Atrodo, kad į kibernetinį saugumą pro pirštus žiūrėjo ne tik verslininkai, bet ir juos turėjusi kontroliuoti valstybė. LRT televizijos laidos „Savaitė“ žurnalistams pavyko išsiaiškinti, kad tik dešimtadalis Lietuvoje gydymo paslaugas teikiančių įstaigų turi leidimą tvarkyti klientų, tai yra visų mūsų ypač svarbius ir jautrius duomenis.
Valstybinė duomenų apsaugos inspekcija ginasi neturinti resursų patikrinti visų. Politikai sako, kad šios tarnybos stiprinimas – tik vienas iš pradedamų darbų, kaip padidinti šiuo metu nepatenkinamą kibernetinio saugumo lygį. Planuose – pertvarkyti viešojo sektoriaus tinklus, o Nacionalinis kibernetinio saugumo centras turėtų rūpintis ne tik strateginių objektų saugumu, bet ir tapti pagrindiniu kibernetinių atakų užkardytoju.
Bent keli pacientai jau ruošia ieškinius klinikai, yra ir tokių, kurie nusprendė išsipirkti prarastą informaciją iš programišių.
Daugiau nei 24 tūkstančių „Grožio chirurgijos“ klientų duomenys jau daugiau nei mėnuo yra programišių rankose. Visą sąrašą nesunkiai galima rasti anoniminiame „Tor“ tinkle, kuriame atsekti tokių veikėjų beveik neįmanoma.
Kartu programišiai skelbia, kad informaciją pavogė norėdami nubausti įmonę, esą nesirūpinusią klientų duomenų saugumu. LRT televizijos žurnalistų žiniomis, bent keli pacientai jau ruošia ieškinius klinikai, yra ir tokių, kurie nusprendė išsipirkti prarastą informaciją iš programišių.
Seimo Aukštųjų technologijų, inovacijų ir skaitmeninės ekonomikos pakomitečio pirmininko Tado Langaičio nuomone, klinika neabejotinai sulauks ir teisminių ginčų.
„Neabejoju, kad „Grožio chirurgijos“ klinika sulauks ir teisminių ginčų ir dėl to patirs galimai nemažus nuostolius. Tai bus tam tikras skambutis visiems verslams Lietuvoje, kad neinvestavimas į savo klientų asmens duomenų apsaugą gali atnešti nemažus nuostolius“, – sako T.Langaitis.
Pabrėžiama, kad klinika programišių atakos galbūt būtų išvengusi, jei būtų pasirūpinusi leidimu tvarkyti asmens sveikatos duomenis. Toks leidimas būtinas, jei informacija apie pacientus renkama elektroninėmis priemonėmis.
Tačiau ekspertai sako, kad į informacines technologijas nenorinčių investuoti verslininkų ši formali procedūra neapsaugos.
„Tam, kad taptum duomenų valdytoju, užpildai tam tikrą anketą, kurioje sužymi, kad turi šias, šias ir šias priemones. Niekas netikrina, ar tu tikrai jas turi, ar tikrai tai saugu, ar tikrai tavo žmonės kvalifikuoti tai daryti. Ką daryti, jei įvyko incidentas, – jie visi nieko nežino“, – teigia informacinių technologijų ekspertas Marius Pareščius.
Inspekcija sako nežinanti, kuri iš gydymo įstaigų XXI amžiuje jau kaupia duomenis kompiuteriuose, o kiekvienos jų patikrinti negali, būtų sudėtinga ir kiekvienai jų priminti pareigas.
Dar daugiau priekaištų žeriama pačiai Valstybinei duomenų apsaugos inspekcijai. LRT žurnalistams pavyko išsiaiškinti, kad vos dešimtadalis – 142 iš beveik 1 600 sveikatos apsaugos paslaugas teikiančių įmonių – turi leidimus tvarkyti klientų duomenis.
Inspekcija sako nežinanti, kuri iš gydymo įstaigų XXI amžiuje jau kaupia duomenis kompiuteriuose, o kiekvienos jų patikrinti negali, būtų sudėtinga ir kiekvienai jų priminti pareigas. (informuoti, kad ir elektroniniu paštu)
„Nusiųsti tą raštą gal ir galima, reikia žinoti jų galiojančius kontaktus. Tai mes galbūt nesiųsime kiekvienai, mes dar galvosime apie centralizuotus veiksmus šioje vietoje“, – sako Valstybinei duomenų apsaugos inspekcijai laikinai vadovaujanti Dijana Šinkūnienė.
„Savaitės“ žurnalistams prireikė vos poros minučių, kad internete pavyktų rasti ne tik visas licencijas turinčias ir Lietuvoje veikiančias sveikatos priežiūros įstaigas, bet ir visų jų kontaktus.
Seimo Nacionalinio saugumo ir gynybos komiteto pirmininkas Vytautas Bakas taip pat nemato kliūčių inspekcijai kontaktuoti su įmonėmis.
„Niekas netrukdo duomenų apsaugos inspektoriui sistemose matyti, kada užregistruojama įmonė, ateiti ir parašyti laišką ir pasakyti: „Mielieji, va, jūs dirbate šioje srityje, čia jums atmintinė, ką turėtumėte padaryti“. Nurodyti kontaktą – tam įstatymų nereikia“, – sako V.Bakas.
Inspekcijos vadovė teigia bijanti, kad kiekvienai įmonei rašto nusiųsti nepavyks.
Ekspertai pabrėžia, kad pati valstybė kalta dėl silpnos asmens duomenų apsaugos – inspekcijoje šiuo metu dirba vos 27 žmonės, dėl mažų algų neliko gerų specialistų.
„Kaip sakiau – ištekliai labai riboti, prie kiekvieno mes neprieisime. Dabar jūs klausiate apie sveikatos įstaigas, kitą kartą žurnalistas klaus manęs apie kitą sritį, ir vėl klausimas tas pats – „ar jūs negalite kiekvienam nusiųsti rašto“. Bijau kad negalėsime“, – sako D.Šinkūnienė.
Krašto apsaugos viceministras Edvinas Kerza teigia, kad daugiau dėmesio reikėtų skirti ir patiems valdytojams, ir prižiūrinčioms institucijoms.
„Atidžiau pasižiūrėti, kiek yra potencialių paslaugos teikėjų, kiek iš jų yra įsiteisinę savo sistemas. Dar daugiau, kiek iš tų įteisintų atitinka iškeltus reikalavimus. Tai reiškia, kad reikėtų ir auditus daryti, ir patikrinimus, ir saugos įvertinimus. Pasižiūrėti galėtume ir į internetinėje erdvėje plintančias elektronines parduotuves, kurios, ko gero, šimtais skaičiuojamos, tik ar tikrai visos jos įteisintos?“ – sako viceministras.
Ekspertai pabrėžia, kad pati valstybė kalta dėl silpnos asmens duomenų apsaugos – inspekcijoje šiuo metu dirba vos 27 žmonės, dėl mažų algų neliko gerų specialistų. Pabrėžiama, kad stiprinti šią instituciją būtina ir dėl kitąmet visoje Europos Sąjungoje pradėsiančio veikti bendrojo duomenų apsaugos reglamento.
Jis ne tik įpareigos verslą, valstybines įstaigas atsakingiau tvarkyti asmens duomenis, bet ir suteiks žmogui teisę reikalauti ištrinti visus jo duomenis, tai yra teisę būti pamirštam.
„Duomenų reforma, kuri laukia mūsų kitais metais, ji nustatys daugiau aiškumo, sugriežtins atsakomybę, reikalavimus. Taip pat įnešama naujovė – apie įvykusį incidentą turės būti informuojami incidentą patyrę asmenys, Valstybinė duomenų inspekcija“, – teigia Raminta Stravinskaitė, Tarptautinės technologijų teisės asociacijos atstovė Lietuvai ir Baltijos regionui.
Nuo kitų metų netinkamai ar neteisėtai tvarkantiems asmens duomenis grės milžiniškos baudos – iki 20 mln. eurų arba iki 4 proc. metinės įmonės apyvartos. Vienas siūlymų – šiuos pinigus skirti Valstybinei duomenų apsaugos inspekcijai. Šiuo metu Lietuvoje už pirmą kartą padarytą panašų pažeidimą bauda siekia nuo kelių šimtų iki kiek daugiau nei 1000 Eur.
„Organizacijos, kurios tvarko tokius duomenis, ir be medicinos, kaip, pavyzdžiui, „Maxima“ su nuolaidų kortelėmis, ar batų parduotuvė, kuri turi nuolaidų korteles, – jie taip pat asmeninius duomenis tvarko. Tai kas bus, jei tų žmonių duomenys nutekėtų? Telefonų numeriai? Tau pradėtų skambinėti reklamos agentai. „Pasidarei papus“, tai dabar nusipirk liemenėlę prabangesnę. Logiška, nes tas žmogus turėjo pinigų. O gal dar jam automobilį pasiūlyti? Kokį „Range Rover“, gražų, naują“, – svarsto informacinių technologijų ekspertas M.Pareščius.
Pabrėžiama, kad prasta asmens duomenų apsauga Lietuvoje – tik vienas iššūkių, kaip padidinti šiuo metu nepatenkinamą kibernetinio saugumo lygį. Kad jis žemas, konstatuojama Krašto apsaugos ministerijos pirmą kartą paviešintoje Kibernetinio saugumo ataskaitoje. Aiškėja, kad įsilaužti lengva ne tik į privačias, bet ir į kas antrą valstybės institucijų interneto svetainę – jos nėra tinkamai prižiūrimos, sistemos pasenusios, o saugumo spragos netaisomos.
Todėl jau pradėta didelio masto reforma. Lyderystės imasi Krašto apsaugos ministerija. Planuojama prie Nacionalinio kibernetinio saugumo centro prijungti valstybės tinklus iki šiol tvarkiusią infrostruktūrą, taip pat Ryšių reguliavimo tarnybos kibernetinius incidentus tyriantį padalinį CERT.
Planuose yra ir kurti naują instituciją, kuri iš esmės ir pagal Estijos modelį pertvarkytų viešojo sektoriaus tinklus.