Pareščius: baudos buvo galima išvengti
Vienas, atrodytų, paprastas saugumo sprendimas gali kainuoti šimtus tūkstančių eurų. Būtent tokią pamoką, pasak kibernetinio saugumo eksperto Mariaus Pareščiaus, iliustruoja naujausias Valstybinės duomenų apsaugos inspekcijos (VDAI) sprendimas.
„VDAI ką tik skyrė vieną didžiausių BDAR baudų Lietuvos istorijoje medicinos tinklui „InMedica“ (buvusi „Kardiolita“, dabar „Meliva“). Priežastis – ne kokia egzotiška kibernetinė ataka, o dalykas, kurį kiekvienas iš mūsų naudojame kasdien banke: kelių veiksnių autentifikavimas (MFA)“, – nurodė M. Pareščius[1].
Anot eksperto, prie sprendimo skirti 450 tūkst. eurų baudą prisidėjo du rimti kibernetinio saugumo incidentai. Pirmuoju atveju įsilaužėlis, tamsiajame internete įsigijęs darbuotojos slaptažodį, prisijungė prie pacientų duomenų sistemos, o antruoju išpirkos virusas užšifravo keturias sistemas, kuriose buvo saugomi pacientų ir darbuotojų duomenys. M. Pareščiaus teigimu, abiem atvejais nebuvo įdiegtas MFA, nepakankamai ribota prieiga prie sistemų, o naudojami silpni slaptažodžiai.
Ekspertas pabrėžia, kad organizacijos, tvarkančios sveikatos ar kitus jautrius asmens duomenis ir leidžiančios darbuotojams jungtis prie sistemų iš išorės be MFA, rizikuoja pažeisti BDAR reikalavimus. Jis taip pat atkreipė dėmesį, kad panašių saugumo spragų neseniai nustatyta ir Registrų centre, tačiau valstybės institucijoms taikomos gerokai mažesnės maksimalios baudos nei privačiam verslui.
„MFA įdiegimas kainuoja kelias dienas darbo. Jo nebuvimas – šešiaženklę baudą ir pacientų pasitikėjimą“, – pridūrė ekspertas.
VDAI: medicinos tinklas neužtikrino tinkamos pacientų duomenų apsaugos
Valstybinė duomenų apsaugos inspekcija (VDAI), išnagrinėjusi bylą dėl UAB „InMedica“, konstatavo, kad bendrovė pažeidė Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus ir skyrė 450 tūkst. eurų administracinę baudą[2].
Tyrimas pradėtas po dviejų atskirų 2024 m. užfiksuotų asmens duomenų saugumo pažeidimų – vienas jų buvo susijęs su neteisėtu prisijungimu prie pacientų informacinės sistemos, kitas – su išpirkos programinės įrangos (ransomware) ataka, paveikusia bendrovės informacines sistemas. VDAI abi aplinkybes išnagrinėjo vienoje administracinėje byloje.
Sprendime konstatuojama, kad bendrovė nebuvo įgyvendinusi tinkamų techninių ir organizacinių priemonių, kurios užtikrintų tvarkomų asmens, įskaitant specialių kategorijų sveikatos, duomenų saugumą. VDAI nustatė, jog daliai naudotojų buvo sudaryta galimybė prie sistemų jungtis iš išorės nenaudojant kelių veiksnių autentifikavimo (MFA), nepakankamai ribota prieiga prie informacinių sistemų, naudoti nepakankamai saugūs slaptažodžiai ir nepakankamai valdytos su nuotoline prieiga susijusios rizikos.
Kaip nurodoma išvadose, skirdama baudą, Inspekcija įvertino pažeidimų pobūdį, trukmę, tai, kad buvo tvarkomi jautrūs sveikatos duomenys, bei galimą poveikį dideliam skaičiui duomenų subjektų.

Valstybiniai skandalai tyla ir nutyla?
Tuo tarpu, kol privataus verslo klaidos stebimos po padidinamuoju stiklu, Seimas birželio pabaigoje nusprendė nebesvarstyti siūlymo sudaryti laikinąją tyrimo komisiją dėl iš Registrų centro pavogtų dalies gyventojų duomenų[3].
Klausimas iš parlamento darbotvarkės buvo išbrauktas socialdemokratų frakcijos siūlymu – už tai balsavo 71 Seimo narys, prieš buvo 42, dar trys susilaikė. Iniciatyvą buvo pateikę konservatorių, demokratų ir liberalų atstovai, o pakoreguotam nutarimo projektui praėjusią savaitę po pateikimo parlamentarai buvo pritarę.
Siūlyta komisija būtų aiškinusis, ar Registrų centro ir kitų atsakingų institucijų taikytos kibernetinio saugumo priemonės buvo pakankamos, kodėl visuomenė apie duomenų vagystę informuota tik po kelių mėnesių ir kas priėmė sprendimą apie incidentą nepranešti nukentėjusiems gyventojams. Generalinė prokuratūra gegužę pranešė tirianti daugiau kaip 600 tūkst.
Nekilnojamojo turto registro įrašų, įskaitant asmens kodus, pasisavinimą. Teisėsaugos duomenimis, neteisėti prisijungimai buvo vykdomi naudojantis iš užsienio pasisavintomis Migracijos departamento darbuotojų paskyromis.