15min jau skelbė, kad programišiai pavogė „Grožio chirurgijos“ klinikos pacientų asmens duomenis: vardus, pavardes, asmens kodus, adresus, telefono numerius. Sąraše yra ne vienas garsus muzikos ir krepšinio pasaulio atstovas. Taip pat buvo pavogtos ir klientų nuotraukos, kurios daromos prieš operacijas. Kai kurios nuotraukos yra itin intymios.
Pavogti duomenys yra nelegaliai pardavinėjami internete. Prašoma suma už neteisėtus duomenis nekukli: nuo 50 iki 2 tūkstančių eurų. Be to, programišiai ėmė viešinti nuotraukas vadinamajame tamsiajame internete. Jie grasina kasdien paviešinti po 10 klientų nuotraukų ir duomenų. Jau dabar 35-ių klientų duomenys ir asmeniškos nuotraukos yra paviešintos.
Keli asmenys apklausti kaip specialieji liudytojai
Dėl duomenų vagystės yra pradėtas ikiteisminis tyrimas. Dėl neteisėto prisijungimo prie informacinės sistemos, turto prievartavimo ir neteisėto informacijos apie privatų asmens gyvenimą rinkimą gresia laisvės atėmimas iki dešimties metų.
Tyrimą kontroliuoja ir organizuoja Kauno apygardos 2-ojo skyriaus prokuroras Ovidijus Vasiliauskas. Jis 15min teigė, kad kol kas tyrime yra apklausti keli asmenys su specialiųjų liudytojų statusu.
„Kol kas keli asmenys yra apklausti kaip specialieji liudytojai ir toliau viskas yra aiškinimosi stadijos“, – kalbėjo O.Vasiliauskas.
Direktorius teigė, kad samdė IT įmonę, kuri turėjo apsaugoti duomenis
„Grožio chirurgijos“ klinikos vadovas Jonas Staikūnas 15min pasakojo, kad apie duomenų vagystę sužinojo, kai gavo programišių laišką su kliento fotografija. Tuomet buvo kreiptasi į policiją.
„Į elektroninio pašto dėžutę gavau pranešimą, kad jūsų duomenys yra pavogti. Ir buvo parašyta, kad jeigu norit įsitikinti: štai jums nuotrauka. Buvo atsiųsta kliento nuotrauka. Tai buvo vakaras, aš tuo metu nepasižiūrėjau ir tiek žinių. Iš ryto atsikėlęs gavau antrą elektroninį laišką, kuriame tai buvo parašyta. Ir taip prasidėjo visa eiga. Tai buvo kovo 22 dieną. Mes surinkę visus duomenis, visą medžiagą perdavėme policijai ir jie pradėjo ikiteisminį tyrimą“, – kalbėjo J.Staikūnas.
Paklaustas, kaip duomenys buvo saugomi iki tol, kad programišiai sugebėjo juos pavogti, klinikos vadovas aiškino, kad duomenų apsauga turėjo rūpintis kita bendrovė, su kuria buvo sudaryta sutartis: „Mes esame gydymo įstaiga, mes užsiimame gydymu. O visos kompiuterinės paslaugos, duomenų saugojimo paslaugos pagal sutartį buvo perkamos iš trečiųjų šalių. Buvo sudaryta sutartis, kurioje atsispindėjo, kad bus saugomi konfidencialūs asmens duomenys.“
Paklaustas, kokia įmonė turėjo apsaugoti duomenis, direktorius to neatskleidė: „Dabar kadangi toks laikas, vyksta ikiteisminis tyrimas, aš negaliu pasakyti, kokia tai įmonė. Suprantat, kad nepakenkčiau tyrimui, aš negaliu visko atsakyti. Nusikaltimas yra gana naujoviškas. Mano žiniomis, įmonė turėjo dėti viskas pastangas, kad apsaugotų duomenis. Bet mes nesame specialistai, konsultuojamės su įvairiomis IT kompanijomis ir klausinėjame, kaip tie nusikaltimai galėjo būti padaromi. Variantų yra daug, nusikalstama veika galėjo tęstis ir metus laiko, o tik vėliau pasimato rezultatai. Mes sudarėme sutartį su ta įmone dėl duomenų apsaugos seniai, kai tik pradėjome dirbti.“
Paklaustas, ar ketina imtis teisinių priemonių prieš įmonę, kuri turėjo apsaugoti duomenis, jei paaiškės, kad ji tai darė aplaidžiai, J.Staikūnas atsakė teigiamai: „Be abejonės, imtumėmės priemonių, nes yra pasikėsinta į patį brangiausią klinikos turtą, į mūsų pacientų konfidencialius duomenis. Nukreipta ataka lyg ir prieš pačią įmonę, tačiau nukentėjusiais tapo mūsų klientai.“
Direktoriaus teigimu, nuo visos klinikos pajamų sumos praėjusiais metais 2,8 proc. lėšų buvo skirta informacinėms sistemoms. Trys ketvirtadaliai šios sumos investuoti į programas, saugumą, konsultacijas. Likusi suma buvo investuota į įrangą ir darbo užmokesčius IT srityje dirbantiems žmonėms. Klinikos vadovas pridėjo, kad per šių metų pirmą ketvirtį jau investavo apie 2 proc. lėšų nuo įmonės pajamų į IT sritį.
Neturėjo leidimo dirbti su duomenimis
J.Staikūnas patvirtino, kad klinika neturėjo leidimo dirbti su asmenų sveikatos duomenimis. Tačiau jis teigė, kad prašymą tokį leidimą gauti klinika jau pateikė.
„Taip. Klinika to dalyko neturėjo, tai yra faktas. Jūs galite pasitikslinti, kiek klinikų turi šitą dalyką, tai turi koks 1 ar 2 proc. Bet mes visus tuos reikalavimus, kurie yra keliami saugumui, atitinkam. Šiuo metu kaip tik yra daromas auditas“, – sakė J.Staikūnas.
Paklaustas, ar įmonė galėjo kaupti duomenis, jeigu neturėjo leidimo, vadovas teigė: „Kaip čia jums pasakius. Medicinos įstaiga visuomet kaupia duomenis. Bet kuri medicinos įstaiga kaupia šiuos duomenis.“
Jo teigimu, dabar įmonė gaus tokį leidimą: „Mes jau padavėm prašymą, laukiam audito, kad jie pasakytų, kiek atitinkam visus reikalavimus.“
Mano, kad pasidarbavo stipri nusikaltėlių organizacija
Programišiai patys savo puslapyje rašo, kad klinikos duomenys nebuvo tinkamai apsaugoti ir kad juos pasiekti buvo paprasta. Klinikos vadovas teigia, kad ši programišių organizacija veikė ne tik Lietuvoje.
„Aš nežinau, ar jūs atsimenate tuos laikus, kai vyko organizuotas nusikalstamumas ir turto prievartavimas ne elektroniniu būdu, o paprastuoju. Turtą prievartaudavo ne po kartą už tą patį dalyką. Mūsų pozicija yra tokia, kad su nusikaltėliais reikia kalbėti per teisėsaugą. Mes patys žinome, ką mes darėme, galiu jus užtikrinti, kad dėjome maksimalias pastangas apsaugoti klientų konfidencialius duomenis. Mus pasiekė duomenys iš IT specialistų, kad nusikaltėliai, kurie kreipėsi į mus, yra pakankamai stipri nusikaltėlių organizacija, profesionalų nusikaltėlių. Ir iš IT specialistų buvo gauta informacija, kad jie net nulaužė Vokietijos ligoninės tinklo duomenis“, – kalbėjo J.Staikūnas.
Direktorius teigė nemanantis, kad tai galėjo būti konkurentų darbas: „Šiek tiek konkurencijos yra, tačiau iki tokių nusikaltimų, tikiuosi, kad niekas dar nepriėjo. Šiaip mes pakankamai draugiškai gyvename, jeigu kam nelaimė būna, stengiamės padėti. Sakysim, jeigu nepasisekė operacija, netenkina rezultatai, tai stengiamės vienas kitam padėti ir taip išgyventi. Be to, šitoks nusikaltimas kenkia ne tik mums, bet visiems.“
Šantažavo ne tik klientus, bet ir jų artimuosius
„Grožio chirurgijos“ direktorius teigė, kad stengėsi informuoti klientus apie duomenų vagystę, vis dėlto iš pradžių nepavyko nuspėti tikrojo nusikaltimo masto.
„Kai tik viskas įvyko, mes nežinojome, kokia apimti duomenys nutekėjo. Kokius tik duomenis pamatydavom, visus klientus informuodavom, kad štai buvo pagrobti duomenys“, – aiškino J.Staikūnas.
15min susisiekė su keliais „Grožio chirurgijos“ klinikos klientais, kurie teigė sulaukę žinučių iš programišių apie tai, kad duomenys yra pavogti ir kad yra galimybė juos išsipirkti. Bent trys klientai teigė, kad sulaukę žinučių kreipėsi į kliniką.
Paklaustas, kodėl neinformavo klientų anksčiau, nei tai padarė programišiai, klinikos vadovas teigė: „Sunku buvo iš pradžių įvertinti, kokia apimtimi tie duomenys nutekėjo. Todėl nenorėdami kelti ir inicijuoti tolesnio nusikalstamos veiklos vystymosi, mes klientų, kurių nežinojome, kad duomenys nutekėjo, neinformuodavom. Jeigu sužinodavom ir turėdavom duomenų apie konkrečius klientus, jų nuotraukas, iš karto jiems pranešdavom.“
Vadovas pripažino, kad programišiai šantažavo ne tik klientus, bet ir jų artimuosius: „Skaudžiausia buvo, kad viešindami duomenis, jie kartais nukreipdavo ne tam žmogui arba to žmogaus giminėms, susijusiems žmonėms. Tiesiog atsiųsdavo į pašto dėžutes duomenis. Čia yra toks skaudus faktas ir mes visų labai labai atsiprašome. Be to, galit įsivaizduoti, kad aš siunčiau duomenis iš pašto, jie pamatė ir man siunčia žinutę, kad jūs nesiimkite policijos, jums nepadės policija. Tai rodo jų užtikrintumą.“
Klientai turi teisę kreiptis į teismą
Paklaustas, ar nebijo klientų ieškinių prieš kliniką, kuri neišsaugojo duomenų, J.Staikūnas teigė: „Čia jų teisė. Ar mes bijosime, ar nebijosime, tai yra jų teisė ir mes esame pasiruošę atsakyti pagal Lietuvos Respublikos įstatymus.“
Paklaustas, kokių žingsnių dabar imasi klinika, vadovas vardijo: „Mes kreipėmės į visas institucijas. Kreipėmės į visus su prašymu neviešinti duomenų, nes tai yra nusikalstamu būdu gauti duomenys. Taip pat įtraukėme į visą procesą agentūrą, kuri stengiasi filtruoti visą mediją ir žiūrėti, kiek nusikaltėliams yra padedama viešinti duomenis. Konsultuojamės su, mūsų manymu, geriausiomis IT saugos kompanijomis, prašome jų išvadų, prašome jų patarimų. Stengiamės šiuo metu apriboti informacijos plitimą. Be to, bendraujame su pacientais, suteikiame psichologinę pagalbą, informuojame, ką mes darome, kokių pasiekėme rezultatų.
Dabar jau esame pasirašę naują sutartį su viena iš didžiausių IT bendrovių, t. y. „Baltneta“. Tas jau padaryta. Bet tolesnėje perspektyvoje galiu pasakyti, kad greičiausiai tapsime pati saugiausia medicinos įstaiga. Dabar gauname daug skambučių iš kitų įmonių, net didžiausių valstybinių įmonių medicinos srityje, kurie klausia, kaip tai atsitiko, ar galime pasidalinti patirtimi, nes tai yra beprecedentis atvejis.“
Paklaustas, ar dabar išleis daug daugiau IT saugumo reikmėms, J.Staikūnas sakė: „Nedrįsčiau sakyti, kad išleisime daug daugiau. Be abejo, viskas yra susiję su pinigais. Bet mes ir prieš tai išleidome.“
„Grožio chirurgija” prašo visų, turinčių bet kokios informacijos apie šį nusikaltimą, kreiptis į:
Kauno apskrities VPK vyriausiąją tyrėją Jūratę Banionienę,
Tel. +370 37 303079, el. pašto adresas: jurate.banioniene@policija.lt
arba
UAB „Grožio chirurgija” atstovą Rytį Bartusevičių
Tel. +370 640 51100, el. pašto adresas: bartusevicius@groziochirurgija.lt
