Prisijungę prie „Mano VMI“ sistemos gyventojai gali matyti jiems aktualią mokestinę informaciją: priminimus apie mokėtinus mokesčius, skolas ir permokas, gali įsigyti ar pratęsti verslo liudijimus, registruotis pridėtinės vertės mokesčio mokėtojais.
Svetimo žmogaus duomenys – kaip ant delno
Visgi bandydamas prisijungti prie savo paskyros T.Grabys susidūrė su keista situacija – suvedęs savo prisijungimo duomenis, jis pateko ne į savo paskyrą.
„Aš, atsidaręs „Mano VMI“ puslapį ir norėdamas atlikti tam tikras man skirtas operacijas, atsidūriau svetimo žmogaus paskyroje. Mačiau visus jo asmens duomenis, kurie yra saugomi pagal Bendrąjį duomenų apsaugos reglamentą (BDAR) – t. y. mačiau, ar jis turi baudų, informaciją apie individualias veiklas. Tai tiesiog buvo svetima paskyra“, – 15min sakė T.Grabys.
Savo duomenų jis teigia nematęs – visa informacija buvo apie svetimą žmogų.
„Faktas, kad yra kažkokia bėda, jie kaupia perteklinius duomenis arba juos kaupia netinkamai“, – įsitikinęs T.Grabys.
Į pačią VMI dėl incidento pašnekovas sakė nesikreipęs.
„Vienintelis dalykas, ką jie gali pasakyti: atsiprašome už laikinus nesklandumus, problemą sprendžiame. Čia yra beviltiška. Su jais reikia kalbėtis aukščiausiu Vyriausybės lygmeniu, nes sistemą reikia sutvarkyti“, – kalbėjo jis.
VMI atlieka tyrimą
Tad kaip tai galėjo įvykti?
VMI viršininko pavaduotojas Martynas Endrijaitis 15min komentavo, kad šiuo metu iš viešosios erdvės žinoma apie šį vieną atvejį.
„Atliekamas tyrimas, kad nustatytume šio atvejo aplinkybes ir įsitikintume, ar nebuvo saugos pažeidimų. Nustačius neatitikimus, VMI nedelsiant apie tai informuotų atitinkamas institucijas, tarp jų Valstybinę duomenų apsaugos inspekciją (VDAI) bei klientą“, – komentare sakė M.Endrijaitis.
Jis akcentavo, kad kito mokesčių mokėtojo duomenis gyventojas gali matyti ir juos tvarkyti, jei jam suteiktos atstovavimo teisės.
Paprastai tariant, tiek įmonė, tiek kitas gyventojas gali suteikti kitam asmeniui teisę prisijungti ir matyti bei keisti „Mano VMI“ esančius duomenis.
„Šiuo atveju verta įsitikinti, ar tikrai nenutiko būtent taip. Jei ne, visuomet prašome klientų apie pastebėtus spragas nedelsiant informuoti VMI“, – kalbėjo VMI viršininko pavaduotojas.
Visgi T.Grabys tokią versiją atmetė.
„Galiu atsakyti, kad aš prisijungiau prie visiškai svetimo žmogaus, nesusijusio su manimi, paskyros“, – tvirtino jis.
Mokesčių inspekcija taip pat nurodė, kad pirmadienį „Mano VMI“ buvo atlikti planuoti atnaujinimai, atliktas vienos iš duomenų bazių perkėlimas į naują techninį resursą. Atnaujinimai buvo atliekami paryčiais ir baigti iki 9.30 ryto. Visgi su problema T.Grabys susidūrė pirmadienio vakarą.
VMI, be kita ko, pažymėjo, jog inspekcijoje dirba „aukštos kompetencijos duomenų slaugos specialistai, be to, samdomi ir išorės ekspertai.“
„Pastarieji atlieka VMI informacinių sistemų, tarp jų ir „Mano VMI“, atsparumo įsilaužimui patikrinimą. Vakar gautoje ataskaitoje teigiama, jog saugumo spragų sistemose nenustatyta“, – sakė M.Endrijaitis.
Duomenų inspekcija: situaciją galėjo lemti sutrikimai identifikavimo sistemoje
Ar toks incidentas laikomas asmens duomenų apsaugos pažeidimu? Valstybinė duomenų apsaugos inspekcija patvirtino, kad taip.
Pasak inspekcijos, įvykus tokiam incidentui, gyventojas turėtų kreiptis į instituciją, prie kurios sistemos jungėsi, ir informuoti ją apie tokią situaciją.
„Tai padėtų apsaugoti tiek jo paties asmens duomenis, tiek padėtų užkirsti kelią kitiems panašiems prisijungimams. Tuo metu institucija, patyrusi asmens duomenų saugumo pažeidimą, turi nedelsdama imtis veiksmų pažeidimui pašalinti bei užtikrinti tinkamą saugumo lygį, jei įvertinus esamas duomenų saugumo organizacines ir technines priemones paaiškėja, kad jos nėra pakankamos“, – nurodė VDAI.
Inspekcija pažymėjo, kad BDAR yra numatyta pareiga duomenų valdytojui apie įvykusį asmens duomenų saugumo pažeidimą, keliantį pavojų fizinių asmenų teisėms ir laisvėms, per 72 val. pranešti VDAI, o tuo atveju, kai minėtas pažeidimas kelia didelį pavojų, ir duomenų subjektams, asmenims, kurių duomenys galėjo nukentėti.
Svarstydama, kokios priežastys galėjo nulemti incidentą, inspekcija įvardijo sutrikimus asmens identifikavimo sistemoje ar pačioje sistemoje, prie kurios jungiamasi.
Ekspertas: tokios klaidos pasitaiko retai
Su tuo sutiko ir „ESET Lietuva“ saugumo inžinierius Lukas Apynis. Pasak jo, tokie įvykiai, kai privatūs duomenys nuteka dėl sisteminės klaidos, yra reti.
„Tokios klaidos labai retai pasitaiko. Tai galėjo nutikti dėl neapdairumo sistemoje atliekant pakeitimus, gal nebuvo kažkas patikrinta, ištestuota. Tokios situacijos įvyksta retai“, – 15min sakė L.Apynis.
Nors per pastaruosius kelerius metus valstybinės sistemos susidūrė su ne vienu incidentu, sutrikimu ar „nulaužimu“, situacija, pasak eksperto, pamažu taisosi.
„Sistemos tikrai patobulėjo, sulėtėjimų ir saugumo spragų yra mažiau. Saugumo atsirado daugiau ir dėl suaktyvėjusių atakų“, – svarstė L.Apynis.
VDAI 15min nurodė, kad dėl asmens duomenų saugumo pažeidimų kasmet gauna apie tūkstantį asmenų skundų, taip pat apie kelis šimtus pranešimų iš organizacijų. Šiemet priežiūros institucija jau yra gavusi 240 pranešimų apie asmens duomenų saugumo pažeidimus, apie juos praneša tiek valstybinės institucijos, tiek verslo organizacijos.
„Pranešimų apie panašius atvejus į paminėtą, kai prisijungiama prie kito žmogaus paskyros, gauname po kelis per metus“, – nurodė inspekcija.