Apie viešai prieinamą „Excel“ dokumentą Vytauto Didžiojo universiteto (VDU) duomenų bazėje „15min“ pranešė skaitytojas Saulius. „Ieškojau vienos draugės telefono. Įvedžiau jos vardą ir pavardę į „Google“ paieškos sistemą, vienas pirmųjų paieškos rezultatų buvo šis dokumentas. Ar universitetas turi teisę paviešinti studentų asmeninius duomenis?“ – klausė Saulius.
Iš tiesų, dokumentą buvo galima rasti ieškant bet kurio iš maždaug 240 studentų pavardės. Dokumentas, kuriame surašyti VDU lotynų kalbą studijavusių teisininkų duomenys, buvo „paslėptas“ tik po to, kai šia saugumo spraga pradėjo domėtis „15min“.
Techninė klaida
VDU Informacijos sistemų tarnybos direktorius Arvydas Matuzonis aiškino, jog tai buvo techninė netyčinė klaida. „Minimas dokumentas buvo ruoštas iš kito dokumento kopijos. Pagrindiniame lape asmens kodų nesimatė, tačiau jie liko senuose duomenyse (kitame to paties dokumento lape – aut. past.). Pastebėjus klaidą dokumentas buvo pašalintas, tačiau „Google“ jį spėjo įkelti į savo archyvus“, – „15min“ teigė A.Matuzonis.
Tai buvo techninė netyčinė klaida, - sakė A.Matuzonis.Anot jo, tai pirmas toks atvejis, kai VDU studentų asmeniniai duomenys tapo viešai prieinami internete. Paklaustas, kodėl vidiniai universiteto dokumentai apskritai yra skelbiami viešoje erdvėje, A.Matuzonis aiškino, jog dalis informacijos gali būti reikalinga stojantiesiems ar pradedantiems studijuoti. „Paprastai ten skelbiama informacija, neturinti asmens duomenų“, – sakė A.Matuzonis.
Jis paragino studentus, kurie pastebi, kad saugotini asmeniniai duomenys yra skelbiami viešai, apie tai pranešti VDU Informacinių sistemų tarnybai.
Informacinių technologijų bendrovės „Blue Bridge“ pardavimo ir rinkodaros direktorius Dalius Butkus teigia, jog tokios interneto svetainių saugumo problemos yra vienos dažniausių. „Įprastai tokios problemos iškyla, kuomet serveryje, kuriame yra konkreti svetainė, neteisingai sukonfigūruotos prieigos teisės prie konkrečios bylos, todėl prie jos gali prieiti neautentifikuoti vartotojai. Išvengti tokių bėdų padeda standartinės serverio administravimo priemonės. Be to, reikėtų reguliariai atlikti serverio ar programinės įrangos auditą“, – teigė D.Butkus.
Skundų nesulaukė
Skundų dėl VDU studentų duomenų paviešinimo nesulaukė nei universiteto administracija, nei Valstybinė duomenų apsaugos inspekcija (VDAI).
„Studentų asmens duomenys internete paviešinami nedažnai, tačiau tokių atvejų pasitaiko. Jie nėra piktybiniai, dažnai tai būna sistemos arba žmogaus klaida“, – „15min“ komentavo VDAI Informacijos ir technologijų skyriaus vyriausiasis specialistas Augustas Gadeikis.
Pasak jo, atsakomybė už šį atvejį turėtų tekti tyčia ar netyčia duomenis paviešinusiajam. Tačiau šiuo atveju VDU informatikams, greičiausia, pavyks išvengti atsakomybės, mat tam, kad inspekcija pradėtų tyrimą, būtinas skundas.
Jei skundas pripažįstamas pagrįstu ir nustatomas pažeidimas, VDAI turi teisę surašyti administracinių teisės pažeidimų protokolą, duoti rekomendacijas ir nurodymus dėl asmens duomenų tvarkymo ir apsaugos. Pažeidėjui už aplaidų asmens duomenų tvarkymą gali būti skirta 500–1000 Lt bauda. Už pakartotinį pažeidimą gresia 1–2 tūkst. Lt bauda.
Žmonės nesisaugo patys
VDAI specialistas A.Gadeikis pastebėjo, jog dažnai didelę savo duomenų dalį paviešina patys gyventojai, nežinodami apie tai, kaip ir kokius duomenis reikėtų saugoti. Radę internete paviešintus savo asmeninius duomenis, vartotojai turėtų kreiptis į VDAI ir pateikti skundą ar pranešimą. A.Gadeikis priminė, jog asmens kodą fiziniai ar juridiniai asmenys gali naudoti tik gavę asmens sutikimą, išskyrus įstatymuose numatytus atvejus. Asmens kodą draudžiama skelbti viešai.
„Žala gali būti pati įvairiausia – svetimu vardu paimti kreditai, telefoninio sukčiavimo atvejai prisidengus svetimu vardu ir duomenimis ir panašiai“, – teigė A.Gadeikis.