Pranešime teigiama, kad spraga pastebėta bendradarbiaujant su Nacionaliniu kibernetinio saugumo centru (NKSC).
„Seimo kanceliarija imasi visų priemonių, kad duomenys būtų apsaugoti, ir aiškinasi jų viešinimo priežastis“, – teigiama pranešime.
Teigiama, kad tai – ne kibernetinės atakos pasekmės.
„Šių duomenų viešinimas susijęs su organizacine veikla“, – informavo Seimas.
Tai 15min patvirtino ir NKSC: „Penktadienį fiksuotas incidentas neturi kibernetinio elemento“.
Kaip pranešė lrytas.lt, saugumo spragą aptiko kibernetinio saugumo analitikas Darius Povilaitis. Portalui jis teigė, kad spraga įvyko „dėl aplaidaus Seimo IT sistemų konfigūravimo“.
NKSC 15min patvirtino, kad apie šį incidentą informavo ir Valstybinę duomenų apsaugos inspekciją.
IT inžinierius: jei problemą ir išspręs, duomenys išliks prieinami mėnesį ir ilgiau
ESET IT inžinierius Lukas Apynis 15min teigė, kad labai tikėtina, jog situaciją įvyko dėl konfigūravimo klaidos.
„Ieškant internete, „Google“ ar kitoje paieškoje, įvedus tam tikrus raktažodžius galima pamatyti daug CV dokumentų. Matoma visa informacija, kuri CV“, – teigė jis.
L.Apynio žiniomis, tarp prieinamų duomenų galima rasti asmenų gyvenamąją vietą, tautybę.
Į paieškos sistemą įvedus tinkamus žodžius dokumentų pavyzdžius pavyko surasti ir 15min.
Net šeimyninė padėtis, darbovietė, pareigos, asmeninis telefono numeris, adresai – ir namų, ir darbo. Išsilavinimas ir kita informacija: įvairūs apdovanojimai.
„Net šeimyninė padėtis, darbovietė, pareigos, asmeninis telefono numeris, adresai – ir namų, ir darbo. Išsilavinimas ir kita informacija: įvairūs apdovanojimai“, – vardijo L.Apynis.
Pasak IT inžinieriaus, šią problemą techniškai išspręsti galima, tačiau nutekėję duomenys paieškos sistemose kurį laiką dar išliks.
„Reikia pakeisti konfigūraciją, tačiau, kaip žinome, paieškos varikliai išsaugo duomenis pakankamai ilgai, todėl netgi jei prieiga prie puslapio bus sutvarkyta ir dokumentų negalėsime pasiekti, visi duomenys, pavyzdžiui, telefono numeriai, bus matomi „Google“ paieškoje“, – aiškino L.Apynis.
Pasak jo, šie duomenys paieškos sistemose išliks apie mėnesį ir ilgiau.
„Seimas gali inicijuoti tų duomenų ištrinimą „Google“ paieškoje, tačiau jis ilgai užtrunka“, – perspėjo pašnekovas.
Seimas poziciją pakeitė
Penktadienio popietę Seimo kanceliarija išplatino pranešimą žiniasklaidai, kuriame teigiama, kad žiniasklaidoje paskelbta informacija apie saugumo spragas Seimo IT infrastruktūroje yra klaidinga ir ją prašoma paneigti.
Seimas taip pat ištrynė pirminį pranešimą, kuriame buvo teigta, kad pastebėtas „duomenų viešinimas susijęs su organizacine veikla“.
„Šiuo metu viešai Seimo interneto svetainėje ir Teisės aktų informacinėje sistemoje prieinami duomenys yra skelbiami laikantis teisės aktų reikalavimų. Kai kurie dokumentai yra lydintieji prie teisės aktų: juos skelbiant Teisės aktų informacinėje sistemoje įgyvendinama Seimo statuto nuostata Seimo nariams pateikti kandidatų biografijų duomenis (kai Seimas skiria į pareigas arba pritaria dėl skyrimo į pareigas). Gyvenimo aprašymus, kuriuose skelbiami asmens duomenys, Seimo kanceliarija gauna iš pačių duomenų subjektų. Jiems informavus apie galimą perteklinį duomenų tvarkymą, Seimo kanceliarija nedelsiant reaguoja“, – rašoma naujai išplatintame pranešime.
Pranešime taip pat nurodoma, kad taip pat viešai prieinami savivaldybių pateikti teisės aktai, dėl kurių viešinimo sprendimą priima pačios savivaldybės. Pagal Lietuvos Respublikos Seimo statuto reikalavimus (214 str.) viešai skelbiami ir klausimai bei atsakymai į Seimo narių klausimus.
Tačiau tarp viešai prieinamų Seimo duomenų yra ne vien Seimo narių gyvenimo aprašymai.
Taip pat, kaip pastebėjo lrytas.lt, viešai galima rasti ir Generalinei prokuratūrai adresuotą skundą, kuriame matyti ne tik skundo pateikėjo vardas ir pavardė, telefonas, bet ir jo adresas bei asmens kodas.
15min nepavyko susisiekti su Seimo ryšių ir visuomenės skyriumi netrukus po pranešimo išplatinimo.