Mokslas ir IT

2021.02.24 12:14

Policija apie nutekintus „CityBee“ ir kitų bendrovių duomenis: tai gali būti tik ledkalnio viršūnė

Patricija Kilminavičienė, LRT.lt2021.02.24 12:14

Praėjusią savaitę Lietuvą sukrėtė ne vienas duomenų nutekėjimo incidentas. Iš pradžių buvo pranešta apie nutekintus daugiau nei 100 tūkst. „CityBee“ klientų asmeninius duomenis, vėliau pasirodė žinių ir apie nutekintą pažinčių svetainės „Darni pora“ ir lažybų kompanijos „Orakulas“ vartotojų duomenų bazę. Policija šiuo metu tiria keletą galimų versijų, tačiau tikina, kad tai gali būti ledkalnio viršūnė, nerimą kelia ir tikimybė, jog sukčiai ims klastoti vairuotojų pažymėjimus.

Viešojoje erdvėje pasklido versija, kad jokio kibernetinio įsilaužimo nebuvo, o duomenų valdytojas „CityBee“ paprasčiausiai paliko viešas prieigas, o jos buvo panaikintos nutekėjus duomenims.

Policijos generalinio komisaro pavaduotojas Arūnas Paulauskas Seimo Teisės ir teisėtvarkos komiteto posėdyje dėl „CityBee“ klientų pavogtų duomenų priminė, kad buvo pradėtas ikiteisminis tyrimas dėl duomenų nutekėjimo. Jis buvo inicijuotas gavus informaciją iš pačios bendrovės. Anot jo, šiuo metu tiriamos kelios versijos. Policija taip pat kol kas negali įvardyti, kada jau bus žinoma, kas iš tikrųjų nutiko.

„Kibernetiniai nusikaltimai pasižymi tuo, kad yra labai imlūs laikui, esame pajungę užsienio partnerius, kreipėmės į Europolą pagalbos padedant atskleisti šią nusikalstamą veiką. Būtų neatsakinga šiandien minėti kažkokius terminus, kada bus padarytos vienos ar kitos išvados. Galiu patikinti, kad šiuo metų vyksta intensyvūs ikiteisminio tyrimo veiksmai, tiek viešo, tiek neviešo pobūdžio. Kai tik bus kažkokių rezultatų, iškart apie juos informuosime“, – dėstė A. Paulauskas.

Jis atkreipė dėmesį, kad tyrėjai intensyviai analizuoja ir nutekintus duomenis. „Tam tikros rizikos egzistuoja, tai yra vardai, pavardės, gimimo datos, el. pašto adresai, prisijungimo slaptažodžiai, nors ir šifruoti, bet labai paprastu algoritmu, kurį nesunkiai galima iššifruoti. Matome riziką dėl tikrųjų vairuotojų pažymėjimų duomenų. Galbūt tai ne masinis reiškinys, bet gali būti suklastoti tam tikri vairuotojų pažymėjimai panaudojant visus tikruosius duomenis, tik įdedant kitas nuotraukas. Kiti asmenys gali pasinaudoti tais lietuviškais vairuotojų pažymėjimais“, – aiškino A. Paulauskas.

Kriminalinės policijos biuro viršininkas Rolandas Kiškis įvardijo, kad antradienį policija pradėjo dar du ikiteisminius tyrimus dėl portalo „Darni pora“ ir lažybų bendrovės „Orakulas“ vartotojų nutekintų duomenų. Tiriamos kelios versijos.

Anot A. Paulausko, į policiją iki šiol kreipėsi 169 asmenys, kurie informavo, kad jų duomenys buvo pavogti. „Kol kas duomenų, kad būtų įvykdytos nusikalstamos veikos su tais duomenimis, dar neturime. Reikia pripažinti faktą, kad duomenys paplitę plačiai ir ne vienas šimtas kopijų tos duomenų bazės šiandien jau yra padaryta. Tai negrįžtamas procesas“, – tikino policijos generalinio komisaro pavaduotojas.

Pasak jo, tai, kas matoma dabar, tėra ledkalnio viršūnė – nežinia, kiek dar duomenų nutekėjo, kurie yra jau parduoti ir paslapčia naudojami. Tačiau to niekada nepavyks sužinoti, o ateityje panašių incidentų tik daugės.

R. Kiškis taip pat atkreipė dėmesį, kad dar 2019 metais buvo atliktas tyrimas, išsiaiškinta, jog net 72 proc. apklaustųjų nežino, kaip įsivertinti saugumo spragas ir rizikas.

„Turėtų būti pagrindinis akcentas nukreiptas į prevencinę veiklą. Greičiausiai ir Vyriausybės lygmeniu, ne epizodiškai atskirose institucijose. Ką mes padarėme policijoje? Esame parengę koncepciją, ją pateiksime šią savaitę savo vadovybei. Iš vidinių resursų stipriname savo pajėgumus dėl kibernetinio saugumo“, – sakė R. Kiškis.

Kol nėra informacijos, nežinia, kokių pakitimų reikia

Valstybinės duomenų apsaugos inspekcijos (VDAI) vadovas Raimundas Andrijauskas atkreipė dėmesį, kad dar praėjusiais metais buvo atliekami patikrinimai, kaip tvarkomi duomenys automobilių nuoma užsiimančiose organizacijose. Buvo pateikta ir viešų rekomendacijų.

„Kontrolė priklauso nuo paties duomenų valdytojo. Mes suprantame, kad tam tikrų duomenų valdymo apimtys apibrėžtos atskiruose įstatymuose arba netgi reglamentuose. <...> Yra atskiras reglamente numatytų teisinių pagrindų sąrašas, mes jį vertiname. Tam tikrais atvejais nustatome, kad tų duomenų renkama arba kaupiama per daug, teikiami nurodymai ir taikomos netgi sankcijos. Vienas didžiausių pažeidimų buvo, kai mokėjimus inicijuojanti įmonė tvarkė per didelį kiekį asmens duomenų ir duomenų subjektai apie tai nebuvo informuojami. Sankcija buvo 62 tūkst. eurų. Vertiname pagal įmonės apyvartą ir turime atsižvelgti į tai, ar teismas po to patvirtins tokią sankciją“, – dėstė R. Andrijauskas.

Jis įvardijo, kad rekomendacijos verslui, kaip tinkamai įgyvendinti Bendrojo duomenų apsaugos reglamento nuostatas, yra pateiktos, taip pat paruoštos ir rizikų vertinimų gairės. Anot R. Andrijausko, pats duomenų valdytojas įsivertina, koks yra duomenų tvarkymo rizikos laipsnis, ir pagal tai taikomos atitinkamos priemonės.

Teisingumo ministrė Evelina Dobrovolska įvardijo šiuo metu nematanti galimų reguliavimo pakitimų dėl asmens duomenų apsaugos valdymo, nes kol kas nėra atsakymų dėl tų atvejų, kurie įvyko praėjusią savaitę. Tačiau ji sutiko, kad baudos turi būti atitinkančios pažeidimus ir atgrasančios nuo jų pasikartojimo.

„Ar iš tikrųjų buvo nusikalstama veika, ar buvo įmonės aplaidumas ir netinkamas reglamento taikymas ir apsaugos priemonių laikymasis, ar visgi įvyko abu elementai. Šito mes nežinome. <...> Tai ne Duomenų apsaugos inspekcijos, ne Teisingumo ministerijos, ne Vyriausybės, o duomenų valdytojų atsakomybė. Jie turi būti sąmoningi tiek dėl sankcijų, tiek dėl jau egzistuojančio reguliavimo“, – sakė E. Dobrovolska.

Pasak jos, kol kas laukiama atitinkamų institucijų išvadų dėl to, kas nutiko, – tik tada bus galima įvertinti teisinį reguliavimą ir ar reikia kažką keisti. LRT.lt primena, kad praėjusią savaitę paaiškėjo, jog kibernetinių įsilaužėlių lankomame forume „Raid Forums“ buvo paviešinti 3 metų senumo „CityBee“ duomenys. Tame pačiame forume per kelias dienas pasirodė ir 400 tūkst. pažinčių svetainės „Darni pora“ vartotojų duomenys bei apie 275 tūkst. lažybų bendrovės „Orakulas“ klientų informacija.