Lietuvoje

2018.10.08 07:03

Ar Pranešėjų apsaugos įstatymas apsaugos?

Už pagalbą – bausmė. Kibernetinio saugumo specialistas Darius Povilaitis dėl elektroninės sveikatos spragų kreipėsi į žiniasklaidą, nes valdžia į ankstesnius jo pranešimus nereagavo. Kai kitose valstybėse ir net Lietuvoje privačios įmonės už demaskuotas kibernetinio saugumo spragas apdovanoja, D. Povilaičiui valdžia kaip dovanėlę įteikė baudžiamąją bylą. Tokius asmenis nuo kitų metų turėtų saugoti Pranešėjų apsaugos įstatymas, bet, anot ekspertų, iš jo didelės naudos greičiausiai nebus. O e. sveikatos sistema toliau pumpuojama pinigų injekcijomis. Milijonų jai nuolat reikės, nes, pasak Seimo Antikorupcijos komisijos pirmininko Vitalijaus Gailiaus, sistema sukurta taip, kad nuolat gestų, o tai reiškia ir nuolat maitintų jos kūrėjus.

Kibernetinio saugumo specialistas D. Povilaitis prieš dešimtmetį pradėjo tikrinti valstybinių institucijų kibernetinę saugą. Iš pradžių apie tyrimų rezultatus informuodavo tik valdžią, bet dėmesio nesulaukė – nors prieš kelerius metus demaskavo kelių ministerijų kibernetinį pažeidžiamumą, liko neišgirstas.

„Problemos buvo milžiniškos – tuo metu galbūt apie 200 valstybinio sektoriaus svetainių buvo galima užvaldyti per 5 minutes. Ši informacija buvo pristatyta tiek vyriausybės kancleriui, tiek Vidaus reikalų ministerijai, Krašto apsaugos ministerijai. Supratome, kad niekam tai nerūpi“, – pasakoja kibernetinio saugumo specialistas.

Jungdamasis į e. sveikatos sistemą, D. Povilaitis spragų neieškojo – tik norėjo išrašyti įgaliojimą giminaičiui. Bet pamatė, kad ieškant žmogaus tik pagal pavardę, galima rasti ir asmens kodą, adresą, giminystės ryšius. Nenorėdamas, kad jo atradimas vėl nugultų į institucijų stalčius, D. Povilaitis šįkart apie kibernetines spragas prabilo viešai.

„Tu matai, kad kovoji su vėjo malūnais ir prasmės nematai. Paprasčiausiai prieš kurį laiką informaciją publikavau spaudoje ir rezultatas iš karto kitoks“, – dėsto jis.

O rezultatas – baudžiamoji byla. D. Povilaitis įtariamas, kad neteisėtai prisijungė prie informacinės sistemos, pažeidė jos apsaugos priemones. Nors specialistas tik gūžčioja pečiais – prisijungė savo vardu, į sistemą nesilaužė.

Tačiau, anot sveikatos apsaugos ministro, D. Povilaitis nusižengė pamatydamas svetimus duomenis, be to, esą neturėjo visuomenei parodyti, kaip rado klaidą.

„Ką reiškia viešinti? Jei aš viešinu, kad kažkur vyksta klaidos, ar aš turėčiau paciento konkretaus duomenis imti ir žiūrėti? Mes džiaugiamės, jei pasako, kad kur nors yra spraga ir tikrai kiekvienam ačiū pasakysime“, – sako A. Veryga.

A. Veryga, E. Genio/LRT nuotr.

Sistemos trūkumus pripažįsta ir ją kūręs Registrų centras. E. sveikata kuriama 13 metų – nuo 2005-ųjų. Ji jau kainavo apie 40 mln. eurų. Dabar tenka investuoti dar 2,5 mln., nes sistema turėtų būti funkcionalesnė, bus dar stiprinamas jos kibernetinis saugumas.

Kol sistemos klaidas pamatęs D. Povilaitis laukia ikiteisminio tyrimo rezultatų, Registrų centras kviečiasi kitus specialistus iš šalies, kurie padėtų rasti visus trūkumus.

„Jei randamos potencialios rizikos, jos nedelsiant yra pašalinamos. Šiuo metu galiu pasakyti, kad sistema saugi, bet tam, kad būtų užtikrintas saugumas ir neliktų jokių abejonių, mes inicijuojame išorinį auditą, kuris kartu su vidiniu tyrimu patvirtintų, jog sistema yra tikrai saugi ir jokių spragų neliktų. Tuo pasirūpins nepriklausomi ekspertai“, – supažindina Registrų centro vadovas Tadas Valančius.

E. sveikatos sistemą tyrusi Seimo Antikorupcijos komisija išaiškino korupcines schemas. Komisijos pirmininkas Vitalijus Gailius sako, kad sistemai pinigų injekcijų nuolat reiks – ji esą specialiai sukurta su daugybe trūkumų.

„Šiame tyrime mes atskleidėme ne tik juridinius, bet ir konkrečius sveikatos apsaugos ministerijos pareigūnus, kurie ir projektavo tokią sistemą, kurią nuolat reikėtų tobulinti ir tobulinti, pasitelkiant tuos pačius rangovus, kurie nuo pradžių diegė sistemą. Mano nuomone, jie specialiai paliko spragų, kad turėtų savotiškai prijaukintą sistemą ir tai nuolat užtikrintų pelningus kontraktus“, – sako V. Gailius.

Kitąmet įsigalios Pranešėjų apsaugos įstatymas. Jo imtasi po Rasos Kazėnienės istorijos. Apie piktnaudžiavimą Kauno tardymo izoliatoriuje pranešusi buvusi šios įstaigos vyriausioji buhalterė buvo persekiojama. Po jos pranešimų apie abejotinus pirkimus ir kitus pažeidimus darbą paliko Kalėjimų departamento vadovė.

Tik ar Pranešėjo apsaugos įstatymas išties apgins tokius žmones kaip R. Kazėnienė ar D. Povilaitis, skaidrumo ekspertai abejoja – esą įstatymą galima bus interpretuoti taip, kaip kam patinka.

„Šiuo metu gali būti taip, kad įstaigos turės skirtingas tvarkas, skirtingas taisykles ir žmogus turės pats gaudytis, ar pranešti saugu. Tai yra labai blogai, nes, aišku, kad žmogus, pranešdamas apie negerovę rizikuoja savo finansine gerove, savo saugumu, savo artimų žmonių saugumu“, – kalba „Transparency International“ Lietuvos skyriaus vadovas S. Muravjovas.

S. Muravjovas, BNS nuotr.

Kol vieni baudžia, kiti – apdovanoja. Kai kurios įmonės ragina pranešti apie klaidas sistemoje, o už tai – arba sumoka, arba skiria dovaną. Tokią schemą taikančio „Swedbank“ atstovas pripažįsta – dažniausiai klaidas pastebi tie, kurie geriau išmano kompiuterius.

„Bet kas, kas suranda klaidą mūsų interneto banke ar kitoje sistemoje, prašome, kad praneštų mums – nustatėme el. pašto adresą, parašėme taisykles, ko žmogus gali tikėtis, kai jis mums praneš, ką mes darysime su pranešimu. Informuojame, kad jis registruotas, apie taisymo etapus ir galų gale, kai ištaisome klaidą, įteikiame simbolinę dovanėlę“, – supažindina „Swedbank“ informacijos saugumo vadovas Tomas Beinaravičius.

Tokios praktikos naudojamos ir kitose šalyse. Tai – ne kompiuterinis žaidimas, o realiu laiku vykstančios kibernetinės atakos. Po vienos tokios Ukraina nusprendė, kad laikas susiimti. Buvo paskelbtas vadinamųjų hakerių mėnuo – per jį informacinių technologijų specialistai nemokamai tikrino valstybinio sektoriaus pažeidžiamumą.

Ukrainoje dirbantis buvęs Ekonomikos ministro patarėjas Darius Tamauskas pasakoja, kad klaidų rasta beveik visų ministerijų puslapiuose, duomenų bazėse. Buvo prieinama viskas – nuo neviešų deklaracijų iki asmeninių karo zonoje tarnaujančių žmonių duomenų. Tik tie, kurie parodė klaidas, gavo ne bylas, o padėkas.

„Vienos institucijos reagavo lėčiau, kitos greičiau, bet visų reakcija gana pozityvi, nes klaidos taisomos, viešai daugelis ministrų pripažino – klaida, ačiū, kad parodėte. Visos akcijos tikslas – ne pasinaudoti spragomis, bet pagerinti Ukrainos galimybes atlaikyti panašias atakas“, – aiškina D. Tamauskas.

Tačiau Lietuvoje po pradėto tyrimo dėl D. Povilaičio, vargu, ar kartosis Ukrainos pavyzdys ir daugės tokių pranešimų. Pats kibernetinio saugumo specialistas nuleidžia rankas. „Lietuvos gerovei tikriausiai nebedirbsiu“, – sako D. Povilaitis.