Po duomenų vagystės – raginimas skubiai atlikti auditą
Po didžiulį atgarsį sukėlusios duomenų vagystės iš Registrų centro Seime siekiama kuo skubiau inicijuoti auditą. Tačiau Valstybės kontrolė perspėja – toks planas šiuo metu yra sunkiai įgyvendinamas. Pasak institucijos vadovės Irenos Segalovičienės, iki spalio 10-osios kokybiškai atlikti auditą neleistų nei laiko, nei finansinių, nei žmogiškųjų išteklių trūkumas.
Valstybės kontrolės vadovė Seimo Audito komitete paragino parlamentarus nepritarti siūlymui įpareigoti instituciją per tokį trumpą laiką atlikti išsamų Registrų centro veiklos auditą[1].
„Kviečiu Audito komitetą (…) nepritarti šiam nutarimo projektui. Aukščiausia audito institucija negali prisiimti politinių pavedimų, kurių objektyviai neįmanoma atlikti užtikrinant teisės aktuose ir tarptautiniuose audito standartuose įtvirtintą audito kokybę“, – Seimo Audito komiteto posėdyje ketvirtadienį kalbėjo I. Segalovičienė.
Anot jos, per tokį trumpą laiką atlikti visapusišką auditą pagal visus kokybės reikalavimus nėra įmanoma, todėl siūlomas terminas yra nerealistiškas.

Trūksta ekspertų ir pinigų
I. Segalovičienė pabrėžė, kad Valstybės kontrolė neturi reikiamų kibernetinio saugumo ir incidentų tyrimų specialistų, todėl tokiems auditams būtina samdyti išorės ekspertus. Vien viešųjų pirkimų procedūros, reikalingos tokioms paslaugoms įsigyti, užtruktų mažiausiai du–tris mėnesius, todėl audito užbaigti iki Seimo numatyto termino, jos teigimu, nėra galimybių.
Papildoma kliūtis – finansavimas. Šių metų biudžete lėšų tokiam auditui nenumatyta, o išorės ekspertų paslaugos, pasak Valstybės kontrolės vadovės, galėtų kainuoti daugiau nei 100 tūkst. eurų. Jos vertinimu, šiuos pinigus būtų naudingiau investuoti į Registrų centro technologinio atsparumo ir kibernetinio saugumo stiprinimą, o ne dar kartą tirti jau žinomas aplinkybes.
Ji taip pat priminė, kad Registrų centro veikla buvo audituota prieš penkerius metus. Be to, šiuo metu Generalinė prokuratūra jau atlieka ikiteisminį tyrimą dėl galimų neteisėtų prisijungimų ir daugiau nei 600 tūkst. Nekilnojamojo turto registro įrašų, tarp jų ir gyventojų asmens kodų, pasisavinimo. Pasak jos, naujas valstybinis auditas vertintų tas pačias faktines aplinkybes, todėl iš dalies dubliuotų teisėsaugos darbą.
„Šiuo metu valstybės ir piliečių interesus geriausiai atitiktų ne valstybės institucijų darbo dubliavimas, o intensyvūs ministerijos, kitų atsakingų institucijų, Registrų centro vadovybės pristatymai čia, galbūt Seime, reikalaujant atsiskaityti, kokių konkrečių neatidėliotinų veiksmų ir investicijų jau dabar yra imamasi situacijai ir kibernetiniam saugumui spręsti“, – sakė Valstybės kontrolės vadovė.
Seime nuomonės išsiskyrė
Vis dėlto Seimo Audito komiteto pirmininkas Arūnas Skardžius su tokia pozicija nesutinka. Jo teigimu, auditas ir ikiteisminis tyrimas siekia skirtingų tikslų, todėl gali būti vykdomi lygiagrečiai. Politikas taip pat mano, kad po duomenų vagystės paaiškėjusios naujos aplinkybės suteikia pagrindą įvertinti, kaip Registrų centras įgyvendino ankstesnių auditų rekomendacijas.
Pagal Seime registruotą nutarimo projektą, auditoriai turėtų įvertinti, ar Registrų centre taikytos organizacinės, techninės ir kibernetinio saugumo priemonės buvo pakankamos valstybės registrams ir informacinėms sistemoms apsaugoti.
Taip pat būtų analizuojama, ar vidaus kontrolės ir rizikų valdymo priemonės leido laiku nustatyti galimas grėsmes, ar Registrų centro veiklos priežiūra buvo pakankama ir ar įstaigos reakcija į duomenų vagystę buvo savalaikė bei atitiko teisės aktų reikalavimus.
Duomenų nutekinimas gali valstybei kainuoti milijonus eurų
Po Registrų centro duomenų nutekinimo Lietuvoje rengiamas grupės ieškinys valstybei, prie kurio planuoja prisijungti apie tūkstantis gyventojų. Ieškinyje atsakovais numatoma įvardyti Teisingumo ministeriją ir Registrų centrą, o nukentėjusieji ketina siekti neturtinės žalos atlyginimo. Preliminariai skaičiuojama, kad vienam asmeniui galėtų būti prašoma apie 3 tūkst. eurų kompensacijos už prarastą asmens duomenų kontrolę ir dėl to patirtą emocinę žalą[2].
Lietuvos vyriausiasis administracinis teismas pažymi, kad tiek Lietuvos, tiek Europos Sąjungos teismų praktika vis dažniau pripažįsta neturtinę žalą dėl neteisėto asmens duomenų atskleidimo. Ankstesnėse panašiose bylose nukentėjusiesiems jau buvo priteistos nuo kelių šimtų iki 3 tūkst. eurų siekiančios kompensacijos.
Teismai pabrėžia, kad net ir vienkartinis duomenų apsaugos pažeidimas gali pažeisti žmogaus privatumą, sukelti nerimą ar kontrolės praradimo jausmą, todėl valstybės institucijoms gali kilti pareiga atlyginti padarytą žalą.
