50–60 mln. eurų, kad jos visos būtų tvarkingai paruoštos pagal šios dienos standartus“, – interviu dar prieš atsistatydinimą teigė RC vadovas.
„Apie reikalingus finansus per paskutinius kelerius metus esame apsukę ratą su įvairių ministerijų atstovais, su Vyriausybės atstovais. Deja, esminių pokyčių, sprendimų neįvyko, iššūkiai išliko“, – pridūrė jis.
Generalinė prokuratūra praėjusį penktadienį pranešė tirianti galimus neteisėtus prisijungimus prie RC valdomų duomenų registrų ir daugiau nei 600 tūkst. įrašų nutekinimą.
Teisėsaugos teigimu, prisijungimai vykdyti iš užsienio valstybės ir per kitų institucijų administruojamas sistemas. Prokuratūra pranešime neįvardijo nei šalies, nei institucijų. To atskleisti negalėjo ir A. Jusas.
Jo teigimu, nutekėjus duomenims buvo atskleista nekilnojamojo turto (NT) registro išrašų informacija, įskaitant žmonių asmens kodus. Vis dėlto, anot jo, jokia informacija apie asmenų kontaktinius duomenis (pavyzdžiui, telefonų numeriai ar e. pašto adresai), mokėjimus už centro paslaugas, banko sąskaitų numeriai, taip pat informacija apie dokumentus (NT perleidimo sandoriai, teismų sprendimai) nebuvo atskleista.
– Apie tai, kad iš RC nutekinta šimtai tūkstančių duomenų, prieš kelias dienas pranešė prokuratūra. Ar galite papasakoti, kas nutiko?
– Pirmiausia norėtųsi atsiprašyti visų piliečių, kurių duomenis pasisavino piktavaliai. Mes operatyviai užkardėme buvusias spragas, pranešėme institucijoms, įdiegėme naujas kontrolės priemones ir tikrai esame pasiruošę komunikuoti su visais nukentėjusiaisiais, jiems teikiant visą reikiamą informaciją.
RC yra vienas iš pagrindinių valstybės duomenų teikėjų. Turime tam tikrų specifinių duomenų teikimo sprendimų, skirtų kitoms valstybės institucijoms, įstaigoms. Tarp jų ir žurnalistai naudojasi tais pačiais sprendimais.
Prie tų sprendimų prieigas turi daugiau kaip 20 tūkst. vartotojų iš įvairių įstaigų, institucijų. Jiems suteikiami vartotojų vardai, slaptažodžiai, pasirašomos sutartys. Yra reikalavimai slaptažodžiams, kas tris mėnesius jie keičiami, vadinasi, tam tikrų saugumo priemonių yra.
Mums tapo žinoma, kad vienos iš institucijų kelios darbuotojų paskyros galimai buvo kompromituotos ir naudojantis jomis buvo paimtas gana nemažai, apie 600 tūkst., registrų įrašų. Didžiąja dalimi tai yra NT registro išrašai, nes tie darbuotojai turėjo teisę tokią informaciją matyti.
Noriu pabrėžti, kad į pačias RC sistemas nebuvo įsilaužta. [...] Kontrolė, kuri yra, veikia, tačiau šiuo atveju vienos iš trečiųjų institucijų paskyros buvo kompromituotos ir tie duomenys buvo paimti.
– Ar žinote tikslų skaičių, kiek duomenų nutekinta? Ar tai yra 600 tūkst. įrašų?
– Turime gana tikslų skaičių, bet tai yra toks skaičius (apie 600 tūkst.). Yra šiek tiek Juridinių asmenų registro išrašų [...]. Mes skaičiuojame, kad jeigu bendrai NT registre yra apie 7 mln. įrašų, šiuo atveju kalbame apie 600 tūkst. – netoli 10 proc. registro imties buvo paimta.
– Kokie duomenys buvo pasisavinti?
– Matyt, daugelis turi namie NT išrašą, tai yra grynai toks pat išrašas, kuriuo dauguma operuoja. Ten yra vardas, pavardė, asmens kodas, įvardytas NT, tam tikri jo parametrai, nuosavybės teisė. Tai yra tokio pobūdžio dokumento informacija. Diegiame įrankį, kuriame visi galės pamatyti, kokio pobūdžio duomenys buvo paimti, ir pasitikrinti, įsivertinti.
– Paminėjote asmens kodus. Ar nutekėjo kontaktiniai duomenys?
– Ne, jokių kontaktinių duomenų, mokėjimo duomenų, finansinių duomenų išrašuose nėra. Visas duomenų rinkinys iš esmės labiau yra apie NT objektą, tačiau yra vardas, pavardė, asmens kodas.
– Prokuratūra skelbia, kad pagrindinis taikinys buvo NT ir Juridinių asmenų registrų duomenys. Ar galite proporcijas įvardyti skaičiais, kiek paveikta vienas, o kiek – kitas registras?
– Iki galo negaliu, nes dar vyksta ikiteisminis tyrimas. Nelabai galiu operuoti skaičiais, kurie nebuvo įvardyti prokuratūros pranešime. Toks ekspertiškai [vertinimas] – 99 proc. daugiau yra NT registro išrašų.
Visas sektorius turi tvarkytis ir stiprinti savo kibernetinį atsparumą, nes kai visos institucijos tarpusavyje labai susipynusios, iš vienos institucijos, matyt, niekada negalėsi užtikrinti 100 proc. kontrolės.
– Kuo šie duomenys nusikaltėliams gali būti svarbūs? Kam jie gali būti panaudoti?
– Sunku pasakyti, mes negalime įvertinti, policija atlieka ikiteisminį tyrimą, kuruoja prokuratūra, galbūt jiems pavyks geriau įvertinti kėslus ar galimybes. Galbūt nutiko taip, kad tiesiog pagal tai, ką tie darbuotojai galėjo pamatyti, tokie duomenys ir buvo paimti.
– Kaip manote, ar buvo siekiama kriminalinių-komercinių tikslų, ar yra kokių nors politinių tikslų?
– Žinokite, neturiu informacijos, neturiu nuomonės. Mes apskritai stengiamės nežiūrėti, neanalizuoti tos duomenų aibės, ją perduoti teisėsaugai, kad jau jie įvertintų visus galimus aspektus.
– Kodėl žmonės, kurių duomenys buvo paveikti, nebuvo iš karto informuoti? Jūs sakote, kad tarp tų duomenų yra asmens kodas – tai jautrūs asmens duomenys, apie tokius nutekinimus jie turėtų tarsi iš karto sužinoti.
– Aš tik galiu pasakyti iš RC pusės: mes nedelsdami, vos paaiškėjus šiems faktams, iš karto kreipėmės į visas reikiamas institucijas ir informavome apie situaciją. Tačiau toliau visas planas, komunikacijos sprendimai buvo jau labiau koordinuojama ikiteisminio tyrimo pareigūnų ir kitų institucijų.
– Bandau suprasti, kodėl iš karto nebuvo komunikacijos apie tai, kad RC patyrė įsilaužimą, nebuvo iš karto įvardijama, kokio pobūdžio maždaug duomenys galėjo būti paveikti, nepasakoma, kad kreiptasi į teisėsaugą. Na, ir toliau tuomet viskas, kaip buvo iki šiol.
– Buvo operatyvus kreipimasis į institucijas apskritai įvertinti situaciją, nes, kaip minėjau, nebuvo taip, kad ta viena institucija pamatė, kad pas ją įsilaužta. Kalbame apie tai, kad buvo kitų institucijų, susijusių tarpusavyje, tad buvo apskritai kreiptasi į teisėsaugą, kad jie padėtų nustatyti aplinkybes, kas tiksliai įvyko. Nuo to laiko visą tolesnį kuravimą – ir informacinį – jau perėmė teisėsauga.
– Minėjote, kad gyventojai dar tik bus informuojami apie tai, ar ir kokie jų duomenys buvo paveikti. Kada apie tai jiems bus pranešta?
– Šiąnakt [iš sekmadienio į pirmadienį] planuojama į RC savitarnos puslapį įdiegti priemonę ir galimybę kiekvienam prisijungusiam pasitikrinti asmeniškai, ar jo duomenys, NT išrašas, pateko pas piktavalius. Taip pat planuojame galimybę atvykus gyvai į RC padalinius, su asmens tapatybės dokumentu identifikavus save, gauti tą informaciją […].
– Į tyrimą įtraukta Ekonomikos ir inovacijų ministerija, bet tai yra normalu, nes RC yra jai pavaldus. Teisingumo ministerija taip pat įtraukta, nes ji – registrų valdytoja. Kyla natūralus klausimas: kodėl į tyrimą yra įtraukta Vidaus reikalų ministerija? Tai tarsi suponuotų, kad būtent jos institucijos galėjo būti tos, per kurios sistemas buvo patekta prie registrų.
– Manau, kad tikrai prokuratūra turėtų atsakyti jums, kai tik galės, kokia ta informacinė grandinėlė galėjo būti.
– Ar Jūs pats suprantate, kaip prisijungimo duomenys, turiu omenyje, žmonių prisijungimo duomenys, galėjo patekti į įsilaužėlių rankas?
– Sunku pasakyti, matyt, turėtų tyrimas tuos dalykus įvertinti.
Kalbant apie sistemas, tie registrai, sistemos, jie yra dešimties, keliolikos metų senumo, ir tam tikrų kibernetinių rizikų yra gana nemažai. Mes jas esame įvertinę, turime trūkumų šalinimo planą, ką norėtume įdiegti idealiu atveju. Lenktynės su piktavaliais vyksta nuolat, kaip sakau: kažkas pirmi, kažkas antri.
Pastaruosius kelerius metus daug dėmesio skyrėme investavimui tiesiogiai, kad nebūtų galimybės prisijungti tiesiogiai prie registrų, prie sistemų. Trečiųjų šalių rizikas buvome įvertinę, buvome įvardiję, tačiau dėl ribotų finansinių resursų labai dėliojome prioritetus, ką sutvarkyti pirmiau, ką sutvarkyti paskui.
Papildomas stipresnes kontrolės priemones dėl trečiųjų šalių – netgi jeigu kas nors blogo įvyko kitoje institucijoje, kad mes galėtume sužinoti, pamatyti, užkardyti – irgi buvome numatę, tačiau šiuo atveju mus šiek tiek aplenkė piktavaliai. Praėjusių metų pabaigoje pradėjome diegti vieną įrankį, kuris leistų stebėti individualaus naudotojo srauto ėmimą ir pastebėti anomalijas. Turėjome jį paleisti šių metų birželį. Deja, na, prototipinę pirminę versiją paleidome greičiau ir dabar jau tą matome, stebime, gauname signalus, jeigu kažkas atrodo truputėlį ne taip.
Tikimės įdiegti dar vieną papildomą kontrolės įrankį, kuris galbūt nebus labai patogus, tačiau prie sistemų bus galima prisijungti tik autentifikavus e. parašu, e. tapatybe.
Stipriname, didiname kontrolę, bet, mūsų nuomone, [...] visas sektorius turi tvarkytis ir stiprinti savo kibernetinį atsparumą, nes kai visos institucijos tarpusavyje labai susipynusios, iš vienos institucijos, matyt, niekada negalėsi užtikrinti 100 proc. kontrolės.
– Jūs minite vartotojo veiksmų sekimą, siekiant užtikrinti saugumą. Patikslinkite, prašau, ar ši priemonė buvo įdiegta po incidento, ar prieš incidentą ir būtent tai leido pamatyti neteisėtą veiklą?
– Mes turėjome tam tikrų stebėsenos priemonių, bet jos buvo labiau agreguotos institucijos, sutarties lygmenyje ir tos priemonės nebuvo pakankamos. Individualaus vartotojo priemonę įdiegėme iš karto po incidento. Ji buvo kuriama, be kelių minučių paruošta naudoti, tiesiog paspartinome žingsnius ir tokią prototipinę versiją įdiegėme ir dabar jau tą stebime, matome. Dabar tokius dalykus turėtume pamatyti labai operatyviai.
– Kiek apskritai įmonė investuoja į duomenų saugumo užtikrinimą per metus?
– Bendra investicijų suma į informacines technologijas (IT) siekia netoli 10 mln. eurų per metus. Į saugumo technologijas, galima sakyti, [investuojama] keli milijonai eurų. Tačiau problema ta, kad saugumas labai glaudžiai susijęs su bendra sistemos technologine būkle. Mes vadiname tai technologine skola. Vadinasi, jeigu sistema kurta seniai, jos operacinės sistemos senos, jos programinė įranga sena, čia kaip, nežinau, seni „Windows“ ar pan., tai jie tiesiog išimami iš apyvartos, nes neatitinka saugumo reikalavimų. Mes turime tą patį. Yra daug tokių saugumo rizikų, kur nuolat diegi, bandai atnaujinti sistemas, jų technologiją, privesti jas iki to, kad ta skola būtų mažesnė, rizikos mažesnės. Atitinkamai [tuomet eina] visos kitos priemonės. [...]
Dėl [prastos] sistemų būklės, mūsų vertinimu, reikia bendrai apie 50–60 mln. eurų, kad jos visos būtų tvarkingai paruoštos pagal šios dienos standartus. Dėl sistemų būklės, dėl reikalingų finansų per paskutinius kelerius metus esame apsukę ratą su įvairių ministerijų atstovais, su Vyriausybės atstovais. Deja, esminių pokyčių, sprendimų neįvyko, iššūkiai išliko. Manau, kad ne tik pas mus, visame sektoriuje yra ta pati situacija.
– Per kurį laiką jums reikėtų 50 mln. eurų?
– Mes vertinome labai optimistiniais terminais, tai galėtų galbūt būti apie trejų metų laikotarpis. Tačiau tai yra gana optimistinis požiūris, nes kai kalbame apie dešimties metų laikotarpį tam tikro neinvestavimo, pasivyti labai sunku. […]
– Tačiau turbūt šio įsilaužimo specifika yra šiek tiek kitokia. Kad ir kokia saugi sistema būtų, jeigu tu gali turėdamas prisijungimo duomenis prisijungti, ji turbūt neapsaugos tavęs.
– Taip. Šiuo metu jaučiamės tvirtesni, kad, įdiegus autentifikavimo priemonę, ji jau leistų truputėlį labiau apsaugoti vartotojo paskyrą. Net jeigu ji būtų nulaužta, tikimės, kad [tuomet suveiktų] srauto stebėsena. Šie du dalykai turėtų iš esmės padėti bent jau kuriam laikui šiek tiek susitvarkyti ir apsisaugoti. Žinoma, kaip minėjau, labai svarbu, kad visas sektorius tinkamai investuotų į savo kibernetinį saugumą, nes rizika visada išliks.
– Ar tai, ką sakote, reiškia, kad jeigu institucijoje, iš kurios buvo prisijungta prie RC, būtų aukštesnis saugumo lygis, būtų buvę galima išvengti šitos situacijos?
– Matyt, tą tyrimas turėtų atsakyti, bet taip, bendrais principais kalbant, mūsų nuomone, taip.
– Mes nežinome, kaip tai įvyko, o Jūs negalite dėl ikiteisminio tyrimo medžiagos to atskleisti, bet yra kitas variantas: prisijungimo duomenys galėjo būti saugomi kokiame nors asmeniniame įrenginyje, todėl galbūt saugumas institucijos lygiu bet kokiu atveju nebūtų padėjęs. Ar tai yra tiek RC, tiek kitų institucijų darbuotojų edukacijos klausimas?
– Yra visas kompleksas galimų priemonių. Tai yra ir darbuotojų mokymas, atsparumas įvairioms fišingo atakoms, kad neatiduotų savo asmeninių duomenų. Kartu yra ir darbo vietų valdymo tam tikri standartai: ir tam tikri VPN tinklai, ir gal tam tikra kontrolė. Matyt, tų priemonių yra labai įvairių ir jeigu visų jų laikytumėmės, būtų šiek tiek paprasčiau. Tačiau, kaip rodo visa pasaulio praktika, piktavaliai nesnaudžia, jie randa irgi tam tikrų sričių. Nesame kuo nors, matyt, išskirtiniai pasauliniu lygiu.
– Po šios situacijos vėl imta diskutuoti apie NT, juridinių asmenų registrų atvirumą. Kaip pavyzdys įvardijama Estija, kur ši informacija skelbiama atviriau. Ar Jūs čia matytumėte poreikį ką nors keisti?
– Reikėtų politinio apsisprendimo. Turėjome prieš kelerius metus labai suaktyvėjusią diskusiją apie atvirus duomenis ir tikrai buvome vieni iš pirmūnų, gana daug savo atvirų duomenų paskelbėme ir vis dar skelbiame.
Tikrai yra šalių Europoje (Estija, Švedija), kur didžioji dalis tokio pobūdžio informacijos yra vieša, nes laikoma, kad tai sukuria daugiau bendros visuomeninės, ekonominės naudos. Tačiau tai politiniai sprendimai, matyt, [reikia] apsispręsti, kaip mes, kaip valstybė, norėtume [elgtis]. Yra tam tikrų saugumo aspektų gyvenant tokių šalių kaimynystėje. Iš tikrųjų, politiniai sprendimai sudėtingi, matyt, tarp ekonominių ir saugumo motyvų.
– Jūs pats matytumėte poreikį siekti didesnio atvirumo?
– Tam tikrų užsienio valstybių praktikoje matau, kad didesnis atvirumas labai stipriai sumažina administracinę naštą, biurokratiją ir leidžia, atrodo, geriau vystytis ekonomikai, kurtis startuoliams, verslams […]. Nauda tikrai yra gana didelė, bet tai mano asmeninė nuomonė.
Naujausi komentarai