O kai ir už rinkimų sistemos sukūrimą, ir už rinkėjo svetainės palaikymą yra atsakinga viena ir ta pati įmonė – UAB „iTree“ – kyla pagrįstų klausimų dėl tos įmonės informacinių technologijų specialistų kompetencijos. Ypač prisiminus, kad buvo paliktas ir atviras priėjimas prie svetainės administravimo puslapio vien nesudėtingai modifikavus adresą naršyklės eilutėje.
Kas kaltas?
Kalbant apie kaltę už rinkejopuslapis.lt klaidas, leidusias pamatyti ir kitų rinkėjų asmens kodus, besti pirštu į vieną asmenį, įstaigą ar bendrovę nėra visiškai paprasta: bendrovės „iTree“ vadovas Darius Lazauskas kaltę neigia sakydamas, kad svetainę sukūrė kita bendrovė (UAB „Tieto Lietuva“) ir jie tik vykdo prieglobos paslaugas, nes prieglobos paslaugų konkurse kūrėjai nedalyvavo.
Svetainės kūrimo sutartis už maždaug 1,226 mln. eurų sumą buvo pasirašyta 2013 metais – konkurse dalyvavo 9 įmonės ar jų grupės, tarp kurių figūruoja ir „iTree Lietuva“ pavadinimas, tačiau pastarosios bendrovės paraiška atmesta dėl to, kad ji nepateikė visų reikiamų dokumentų (tiksliau, paslaugos tiekėjo sąžiningumo deklaracijos). Dar dviejų bendrovių – „Baltic Amadeus“ ir ATEA grupės – paraiškos atmestos dėl to, kad jų pasiūlyta darbų kaina buvo maždaug 2-4 kartus mažesnė nei kitų konkurso dalyvių ir bendrovės nesugebėjo laiku paaiškinti, dėl ko darbus siūlosi atlikti taip pigiai.
Kaltės neprisiima ir „Tieto Lietuva“ direktorius Tomas Vitkus, kuris 15min telefonu sakė, kad jo įmonė darbą atliko atsakingai – po svetainės sukūrimo trečioji šalis, nešališka bendrovė „IO Projects“, patikrino svetainės saugumą ir pateikė savo rekomendacijas, kurias T.Vitkus pavadino „kosmetinėmis“ ir užtikrino, kad į visas pastabas buvo atsižvelgta ir atlikti reikiami pataisymai. Be to, jis tikina, kad „Tieto Lietuva“ 2015 m. birželio 30 d. „pridavė puslapį į gamybą“, o po to dar metus turėjo vykdyti „svetainės palaikymą gamyboje“, t. y., garantinį aptarnavimą.
Brangoka priegloba
Bet 2016 m. vasario 25 d. su „iTree“ ir „Baltnetos komunikacijomis“ pasirašyta sutartis dėl Vyriausiosios rinkimų komisijos informacinės sistemos dalies prieglobos ir priežiūros paslaugų. Prieglobos konkurso apraše nurodoma 515 460 eurų suma ir trejų metų sutarties galiojimo trukmė. Kitaip tariant, kiekvieną mėnesį svetainės ir sistemų palaikymo darbų „iTree“ įvertino 14 318 eurų suma. Kitos bendrovės šiame konkurse nedalyvavo.
„Atsižvelgiant į tai, kiek įvairių duomenų informacinėje sistemoje yra saugojama ir tvarkoma, bei tai, kad šios sistemos duomenys visada buvo, yra ir bus programišių domėjimosi objektu, natūralu, kad portalui yra keliami ypatingi saugumo reikalavimai, kas reikalauja papildomų resursų, kurie kainuoja. Lietuvos Respublikos vyriausioji rinkimų komisija, planuodama viešąjį pirkimą, pirkimo vertę nustatė vadovaudamasi Viešųjų pirkimų tarnybos direktoriaus įsakymu „Dėl Numatomo viešojo pirkimo vertės skaičiavimo metodikos patvirtinimo“ ir kitais teisės aktais“, – nemažą prieglobos paslaugų kainą motyvavo VRK Mokymų ir komunikacijos skyriaus laikinoji vadovė Kristina Ivanauskaitė-Pettinari.
Ir nepaisant to, kad „Tieto“ už svetainės palaikymą buvo atsakingi iki vasaros, rinkejopuslapis.lt prieglobos ir palaikymo konkurse 2016 metų vasarį laimėjusi bendrovė „iTree“ nusprendė vienašališkai perkelti svetainę į kitas prieglobos tarnybines stotis, o perkėlimo procesas buvo atliktas visiškai nesikonsultuojant su „Tieto Lietuva“, dėl ko pastaroji įmonė Vyriausiajai rinkimų komisijai raštu pareiškė, kad nusiplauna rankas dėl atsakomybės už rinkejopuslapis.lt: „Mūsų programinė įranga buvo migruojama iš vienos aplinkos į kitą. Raštiškai informavome VRK, kad migruojant mūsų programinės įrangos komponentus į kitą infrastruktūrą, kai tie darbai yra visiškai ir niekaip su mumis nederinami, mes negalėsime nei nustatyti, nei šalinti jokių kylančių sutrikimų, nes nuo 2016 m. vasario nežinome, kas vyksta su atitinkamais komponentais, įskaitant tuos, kuriuos sukūrėme mes“, – aiškino T.Vitkus.
„Mūsų žmonės, kiek klausimų gaudavome, jei tik jie nebūdavo labai komplikuoti, visada padėdavome, padedame ir padėsime. Ir netgi dabar esame kalbėję su klientu – jeigu tik kažkuo galime būti naudingi... Bet metus nedalyvavus šiame procese dabar įšokti ir kažkaip padėti tai nežinome, ar galime. Manau, esame profesionali IT paslaugų įmonė, kurios darbas yra padėti klientams. Tik kai nežinai, kas ir kur per metus padaryta, tai net formaliai nežinome, kurie mūsų sukurti komponentai naudojami, kurie nenaudojami, kurie perrašyti. Galbūt dalis komponentų buvo perrašyti. Tikrai nežinau. Nuo migravimo nieko nebežinome“, – pasiryžimą padėti demonstravo T.Vitkus.
O kas atsakingas?
Jeigu kaltųjų paieška yra šiek tiek komplikuota, tai į klausimą apie atsakomybę už duomenų nutekėjimą atsakyti gerokai paprasčiau: svetainės prieglobos ir sistemų aptarnavimo sutartyje tarp VRK ir „iTree Lietuva“ įrašyta sąlyga, kad paslaugų teikimo laikotarpiu „iTree“ privalo užtikrinti pas juos saugomų duomenų ir serverių saugumą.
VRK informavo 15min, kad, atlikus tyrimą, nustatyta, jog nuo spalio 3 iki 13 dienos buvo sugeneruota 251 unikali F5 forma. 99 atvejais tą pačią formą galėjo peržiūrėti iš dviejų ar daugiau skirtingų kompiuterių ar mobiliųjų įrenginių IP adresų. Darytina prielaida, kad dalį šių F5 formų galimai galėjo peržiūrėti ne tie asmenys, kuriems forma buvo skirta. Asmenys, galėję peržiūrėti ne tik savo F5 formas identifikuoti, informacija apie juos buvo perduota atitinkamoms tarnyboms. Incidento tyrime dalyvauja Kibernetinio saugumo ir telekomunikacijų tarnyba prie Krašto apsaugos ministerijos ir sistemos priežiūros paslaugas teikianti bendrovė.
Susisiekti su „iTree Lietuva“ vadovu D.Lazausku telefonu nepavyko, į elektroniniu paštu nusiųstus klausimus jis neatsakė.
Kaip gali pakenkti asmens kodų nutekėjimas?
Paklausus, ką blogiausia galima pridaryti žmogui, sužinojus vien jo vardą, pavardę ir asmens kodą, Valstybinės duomenų apsaugos inspekcijos vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė sakė: „Jeigu būtume nusikaltėlių mokymo agentūra, tai pateiktume tokį planą. Bet kaip ir visose kitose sistemose asmens duomenų apsauga turi būti užtikrinta – ir ne veltui. Nes tie asmens duomenų panaudojimo piktiems kėslams scenarijai yra įvairiausi. Žinoma, jeigu kažkas tikslingai tą darytų, pasekmės tikrai būtų liūdnos“.
Asmens duomenų panaudojimo piktiems kėslams scenarijai yra įvairiausi. Žinoma, jeigu kažkas tikslingai tą darytų, pasekmės tikrai būtų liūdnos.
Suabejojus, kad tokio duomenų rinkinio gali pakakti įvykdyti su asmenybės vagyste susijusiems nusikaltimams, VDAI specialistė sakė: „Jungiant duomenis gali nutikti įvairiai. Bet kuriuo atveju asmens duomenys turi būti saugomi. Ne be reikalo visos išsivysčiusios šalys tai daro ir mato, kad tai yra vertybė“.
Iš esmės asmens kode slaptumo yra tiek pat, kiek ir automobilio numeryje – jį žinodamas gali nustatyti asmens lytį ir amžių, tačiau sunku prigalvoti scenarijų, kaip galima būtų pridaryti nuostolių vien su tokiais duomenimis, nes identifikavimui asmens kodas dažniausiai yra būtinas, tačiau ne pakankamas duomuo.
Pavyzdžiui, greitojo kredito bendrovės reikalauja, kad paskolą paimti norintis vartotojas identifikuotųsi per elektroninės bankininkystės sistemą (dažniausiai – pervesdamas 1 centą skolintojui). Paskambinus į banką telefonu bei norint atlikti kokius nors veiksmus su sąskaita, konsultantai, bandydami jus identifikuoti, asmens kodo gali net neklausti – greičiau jie paklaus, kokiu adresu anksčiau gyvenote, kur pastarąjį kartą atsiskaitinėjote kortele, kada pastarąjį kartą gryninotės pinigus, kokią sumą ėmėte iš bankomato ir panašiai.
Norint įsteigti įmonę internetu prie Registrų centro sistemos reikia prisijungti identifikuojantis per el. bankininkystės sistemą, el. parašu arba m. parašu, taigi, ir vėl svetimas asmens kodas naudos neteikia.
Norint nubalsuoti apsimetus kitu žmogumi taip pat vargu ar pavyks – net jei ir pasinaudojant dabar jau užkamšyta saugumo spraga rinkejopuslapis.lt svetainėje būtų pavykę atsispausdinti nepažįstamo asmens balsuotojo kortelę, balsavimo apylinkėje tektų pateikti asmens dokumentą, pagal kurį ir išduodami balsavimo lapai (tiesa, mažiau atidžius rinkimo apylinkių darbuotojus galima būtų bandyti apmulkinti prasmukus pro balsuotojus registruojančius apylinkės darbuotojus ir vėliau balsavimo lapus išduodančiam žmogui pakišant kito asmens balsuotojo kortelę neturint registruoto balsuotojo lapelio, bet ir tai nėra paprasta – reikia daug sėkmės, kad pavyktų rasti balsuotojo adresą, registruotą fiziškai pasiekiamoje balsavimo apylinkėje ir neakylų balsavimo apylinkės darbuotojų, tad reiškinio masiškumas yra labai mažai tikėtinas).
Be to, savo asmens kodą savanoriškai patys užrašome mainais į, tarkime, nuolaidų korteles įvairiose prekybos vietose, bet nuostolių dėl to nepatiriame. Atvirkščiai – gauname nuolaidų.
