Praėjusį penktadienį paskelbus, kad teisėsauga vykdo tyrimą dėl 600 tūkst. duomenų nutekinimo iš Registrų centro, žmonės nuogąstauja, kodėl visuomenei apie tai nebuvo pranešta anksčiau, jei duomenys vogti jau sausį. Be to, kyla klausimų, kaip pro akis buvo galima praleisti tokio masto incidentą, ir kas laukia toliau. LRT kviečia prisiminti kitus didžiausius duomenų nutekėjimus ir kaip rutuliojosi šios istorijos.
Nors kibernetinio saugumo ekspertai anksčiau LRT.lt komentavo, kad Registrų centro duomenys kol kas nėra aptinkami juodajame internete, remiantis ankstesniais metais įvykusiais incidentais, pavogta informacija buvo ne tik paviešinta, bet ir pardavinėjama ar už ją reikalauta išpirkos.
STRAIPSNIS TRUMPAI
- 2021 m. vasario mėnesį paaiškėjo net 4 dideli duomenų nutekinimai. Bendrai galėjo būti paveikta maždaug 1,4 mln. interneto vartotojų.
- Kolektyvinį ieškinį pateikę žmonės 2024 m. iš „CityBee“ prisiteisė 103 tūkst. eurų.
- Registrų centrui galimai bus skirta 60 tūkst. eurų bauda – tai didžiausia bauda, kuria galima nubausti valdžios instituciją.
Štai didžiausi duomenų nutekinimo incidentai (išdėstyti nuo naujausio iki seniausio).
TAMO
2023 m. pabaigoje ir 2024 m. pradžioje tamsiajame internete nusikaltėlių buvo paviešintas nutekintų prisijungimo duomenų rinkinys. Jis apėmė apie 17 mlrd. duomenų arba 120 tūkst. įrašų, tarp jų – ir TAMO vartotojų duomenis. Pavogti prisijungimo duomenys, naudotojų vardai ir slaptažodžiai.
Nacionalinis kibernetinio saugumo centras (NKSC) teigė, kad duomenys buvo nutekinti iš galutinių TAMO vartotojų – mokytojų, tėvų, mokinių – asmeninių įrenginių, t. y. kompiuterių ar telefonų. Gali būti, kad dalis paskyrų jau buvo nebenaudojamos, nes kai kurie mokiniai, pavyzdžiui, jau buvo baigę mokyklą.
Tiksliai pasakyti, kiek metų buvo vagiami duomenys, Kibernetinio saugumo centras negalėjo įvardyti. Tačiau, anot buvusio NKSC vadovo Liudo Ališausko, tai galėjo trukti ir dešimt, ir daugiau metų.
IT įmonė
2022 m. gegužę Valstybinė duomenų apsaugos inspekcijos (VDAI) skyrė 35 tūkst. eurų administracinę baudą IT bendrovei, kurios pavadinimas neatskleidžiamas, po to, kai gavo pranešimą apie asmens duomenų saugumo pažeidimą. Tai turėjo įtakos daugiau kaip 130 000 duomenų subjektų (vartotojų) asmens duomenų konfidencialumui.
Tikrinimo metu nustatyta, kad incidentas įvyko, kai pasinaudojus IT bendrovės darbuotojo paskyros prisijungimo duomenimis prie elektroninės parduotuvės valdymo panelės, buvo prisijungta prie elektroninės parduotuvės, kuri buvo pasiekiama iš išorinio tinklo. Tuomet buvo įkelta kenkėjiška rinkmena (.gif), kuria serveris užkrėstas virusu ir tokiu būdu nutekinti IT bendrovės klientų duomenys.
„CityBee“
2021 m. vasario mėn. viešojoje erdvėje pasirodė informacija apie įvykusį „CityBee“ klientų asmens duomenų saugumo pažeidimą.
Išaiškinta, kad 2018 m. vasario 27 d. sukurtas ir viešai forume „Raid Forums“ paskelbtas bendrovės klientų asmens duomenų rinkinys CSV formatu. Atskleisti ir viešai paskelbti daugiau nei 110 tūkst. „CityBee“ vartotojų duomenys. Faile atviru tekstu buvo laikomi šie saugumo požiūriu didesnės rizikos asmens duomenys: asmenų vardai, pavardės, adresai, telefono numeriai, el. pašto adresai, asmens kodai, vairuotojo pažymėjimo numeriai, mokėjimo kortelės tipas, paskutiniai 4 mokėjimo kortelės numeriai.
Nukentėjusiesiems pateikus kolektyvinį ieškinį, 2024 m. Apeliacinis teismas nusprendė, kad „CityBee“ turės atlyginti 103 tūkst. eurų neturtinę žalą 350 įmonės klientų, kurie pateikė ieškinį (beveik po 300 eurų kiekvienam). Teismo teigimu, skundą pateikęs Vartotojų aljansas tinkamai pagrindė, kodėl žmonės, nutekinus jų duomenis, patyrė neturtinės žalos – jie patyrė neigiamų išgyvenimų ir nerimo dėl duomenų paviešinimo, neteisėto perdavimo kitiems asmenims ir panašiai.
Nacionalinis kibernetinio saugumo centras atlikęs tyrimą konstatavo, kad duomenys galėjo būti paviešinti dėl netinkamo debesijos paslaugų administravimo.
„Darni pora“
Savaitė, kai buvo paskelbti „CityBee“ klientų duomenys, įėjo į istoriją dėl dar net trijų pranešimų apie duomenų nutekinimą.
Tame pačiame duomenų bazių dalijimosi forume, kuriame buvo paviešinti „CityBee“ vartotojų duomenys, pasirodė ir nutekinti 400 tūkst. pažinčių portalo „Darni pora“ vartotojų duomenys.
Nustatyta, kad 2016 metų duomenų bazė forume buvo paviešinta 2020 metų rugpjūtį. Nemokamai paskelbti vardai, pavardės, el. pašto adresai, slaptažodžiai. Kartu teigta, esą papildomai galima įsigyti daugiau informacijos apie pažinčių portalo lankytojus – vardus, telefonų numerius, sužinoti išsilavinimą, pomėgius, ūgį ar svorį, pamatyti bent dalį susirašinėjimų.
Įmonės atstovai teigė, esą informacija buvo pavogta dar 2016-aisiais. Tačiau anot jų, nuo 2018 m. svetainė atnaujinta, taip pat įdiegta daug kitų papildomų saugumo mechanizmų, tad nuo to laiko įsilaužimų nebuvo.
„Filmai.in“
Tą pačią 2021 m. dieną pasirodė informacija ir apie tai, kad paviešinti beveik 650 tūkst. nelegaliai veikiančios svetainės „Filmai.in“ vartotojų slaptažodžių ir kitų prisijungimo duomenų. Kaip buvo skelbta, „Filmai.in“ vartotojų duomenis saugojo atviro, nešifruoto teksto pavidalu. Duomenys paskelbti tame pačiame forume kaip ir kitų tą pačią savaitę nutekintų „CityBee“, „Orakulo“ ir „Darni Pora“ paslaugų naudotojų duomenys.
„Orakulas“
Pardavinėjami buvo ir daugiau nei 257,5 tūkst. buvusios lažybų bendrovės „Orakulas“ klientų duomenys: el. paštai ir slaptažodžiai. Duomenis buvo siūloma pirkti už 100 JAV dolerių bitkoinais, tačiau norint įsigyti didesnį duomenų rinkinį galima buvo pakloti ir 1,5 tūkst. dolerių bitkoinais.
„Orakulą“ 2015 m. įsigijo „Olympic Casino Group Baltija“. Bendrovės vadovas tuo metu žiniasklaidai teigė, kad paviešinta sena „Orakulo“ duomenų bazė, kuri neturi nieko bendro su „OlyBet“ prekių ženklo, kurį valdo bendrovė, duomenų baze.
„Grožio chirurgija“
2017 m. išaiškėjo, kad į klinikos „Grožio chirurgija“ sistemas įsilaužę piktavaliai pavogė labai jautrius bendrovės duomenis: pacientų nuotraukas ir kitą asmeninę informaciją apie gydymą. Jie šantažavo įmonę ir nukentėjusius pacientus išsipirkti pavogtus duomenis. Iš „Grožio chirurgijos“ reikalauta 500 tūkst. eurų vertės bitkoinų, iš klinikos klientų – nuo 50 iki 800 eurų.
Nusikalstamos veikos organizatoriai, naudodamiesi „Tor“ tinklu, paskelbė 35 grožio klinikos klienčių vardus ir pavardes, jų nusiskundimus, atliktas procedūras, konsultavusius gydytojus, nuotraukas prieš ir po, kitus duomenis, kaip gautos informacijos pavyzdžius. Skelbta, kad iš viso nutekėjo daugiau nei 22 tūkst. klinikos klientų duomenys.
Ši istorija, prasidėjusi Kauno apygardos teisime, nukeliavo iki Lietuvos Aukščiausiojo Teismo ir atomazgą pasiekė tik pernai.
Įvardyti trys kaltinamieji, kurių vienas Eugenijus Čiuplevičius anksčiau yra dirbęs klinikoje „Grožio chirurgija“. E. Čiuplevičius bylos nagrinėjimo metu namuose rastas negyvas, tad baudžiamasis persekiojimas jo atžvilgiu buvo nutrauktas. Nukentėjusiuoju byloje pripažinta ir klinika „Grožio chirurgija“.
Nusikaltę asmenys kreipėsi į Kasacinį teismą su prašymu sumažinti savo civilinės atsakomybės apimtį, remdamiesi tuo, kad nukentėjęs juridinis asmuo neva buvo aplaidus ir neužtikrino asmens duomenų saugumo. Tačiau teisėjų kolegija šį skundą atmetė.
Kam skirtos didžiausios baudos?
LRT.lt pasiteiravo Valstybinės duomenų apsaugos inspekcijos, kokias didžiausias baudas ji yra skyrusi už duomenų saugos reikalavimų nesilaikymą.
Inspekcija nurodė, kad didžiausia administracinė bauda 2024 m. buvo skirta internetinę dėvėtų drabužių prekybos ir mainų platformą „Vinted“ valdančiai UAB „Vinted“. Ji nubausta 2 385 276 eurų bauda. Tiesa, nuobauda skirta ne už duomenų nutekėjimo incidentą, o už tai, kad bendrovė galimai netinkamai įgyvendino Prancūzijos ir Lenkijos pareiškėjų prašymus dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) ir teisės susipažinti su duomenimis.
Didžiausia bauda, specifiškai susijusi su duomenų nutekinimo incidentu, skirta platformą „CityBee“ valdančiai UAB „Prime Leasing“. Pranešama, kad dėl anksčiau minėtų pažeistų BDAR nuostatų, reglamentuojančių asmens duomenų tvarkymo saugumą, VDAI 2021 m. lapkričio mėn. sprendimu jai skyrė 110 tūkst. eurų administracinę baudą.
2019 m. UAB „MisterTango“ skirta 61 500 eurų bauda dėl duomenų saugumo pažeidimo ir nebendradarbiavimo su priežiūros institucija. Valstybinė duomenų apsaugos inspekcija atliko tyrimą ir skyrė baudą, atsižvelgdama į gautą informaciją apie paviešintus bankų klientų asmens duomenis bei galimai įvykusį asmens duomenų saugumo pažeidimą, apie kurį nebuvo pranešta.
Anot VDAI, kitos skirtos administracinės baudos yra iki 20 tūkst. eurų.
Antradienį VDAI direktorės pavaduotoja Danguolė Morkūnienė žurnalistams teigė, kad bauda Registrų centrui gali siekti 60 tūkst. eurų. LRT.lt pasiteiravus, kodėl šiai įstaigai numatoma tokia maža bauda, VDAI teigė, kad skiriamos administracinės baudos kiekvienu konkrečiu atveju pagal BDAR turi būti veiksmingos, proporcingos ir atgrasomos. Jos gali siekti, priklausomai nuo konkretaus atvejo aplinkybių, iki 2–4 proc. įmonės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000–20 000 000 eurų (BDAR 83 str.).
Tačiau ji pabrėžė, kad administracinių baudų dydžius valdžios institucijai ar įstaigai nustato ne BDAR, o Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (ADTAĮ).
„Pagal ADTAĮ 33 str. valdžios institucijai ar įstaigai, pažeidusiai duomenų valdytojo ir tvarkytojo su asmens duomenų saugumo pažeidimu susijusias prievoles, VDAI turi teisę skirti administracinę baudą iki 1 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę nei 60 tūkst. eurų“, – rašoma LRT.lt atsiųstame paaiškinime.
Kibernetinių nusikaltimų dinamika Lietuvoje
Kibernetinių incidentų apžvalga kasmet pateikiama Nacionalinėje kibernetinio saugumo ataskaitoje. Naujausioje ataskaitoje teigiama, kad Lietuvoje pernai vyravo vidutinis kibernetinių grėsmių lygis, tačiau situacija lieka įtempta, nes daugiau nei pusė sistemų – pažeidžiamos.
Centro teigimu, kibernetinių grėsmių lygis šalyje įvertintas geltona spalva, ja nusakomas vidutinis grėsmės lygis, fiksuojamas padidėjęs kibernetinis aktyvumas, nustatomi pavieniai reikšmingesni incidentai, pažeidžiamumai ar duomenų nutekėjimai.
Tai antras saugumo lygis, žemas grėsmių lygis žymimas žalia spalva, aukštesni lygiai – oranžine ir raudona.
2025 m. NKSC užregistravo 2888 kibernetinius incidentus, iš kurių 19 buvo priskirti dideliems, 380 – nedideliems ir 2489 – vos neįvykusiems incidentams. NKSC tokį pasiskirstymą vertina teigiamai, kadangi didelių incidentų registruota nedaug, nedidelių incidentų kiekis buvo pakankamai reikšmingas, bet šių incidentų padariniai dažniausiai didelės žalos nesukėlė, o didžiąją dalį sudarė vos neįvykę incidentai, kurie buvo laiku užkardyti ir jokios įtakos neturėjo. Palyginti su 2024 m., kai buvo užregistruoti 3874 kibernetiniai incidentai, 2025 m. fiksuojamas bendro incidentų skaičiaus sumažėjimas 25 proc.
NKSC vertinimu, incidentų skaičiaus sumažėjimas negali būti vertinamas vienareikšmiškai, nes įtakos galėjo turėti kelios priežastys. NKSC blokuojamų domenų valdymo sistemoje „Vasaris“ užblokavo virš 70 tūkst. žalingų domenų ir taip apsaugojo daugybę Lietuvos interneto naudotojų nuo socialinės inžinerijos keliamų grėsmių. NKSC matomas organizacijų sąmoningumo didėjimas ir diegiamos apsaugos priemonės, padedančios laiku aptikti grėsmes ir užkirsti kelią incidentams, yra dar viena teigiama incidentų mažėjimo priežastis.
Pernai – 106 tūkst. nutekintų prisijungimo duomenų
2025 m. NKSC nustatė daugiau nei 106 tūkst. nutekintų prisijungimo duomenų, identifikuotų viešuosiuose ir uždaruose informacijos šaltiniuose, ir apie tai informavo 221 organizaciją – išsiuntė beveik 3000 pranešimų (2024 m. – 2000).
Nutekintų duomenų mastui išliekant dideliam, pagrindinės priežastys nesikeičia – dominuoja žmogiškasis faktorius ir kenkimo programinės įrangos (angl. Malware) tipas vartotojų duomenims slapta rinkti ir perduoti kibernetiniams piktavaliams. Nutekinti duomenys sudaro sąlygas tolesnėms plataus masto kibernetinėms atakoms.
Organizacijos vis plačiau diegia papildomas apsaugos priemones, siekdamos sumažinti neteisėtos prieigos riziką ir sustiprinti bendrą saugumo lygį. Viena efektyviausių priemonių išlieka dviejų žingsnių autentifikavimas. Jis reikšmingai sumažina neteisėtos prieigos tikimybę ir padeda užkirsti kelią galimam duomenų nutekėjimui
Asmens duomenų saugos pažeidimai
2025 m. VDAI gavo 223 pranešimus apie ADSP, 18 proc. mažiau nei 2024 m. VDAI teigimu, teigiamą įtaką tam galėjo turėti įsigaliojusi nauja Kibernetinio saugumo įstatymo (toliau – KSĮ) redakcija, taip pat praplėstas kibernetinio saugumo subjektų sąrašas, aiškiai reglamentuotos techninės ir organizacinės priemonės, taip pat reguliariai VDAI vykdoma švietimo veikla. 2025 m. 29 proc. ADSP įvyko dėl kibernetinių incidentų, tačiau jų metu buvo paveikti net 57 proc. duomenų subjektų (iš viso 713 644), t. y. daugiau nei pusė iš visų 2025 m. paveiktų asmenų, duomenys.
VDAI įvertinus 2025 m. duomenis ir Lietuvoje bei pasaulyje vyraujančias tendencijas, darytina išvada, kad socialinės inžinerijos ir duomenų viliojimo atakos sėkmingos dėl vis dar nepakankamo darbuotojų gebėjimo atpažinti socialinės inžinerijos požymius, papildomų tapatybės autentifikavimo priemonių netaikymo, įgalinančio pasinaudoti išviliotais prisijungimo duomenimis, tiekimo grandinių pažeidžiamumą ir nepakankamą trečiųjų šalių kontrolę.
