Jungdamasis prie VMI Tadas netyčia atsidūrė svetimoje paskyroje: išvydo asmens kodą, baudas

Asmens duomenų apsaugai skiriama vis daugiau dėmesio, tačiau klaidų neišvengia tiek privačios įmonės, tiek viešasis sektorius. Klaipėdoje gyvenantis Tadas Grabys norėjo prisijungti prie „Mano VMI“ paskyros, tačiau vietoje savo duomenų išvydo privačią nepažįstamo žmogaus informaciją – asmens kodą, gautų baudų istoriją ir kitus jautrius duomenis. VMI sako, kad dėl šio atvejo atlieka tyrimą, o nustačius neatitikimų bus informuota Valstybinė duomenų apsaugos inspekcija.
Valstybinė mokesčių inspekcija
Valstybinė mokesčių inspekcija / Žygimanto Gedvilos / BNS nuotr.

Prisijungę prie „Mano VMI“ sistemos gyventojai gali matyti jiems aktualią mokestinę informaciją: priminimus apie mokėtinus mokesčius, skolas ir permokas, gali įsigyti ar pratęsti verslo liudijimus, registruotis pridėtinės vertės mokesčio mokėtojais.

Svetimo žmogaus duomenys – kaip ant delno

Visgi bandydamas prisijungti prie savo paskyros T.Grabys susidūrė su keista situacija – suvedęs savo prisijungimo duomenis, jis pateko ne į savo paskyrą.

„Aš, atsidaręs „Mano VMI“ puslapį ir norėdamas atlikti tam tikras man skirtas operacijas, atsidūriau svetimo žmogaus paskyroje. Mačiau visus jo asmens duomenis, kurie yra saugomi pagal Bendrąjį duomenų apsaugos reglamentą (BDAR) – t. y. mačiau, ar jis turi baudų, informaciją apie individualias veiklas. Tai tiesiog buvo svetima paskyra“, – 15min sakė T.Grabys.

Žygimanto Gedvilos / BNS nuotr./Tadas Grabys
Žygimanto Gedvilos / BNS nuotr./Tadas Grabys

Savo duomenų jis teigia nematęs – visa informacija buvo apie svetimą žmogų.

„Faktas, kad yra kažkokia bėda, jie kaupia perteklinius duomenis arba juos kaupia netinkamai“, – įsitikinęs T.Grabys.

Žygimanto Gedvilos / BNS nuotr./Valstybinė mokesčių inspekcija
Žygimanto Gedvilos / BNS nuotr./Valstybinė mokesčių inspekcija

Į pačią VMI dėl incidento pašnekovas sakė nesikreipęs.

„Vienintelis dalykas, ką jie gali pasakyti: atsiprašome už laikinus nesklandumus, problemą sprendžiame. Čia yra beviltiška. Su jais reikia kalbėtis aukščiausiu Vyriausybės lygmeniu, nes sistemą reikia sutvarkyti“, – kalbėjo jis.

VMI atlieka tyrimą

Tad kaip tai galėjo įvykti?

VMI viršininko pavaduotojas Martynas Endrijaitis 15min komentavo, kad šiuo metu iš viešosios erdvės žinoma apie šį vieną atvejį.

„Atliekamas tyrimas, kad nustatytume šio atvejo aplinkybes ir įsitikintume, ar nebuvo saugos pažeidimų. Nustačius neatitikimus, VMI nedelsiant apie tai informuotų atitinkamas institucijas, tarp jų Valstybinę duomenų apsaugos inspekciją (VDAI) bei klientą“, – komentare sakė M.Endrijaitis.

123RF.com nuotr./Kibernetinis saugumas
123RF.com nuotr./Kibernetinis saugumas

Jis akcentavo, kad kito mokesčių mokėtojo duomenis gyventojas gali matyti ir juos tvarkyti, jei jam suteiktos atstovavimo teisės.

Paprastai tariant, tiek įmonė, tiek kitas gyventojas gali suteikti kitam asmeniui teisę prisijungti ir matyti bei keisti „Mano VMI“ esančius duomenis.

„Šiuo atveju verta įsitikinti, ar tikrai nenutiko būtent taip. Jei ne, visuomet prašome klientų apie pastebėtus spragas nedelsiant informuoti VMI“, – kalbėjo VMI viršininko pavaduotojas.

Visgi T.Grabys tokią versiją atmetė.

„Galiu atsakyti, kad aš prisijungiau prie visiškai svetimo žmogaus, nesusijusio su manimi, paskyros“, – tvirtino jis.

Žygimanto Gedvilos / BNS nuotr./Valstybinės mokesčių inspekcijos puslapis
Žygimanto Gedvilos / BNS nuotr./Valstybinės mokesčių inspekcijos puslapis

Mokesčių inspekcija taip pat nurodė, kad pirmadienį „Mano VMI“ buvo atlikti planuoti atnaujinimai, atliktas vienos iš duomenų bazių perkėlimas į naują techninį resursą. Atnaujinimai buvo atliekami paryčiais ir baigti iki 9.30 ryto. Visgi su problema T.Grabys susidūrė pirmadienio vakarą.

VMI, be kita ko, pažymėjo, jog inspekcijoje dirba „aukštos kompetencijos duomenų slaugos specialistai, be to, samdomi ir išorės ekspertai.“

„Pastarieji atlieka VMI informacinių sistemų, tarp jų ir „Mano VMI“, atsparumo įsilaužimui patikrinimą. Vakar gautoje ataskaitoje teigiama, jog saugumo spragų sistemose nenustatyta“, – sakė M.Endrijaitis.

Duomenų inspekcija: situaciją galėjo lemti sutrikimai identifikavimo sistemoje

Ar toks incidentas laikomas asmens duomenų apsaugos pažeidimu? Valstybinė duomenų apsaugos inspekcija patvirtino, kad taip.

Pasak inspekcijos, įvykus tokiam incidentui, gyventojas turėtų kreiptis į instituciją, prie kurios sistemos jungėsi, ir informuoti ją apie tokią situaciją.

Luko Balandžio / 15min nuotr./Valstybinė duomenų apsaugos inspekcija
Luko Balandžio / 15min nuotr./Valstybinė duomenų apsaugos inspekcija

„Tai padėtų apsaugoti tiek jo paties asmens duomenis, tiek padėtų užkirsti kelią kitiems panašiems prisijungimams. Tuo metu institucija, patyrusi asmens duomenų saugumo pažeidimą, turi nedelsdama imtis veiksmų pažeidimui pašalinti bei užtikrinti tinkamą saugumo lygį, jei įvertinus esamas duomenų saugumo organizacines ir technines priemones paaiškėja, kad jos nėra pakankamos“, – nurodė VDAI.

Inspekcija pažymėjo, kad BDAR yra numatyta pareiga duomenų valdytojui apie įvykusį asmens duomenų saugumo pažeidimą, keliantį pavojų fizinių asmenų teisėms ir laisvėms, per 72 val. pranešti VDAI, o tuo atveju, kai minėtas pažeidimas kelia didelį pavojų, ir duomenų subjektams, asmenims, kurių duomenys galėjo nukentėti.

123RF.com nuotr./Bendrasis duomenų apsaugos reglamentas
123RF.com nuotr./Bendrasis duomenų apsaugos reglamentas

Svarstydama, kokios priežastys galėjo nulemti incidentą, inspekcija įvardijo sutrikimus asmens identifikavimo sistemoje ar pačioje sistemoje, prie kurios jungiamasi.

Ekspertas: tokios klaidos pasitaiko retai

Su tuo sutiko ir „ESET Lietuva“ saugumo inžinierius Lukas Apynis. Pasak jo, tokie įvykiai, kai privatūs duomenys nuteka dėl sisteminės klaidos, yra reti.

„Tokios klaidos labai retai pasitaiko. Tai galėjo nutikti dėl neapdairumo sistemoje atliekant pakeitimus, gal nebuvo kažkas patikrinta, ištestuota. Tokios situacijos įvyksta retai“, – 15min sakė L.Apynis.

Nors per pastaruosius kelerius metus valstybinės sistemos susidūrė su ne vienu incidentu, sutrikimu ar „nulaužimu“, situacija, pasak eksperto, pamažu taisosi.

Asmeninio archyvo nuotr./Lukas Apynis, ESET IT inžinierius
Asmeninio archyvo nuotr./Lukas Apynis, ESET IT inžinierius

„Sistemos tikrai patobulėjo, sulėtėjimų ir saugumo spragų yra mažiau. Saugumo atsirado daugiau ir dėl suaktyvėjusių atakų“, – svarstė L.Apynis.

VDAI 15min nurodė, kad dėl asmens duomenų saugumo pažeidimų kasmet gauna apie tūkstantį asmenų skundų, taip pat apie kelis šimtus pranešimų iš organizacijų. Šiemet priežiūros institucija jau yra gavusi 240 pranešimų apie asmens duomenų saugumo pažeidimus, apie juos praneša tiek valstybinės institucijos, tiek verslo organizacijos.

„Pranešimų apie panašius atvejus į paminėtą, kai prisijungiama prie kito žmogaus paskyros, gauname po kelis per metus“, – nurodė inspekcija.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Išmanesnis apšvietimas namuose su JUNG DALI-2
Reklama
„Assorti“ asortimento vadovė G.Azguridienė: ieškantiems, kuo nustebinti Kalėdoms, turime ir dovanų, ir idėjų
Reklama
Išskirtinės „Lidl“ ir „Maisto banko“ kalėdinės akcijos metu buvo paaukota produktų už daugiau nei 75 tūkst. eurų
Akiratyje – žiniasklaida: tradicinės žiniasklaidos ateitis