Apie nutekėjimą pranešė po 5 dienų
„Apgailestaudami pranešame, kad Užimtumo tarnyboje įvyko asmens duomenų saugumo pažeidimas. Tam tikri Jūsų asmens duomenys buvo neleistinai atskleisti tretiesiems asmenims, kitiems Užimtumo tarnybos klientams.
Mes stengiamės kuo labiau sumažinti galimas neigiamas pasekmes Jums. Siekdami užtikrinti saugumą, prie šio laiško prisegtame dokumente pateikiame detalesnę informaciją apie asmens duomenų saugumo pažeidimą“, – tokio laiško antradienį, liepos 30 d., sulaukė UT klientai, kurių duomenys buvo atskleisti.
Nors apie tai buvo pranešta antradienį, duomenys nutekėjo kiek anksčiau – liepos 25 d., ketvirtadienį, apie 17.25 val., kaip rašoma UT klientams siųstame įvykį paaiškinančiame dokumente.
Jame patikslinama, kad buvo pažeistas duomenų konfidencialumas – elektroniniu laišku per klaidą išsiųsti asmenų duomenys kitiems UT klientams, kurių tapatybė UT yra žinoma.
Įvyko per klaidą
Priežastis – žmogiškoji klaida, prieš siunčiant el. laišką buvo nepatikrinta, ar panaikinti pertekliniai dokumentai, kuriuose ir buvo nurodyti asmenų duomenys.
UT atstovė spaudai Milda Jankauskienė 15min patikslino, kad klaidą padarė Vilniaus klientų aptarnavimo specialistė, kuri elektroniniu laišku siuntė klientams kvietimą į mokymus. Tokį laišką su kitų asmenų duomenimis gavo 280 asmenų.
„Visų paprašyta ištrinti prisegtą informaciją“, – paminėjo ji.
Be to, pasak jos, žmogišką klaidą sekė ir nesuveikusios visų darbuotojų el. pašte įdiegtos duomenų praradimo prevencijos priemonės, kaip raktinių žodžių, asmens kodų filtravimas, neleidžiančios išsiųsti konfidencialios informacijos. Tad UT taip pat aiškinasi, kodėl šie techniniai sprendimai nesuveikė.
„Atsiprašome visų, kuriuos galėjo paveikti šis incidentas. Išsyk imtasi priemonių, kad būtų išvengta panašių atvejų ateityje. Deja, šios žmogiškojo faktoriaus klaidos nesustabdė įdiegtos techninės priemonės. Svarbu, kad galėjome iš karto identifikuoti asmenis, gavusius konfidencialią informaciją, ir su jais nedelsiant susisiekti“, – teigė UT Duomenų apsaugos pareigūnas Evaldas Bračiulis.
Nutekėjusių duomenų sąrašas
Tiesa, tie 280 žmonių gavo laišką su 29 tūkst. klientų duomenimis.
Tai vardas, pavardė, asmens kodas, el. pašto adresas, telefono numeris, adresas.
Nutekėjo ir registracijos Užimtumo tarnyboje informacija: asmenį aptarnaujantis specialistas, registracijos data, išsilavinimas, sugebėjimai/įgūdžiai, kalbų mokėjimas, pageidavimai įsidarbinti.
Per klaidą išsiųstame dokumente buvo ir ankstesnių darbinių veiklų informacija: pareigybė, buvusi darbovietė, darbo užmokestis.
Kaip nurodė M.Jankauskienė, visiems 29 tūkst. klientų šiuo metu yra siunčiami informaciniai laiškai apie įvykusį duomenų konfidencialumo pažeidimą bei kokių veiksmų siūloma imtis, kad būtų sumažinta arba išvengta galimos žalos.
Nepasinaudos gautais duomenimis?
UT specialistai vertina, kad tikimybė, jog kas nors bandytų pasinaudoti šiais per klaidą išsiųstais duomenimis, yra žema, mat visi asmenys, kurie gavo prieigą prie tokios informacijos, buvo identifikuoti ir apie tai informuoti.
Visgi toliau klientams siųstame prie laiško prisegtame dokumente rašo taip: „Net ir esant mažai tikimybei anksčiau nurodyti asmens duomenys gali būti panaudoti bandant prisijungti prie elektroninių paslaugų vartotojų paskyrų, kurios autentifikacijai naudoja elektroninį sertifikatą (parašą) arba analogiškas tapatybės patvirtinimo priemones. Taip pat galimas bandymas pakeisti el. pašto paskyros slaptažodį. Atkreipiame dėmesį, kad šiais atvejais yra būtinas patvirtinimas iš Jūsų pusės, įvedant slaptažodį, PIN, laikiną kodą ar kitokio pobūdžio prisijungimo informaciją, kurią žinote tik Jūs.
Asmens duomenis taip pat galima bandyti panaudoti norint apgauti trečiąsias šalis (pvz., paslaugų tiekėjus, kurių informacinėse sistemose esate registruoti) pasinaudojant autentifikuojant Jūsų tapatybę arba norint surinkti daugiau informacijos šiuos duomenis numatant panaudoti ateityje.“
UT apie šį atvejį informavo Valstybės duomenų apsaugos inspekciją.