2026-07-09 08:00

Registrų centro duomenų nutekėjimas pasiekė Europos Parlamentą: politikai ragina stiprinti kibernetinę gynybą

Daugiau kaip 600 tūkst. Lietuvos gyventojų duomenų nutekėjimas iš Registrų centro persikėlė į Europos Parlamento darbotvarkę. Politikai ragina nuodugniai ištirti incidentą, įvertinti Lietuvos institucijų veiksmus ir stiprinti kibernetinę gynybą, nes tokio masto duomenų vagystės vis dažniau vertinamos ne tik kaip privatumo pažeidimas, bet ir kaip grėsmė nacionaliniam bei Europos saugumui.
Duomenų apsauga
Duomenų apsauga / 123RF.com nuotr.

Debatuose kelti klausimai, ar tinkamai įgyvendintos Europos Sąjungos duomenų apsaugos taisyklės, ar nukentėję gyventojai buvo informuoti laiku ir ar valstybės institucijos apskritai pasirengusios vis dažnėjančioms hibridinėms bei kibernetinėms grėsmėms.

Nors Lietuvos europarlamentarų vertinimai dėl politinės atsakomybės išsiskyrė, dauguma sutarė dėl vieno – valstybės registruose kaupiami duomenys šiandien yra neatsiejama saugumo infrastruktūros dalis. Vis dėlto ekspertai perspėja, kad vien diskusijų Briuselyje nepakanka: pirmiausia būtina atsakyti, ar Lietuva pati nuosekliai įgyvendina jau galiojančius saugumo reikalavimus ir skiria tam pakankamai išteklių.

Tyrimas turi atsakyti ne tik į klausimą, kas pavogė duomenis

Diskusiją inicijavęs europarlamentaras Petras Auštrevičius priminė, kad šių metų pradžioje iš Registrų centro buvo neteisėtai pasisavinti daugiau kaip 600 tūkst. Lietuvos gyventojų asmens duomenys, tarp jų – asmens kodai, adresai ir nekilnojamojo turto įrašai.

Jo teigimu, tyrimas turi atsakyti ne tik į klausimą, kas įvykdė nusikaltimą, bet ir ar atsakingos Lietuvos institucijos tinkamai vykdė savo pareigas bei laiku informavo nukentėjusius gyventojus.

„Europos Komisija privalo atlikti pilną tyrimą dėl Lietuvoje įvykusios duomenų vagystės. Bendrojo duomenų apsaugos reglamento įgyvendinimas turi būti patikimas visoje Europos Sąjungoje“, – sakė P. Auštrevičius.

Politikas taip pat pabrėžė, kad didėjantis kibernetinių atakų mastas nėra vien Lietuvos problema – tai visos Europos Sąjungos saugumo iššūkis.

Lukas Balandis / BNS nuotr./Petras Auštrevičius
Lukas Balandis / BNS nuotr./Petras Auštrevičius

Duomenų apsauga – nacionalinio saugumo dalis

Europarlamentaras Liudas Mažylis akcentavo, kad Registrų centro incidentas yra platesnio hibridinių grėsmių spektro dalis. Pasak jo, greta dezinformacijos, migracijos instrumentalizavimo ar dronų incidentų kibernetinės atakos tampa vienu pavojingiausių įrankių, nes pavogti duomenys gali būti panaudoti priešiškų valstybių žvalgybai.

Jo teigimu, incidentas atskleidė ir struktūrinę problemą – technologinės grėsmės vystosi greičiau nei teisės normos, todėl tyrimų institucijoms būtinos ne tik teisinės, bet ir techninės galimybės veikti greitai.

Europos Parlamento narys Dainius Žalimas pabrėžė, kad valstybės registruose kaupiama informacija šiandien yra nacionalinio ir Europos saugumo dalis. Jo vertinimu, įvykis negali būti laikomas vien Lietuvos vidaus reikalu, nes nuo reakcijos priklausys, kaip ateityje bus vertinamos panašios hibridinės operacijos visoje ES.

Valstybės registruose kaupiama informacija šiandien yra nacionalinio ir Europos saugumo dalis.

Jis taip pat atkreipė dėmesį į Bendrojo duomenų apsaugos reglamento nuostatas, numatančias pareigą nedelsiant informuoti gyventojus apie didelės rizikos duomenų saugumo pažeidimus, ir paragino Europos Komisiją paprašyti Lietuvos institucijų išsamių paaiškinimų.

Europarlamentaras Virginijus Sinkevičius akcentavo, kad nacionalinis saugumas šiandien neapsiriboja vien karine gynyba. Pasak jo, Baltijos valstybės nuolat susiduria su hibridinėmis grėsmėmis, todėl investicijos į kibernetinį saugumą turi būti laikomos ne mažiau svarbiomis nei investicijos į tradicinę gynybą.

Anot jo, vien teisinių priemonių nepakanka – būtinos konkrečios investicijos ir praktiniai sprendimai, stiprinantys piliečių duomenų apsaugą.

Registrų centras: sustiprinta prieigos kontrolė ir stebėsena

Registrų centras 15min.lt nurodė, kad po incidento buvo įvertinti visų įstaigos tvarkomų informacinių sistemų duomenų gavėjų prisijungimo būdai ir inicijuotas atsisakymas teikti duomenis naudojantis tik vartotojo vardu bei slaptažodžiu.

Registrų centras: inicijuotas atsisakymas teikti duomenis naudojantis tik vartotojo vardu bei slaptažodžiu.

Įmonės teigimu, prie dvigubo tapatybės autentifikavimo, naudojantis kvalifikuotu elektroniniu parašu, jau perėjo daugiau nei 37 tūkst. individualių naudotojų – apie 95 proc. visų tokių naudotojų. Taip pat plečiamos galimybės jungtis kitais saugesniais būdais, pavyzdžiui, naudojantis e. rezidento priemone ar valstybės tarnautojo pažymėjimu.

Registrų centras taip pat teigia sustiprinęs duomenų srautų stebėseną: sukurtas naujas duomenų naudotojų elgsenos stebėsenos įrankis ir išplėsta monitoringo sistema, leidžianti operatyviau identifikuoti galimas rizikas.

Be to, sugriežtinta IP adresų prieigos kontrolė, atnaujintos vartotojų administravimo taisyklės, pereita prie saugesnių šifravimo protokolų. Įmonė taip pat užsakė nepriklausomą išorės saugos auditą, kuris turėtų įvertinti duomenų teikimo saugumo lygį ir taikomų priemonių pakankamumą.

Irmanto Gelūno / BNS nuotr./Atnaujintas Registrų centras
Irmanto Gelūno / BNS nuotr./Atnaujintas Registrų centras

Šios priemonės rodo, kad incidentas paskatino techninius ir organizacinius pokyčius. Tačiau kartu kyla klausimas – ar tokios kontrolės priemonės neturėjo būti įdiegtos anksčiau, ypač institucijoje, valdančioje itin didelius kiekius jautrių gyventojų duomenų.

Ekspertas: problema – ne tik teisės aktuose, bet ir jų įgyvendinime

„Surfshark“ IT saugumo vadovo Tomo Stamulio vertinimu, Registrų centro duomenų nutekėjimo atvejis pirmiausia kelia klausimų ne dėl teisės aktų trūkumo, o dėl to, kaip realiai užtikrinamas jų įgyvendinimas valstybės institucijose.

Komentuodamas Europos Parlamente išsakytas įžvalgas, jis sutinka, kad kritinės skaitmeninės infrastruktūros apsauga ir institucijų komunikacija yra svarbūs klausimai ES mastu. Tačiau, pasak jo, Lietuva pirmiausia turėtų įsivertinti, ar pati pakankamai nuosekliai vykdo jau galiojančius reikalavimus.

„Įžvalgos, išsakytos Europos Parlamente, yra teisingos, tačiau pirmiausia turime viduje atsakyti, ar skiriame pakankamai pinigų ir resursų saugumui užtikrinti“, – sako T. Stamulis.

Roberto Riabovo / BNS nuotr./Tomas Stamulis
Roberto Riabovo / BNS nuotr./Tomas Stamulis

Pasak jo, Lietuvoje jau galioja duomenų apsaugos ir kibernetinio saugumo reikalavimai, įskaitant BDAR ir NIS direktyvos nuostatas, perkeltas į nacionalinę teisę. Vis dėlto minimalūs standartai ne visada yra pakankami institucijoms, kurios valdo didelius kiekius jautrių gyventojų duomenų.

„Kai valstybėje nustatomas tik minimalus saugumo standartas, bet nėra iki galo įsitikinama, ar jis iš tikrųjų įgyvendintas, tai saugumo nepadidina. Institucijoms, kurios valdo didelius duomenų kiekius, turėtų būti taikomi aukštesni reikalavimai“, – teigia „Surfshark“ atstovas.

Institucijoms, kurios valdo didelius duomenų kiekius, turėtų būti taikomi aukštesni reikalavimai.

Jo teigimu, formali atitiktis reikalavimams ar sertifikavimas savaime dar nereiškia, kad saugumo priemonės veikia efektyviai. Todėl būtina nuolat tikrinti jų veiksmingumą, skirti pakankamą finansavimą ir stiprinti institucijų technologinius bei žmogiškuosius pajėgumus.

T. Stamulis taip pat atkreipia dėmesį, kad tokie incidentai neturėtų būti vertinami vien kaip techninės klaidos. Jie susiję su pasitikėjimu valstybės institucijomis, nacionaliniu saugumu ir visuomenės atsparumu hibridinėms grėsmėms. Jo vertinimu, ES lygmens diskusija turėtų remtis aiškiu nacionaliniu atsaku – ką valstybė nustatė, ką sutvarkė ir kokių priemonių imasi, kad tokie atvejai nepasikartotų.

Ekspertas siūlo peržiūrėti ir valstybės institucijų atsakomybės mechanizmus. Privačiam sektoriui už duomenų apsaugos pažeidimus gali grėsti gerokai didesnės finansinės pasekmės, o valstybės institucijoms taikomos baudos, jo vertinimu, dažnai nėra pakankamai atgrasančios.

ES institucijos: būtina pereiti nuo reagavimo prie prevencijos

Savo poziciją diskusijoje išreiškė ir Europos Sąjungos Tarybos bei Europos Komisijos atstovai.

Kipro Europos reikalų viceministrė, Europos Sąjungos Tarybai pirmininkaujanti Marilena Raouna pažymėjo, kad hibridinės grėsmės ir sudėtingos kibernetinės atakos kelia vis didesnį pavojų tiek piliečiams, tiek verslui.

Jos teigimu, ES jau sukūrė koordinuotą kibernetinio saugumo sistemą, stiprina Europos Sąjungos kibernetinio saugumo agentūros ENISA vaidmenį ir vysto bendras reagavimo priemones. „Iššūkis yra pereiti nuo reaktyvaus požiūrio prie numatymo ir prevencijos“, – sakė M. Raouna.

Europos Komisijos narys Michaelas McGrathas pabrėžė, kad hibridinės grėsmės šiandien nebėra pavieniai incidentai. „Tai koordinuotos hibridinių atakų bangos, kuriomis siekiama susilpninti pačią mūsų demokratijų struktūrą“, – teigė jis.

Pasak Komisijos nario, ES stiprina Demokratinio atsparumo centro veiklą, įgyvendina NIS2 direktyvą, Kibernetinio atsparumo ir Kibernetinio solidarumo aktus, o ateityje siūlys plėsti Eurojusto ir Europolo įgaliojimus kovojant su kibernetinėmis bei hibridinėmis grėsmėmis.

Didžiausias iššūkis – ne taisyklės, o jų veikimas praktikoje

Europos Parlamento debatai parodė, kad piliečių duomenų apsauga vis dažniau vertinama kaip neatsiejama nacionalinio ir Europos saugumo dalis, o kibernetinės atakos – kaip viena svarbiausių šiuolaikinių hibridinių grėsmių.

Tačiau Registrų centro atvejis kartu atskleidė, kad didžiausias iššūkis yra ne vien naujų taisyklių kūrimas. Ne mažiau svarbu užtikrinti, kad jau galiojantys reikalavimai veiktų praktikoje – kad saugumui būtų skiriamas pakankamas finansavimas, sistemos būtų nuolat prižiūrimos ir audituojamos, o institucijų atsakomybė būtų aiški.

Būtent nuo to priklausys, ar po incidento įgyvendintos priemonės taps ilgalaikiu sisteminiu pokyčiu, ar liks tik reakcija į jau įvykusią duomenų vagystę.

Projektą iš dalies finansuoja Europos Parlamentas. Tačiau už turinyje išreikštą nuomonę ar požiūrį atsako tik autorius (-iai); Europos Parlamentas už juos negali būti laikomas atsakingu.

Europos panorama logotipai
Europos panorama logotipai

Pranešti klaidą
Sėkmingai išsiųsta
Dėkojame už praneštą klaidą