Kauno technologijos universiteto Kibertinio saugumo Kompetencijų centro vadovas Šarūnas Grigaliūnas 15min tvirtino, kad Registrų centro IT skyriaus laukia ilgas kelias, atliekant vidinį tyrimą ir tikrinant tiekimo grandinę.
Tačiau eksperto žvilgsnis krypsta ir į institucijas, iš kurių darbuotojų paskyrų buvo prisijungta prie Registro centro duomenų.
-
Duomenų inspekcija atskleidė, kada pranešta apie incidentą: pirma informacija – ne iš Registrų centro
-
Tiriant registrų vagystę, Migracijos departamentas sako šiuo metu nenušalinęs darbuotojų
-
Registrų centro duomenų vagystė: ką žinome ir kada viskas vyko?
-
Giedrius Cininas: apie duomenų nutekinimą nepranešta anksčiau, nes reikėjo identifikuoti aplinkybes
-
Ar galima pasikeisti asmens kodą? Po Registrų centro duomenų nutekėjimo – sunerimusių gyventojų klausimai
-
Registrų centro vadovas: pavogtų duomenų apimtis nebuvo neįprasta
-
Nausėda dėl reakcijos į duomenų nutekinimą išbarė Ruginienę, bet iš posto neverčia
-
Registrų centro duomenų nutekėjimas: svarbiausia informacija gyventojams
15min šaltinių informaciją, kad nutekėjimas veda į Migracijos departamento darbuotojų paskyras, į kurias, kaip įtariama, buvo įsilaužta, pirmadienį patvirtino ir teisėsauga. Paskyras nusikaltėliai galėjo perimti įsilaužę į tų darbuotojų el. paštą.
„Tai, kad prie Registrų centro prisijungta per nauduotojų paskyras, reiškia, kad visos paskyros, kuriomis buvo prisijungta ar institucijos, iš kurių buvo prisijungta su šiomis paskyromis, irgi gali būti sukompromituotos. Ir tai reiškia, kad ne vien Registrų centras turėtų atlikti auditą ar savipatikrą, bet ir institucijos, kurių darbuotojų paskyros buvo sukompromituotos. O tai reiškia, kad turime visą sukompromituotą tiekimo grandinę su skirtingais įeigos taškais“, – problemos mastą apibūdino Š.Grigaliūnas.
Pasak jo, tyrimą svarbu atlikti, nes tie darbuotojai, per kurių paskyras įsilaužta į Registrų centrą, tikėtina, galėjo prieiti ir prie svarbių duomenų savo institucijose.
„Čia dar tik pradžia, žinokite. Turėsime antrą bangą, kai kažkas suakumuliuos šiuos duomenis“, – spėjo ekspertas.
Visgi Migracijos departamento vyriausiasis patarėjas Rokas Pukinskas 15min patikino, kad jokių neteisėtų veikų Migracijos departamento sistemose nėra fiksuota.
„Migracijos departamentas informuoja, kad visos įstaigos valdomos informacinės sistemos bei duomenų bazės yra apsaugotos, o jose sukaupti asmens duomenys – saugūs bei tretiesiems asmenims neteisėtai atskleisti nebuvo. Jokių neteisėtų veikų MIGRIS sistemoje nefiksuota“, – teigiama ir Migracijos departamento pranešime.
„Atkreipiame dėmesį, kad Migracijos departamento sukaupti ir tvarkomi asmens duomenys nėra teikiami savitarnos principu“, – priduria Migracijos departamentas.
Duomenys rinkti kelis mėnesius
Pirmadienį gyventojai socialiniuose tinkluose dalijosi, kad jų nekilnojamojo turto (NT) duomenys buvo renkami nuo sausio iki balandžio. Pasitaikydavo, kad skirtingi to pačio savininko NT objektai buvo tikrinami skirtingais mėnesiais.
O tarp nukentėjusių – politikai, žurnalistai, visuomenės tarnautojai bei įvairių kitų profesijų atstovai.
Š.Grigaliūnas teigė, kad toks ilgalaikis duomenų rinkimas atskleidė tai, kad Registrų centro stebėjimo sistemos buvo nepakankamos ar negebančios identifikuoti vadinamą naudotojo veiksmų nuokrypį nuo normos.
„Pavyzdžiui, jei tai Šarūno darbo priemonė ir jis prisijungia darbo metu pasitikrinti kurio nors žmogaus santykį su kažkokiu turto įrašu, tai normalu, nes jis įstaigos atstovas ir turi tam teisę. Nenormalu, jei Šarūnas šeštadienį ar sekmadeinį ar naktį, kai neturėtų dirbti, prisijungia ir gauna tą informaciją“, – atkreipė dėmesį ekspertas.
Jis taip pat svarstė, kad žmonių, kurių turto įrašus reikia „nusiurbti“, sąrašus nusikaltėliai galėjo įsigyti juodajame internete (angl. dark net).
Kada sužinota apie nusikaltimą?
Apie nuo sausio siurbiamus duomenis institucijos sužinojo tik po kelių mėnesių – balandį.
Kaip nurodoma 15min pateiktame Ekonomikos ir inovacijų ministerijos (EIMIN) komentare, balandžio 3 dieną buvo gauta informacija iš Registrų centro apie Migracijos departamento atliekamą vidinį tyrimą dėl galimai neteisėtai paimtų dviejų fizinių asmenų duomenų.
„Balandžio 3 d. Ekonomikos ir inovacijų ministerija gavo informaciją iš Registrų centro apie Migracijos departamento Imuniteto skyriuje atliekamą tyrimą dėl galimai nusavintų ir neteisėtu būdu iš registrų paimtų dviejų fizinių asmenų duomenų per paskyras, kurios priklauso Migracijos departamentui“, – teigiama ministerijos komentare.
Tą pačią dieną, balandžio 3-iąją, Migracijos departamentas pateikė „pirminę informaciją“ Valstybinei duomenų apsaugos inspekcijai (VDAI), 15min nurodė VDAI.
Po 10 dienų – balandžio 13 d. – Registrų centras taip pat pateikė „pirminę informaciją“ VDAI, nors nutekėjus asmens duomenims, VDAI turi būti informuota per 72 valandas.
Balandžio 15 dieną Lietuvos kriminalinės policijos biuras informavo Registrų centrą apie pradėtą ikiteisminį tyrimą, o balandžio 21 dieną Ekonomikos ir inovacijų ministerijoje surengtas tarpinstitucinis pasitarimas, kuriame informuota apie duomenų pažeidimo mastą.
Gegužės 7 d. Registrų centras jau kreipėsi į VDAI ir pateikė oficialų pranešimą apie asmens duomenų saugos pažeidimą. Po savaitės, gegužės 15 d., VDAI pradėjo tyrimą.
PLAČIAU SKAITYKITE: Duomenų inspekcija atskleidė, kada pranešta apie incidentą: pirma informacija – ne iš Registrų centro
Visuomenė apie precedento neturinčią gyventojų asmeninių duomenų vagystę sužinojo praėjusį penktadienį, gegužės 22 dieną, – po 15min klausimų Registrų centras portalui patvirtino informaciją apie incidentą, o Generalinė prokuratūra iškart po 15min publikacijos pranešė atliekanti tyrimą dėl iš Registrų centro galimai neteisėtai „nusiurbtų“ Netrukus prokuratūra apie tyrimą pranešė ir viešai.
Gyventojams piktinantis, kodėl jie tris-keturis mėnesius nebuvo informuoti apie tai, kad nutekėjo jautrūs jų asmens duomenys, Registrų centro atstovas spaudai Mindaugas Samkus 15min aiškino, kad gyventojus nuspręsta informuoti išsiaiškinus aplinkybes.
„Mes apie šį atvejį sužinojome balandį – užblokavome paskyras ir informaciją perdavėme atsakingoms institucijoms, kurios ėmėsi tirti šį atvejį. Teisėsaugai pradėjus tyrimą, nuspręsta, kad gyventojų informavimas apie neteisėtai atskleistus duomenis vyks, kai bus nustatytos faktinės aplinkybės ir techniškai pasiruošta informavimui“, – teigė M.Samkus.
