Po kibernetinio incidento vis dar neaišku, ar nutekėjo medikų duomenys
Po kibernetinio incidento Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos sistemoje vis dar neaišku, ar buvo nutekinti sveikatos priežiūros specialistų duomenys. Nors nustatyta, kad buvo mėginta neteisėtai pasiekti sistemoje saugomą informaciją, institucijos kol kas negali patvirtinti, ar duomenys iš tiesų pateko į pašalinių asmenų rankas.
Trečiadienį Seimo Sveikatos reikalų komiteto posėdyje Akreditavimo tarnybos direktorius Tadas Žentelis teigė, kad šiuo metu nėra duomenų, leidžiančių patvirtinti informacijos nutekinimą, tačiau aišku, jog buvo taikytasi į sveikatos priežiūros specialistų duomenų bazę[1].
„Negaliu patvirtinti, kad duomenys buvo nutekinti. Šiai dienai neaišku. Šiai dienai matome, į ką buvo kėsintasi – į turimus sveikatos priežiūros specialistų duomenis, tarp kurių, laimei, yra daug viešų duomenų, tokių kaip licenzija, vardas, pavardė, įstaiga, kur dirba. Nėra paslapties“, – sakė T. Žentelis.
Sveikatos sektorius stiprins kibernetinę apsaugą
Pasak tarnybos vadovo, tarp sistemoje saugomų duomenų yra ne tik viešai prieinama informacija, bet ir jautrūs duomenys – asmens kodai, specialistų darbo krūvio informacija bei kontaktiniai duomenys. Būtent jų nutekinimas, anot jo, būtų didžiausias galimas šio incidento padarinys.
Tuo metu sveikatos apsaugos viceministras Arnomedas Galdikas teigė, kad po pastarųjų duomenų saugumo incidentų nuspręsta stiprinti elektroninės sveikatos ekosistemos apsaugą. Pasak jo, didesnis dėmesys bus skiriamas sistemų vientisumui, tapatybės apsaugai, pažeidžiamumų valdymui, tiekėjų kontrolei, atsarginių duomenų kopijų kūrimui bei darbuotojų mokymams.
Viceministras taip pat pranešė apie planus steigti Saugumo operacijų centrą, kuris padėtų ne tik reaguoti į jau įvykusius incidentus, bet ir laiku aptikti galimas grėsmes.
Programišiai galėjo pasiekti daugiau kaip 62 tūkst. medikų įrašų
Kaip skelbta, Po kibernetinio incidento Valstybinėje akreditavimo sveikatos priežiūros veiklai tarnyboje paaiškėjo, kad įsilaužėliai galėjo pasiekti daugiau kaip 62 tūkst. įrašų, susijusių su sveikatos priežiūros specialistais.
Tarp galimai pasiektų duomenų – profesinė ir kontaktinė informacija, taip pat dalis jautresnių asmens duomenų. Sveikatos apsaugos ministrė Marija Jakubauskienė teigė, kad incidentas buvo suvaldytas, o apie jį ministerija informuota antradienio vakarą.
Pirminiais duomenimis, neteisėta prieiga buvo gauta pasinaudojus atvirojo kodo platformos „Apache Superset“ saugumo spraga. Nors pagrindinė Akreditavimo tarnybos sistema nebuvo pažeista, programišiai galėjo pasiekti ataskaitų generavimo posistemę. Nustačius įtartinus prisijungimus, prieiga prie sistemos buvo apribota, sustiprintos saugumo priemonės, o apie incidentą informuotos atsakingos institucijos ir teisėsauga.
Svarstoma pradėti parlamentinį tyrimą dėl duomenų nutekinimo
Registrų centro duomenų nutekinimo istorija gali persikelti į Seimą – grupė parlamentarų inicijavo laikinosios tyrimo komisijos sudarymą, kuri aiškintųsi tiek incidento aplinkybes, tiek atsakingų institucijų veiksmus po jo paaiškėjimo. Iniciatyvą palaiko 45 įvairioms frakcijoms priklausantys Seimo nariai, siekiantys įvertinti galimą pareigūnų atsakomybę, sprendimų priėmimą bei rizikas nacionaliniam saugumui.
Tuo metu teisėsauga jau vykdo ikiteisminį tyrimą dėl galimo daugiau nei 600 tūkst. nekilnojamojo turto dokumentų pasisavinimo iš Registrų centro sistemų. Valstybinė duomenų apsaugos inspekcija skaičiuoja, kad incidentas galėjo paveikti apie 500 tūkst. gyventojų.
Be to, Seime inicijuota interpeliacija premjerei Ingai Ruginienei – opozicija reikalauja paaiškinimų dėl Vyriausybės reakcijos į duomenų nutekinimą, visuomenės informavimo bei politinės atsakomybės šioje situacijoje.
