Už duomenų apsaugą atsakinga inspekcija siūlo labai nepergyventi.
„Juk NT niekas iš jūsų nepavogė – kaip buvo, taip ir liko, jūs turite kur grįžti namo. Tai tiesiog Klondaikas sukčiams“, – teigė Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotoja Danguolė Morkūnienė.
Oficialiai patvirtinta, kad duomenys buvo nutekinti per Migracijos departamento paskyras.
„Žiniasklaidoje pasirodžiusi informacija apie Migracijos departamentą yra teisinga“, – patvirtino Lietuvos kriminalinės policijos biuro viršininkas Arūnas Maskoliūnas.
Nusikaltėliams nereikėjo niekur laužtis – jie gavo Migracijos departamento slaptažodžius ir nuo sausio iki balandžio siurbė duomenis iš Registrų centro.
O Registrų centras keturis mėnesius ignoravo faktą, kad Migracijos departamentas naktimis siunčiasi šimtus tūkstančių pažymų, nors anksčiau to niekada nedarydavo.
„Registrų centrui turėjo kilti klausimas, kas ir kodėl vyksta“, – sakė krašto apsaugos ministras Robertas Kaunas.
Migracijos departamentas į klausimus neatsako. Tik nurodė, kad dėl prarastų slaptažodžių nėra nušalintų darbuotojų.
Sutapimas ar ne, tačiau naujoji Migracijos departamento vadovė pareigas pradėjo eiti būtent sausį, kai ir prasidėjo duomenų vagystė.
„Kalbėti, kad vadovė turėtų prisiimti atsakomybę, kol kas yra per anksti“, – teigė vidaus reikalų ministras Vladislav Kondratovič.
Prezidentūra sako, kad valstybė duomenis saugo nepateisinamai prastai.
„Blogai vertiname šią situaciją. Tai rodo, kad taikytos saugumo priemonės buvo visiškai neefektyvios, o geopolitinės rizikos – neįvertintos“, – teigė prezidento patarėjas Andrius Varnelis.
Policija ir Valstybės saugumo departamentas kol kas negali patvirtinti, kad už duomenų vagystės stovi Rusijos žvalgyba, kaip viešai kalba konservatorių lyderis Laurynas Kasčiūnas.
„Tyrimas atliekamas visais vektoriais. Siekiama nustatyti, kas įvykdė šį kibernetinį nusikaltimą ir kaip jis buvo padarytas“, – teigė A. Maskoliūnas.
Ekspertai primena, kad tokius duomenis vagia ir tarptautiniai sukčiai.
„Negalėčiau teigti konkrečiai šiuo atveju, tačiau Kinija, Rusija ir Šiaurės Korėja yra pagrindiniai veikėjai kibernetinėje erdvėje, siekiantys rinkti informaciją“, – sakė Valstybės saugumo departamento direktorius Remigijus Bridikis.
Pirmadienį, spaudžiamas premjerės, atsistatydino Registrų centro vadovas.
Krašto apsaugos ministrui šypseną kelia laikinojo Registrų centro vadovo pareiškimai apie planus stiprinti duomenų apsaugą.
„Bus stiprinama duomenų gavėjų autentifikacija, atsiras dviejų faktorių prisijungimas“, – aiškino laikinasis Registrų centro vadovas Giedrius Cininas.
Dviejų faktorių autentifikacija – seniai žinomas apsaugos būdas, kai neužtenka vien slaptažodžio, o prisijungimą reikia papildomai patvirtinti, pavyzdžiui, telefonu. Net elektroninio pašto sistemose tai rekomenduojama jau daugiau nei dešimtmetį. Tačiau strateginėje valstybės įmonėje Registrų centre tokios apsaugos iki šiol nebuvo.
„Jeigu nesugebame įdiegti dvigubos autorizacijos, kuri šiandien jau yra savaime suprantamas dalykas, kyla labai rimtų klausimų“, – sakė R. Kaunas.
Tačiau kritikos sulaukia ir pats krašto apsaugos ministras Robertas Kaunas.
Ministras kalba apie savaime suprantamas saugumo priemones, tačiau paklaustas, ar egzistuoja dokumentas, įpareigojantis tokias institucijas kaip Registrų centras naudoti dviejų faktorių autentifikaciją, aiškaus atsakymo nepateikė.
„Techninės priemonės pasirenkamos kaip saugios ir tinkamos. Pasakyti, kad konkrečiu atveju jos būtinai turėjo būti taikomos, negalėčiau“, – aiškino D. Morkūnienė.
Taigi institucijos pačios sprendžia, kas yra „saugu ir tinkama“, saugant kritinės svarbos duomenis.
Tuo pat metu nuolat kartojama, kad įstaigų vadovai privalo užtikrinti duomenų saugumą.
„Kiekviena organizacija turi pareigą stebėti anomalijas“, – pabrėžė R. Kaunas.
Minimos ir įspūdingos baudos.
„Administracinė bauda juridiniam asmeniui gali siekti iki 60 tūkst. eurų arba iki 1 proc. metinių pajamų“, – aiškino D. Morkūnienė.
Tačiau čia pat pripažįstama, kad nėra didelio noro vienai valstybės įstaigai bausti kitą. O bendras šalies vaizdas – niūrus.
Kibernetinio saugumo centras pernai nustatė, kad net du trečdaliai visų tikrintų įstaigų yra pažeidžiamos.
„Techninei daliai susitvarkyti joms dar suteikti metai“, – teigė Nacionalinio kibernetinio saugumo centro vadovas Antanas Aleknavičius.
Dar vieneri metai trūkumams pašalinti suteikiami nepaisant to, kad apie problemas kalbama jau kelerius metus iš eilės.
Dabar stebimasi, kaip Registrų centras galėjo keturis mėnesius nepastebėti masinės duomenų vagystės.
Tačiau Registrų centras yra finansiškai suinteresuotas, kad Migracijos departamentas ir kitos įstaigos užsakytų kuo daugiau pažymų. Už kiekvieną jų Registrų centras ima mokestį ir išrašo sąskaitas ministerijoms. Ankstesnių Vyriausybių sprendimai lėmė, kad rinkliavos už pažymas tapo vienu pagrindinių Registrų centro pajamų šaltinių.
„Registrų centras iš esmės verčiamas pats užsidirbti pinigus iš mūsų visų kišenės, kad galėtų išlaikyti sistemas. Problema ta, kad nėra strateginio valstybės požiūrio – viskas remiasi į politikų gerą valią“, – sakė „INFOBALT“ kibernetinio saugumo grupės vadovas Giedrius Markevičius.
Vyriausybė jau paskelbė radusi kaltą – atsistatydinti priverstas Registrų centro vadovas.
Tačiau ar šis skandalas taps proga iš esmės keisti valstybės požiūrį į kibernetinį saugumą, kol kas neaišku.
„Ar visos organizacijos moka stebėti tokias grėsmes? Tai ateis su branda, tačiau tai privaloma daryti“, – teigė A. Aleknavičius.
„Visada galima geriau. Tikslas yra daryti. Ar pakankamai daroma? Kai kuriais atvejais – turbūt ne“, – pripažino D. Morkūnienė.
Visas reportažas – LNK vaizdo įraše:
Generalinė prokurorė sako, kad tyrimas pradėtas dar balandžio 15 dieną. Tačiau žmonės apie incidentą nebuvo informuoti kelias savaites, nes tuo metu buvo vykdomi slapti tyrimo veiksmai.
„Reikėjo nustatyti visus asmenis, kas ką padarė ir kur tie duomenys nukeliavo. Manau, kad tyrėjų ir prokurorų pasirinkta taktika yra pateisinama“, – aiškino generalinė prokurorė Nida Grunskienė.
Kol kas slepiama, kiek tiksliai žmonių galėjo nukentėti.
„Tas skaičius yra tyrimo dalis. Jei Registrų centras nuspręs paskelbti – paskelbs“, – teigė A. Aleknavičius.
Generalinė prokuratūra anksčiau skelbė, kad iš Registrų centro galėjo būti neteisėtai nukopijuota daugiau nei 600 tūkst. įrašų.
Internetinėje Registrų centro svetainėje gyventojai nuo pirmadienio vakaro gali pasitikrinti, ar jų asmens duomenys buvo nutekinti.
„Jeigu kažkam pritrūko kantrybės tą padaryti antradienį, kviečiame atvykti kitą dieną ar savaitę, esame pasirengę suteikti visą rūpimą informaciją“, – teigė G. Cininas.
(be temos)
(be temos)
(be temos)