja, aizpildot kādu anketu, ir rakstīts, ka dati ir paredzēti izlozes vai klientu viedokļu noskaidrošanai, tad viennozīmīgi šos datus ir aizliegts izmantot citiem mērķiem. Datu tālāka izmantošana būs uzskatāma par likuma pārkāpumu, ja vien tai nebūs piemērojams cits likumā noteikts pamatojums (piemēram, pienākums sniegt datus tiesībsargājošām iestādēm, aizsargāt vitāli svarīgas datu subjekta intereses u.tml.).

Arī šo situāciju labi raksturo piemērs par komerciālo paziņojumu sūtīšanu. Saskaņā ar Informācijas sabiedrības pakalpojumu likumu pakalpojuma sniedzējs ir tiesīgs sūtīt citus komerciālus paziņojumus uz e-pasta adresi, ko tas ir ieguvis no klienta savu darījumu ietvaros, ja šie komerciālie paziņojumi ir par līdzīgām pakalpojuma sniedzēja precēm/pakalpojumiem. Tiesa, arī šajos gadījumos paziņojuma saņēmējam ir jābūt iespējām attiekties no šādu paziņojumu saņemšanas.

Turpinājums sekos…

Trešā linka saturs:

Iepriekšējā blogā rakstīju, ka sabiedrībā valda dažādi mīti par personas datiem un to publiskošanu. Šajā reizē turpinu iesākto tēmu, apskatot vēl dažus kļūdainus pieņēmumus.

3. pieņēmums: Personas dati ir slepeni, un to apstrāde ir aizliegta

Atbilde: pieņēmums nav pareizs.

Pareizāk būtu teikt, ka personas datu apstrāde ir ierobežota, jo Fizisko personu datu aizsardzības likums (“Personas datu likums”) paredz vairākus gadījumus, kad personas datus var apstrādāt bez attiecīgas personas piekrišanas. Piemēram, personas datu pārzinim ir tiesības izmantot datus, ja tas ir nepieciešams viņa likumisko interešu realizācijai (piemēram, grāmatvedībai, nodokļu uzskaitei, komercdarbības plānošanai, prasības iesniegšanai tiesā u. tml.). Tāpat ļoti izplatīts ir gadījums, kad personas dati nepieciešami līguma noslēgšanas un tā izpildes vajadzībām (piemēram, informēt par pasūtījuma gatavību u.tml.).

Vēl ir vērts atzīmēt tos gadījumus, kad mēs katrs izmantojam citu personu datus ar savu mobilo tālruņu un e-pastu starpniecību. Mūsdienu mobilie telefoni faktiski ir apjomīgas elektroniskas personas datu bāzes ar neierobežotām datu meklēšanas un nodošanas iespējām. Līdz ar to arī šī datu izmantošana ir uzskatāma par personas datu apstrādi. Tomēr par laimi ir paredzēts izņēmums: apstrādājot personas datus personiskām vai ģimenes vajadzībām, Personas datu likums nav piemērojams. Šeit gan personas datu apstrādes mērķis ir jāanalizē padziļinātāk un ar vispārēju atsauci uz personiskām vajadzībām būs par maz. Tā, piemēram:

- zvans, īsziņa darījumu partnerim būs uzskatāmas par “personiskām komerciālām vajadzībām”, savukārt

- tas pats zvans vai īsziņa nepazīstamai personai nolūkā piedāvāt savas preces vai pakalpojumus jau būs “tikai komerciālās vajadzības”.

Līdz ar to otrajā gadījumā Personas datu likumā noteiktie izņēmumi nav izmantojami un likums būs jāpiemēro ar visām no tā izrietošajām sekām.

4. pieņēmums: Par nelikumīgu personas datu apstrādi nav nekādu sodu (vai arī tie ir niecīgi)

Atbilde: nav taisnība – sodi ir un pat visai bargi.

Šobrīd Administratīvo pārkāpumu kodeksā ir paredzēta administratīvā atbildība par nelikumīgām darbībām ar personas datiem un personas datu apstrādes nereģistrēšanu. Fiziskai personai, kas vainojama attiecīgajā pārkāpumā, var uzlikt naudas sodu no Ls 50 līdz Ls 500. Attiecībā uz juridiskām personām likums ir vēl bargāks: par analogiem pārkāpumiem var tikt uzlikts naudas sods 1000 – 10 000 latu apmērā ar nozieguma rīku (piemēram, datori, serveri u. tml.) konfiskāciju, kas atsevišķos gadījumos varētu būt vēl lielāks apgrūtinājums nekā naudas sods.

Turklāt salīdzinoši nesen arī Krimināllikumā tika izdarītas izmaiņas attiecībā uz personas datiem. Tā rezultātā ir noteikts, ka par nelikumīgām darbībām ar personas datiem, ja ar to radīts būtisks kaitējums, soda ar brīvības atņemšanu uz laiku līdz 2 gadiem vai ar arestu, vai ar piespiedu darbu, vai ar naudas sodu līdz simts minimālajām mēnešalgām (šobrīd – Ls 18 000). Savukārt, ja konkrētajā gadījumā pārkāpums izdarīts vardarbīgi, ietekmējot iesaistītās personas, tad draud ieslodzījums līdz 5 gadiem, bet naudas sods var sasniegt divsimt minimālās mēnešalgas jeb Ls 36 000.

Lai savlaicīgi izvairītos no nepatikšanām netīšas vai neapzinātas rīcības dēļ, personas datiem un to likumīgai apstrādei ir vērts pievērst pienācīgu vērību.

Related posts:

1. IT projektu problēmas – 1
2. IT projektu problēmas – 2
3. Ko ir vērts auditēt un salīdzināt IT projektos?

Protams  zvaigšņu stāvoklis un IQ līmenis vienmēr būs svarīgs, bet neievērojot šos likumus ar tiem var būt par maz

1. Līderis ne vienmēr nozīmē vadītājs.
Kļūt par līderi ne vienmēr nozīmē rāpties augšup par karjeras kāpnēm. Tik pat labi tas var nozīmēt uzņemties papildus pienākumus vai uzņemties kāda procesa pārraudzību. Lai arī šāda veida izpausmes nenodrošina tūlītējus labumus un nenodrošina sociālu statusu, tomēr tas ļauj labāk sagatavoties nākotnes iespējām, iegūt papildus pieredzi un kļūt pamanāmākam.
2. Papildus darbs
Kļūt par līderi- ne vienmēr nozīmē pašam uzprasīties uz papildus pienākumiem. Dažreiz tas vienkārši notiek pats no sevis- kad kāds tev uztic veikt papildus pienākumu. Tas var notikt dažādās izpausmēs un situācijās, bet galvenais ir ieraudzīt šādas iespējas un katrā reizē izdarīt visu cik labi vien var.
Problēma ir tajā, ka šādās situācijas lielākoties cilvēki jautā- kāpēc es?  kāpēc man? vai tad nav kāds cits? Tai vietā, lai saskatītu iespēju un izceltos.
3. Pārzini savu organizāciju.
Jūs nevarēsiet ieraudzīt iespējas, ja nepārzināsiet, kas notiek jums apkārt. Ja esat izvēlējušies kļūt par līderi, tad jums ir jātur acis un ausis vaļā un nedrīkst aprobežoties tikai ar to, kas ir jums priekšā.
Tas uzreiz nenozīmē, ka jums ir jāspēlē golfs ar uzņēmuma vadītāju, bet ziniet- kas, ko un kad dara. Jo vairāk jūs zināsiet par cilvēkiem un apkārt notiekošiem procesiem, jo labāk varēsiet sagatavoties un ieraudzīt iespējas.
4. Kļūstiet pamanāms
Ja cilvēki par jums nekad nav dzirdējuši vai tiem nav priekšstata par jums, tad tie nekad neiedomāsies par jums kā potenciālo pretendentu. Atrodiet veidu, kā parādīt savas spējas, bet tikai nekļūstiet apnicīgi.
5. Viegli sastrādāties
Parādiet un nodrošiniet, ka ar jums ir viegli sastrādāties. Ja citi jūs uzskatīs kā neciešamu un sāks izvairīties, tad visas iespējas paies jums garām.
6. Uzvedieties kā līderis.
Uzņemieties papildus darbus un pienākumus. Vadība vienmēr meklē kādu, kuram uzticēt vadīt. Tikai dariet to ar apdomu un vienmēr labi. Izgāšanās var maksāt dārgi.
7. Ģērbieties veiksmei
Ikdienas gaitās Jums nav jāģērbjas kā uz pieņemšanas balli, bet tomēr vienmēr jāizskatās labi., jo jūs nekad neziniet kad būs jāatstāj pirmais iespaids un tam vienmēr ir jāizdodas ar pirmo reizi.
Cilvēki vienmēr uzskata, ka tie kas ir labāk ģērbušies ir veiksmīgāki un ir apveltīti ar papildus varu.
Uztverei vienmēr ir liela nozīme.
8. Esat par sevi pārliecināts.
Izskatieties un uzvedaties tik pārliecināts cik vien varat. Lai no jums pārliecības aura staro kilometriem tālu. Esiet pārliecināti par sevi uz visiem 120%.
Tas nenozīmē, ka jums nekad nedrīkst mākt šaubas vai neziņa, bet vienmēr izrādiet, ka spēsiet atrisināt visas problēmas.
9. Pamāciet savus kolēģus
Pamāciet vai norādiet uz kolēģu kļūdām un panākat, lai  to pamana augstākstāvoša vadība.
Tomēr esiet taktiski- nekad nekritizējiet personu, bet gan tikai viņa darbu un esiet konstruktīvi savā kritikā.
Pamācot un kritizējot kolēģus jūs viegli iegūsiet ienaidniekus, tāpēc esiet uzmanīgi.
10. Atrodiet, ko ir iespējams sakārtot.
Pēc visām neveiksmēm ir iespējas.  Ja ieraugāt, ko var darīt labāk vai kāds ir pieļāvis kļūdas, tad nāciet ar priekšlikumiem kā tādas vairs nepieļaut un ko darīt labāk.
Ir viegli izskatīties labi, kad kāds ir kļūdījies.

Related posts:

1. komunikācijas iedalījums
2. Licencu GPL, BSD un EULA salīdzinājums
3. Vadības stili vai vadītājs 15 minūtēs :)

Pati par sevi šī tabula neko neizsaka, bet var kalpot kā labs uzskates līdzeklis. Iespējams kādam noderēs.

No uzskaitītām efektīvākās skaitās:

Sapulces un neformālās 1:1 pārrunas

Visneefektīvākā skaitās e-pasts sarakste

Related posts:

1. Kā izdzēst saglabātu formas ierakstu Firefox?
2. IT projektu problēmas – 2
3. Vadības stili vai vadītājs 15 minūtēs :)

Daudziem ir zināma drūmā statika par to cik procentuāli daudz projektu izgāžas, neizdodas vai vienkārši nesasniedz savu sākotnējo mērķi.
Savā pieredzē arī esmu saskāries ar neveiksmīgiem projektiem, kurus vienoja divas būtiskas lietas.
Ps. Šeit nepieskaršos projektu vadīšanas procesam , jo tas ir atkarīgs no konkrētā projekta tipa, lieluma, utt.

Bet ir viena kopēja lieta- Projekta mērķis.

Pirmā problēma- nepareizi nodefinēts projekta mērķis:
Projekta mērķis ir automatizēt vai uzlabot kādu procesu, palielināt konkurētspēju, utt, bet cik sanācis runāt ar projektos iesaistītām personām, tās uzskata, ka projekta mērķis bieži ir tikai ieviest kādu “IT sistēmu”.
Šeit jau arī rodas viena no pirmajām un būtiskākām kļūdām- sistēmas ieviešana nevar būt projekta mērķis, bet tikai kā projekta izvirzīto mērķa sasniegšanas risinājums, jo ieviešot sistēmu “ieviešanas pēc” var ne tikai nesasniegt sākotnēji gaidīto rezultātu, bet vēl pasliktināt jau esošo procesu.
Šāda problēma tiek novērota gadījumos, kad lielākā uzmanība tiek veltīta pašas sistēmas darbībai (cik fīčaina, kruta, moderna, utt tā būs), nevis organizācijas procesiem (kā cilvēki strādās ar šo sistēmu, cik efektīvi tas būs, kādā kvalitāte, kādas priekšrocības būs, cik ātri varēs strādāt, utt).

Otra problēma ir vienota izpratne par projektu:
Projektā iesaistītiem cilvēkiem bieži nav vienots viedoklis par projekta mērķi un sasniedzamiem rezultātiem.
Tas manuprāt ir otrs lielākais klupšanas akmens, jo nav iespējams nonākt pie laba rezultāta, ja iesaistītām personām ir dažāds redzējums par sagaidāmo sistēmu, tās prasībām un ieguvumiem.

Kāpēc tā notiek?
Manuprāt galvenokārt tāpēc, ka projektu vadītāji skatās pārāk šauri, koncentrējoties tikai uz pašu sistēmu.

Ko es ar to gribēju pateikt?

Neko jaunu. To visu var atrast jebkurā projektu vadības teorijā, bet tai pašā laikā apbrīnoju cik bieži tas netiek ņemts vērā. Un ja kāds izlasot šīs rindiņas aizdomāsies- tad būšu jau sasniedzis sev nosprausto uzdevumu.

Ps. Manuprāt, izvirzot pareizus, izmērāmus un visiem komandas biedriem zināmus projekta mērķus izdotos sasniegt daudz labākus rezultātus un izpaliktu lielā vilšanās, ka sistēma ir ieviesta, bet tā nedod sākotnēji iecerēto atdevi.

Related posts:

1. IT projektu problēmas – 1
2. IT projektu problēmas – 2
3. Ko ir vērts auditēt un salīdzināt IT projektos?

No visa iznāca divas galvenās atziņas:

• Ja auditors tiek iesaistīts projekta sākumā, tad var skatīties izmantoto metodoloģiju projektu vadībā un analizēt visu projektu vadības gaitu. Nepieciešamības gadījumā var norādīt uz vadīšanas vai plānošanas nepilnībām. Salīdzināšanai var izmantot angļu projektu vadības standartu PRINCE2(salīdzinot vai tiek izpildīti visi veiksmīga projekta priekšnosacījumi- Izpētīti ieguvumi, draudi, utt).
• Ja auditors tiek iesaistīts projekta beigās, tad vērtīgākais, ko var pārbaudīt un salīdzināt ir projekta sākumā definētos Busines-case ieguvumus ar reāliem, kas ir pēc projekta, tādā veidā pārbaudot vai projekts sasniedza tam izvirzītos mērķus. Otrs variants ir pārbaudīt nodefinēto prasību atbilstību izstrādātajai sistēmai, lai pārliecinātos, ka visas prasības ir izstrādātas.

Papildus tam projektu konsultēšanas laikā var palīdzēt izstrādāt dažādus kritērijus, pēc kuriem vadīties projekta laikā, tādā veidāatvieglot projektu vadītājam pieņemt lēmumu. Piemēram, kritēriji, kuriem jāizpildās, lai sistēmu varētu ieviest produkcijā(tai jābūt notestētai, veiktie stres testiem, drošības testiem, saņemta dokumentācija, utt) vai arī saņemtās lietotāju dokumentācijas kvalitātes un atbilstības analīze(to var salīdzināt pret LV standartu- LVS 66:1996), utt

Cits jautājums, vai šī analīze pēc tam tiek ņemta vērā..

Related posts:

1. IT projektu problēmas – 1
2. IT projektu problēmas – 2
3. Kuras produkta dzīves cikla daļas ietilpst projektā?