Pasak jos, sukčiai negalėjo gauti pačios jautriausios – banko kortelių ar vairuotojų pažymėjimų informacijos.
Generalinis komisaras Renatas Požėla pasakojo, kad Lietuvos policija jau turi svarbios tyrimui informacijos, o greitu metu pradės dirbti ir su Europolo kibernetinių nusikaltimų padaliniu.
Apie 110 tūkstančių žmonių asmeniniai duomenys tapo prieinami kibernetiniams sukčiams, ikiteisminį tyrimą pradėjo Lietuvos policija, įvykio aplinkybes aiškinasi ir Valstybinė duomenų apsaugos inspekcija, o per visą šalį ne iš gerosios pusės nuskambėjusi „CityBee“ įmonė prašo klientų nepanikuoti ir pasikeisti slaptažodžius.
Pirmadienį paskelbus, kad įsilaužus į „CityBee“ duomenų bazę buvo pavogta daugiau nei 100 tūkstančio vartotojų informacija, kilo didelis ažiotažas.
Netrukus paaiškėjo, kad pavogta gerokai daugiau daugiau ir jautresnių duomenų nei iš pradžių skelbė „CityBee“: kibernetinių sukčių pamėgtame forume atsidūrė įmonės klientų vardai, pavardės, asmens kodai, telefonų numeriai, elektroninio pašto adresai, vairuotojų pažymėjimo numeriai, gyvenamosios vietos adresai. Taip pat – užkoduoti slaptažodžiai, kuriuos, kaip paaiškėjo, galima greitai ir lengvai „nulaužti“.
Tikina, kad sukčiai banko paskolų prisiimti negalės
Nukentėję klientai jau susibūrė į grupę „Facebook“ ir vis garsiau kalba apie planą pateikti grupinį ieškinį į teismą. Pasigirdo svarstymų, kad forume įsigiję informaciją sukčiai galėtų kito asmens vardu pasiimti paskolą.
E.Dobrovolska teigė, kad tai – neįmanoma.
„CityBee“ patikino, kad jų sistemoje saugomi tik vairuotojo pažymėjimo numeris ir galiojimo data, tad rizika – žema. Indikacijos, kad visiems reikėtų keisti vairuotojų pažymėjimus, nėra. Suprantame, kad „CityBee“ neturėjo tokios informacijos, o tik pažymėjimo numerį ir galiojimo datą. Įvertinome rizikos ir jos – pakankamai žemos. Pagal tai, kas yra žinoma, nematome reikalo visiems nurodyti keisti vairuotojo pažymėjimus ar banko korteles“, – kalbėjo E.Dobrovolska.
Teisingumo ministrė keletą kartų pakartojo, kad „CityBee“ duomenų bazėje nebuvo klientų banko kortelių informacijos.
„Gavome patikinimą, kad naujų duomenų masyvo atsirasti neturėtų. Iš mūsų pusės – pasiūlymas keisti slaptažodžius. Rizikos dėl banko kortelių ir vairuotojo pažymėjimų – žemos. Bet atkreipėme bankų atstovų dėmesį, kad į įtartinas operacijos būtų žiūrima nuodugniau“, – sakė E.Dobrovolska.
Įmonė dar nepateikė visos informacijos
Valstybinės duomenų apsaugos inspekcijos direktorius Raimondas Andrijauskas patikino, kad viešojoje erdvėje pasirodžiusi informacija, kad į sukčių rankas pateko ir bankų kortelių bei vairuotojo pažymėjimų pilni duomenys – neteisingi.
„Reikia pažymėti, kad viešojoje erdvėje matome daug įvairios informacijos. Yra daug spekuliacijų, kokie duomenys galėjo būti. Pagrindinis klausimas – ar buvo daromos viso vairuotojo pažymėjimo kopijos ir ar buvo informacijos su mokėjimo kortelėmis. Panašu, kad tokios informacijos „CityBee“ duomeny bazėje nebuvo“, – sakė R.Andrijauskas.
Pasak jo, šiuo metu aktyviai dirbama ne tik su Teisingumo ministerija, bet ir policija, Lietuvos kibernetinio saugumo centru, apie situaciją informuotas ir Lietuvos bankas.
„CityBee“ įmonė per 72 valandas turi pateikti visą informaciją, kurios pareikalauta. Kol kas ji neperduota.
„Įmonė dar nėra pateikusi visos privalomos informacijos, kurią reikia perduoti per 72 valandas. Įmonė patikino, kad informaciją pateiks. Bus nustatyti ir visi 110 tūkstančių su pažeidimu susijusių asmenų“, – kalbėjo R.Andrijauskas.
Jis pabrėžė, kad atskirai rašyti skundų ir kreiptis į pareigūnus nėra reikalo, nes pagal duomenų bazę bus nustatyti visi nukentėjusieji.
„CityBee“ turi nukentėjusiojo statusą
„CityBee“ įmonė šioje istorijoje dabar laikoma nukentėjusiąja. Kol kas nėra aišku, ar jai grės atsakomybė dėl prarastos informacijos.
Viešojoje erdvėje daug kalbama, kad įmonė galėjo prastai apsaugoti slaptažodžius ir netgi duomenų bazėje turėti informacijos, kurios ten neturėjo būti.
„Apie atsakomybę kalbėti dar anksti. Pirmiausia reikia surinkti faktus, išsiaiškinti veikos atlikimo laiką, ar įmonė aplaidžiai laikėsi reikalavimų arba jų visai nesilaikė. Kol kas apie tai kalbėti negalime“, – sakė R.Andrijauskas.
Tačiau jis paaiškino, kas galėtų grėsti įmonei, jeigu paaiškėtų, kad ši padarė pažeidimų.
„Jeigu jau ir grėstų atsakomybė – tai visoms įmonėms vienodai taikomas Bendrasis duomenų apsaugos reglamentas (BDAR). Tam tikrų pažeidimų atveju – iki 10 ar 20 milijonų, arba nuo 2 iki 4 procentų metinės apyvartos. Bet tik tada, kai įmonė kalta ir nustatyti tam tikri pažeidimai, kurie turėjo įtakos pažeidimo faktui. Tam tikromis situacijomis net ir turint geriausią sistemą nusikaltėliai gali įsilaužti ir „nulaužti“ tą sistemą. Ne visada galima pritaikyti įmonės atsakomybę“, – sakė R.Andrijauskas.
