Vidaus reikalų ministerija, neseniai pristačiusi už 36 tūkst. eurų sukurtą saugumo programėlę, nesugeba užtikrinti jos duomenų saugumo?
Iš valdžios atstovų labai dažnai girdime kalbas apie saugumą ir kaip tiek pati Lietuva, tiek kiekvienas atskirai turi ruoštis galimiems pavojams ir karui. Tam netgi buvo sukurta „LT72“ internetinė svetainė, kurioje pateikiama išsami, su saugumu susijusi informacija. O prieš kelias dienas pradėjo veikti ir to paties pavadinimo mobilioji programėlė. Tačiau paradoksalu, jog mūsų saugumu turinti besirūpinti ir visus lietuvius šviesti saugumo klausimais „LT72“ pati nemoka ar negeba tinkamai užtikrinti savo internetinės svetainės saugumo.
Primename, jog vos prieš kelias dienas Vidaus reikalų ministerija išdidžiai pranešė, kad „LT72“ svetainės veikla buvo išplėsta iki mobiliosios programėlės sukūrimo. Ši „App Store“ ir „Google Play“ elektroninėse parduotuvėse prieinama programėlė turi padėti gerinti Lietuvos visuomenės pasirengimą ekstremaliosioms situacijoms, taip pat didinti informuotumą civilinės saugos srityje ir ugdyti savisaugos kultūrą.
„Dabartinė saugumo padėtis mums primena, kad turime būti pasirengę pačioms įvairiausioms ir netikėtoms situacijoms bei galimiems pavojams. Turime padaryti viską, kad gyventojai būtų tinkamai informuoti ir žinotų, kaip apsaugoti save ir savo artimuosius. Mūsų pasirengimas priklauso nuo žinojimo, kur gauti reikiamą informaciją ir iš anksto atliktų namų darbų. Tik būdami informuoti ir pasiruošę, galime veikti užtikrintai ir ramiai bet kokios krizės, nelaimės ar ekstremaliosios situacijos atveju. Prisiminkime – žinojimas saugo!”, – pristatant naująją programėlę sakė vidaus reikalų ministras Vladislav Kondratovič[1].
Šioje programėlėje galima rasti daug informacijos apie ekstremalias situacijas, įskaitant ir Lietuvos žemėlapį su perspėjimo sirenų, kolektyvinės apsaugos statinių, priedangų tinklo ir gyventojų evakuacijos punktais. Taip pat planuojama, kad per ją bus galima gauti perspėjimo pranešimus apie gresiantį pavojų, nors seniau tam pilnai pakakdavo informacinių pavojaus pranešimų, kuriuos Lietuvoje esantys žmonės gaudavo be jokių programėlių.
Vien „LT72“ mobiliosios programėlės sukūrimas kainavo 36 227 eurus[2]. Tačiau čia išlaidos nesiliaus, nes planuojamos įvairios komunikacijos veiklos, kurių metu bus reklamuojama tiek programėlė, tiek šnekama apie civilinės saugos sritį. Reklama vyks įvairiuose šaltiniuose: socialiniuose tinkluose, televizijoje, didžiųjų miestų viešajame transporte, regioninėje žiniasklaidoje ir planuojama organizuoti renginius. Tad „LT72“ veikla ir jos reklamavimas neabejotinai atsieis daugybę lėšų.
Tačiau nepaisant tokio didelio noro šviesti visuomenę saugumo klausimais, pati „LT72“ internetinė svetainė yra visiškai neapsaugota ir blogai sukonfigūruota. Apie tai sužinojome po to, kai į 77.lt kreipėsi skaitytojas, kuris pastebėjo įdomų dalyką. Pasak jo, „LT72“ svetainėje visiems lengvai prieinami įvairūs dokumentai, įskaitant ir atostogų tvarkaraščius, pasirašytas sutartis bei kitą svarbią informaciją, kuri normaliu atveju turėtų būti prieinama tik su tuo susijusiems darbuotojams.
„LT72“ svetainėje viešai prieinami kone visi dokumentai
Patikrinus iš skaitytojo gautą informaciją paaiškėjo, jog ji buvo tiksli – paspaudus ant konkrečios nuorodos iš tikrųjų atsiduriama toje „LT72“ interneto portalo dalyje, kur yra sudėti visi svarbūs dokumentai. Čia prieinami net kelių metų laikotarpio failai, tarp kurių yra ne tik senesnių, 2019 ar 2020 metų dokumentų, bet ir net praėjusių bei šių metų failų. Tad panašu, kad saugumo spraga tęsiasi jau ne vienerius metus, o apie saugumą nuolat kalbanti Vidaus reikalų ministerija nepasirūpina, kad konfidenciali ar viešam naudojimui neskirta informacija būtų tinkamai apsaugota.
Pirmiausia į akis krinta nuotraukų archyvas, kuris vargu ar buvo skirtas kiekvieno interneto naudotojo akiai. Jame gausu nuotraukų iš įvairių sutarčių pasirašymų, susitikimų ir renginių. Žinoma, nuotraukos, kur Vidaus reikalų ministerijos ar joms pavaldžių institucijų darbuotojai atlieka savo darbą, dar nėra kažkokia konfidenciali informacija ir būtų galima sakyti, kad viešas priėjimas prie galerijos nėra kažkuo blogas. Tačiau tuo failų gausa neužsibaigia.
Čia netgi neapsaugotos įvairios kelių metų senumo sąskaitos faktūros, kuriose nurodyti pirkimai ir sumokėtos sumos. O tokie dokumentai vargu ar turėtų būti prieinami kiekvienam norinčiam.
Be to, „LT72“ interneto portale galima rasti įvairius dokumentus apie Vidaus reikalų ministerijai pavaldžių įstaigų veiklą. Pavyzdžiui, viešai prieinami failai, kuriuose nurodyta, kada, kur ir kuris Priešgaisrinės gelbėjimo valdybos (PGV) padalinys lankėsi tam tikroje vyskupijoje. Netgi yra nurodyti PGV atsakingųjų asmenų duomenys: pavardės, pareigos ir telefono numeriai.
Vidaus reikalų ministerijai pavaldus „LT72“ portalas viešai pateikia viršininkų atostogas
Viešai prieinami net ir atostogų grafikai. Kol Vidaus reikalų ministerija išsijuosusi kartoja, kaip turime mokytis įvairių saugumo srities aspektų, patys jos darbuotojai visiškai nesirūpina ar paprasčiausiai net nežino, kad internete galima lengvai pamatyti net ir šių metų atostogų grafikus.
Viešai prieinamuose dokumentuose galima pamatyti viską: nuo darbuotojų pavardžių, kokiame skyriuje jie dirba ir kokias pareigas užima iki atostogų laikotarpių ir to, kiek dar atostogų jiems priklauso. Vien šių metų kasmetinių atostogų dokumente viešai prieinama 327 asmenų duomenys. Ir verta pabrėžti, jog tai yra viršininkai, o ne eiliniai, mažiausio rango pareigūnai.
Panašu, jog „LT72“ puslapis yra blogai sukonfigūruotas, nors prie jo kūrybos dirba specialistai. O dėl blogos konfigūracijos portalo turinys su jame esančiais failais, kurie turėtų būti slapti, iš tiesų yra vieši ir prieinami bet kam, net neturinčiam didelių technologinių žinių.
Tad belieka susimąstyti, ką iš tiesų apie saugumą gali išmokyti ar net visą šalį apsaugoti tie už „LT72“ interneto svetainę ir mobiliąją programėlę atsakingi asmenys, kurie net negeba pasirūpinti konfidencialių dokumentų saugumu. Juk elementarus saugumas internete – visiems žinomas faktas, apie kurį šiuolaikinėje visuomenėje sužinoma jau nuo mažų dienų. Tačiau atrodo, kad prie „LT72“ projekto dirbantys, Vidaus reikalų ministerijai pavaldūs darbuotojai nežino net ir pačios elementariausios saugumo internete abėcėlės.
