Valstybės sistemos sensta greičiau nei spėjama jas tvarkyti
Daugiau nei 600 tūkst. galimai nutekintų Registrų centro įrašų atvėrė ne tik kibernetinio saugumo spragas, bet ir seniai brendusią problemą – pasenusias valstybės sistemas. Registrų centro vadovas Adrijus Jusas sako, kad tam, jog jos atitiktų šiandienos saugumo standartus, reikėtų maždaug 50–60 mln. eurų investicijų, tačiau papildomo finansavimo valdžia iki šiol neskyrė.
„Dėl (prastos – BNS) sistemų būklės, mūsų vertinimu, reikia bendrai apie 50–60 mln. eurų, kad jos būtų visos tvarkingai paruoštos pagal šios dienos standartus“, – interviu BNS teigė Registrų centro vadovas[1].
Generalinė prokuratūra šiuo metu tiria galimus neteisėtus prisijungimus prie Registrų centro registrų. Skelbiama, kad galėjo būti pasisavinta daugiau nei 600 tūkst. įrašų, daugiausia – Nekilnojamojo turto registro išrašų. Juose buvo nurodyti žmonių vardai, pavardės, asmens kodai bei informacija apie nekilnojamąjį turtą.
Registrų centras tikina, kad finansiniai duomenys, banko sąskaitos ar kontaktinė informacija tarp nutekintų duomenų nepateko.
Įtariama, kad pasinaudota kitų institucijų darbuotojų paskyromis
Pasak A. Juso, į pačias Registrų centro sistemas įsilaužta nebuvo. Įtariama, kad duomenys buvo pasiekti naudojantis kompromituotomis kitų institucijų darbuotojų paskyromis. Būtent per jas galėjo būti pasiekta didelė dalis registrų informacijos. Vadovas teigia, kad tokios rizikos buvo vertintos jau anksčiau, tačiau ne visas papildomas apsaugos priemones pavyko įdiegti dėl finansavimo stokos.
Registrų centro vadovas taip pat pripažino, kad dalis naudojamų sistemų yra dešimties ar net keliolikos metų senumo. Anot jo, technologinė skola tampa viena didžiausių problemų, nes senos sistemos sunkiau atnaujinamos ir tampa pažeidžiamesnės kibernetinėms grėsmėms. Dalis stebėsenos įrankių, kurie būtų leidę greičiau pastebėti įtartiną veiklą, buvo pradėti diegti tik po incidento.
Ateityje esą planuojama stiprinti autentifikavimo priemones ir prie kai kurių sistemų leisti jungtis tik naudojant elektroninį parašą arba elektroninę tapatybę.
Tarp nutekėjusių duomenų – informacija apie žvalgybos pareigūnus
Tuo tarpu konservatorių lyderis Laurynas Kasčiūnas teigia, kad Registrų centro duomenų nutekinimo istorija gali būti susijusi ne tik su kibernetiniu nusikaltimu, bet ir su galima priešiškos valstybės žvalgybos operacija. Politiko teigimu, tarp galimai pavogtų duomenų gali būti ir informacija apie Lietuvos žvalgybos pareigūnus, karininkus, diplomatus, politikus bei kitus valstybės tarnautojus[2].
Anot jo, dėl viešojoje erdvėje trūkstamos informacijos visuomenei galėjo susidaryti klaidingas įspūdis apie incidento mastą, nors reali grėsmė gali būti kur kas didesnė ir tiesiogiai susijusi su nacionaliniu saugumu.
L. Kasčiūnas pabrėžia, kad nekilnojamojo turto duomenys apie žvalgybos pareigūnus ar aukštus valstybės pareigūnus gali būti itin jautrūs. Pasak jo, tikslūs gyvenamųjų vietų adresai gali sudaryti sąlygas stebėjimui, spaudimui ar net fizinio saugumo grėsmėms. Jis taip pat įspėjo, kad turint tokią informaciją galima analizuoti žmonių judėjimo įpročius, stebėti jų aplinką ar net organizuoti techninę stebėseną šalia gyvenamosios vietos.
Tiesa, kol kas teisėsauga viešai nėra patvirtinusi duomenų, jog incidentas būtų susijęs su užsienio žvalgybos veikla.
Paragino A. Jusą trauktis iš pareigų
Dar penktadienį pasigirdo raginimai Registrų centro vadovui A. Jusui trauktis iš pareigų – prie premjerės pozicijos prisijungė ir ekonomikos bei inovacijų ministras Edvinas Grikšas. Ministras teigė, kad visuomenė šioje situacijoje laukia ne pasiaiškinimų, o aiškios atsakomybės, nes Registrų centras yra atsakingas už valstybės duomenų apsaugą. Anot jo, jei paaiškėja, kad saugumo spragos nebuvo laiku suvaldytos, vadovybė turi prisiimti atsakomybę už nepriimtus sprendimus[3].
Ministerija taip pat signalizuoja, kad vien viešais raginimais ši istorija gali nesibaigti. Viceministras Darius Zailskas pareiškė, jog tuo atveju, jei A. Jusas pats neatsistatydins, sprendimų imsis ministerija. Tuo metu ministro komanda pabrėžė, kad atsakomybės pirmiausia reikalaujama iš įmonės vadovo, nes nauja Registrų centro valdyba darbą pradėjo tik šių metų balandį.
Pats E. Grikšas akcentavo, kad incidentas parodė ne tik saugumo spragas, bet ir nepakankamą pasirengimą galimoms kibernetinėms grėsmėms bei stoką lyderystės vertinant rizikas.
Norkūnas: daugiau milijonų problemos neišspręs
Į šią duomenų nutekinimo istoriją viešai sureagavo ir buvęs Vyriausybės IT sektoriaus darbuotojas Eimantas Norkūnas, kuris sukritikavo po incidento pasigirdusius svarstymus apie papildomų milijonų poreikį sistemoms.
„Mūsų viešajame sektoriuje yra tik dvi problemos – per daug pinigų ir per mažai kompetencijų. Visuose projektuose, kuriuose dirbau, stebėjau tą patį – kai atsirasdavo kompetencijos, pinigų poreikis krisdavo kartais, o darbų kokybė šaudavo į viršų“, – savo feisbuko paskyroje rašė E. Norkūnas.
Anot jo, pagrindinis prioritetas turėtų būti stiprių IT specialistų komandų formavimas, o ne naujų finansinių poreikių deklaravimas.
E. Norkūnas taip pat kritiškai įvertino dabartinės valdžios požiūrį į skaitmenizavimą. Jo teigimu, šiandien beveik visos valstybės institucijos jau yra tapusios IT organizacijomis, tačiau valdžioje vis dar trūksta žmonių, kurie iš tiesų suprastų technologijų svarbą ir veikimo principus. Jis abejojo, ar viešasis sektorius šiuo metu apskritai pajėgus pritraukti aukšto lygio specialistus.
Jis taip pat paragino Registrų centrą aktyviau komunikuoti apie situaciją, perspėdamas, kad priešingu atveju viešąją erdvę užpildys interpretacijos, kurios pačiai institucijai gali būti dar labiau žalingos.
Pradėtas didelio mąsto tyrimas
Generalinė prokuratūra pradėjo ikiteisminį tyrimą dėl galimo neteisėto prisijungimo prie Registrų centro sistemų ir su tuo susijusių kibernetinių nusikaltimų. Tyrimo duomenimis, iš užsienio valstybės bei per kitų institucijų sistemas galėjo būti vykdyti keli neteisėti prisijungimai prie valstybės registrų[4].
Įtariama, kad nusikaltėliai galėjo nukopijuoti daugiau nei 600 tūkst. registrų įrašų, o pagrindinis taikinys buvo Nekilnojamojo turto ir Juridinių asmenų registrų duomenys. Pirminiais vertinimais, žala gali siekti daugiau nei 111 tūkst. eurų.
Po incidento institucijos ėmėsi papildomų saugumo priemonių – buvo užblokuotos įtariamos vartotojų paskyros, apribotos prieigos bei sustiprintos prisijungimo kontrolės priemonės. Registrų centras teigia, kad galimai buvo pasinaudota vieno duomenų gavėjo prisijungimo duomenimis, per kuriuos formuoti Nekilnojamojo turto registro išrašai.
Įstaiga pabrėžė, kad kontaktiniai duomenys, banko sąskaitos ar dokumentai, tokie kaip turto perleidimo sutartys ar teismų sprendimai, nebuvo atskleisti, tačiau gyventojai raginami išlikti budrūs dėl galimų sukčiavimo bandymų.
Paskelbė 42,5 mln. eurų vertės IT specialistų pirkimą
Tuo tarpu dar visai neseniai – vasario pradžioje – Registrų centras paskelbė vieną didžiausių pastarųjų metų valstybės IT pirkimų, kurio preliminari vertė siekia 42,5 mln. eurų. Įstaiga ieško programuotojų, sistemų analitikų, testuotojų, „DevOps“ specialistų bei kitų IT profesionalų komandų, kurios padėtų stiprinti registrų ir informacinių sistemų veiklą bei užtikrinti spartesnę skaitmeninių paslaugų plėtrą. Pirkimas suskirstytas į 24 atskiras kategorijas, leidžiančias dalyvauti tiek didelėms, tiek nišinėms IT bendrovėms.
Registrų centras paskelbė apie planus dinaminę pirkimų sistemą taikyti iki 2030 metų, o konkretūs užsakymai tiekėjams būtų teikiami pagal poreikį. Toks modelis turėtų suteikti daugiau lankstumo greičiau reaguojant į technologinius pokyčius ir stiprinant vidinius IT pajėgumus.
