Registrų centras, "Sodra" ir VMI dėl pastebėtos duomenų saugumo spragos uždraudė bet kokį prisijungimą per Elektroninės valdžios vartų portalą prie visų teikiamų elektroninių paslaugų.

Registrų centras pranešė, kad šis sprendimas priimtas po konsultacijų su "Sodros", Valstybinės mokesčių inspekcijos ir Policijos departamento informacinių technologijų padalinių vadovais.

Tik sužinojus apie egzistuojančias „Elektroninių valdžios vartų“ sistemos saugumo spragas, buvo išjungtos visos „Sodros“ sąsajos su šia sistema. Todėl šiuo metu prie EGAS ir EDAS saugiai galima prisijungti tik iš „Sodros“ interneto svetainės.

"Prie „Sodros“ paslaugų per „Elektrinius valdžios vartus“ vėl bus galima prisijungti tik tuomet, kai bus ištaisytos minėtos spragos. Kol žmonių asmens duomenų saugumui kyla grėsmė, tol EGAS ir EDAS paslaugos bus prieinamos tik per „Sodros“ interneto svetainę", - teigiama "Sodros" išplatintame pranešime.

Prisijungimą uždraudė ir Valstybinė mokesčių inspekcija (VMI). Policijos departamentas tokių priemonių nesiėmė. 

Draudimų imtasi po to,  kai elektroninių valdžios vartų projektą už 6 mln. litų užsakęs Informacinės visuomenės plėtros komitetas pripažino, kad jame egzistuoja saugumo spraga.

Portalas delfi.lt rašo, kad į elektroninę erdvę besikeliančios duomenų sistemos ir jose esantys duomenys gali tapti lengvu piktavalių grobiu.

Per Elektroninius valdžios vartus gyventojai gali deklaruoti gyvenamąją vietą, pajamas ir turtą, gauti duomenų suvestines iš "Sodros" bei pateikti prašymus pašalpoms, išmokoms, pensijomis ir kompensacijoms.

"Teoriškai žmogus per portalą turėtų galėti prisijungti tik prie savo duomenų. Tačiau praktiškai gali prisijungti prie bet kurio žmogaus - tereikia žinoti to žmogaus asmens kodą", - teigė informacinio saugumo užtikrinimo paslaugas teikiančios bendrovės "Critical Security" direktorius Miroslavas Lučinskis.

Pasak M. Lučinskio, siūloma paslauga pritaikyta elektroninių tapatybės kortelių sistemai - jungdamasis turėtum patvirtinti tapatybę nuskaitydamas savo asmens tapatybės kortelėje esančius skaitmeninius sertifikatus, kurie, suvedant asmens tapatybės kortelės PIN kodą, būtų pasirašyti privačiu raktu.

"Tačiau realybėje sistema blogai realizuota - pakeitus tam tikrus duomenis serveriui siunčiamame autentifikacijos pakete, su savo asmens tapatybės kortele gali prieiti prie bet kurio žmogaus duomenų ar jo vardu naudotis elektroninėmis paslaugomis", - aiškino M. Lučinskis.

Kita reikšminga spraga specialistas laiko tai, kad vartotojo identifikavimui naudojamas vadinamasis viešas skaitmeninis sertifikatas, kurio nuskaitymui iš kortelės nereikia žinoti jos PIN kodo.

"Tai reiškia, kad trumpam pasiskolinus kortelę ir nuskaičius iš jos skaitmeninį sertifikatą, prie elektroninių paslaugų galima jungtis to žmogaus, kuriam priklauso dokumentas, vardu. Taip faktiškai pasisavinama jo tapatybė, taigi jeigu pirma spraga būtų ištaisyta, tai trumpam pasisavinus kortelę galima jungtis į jos savininko paskyrą", - sakė jis.

Informacinės visuomenės plėtros komitetas žada, kad saugumo spraga bus greitai pašalinta.

"Komitetas mano, kad sukurta sistema saugi", - teigė komiteto Tarpžinybinių duomenų valdymo skyriaus vedėjas, projekto vadovas Algirdas Trakimavičius.

Tačiau, pasak A. Trakimavičiaus, norint pasinaudoti šia spraga būtina aukšta kompetencija sistemų saugos srityje, o įprastiniams interneto naudotojams pasinaudoti tokia spraga esą nebūtų įmanoma.