Tinklaraštininkas Skirmantas Malinauskas paskelbė, kad pernai iš privačios klinikos „Rezus“ galėjo nutekėti daugiau kaip 3,5 mln. gyventojų sveikatos duomenų išrašų. Tyrimą pradėjusios Valstybinės duomenų apsaugos inspekcijos (VDAI) vertinimu, daugėjant kibernetinių atakų prieš sveikatos priežiūros sektorių, darosi aišku, kad vien techninių priemonių gyventojų duomenims apsaugoti nebepakanka.
Apie didelio masto asmens duomenų vagystę iš „Rezus“ S. Malinauskas pranešė birželio pabaigoje jo „YouTube“ kanale pasirodžiusioje laidoje.
Apie fiksuotą duomenų saugumo incidentą Eltai patvirtino klinikos atstovai. Jų teigimu, buvo atliktas vidinis situacijos vertinimas bei imtasi papildomų saugumo priemonių.
„Patvirtinu, kad 2025 metais „Rezus.lt“ įmonėje buvo nustatytas duomenų saugumo incidentas. Apie incidentą buvo informuota VDAI ir Nacionalinis kibernetinio saugumo centras (NKSC), laikantis galiojančių teisės aktų ir nustatytų procedūrų reikalavimų“, – atsakyme Eltai teigė klinikos kokybės vadybininkė Aušra Jonavičė.
„Nuo pat incidento nustatymo momento bendradarbiavome su atsakingomis institucijomis, atlikome vidinį situacijos vertinimą, kreipėmės pagalbos į paslaugų teikėjus, įgyvendinome papildomas technines priemones duomenų apsaugai sustiprinti“, – priduriama atsakyme.
Vis dėlto, S. Malinausko teigimu, klinikos sistemoje saugoti gyventojų sveikatos duomenys, tikėtina, iki šiol gali būti prieinami ir kitų valstybių žvalgybos institucijoms.

„Apie tai buvo pranešta NKSC, tačiau tai nereiškia, kad tų duomenų niekas neturi ir prie jų negalima prieiti – ypač, jeigu mes kalbame apie tokias institucijas, kaip užsienio žvalgybos. Be jokios abejonės, tai yra labai, labai lengvai pasiekiami duomenys“, – laidoje „Viskas įskaičiuota“ kalbėjo tinklaraštininkas.
Birželio 21 d. laidos įraše matyti, kad interneto platybėse po incidento yra neva pasiekiami ir šalies politikų – konservatorių lyderio Lauryno Kasčiūno, paskirtojo premjero Mindaugo Sinkevičiaus bei šalies vadovo Gitano Nausėdos sveikatos išrašai.
NKSC informuota pernai gegužę
NKSC vadovas Antanas Aleknavičius Eltai sakė, kad pernai gegužę iš fizinio asmens buvo gautas pranešimas apie bendrovei „Kraujo laboratorija“ priklausančios informacinės sistemos spragą bei galimą jos išnaudojimą neteisėtai pasisavinant ten buvusius gyventojų sveikatos duomenis.
„NKSC, laikydamasis teisės aktų, iš karto inicijavo pažeidžiamumo šalinimo koordinavimą ir informavo apie incidentą VDAI bei policiją. Pagrindinė NKSC veiklos kryptis šio konkretaus incidento atveju buvo pranešėjo identifikuotos kibernetinės spragos užkardymas“, – atsakyme Eltai nurodė jis.
„Galimai nutekėjusių asmens duomenų NKSC nenagrinėjo, nes asmens duomenų saugojimo pažeidimus nagrinėja VDAI, kuriai apie šį atvejį buvo pranešta iškart“, – teigė A. Aleknavičius.
Vien techninių apsaugos priemonių nepakanka
Savo ruožtu VDAI atstovai Eltai patvirtino, kad tyrimas dėl įsilaužimo į „Rezus“ sistemą pradėtas pernai gegužę.
„Informuojame, kad informacija apie asmens duomenų saugumo pažeidimą (ADSP) buvo gauta 2025 m. gegužės 28 d. Inspekcija, įvertinusi pranešime pateiktą informaciją apie įvykusį ADSP, VDAI pradėjo tikrinimą savo iniciatyva“, – atsakyme Eltai nurodė inspekcija.
VDAI vertinimu, panašaus pobūdžio incidentai kyla dėl nepakankamai užtikrinto kibernetinio saugumo lygio gyventojų duomenis saugančiose įstaigose.
„Pasenusios informacinės sistemos, ne visada laiku diegiami saugumo atnaujinimai, nepakankamas tinklų segmentavimas ir silpna prieigos teisių kontrolė“, – vardijo VDAI.

Vis dėlto, inspekcijos teigimu, žmogiškasis faktorius išlieka viena esminių priežasčių, lemiančių, kad dalis darbuotojų tampa sukčiavimo ar kibernetinių atakų aukomis. Taip pat nurodoma, kad iššūkius kelia ir trečiųjų šalių bei paslaugų tiekėjų rizikos valdymas, kuomet organizacijos „nepakankamai įvertina partnerių taikomas saugumo priemones“.
„Pastaruoju metu daugėjant kibernetinių atakų prieš sveikatos priežiūros sektorių, akivaizdu, kad vien techninių apsaugos priemonių nepakanka“, – akcentuoja VDAI.
Birželį bandyta įsilaužti į SAM pavaldžios įstaigos sistemą
ELTA primena, kad birželio pradžioje visuomenei pranešta, jog mėnesio pradžioje bandyta įsilaužti į Sveikatos apsaugos ministerijai (SAM) priklausančios Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos (VASPVT) informacinę sistemą.
Laikinoji SAM vadovė Marija Jakubauskienė tuomet teigė, kad kibernetinis incidentas buvo suvaldytas. Vis tik, kaip vėliau pranešė ministerija, piktavaliams galėjo būti pasiekiama daugiau kaip 62 tūkst. sveikatos priežiūros specialistų duomenų įrašų.

Taip pat birželio pabaigoje VDAI pranešė medicinos klinikų tinklui „InMedica“ skyrusi 450 tūkst. eurų baudą už asmens duomenų saugumo pažeidimus. Inspekcijos teigimu, tiek minėtoje įstaigoje, tiek jai priklausančioje „Kardiolitoje“ patikrinimų metu fiksuoti pažeidimai, susiję su netinkamo autentifikavimo priemonėmis bei nepakankamu jautrių gyventojų duomenų saugos užtikrinimu.
Į klausimą, kiek tiksliai „Rezus“ sistemoje esančių duomenų galėjo būti pasiekiama piktavaliams bei kodėl apie šį incidentą iki šiol nebuvo pranešta viešai, NKSC, „Rezus“ ir VDAI komentuoti atsisakė dėl, kaip nurodė, tebevykstančio vidinio tyrimo.
Žada imtis griežtesnių duomenų saugos priemonių
Po incidentų SAM nurodė parengusi rekomendacijas dėl greito poveikio priemonių.
„Siekdama apsaugoti pavaldžias įstaigas nuo kibernetinių incidentų SAM parengė rekomendacijas dėl greito poveikio priemonių. Taip pat Seime užregistruotas strateginis įstatymų pataisų paketas, kuris iš esmės pakeis šalies E. sveikatos ekosistemos valdymą, užtikrins jos stabilumą ir padės gydymo įstaigoms apsaugoti savo posistemes nuo kibernetinių grėsmių“, – nurodoma atsakyme Eltai.
Pagrindinis valstybės įmonės lygmens E. sveikatos tvarkytojas Registrų centras (RC) tvirtina, jog įvedant papildomas duomenų teikimo kontroles priemones bus siūloma koreguoti teisės aktus – reikalaujant, kad visose įstaigose, kurios dalijasi duomenimis su E. sveikata, būtų užtikrintos kvalifikuotos autentifikavimo priemonės.

„RC žiniomis, dalis įstaigų įsidiegs papildomus kibernetinio saugumo sprendimus dar šiais metais. Papildomai, RC savo prižiūrimoje E. sveikatos dalyje dar šiemet įdiegs duomenų teikimo kontrolės priemonės. Rekomendacijos dėl šių kontrolės priemonių taip pat bus pateiktos ir sveikatos priežiūros įstaigų sistemas prižiūrintiems paslaugų teikėjams“, – sakoma atsakyme.
Vis dėlto bendrame SAM ir RC atsakyme nurodoma, kad nepaisant to, jog RC prisiima atsakomybę už centrinės sistemos dalies saugumo užtikrinimą, pačios sveikatos priežiūros įstaigos bei jų vidines sistemas prižiūrintys paslaugų tiekėjai turi pasirūpinti, jog pacientų ir gydymo įstaigų jautrūs duomenys būtų tinkamai apsaugoti.






