Visi šie duomenys pasiekiami be jokio kompiuterinio įsilaužimo – duomenys atviri, juos jau yra suindeksavusios populiarios paieškos sistemos „Google“ ir „Bing“, „Google“ jau saugo ir savo atsarginėse kopijose (angl. cache). Norint pasiekti dokumentus tereikia kiek aukštesnių nei vidutinių darbo su internetinėmis paieškos sistemomis žinių, bet vienos eilutės užklausa atveria prieigą prie pačių įvairiausių dokumentų. Ieškoti galima tiesiog naudojantis raktažodžiu „telefonas“, „slaptai“, „konfidencialu“ ir pan.
Saugumo problemą atradęs kibernetinio saugumo analitikas Darius Povilaitis portalui lrytas.lt teigia, kad visa ši informacija viešai pasiekiama dėl aplaidaus Seimo IT sistemų konfigūravimo.
Išnaudojant šią problemą galima rasti įvairius dokumentus – pavyzdžiui, gyvenimo aprašymus (curriculum vitae, CV), kuriuose sukoncentruota informacija apie asmenį: vardas, pavardė, gimimo data, šeimyninė padėtis, telefonas, namų adresas, telefonas, išsilavinimas, darbo veikla po universiteto baigimo ir kita.
Pavyzdžiui, vienas iš pirmųjų dokumentų „Google“ sistemoje, kuriuos rado portalas lrytas.lt – Rimantės Šalaševičiūtės dosjė: jos gimimo data, gimimo vieta, detali šeimyninė informaciją apie vyrą ir dukras, namų adresas, telefonai, išsilavinimas, darbo patirtis, deklaruojamos mokamos kalbos.
Kitas dokumentas – vieno rajono savivaldybės tarybos sprendimo, kuriuo vardu ir pavarde nurodytam savivaldybės administracijos direktoriui išduodamas leidimą dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma „Slaptai“, tekstas.
Trečias dokumentas – vieno asmens Lietuvos Respublikos generaliniam prokurorui pateiktas skundas dėl M.Puidoko galimai skleidžiamo šmeižto. Dokumente matomi skundo teikėjo vardas ir pavardė, asmens kodas, adresas ir telefonas.
Ketvirtas dokumentas – žyme „Konfidencialu“ pažymėtas 2021 m. Suskystintų Gamtinių dujų ilgalaikio projekto eigos pristatymas (prezentacija). Ir tai – tik keli atsitiktiniai pavyzdžiai, atvirai randami „Google“ sistemoje.
Žala jau padaryta
D.Povilaičio teigimu, didžiausia problema čia yra ta, kad žala jau padaryta, šimtai ar tūkstančiai dokumentų jau yra „Google“, „Bing“ ir turbūt kitose paieškos sistemose, ir juos iš ten panaikinti – milžiniškas darbas.
O surasti šiuos duomenis, kibernetinio saugumo analitiko teigimu, nėra sunku: dirbantys su paieškos sistemomis (tarkime, interneto paieškų optimizavimu, SEO) tai tikrai gebėtų, be to, paaiškinimus kaip atlikti detalesnę paiešką (angl. advanced search) viešai pateikia ir pati „Google“, tad to tikrai nesunkiai gali išmokti kiekvienas. O paiešką galima daryti įvairiais pjūviais, naudojant bet kokius raktinius žodžius.
Kalbant apie problemos sprendimą – anot specialisto, laukia itin didelis darbas.
„Ištrinti šiuos duomenis techniškai turbūt įmanoma, bet turbūt tai bus didžiulis darbas ir tai truks labai ilgai. Situacija tokia: pirma, Seimo pareigūnai nežino, kas tuos duomenis jau pasiėmė – kadangi tuos duomenis galima buvo paimti ne tik iš paties Seimo, bet ir paieškos sistemos atsarginės kopijos. Antra, reikia identifikuoti visą informaciją, kuri tapo pažeidžiama – nes ji pateko ne tik į „Google“, bet ir į kitus paieškos variklius. Tikrinau „Bing“ ir jau radau. O kiek iš viso yra tokių paieškos variklių, kiek ši informacija plačiai pasklido – čia jau labai sunku pasakyti. Dėl kiekvieno įrašo reikės kažkur kreiptis, naikinti tą įrašą, tad darbas čia nusimato milžiniškas“, – portalui lrytas.lt kalbėjo specialistas.
Paklaustas, ar įmanoma kiekybiškai įvertinti, kiek dokumentų nutekėjo, D.Povilaitis nurodė, kad naudojantis išorinėmis priemonėmis (pvz. naudojantis tuo pačiu „Google“), grubiai kalbant galima kalbėti apie šimtus ar ir tūkstančius. „Dalis taip randamos informacijos yra vieša, dalis ir nevieša, be to „Google“ dubliuoja ir ne visada tiksliai rodo informaciją, todėl tiksliai įvertinti sunku. Bet tarkime, gyvenimo aprašymų mačiau mažiausiai bent kelis šimtus.
Seimas skelbia, kad tai nėra kibernetinis incidentas
Penktadienio popietę Seimo išplatintame pranešime teigiama, kad bendradarbiaujant su Nacionaliniu kibernetinio saugumo centru pastebėta, kad viešose Seimo svetainėse matomi dokumentai su asmens duomenimis. „Seimo kanceliarija imasi visų priemonių, kad duomenys būtų apsaugoti, ir aiškinasi jų viešinimo priežastis“, – rašoma pranešime.
„Atkreipiame dėmesį, kad tai nėra kibernetinis incidentas, šių duomenų viešinimas susijęs su organizacine veikla“, – teigia Seimo kanceliarija.
Nacionalinis kibernetinio saugumo centras (NKSC) portalui lrytas.lt patvirtino, kad yra gavęs informaciją iš LRS kanceliarijos, kad penktadienį fiksuotas incidentas neturi kibernetinio elemento ir kad LRS kanceliarija šiuo metu vykdo vidinį tyrimą.
„NKSC apie šį incidentą informavo Valstybinę duomenų apsaugos inspekciją“ , – nurodoma pranešime.
Seimas persigalvojo
Penktadienio pavakarę Seimo kanceliarija ištrynė pirminį pranešimą ir paskelbė, esą žiniasklaidoje skelbiama informacija apie saugumo spragas Seimo IT infrastruktūroje yra klaidinga.
„Šiuo metu viešai Seimo interneto svetainėje ir Teisės aktų informacinėje sistemoje prieinami duomenys yra skelbiami laikantis teisės aktų reikalavimų. Kai kurie dokumentai yra lydintieji prie teisės aktų: juos skelbiant Teisės aktų informacinėje sistemoje įgyvendinama Seimo statuto nuostata Seimo nariams pateikti kandidatų biografijų duomenis (kai Seimas skiria į pareigas arba pritaria dėl skyrimo į pareigas). Gyvenimo aprašymus, kuriuose skelbiami asmens duomenys, Seimo kanceliarija gauna iš pačių duomenų subjektų. Jiems informavus apie galimą perteklinį duomenų tvarkymą, Seimo kanceliarija nedelsiant reaguoja“, – rašoma naujai išplatintame pranešime.
Jame taip pat nurodoma, kad taip pat viešai prieinami savivaldybių pateikti teisės aktai, dėl kurių viešinimo sprendimą priima pačios savivaldybės. Pagal Lietuvos Respublikos Seimo statuto reikalavimus (214 str.) viešai skelbiami ir klausimai bei atsakymai į Seimo narių klausimus.
Lrytas.lt atkreipia dėmesį, kad tarp viešai prieinamų Seimo duomenų dar vidurdienį buvo prieinamas ir Generalinei prokuratūrai adresuotas skundas, kuriame matyti skundo pateikėjo vardas ir pavardė, jo adresas, asmens kodas ir telefonas. Penktadienio vakare vieša prieiga prie šio dokumento jau dingo.
