Tai – viena didžiausių baudų, kada nors skirtų Lietuvoje pagal BDAR, ir ji iš esmės kyla iš techniškai paprastos, bet sistemiškai ignoruojamos spragos: nebuvo kelių veiksnių autentifikavimo (MFA).
Kas nutiko ir kodėl skirta bauda
VDAI sprendimas apima du atskirus asmens duomenų saugumo pažeidimus. Pirmasis įvyko 2024 m. rugsėjį, kai trečiasis asmuo, tamsiajame internete radęs UAB „Kardiolita" darbuotojos prisijungimo duomenis, neteisėtai prisijungė prie pacientų informacinės sistemos per išorinį tinklą. Sistemai pakako vien prisijungimo vardo ir slaptažodžio – jokios papildomos apsaugos nebuvo.
Antrasis incidentas įvyko 2025 m. spalį, kai išpirkos reikalaujančios atakos metu trečiasis asmuo prisijungė prie UAB „InMedica“ serverio, naudodamasis privilegijuotą prieigą turinčia administratoriaus paskyra, kuri buvo sukurta dar 2023 m. ir realiai nenaudojama. Buvo užšifruotos keturios bendrovės sistemos su beveik 383 000 pacientų ir 10 000 darbuotojų duomenimis.
Abu atvejai susiję su tais pačiais trūkumais: jungiantis per išorinį tinklą nebuvo taikoma MFA, nebuvo IP adresų filtravimo.
Kas yra MFA?
Kelių veiksnių autentifikavimas (MFA) – tai apsaugos mechanizmas, reikalaujantis ne vieno, o kelių nepriklausomų tapatybės įrodymų prisijungiant prie sistemos. Klasikinis pavyzdys, kurį kiekvienas žino iš kasdienio gyvenimo – el. bankininkystė: pirma įvedi slaptažodį, paskui patvirtini tapatybę per Smart-ID. Net jei kas nors sužino tavo slaptažodį, be telefono į sąskaitą nepateks.
Būtent šis principas ir yra esminis apsaugant sistemas nuo išorinių prisijungimų. Slaptažodžiai nuolat kompromituojami – per sukčiavimo laiškus („phishing“), nutekėjusias duomenų bazes, tamsiajame internete parduodamus prisijungimus. Tai jau ne teorinė grėsmė, o kasdienė realybė. MFA šią riziką gali eliminuoti: pavogtas slaptažodis pats savaime tampa bevertis, nes be antrojo veiksnio – telefono, biometrinių duomenų ar fizinio rakto – sistema tiesiog neleidžia įsibrauti vidun.
MFA – ne prabanga, o būtinumas
Dažniausiai tokiais atvejais, kai nuo įsilaužimo būtų apsaugojęs MFA girdimas argumentas – „mes neturėjome biudžeto“ arba „tokia buvo sektoriaus praktika“. Tačiau VDAI sprendime aiškiai pasakoma, kad šis argumentas neveikia.
Baudos skyrimo metu bendrovė argumentavo, jog 2025 m. atliktos stebėsenos duomenimis tik 11 proc. sveikatos priežiūros įstaigų Lietuvoje naudojo MFA. VDAI į šį argumentą atsakė kategoriška pozicija: kitų rinkos dalyvių neveikimas ar žema sektoriaus branda neatleidžia konkretaus duomenų valdytojo nuo pareigos užtikrinti jo tvarkomų duomenų saugumą, ypač kai tvarkomi sveikatos duomenys, kuriems taikomas aukščiausias apsaugos standartas.
BDAR 32 straipsnis įpareigoja duomenų valdytojus įgyvendinti tinkamas technines ir organizacines priemones, atsižvelgiant į rizikos lygį. Sveikatos duomenys pagal BDAR 9 straipsnį – specialių kategorijų asmens duomenys. Jų tvarkymas reikalauja griežčiausios apsaugos. Tai reiškia, kad klinika, laikanti tūkstančius pacientų medicininių įrašų ir leidžianti darbuotojams jungtis prie sistemų per internetą be MFA, objektyviai pažeidžia BDAR – nesvarbu, ar jos konkurentai daro tą patį.
Registrų centras: panašus scenarijus, tik valstybinis lygmuo
Šio sprendimo kontekste negalima nepaminėti precedento neturinčio Registrų centro incidento, paviešinto 2026 m. gegužę. Nuo sausio iki balandžio, per Migracijos departamento darbuotojų paskyras, neteisėtai buvo „nusiurbta“ daugiau nei 600 000 nekilnojamojo turto registro įrašų, įskaitant gyventojų asmens kodus, adresus ir turto duomenis.
Ekonomikos ir inovacijų ministro Edvino Grikšo žodžiai taikliai nusakė situaciją: jam nesuprantama, kaip tokioje geopolitinėje aplinkoje Registrų centre per 3–4 metus nebuvo įdiegtas net dviejų faktorių autentifikavimas.
Tai stulbinanti paralelė su UAB „InMedica“ atveju. Abiejų incidentų atveju pagrindinis apsauginis barjeras – MFA – nebuvo įdiegtas. Skirtumas tas, kad Registrų centras yra viešojo sektoriaus institucija, kuriai BDAR baudos lubos siekia tik iki 60 000 EUR, o privačiam subjektui, kaip UAB „InMedica“ – iki 20 mln. EUR arba 4 proc. apyvartos.
Tačiau svarbesnis dalykas – ne baudos dydis, o sisteminė problema: tiek privačiame sveikatos sektoriuje, tiek valstybinėse institucijose MFA buvo traktuojamas kaip neesminė, galima atidėti priemonė – iki tol, kol įvyko incidentas ir paaiškėjo, kad MFA nėra tik graži teorija, o jo nebuvimas kelia realią teisinę atsakomybę.
Ką šis sprendimas reiškia sveikatos sektoriui?
UAB „InMedica“ sprendimas – ne izoliuotas atvejis, o aiški VDAI žinia visai rinkai.
Išvadų kelios. Pirma jų, kad MFA sveikatos sektoriuje yra minimalus saugumo standartas. Jei jūsų organizacija tvarko sveikatos duomenis ir leidžia prisijungti iš išorės prie sistemų per internetą be MFA – jūs jau pažeidžiate BDAR.
Antra, „sektoriaus praktika“ – ne gynybinis argumentas. VDAI tiesiogiai atmetė argumentą, kad sveikatos įstaigos masiniu mastu nenaudojo MFA. Atsakomybė yra individuali.
Trečia, nenaudojamos paskyros kelia realią riziką. Prieigos teisių valdymas, reguliarios peržiūros ir neaktyvių paskyrų blokavimas – tai ne biurokratinė procedūra, o praktinė apsaugos priemonė, kurios reikalauja ir BDAR.
