Pats ministras suprato, kad ataskaitos pristatymo laikas sukrito kiek ironiškai, jau įžanginiame žodyje pabrėždamas, jog savo pasisakymą planavo visai kitokį.
Jis atkreipė dėmesį, kad pernai metais užregistruota 25 proc. mažiau kibernetinių incidentų nei 2024 m.: užkardyta daugiau nei 70 tūkst. kenkėjiškų duomenų, kiekvieną dieną nuo galimų incidentų buvo apsaugoma apie 35 tūkst. gyventojų, tačiau šiandien į šią „medaus statinę“ įkrenta „šaukštas deguto“.
„Statistika gerėja, tačiau, žinote, kaip kiekvienas deguto šaukštas gali sugadinti visą medaus statinę, taip ir šitas naujausias RC duomenų nutekinimo incidentas sugadina, kitomis spalvomis sudeda visas mūsų pastangas“, – teigė R. Kaunas.
Pasitraukęs „Registrų centro“ vadovas tikisi, kad sektorius padarys išvadas: kalbame apie edukaciją
Iš esmės praktiškai visa NKSC vykusi spaudos konferencija sukosi ne apie praėjusius metus, o apie RC duomenų nutekinimo skandalą – apie tai klausimų sulaukė ir ministras, ir NKSC direktorius Antanas Aleknavičius.
Nors opozicija jau kelia klausimus dėl pačių ministrų – vidaus reikalų ministro Vladislavo Kondratovičiaus, ekonomikos ir inovacijų ministro Edvino Grikšo bei paties krašto apsaugos ministro R. Kauno – atsakomybės ir ketina kviestis juos „ant kilimėlio“, pastarasis kaltę meta RC vadovybei.
„Už kiekvienos institucijos konkretų veiksmą atsakingas yra institucijos vadovas, šiuo atveju, Registrų centro vadovybė. Mano asmeniniu vertinimu, ji iki galo nesiėmė visų reikalingų sprendimų užkardyti turimas spragas“, – tvirtino R. Kaunas.
„Kai mes šnekame, kad tiesiog per vartotojų paskyras prisijungiama ir pavagiami duomenys – žinote, mes galime statyti įvairiausias, naujausias, moderniausias ugniasienes, naujausius, moderniausius serverius, apsaugos sprendimus, bet, jeigu mes nesugebame išsaugoti savo slaptažodžių, jeigu mes nesugebame įdiegti dvigubos autorizacijos, kas šiai dienai yra savaime suprantamas dalykas, tikrai kyla klausimų“, – pridūrė jis.
Susiję straipsniai
R. Kauno teigimu, duomenų nutekėjimo būtų buvę galima išvengti taikant tinkamas apsaugos priemones.
„Šiuo konkrečiu atveju Registrų centre buvo galima turėti analitinius įrankius, kurie sektų anomalijas. Jei Migracijos departamentas pradėjo siųsti daugybę užklausų, tai turėtų kilti klausimas Registrų centrui: „O kas čia vyksta ir kodėl tai vyksta?“ Tų klausimų nekilo“, – kalbėjo jis.
„Todėl mes kartu, surėmę pečius, turėsime pagalvoti, rasti papildomų sprendimų, papildomų siūlymų visoms Lietuvos organizacijoms“, – tęsė ministras.
Politikas vylėsi, kad šis incidentas taps pamoka kitoms institucijoms bei organizacijoms peržiūrėti informacinių technologijų (IT) „higieną“.
„Investicijos į IT saugą ir plėtrą turi būti tęsiamos, bet visada mes turime pirmiausia labai kritiškai įsivertinti, ar mūsų įstaigose yra elementari IT higiena – ar mes elementariai ėmėmės visų saugumo priemonių, turime papildomus autorizacijos procesus, apmokytus darbuotojus, supratimą, kaip naudotis sistemomis, ir ar pakankamai greitai komunikuojame“, – akcentavo R. Kaunas.
Be kita ko, pasak ministro, KAM Generalinė inspekcija (GI) atliks analizę, kuria bus siekiama išsiaiškinti, ar informacija gyventojams apie galimą duomenų nutekėjimą buvo pateikta laiku.
„Lygiagrečiai turime kiekvienu tokiu atveju, jeigu kažkas nutinka, skubiai ir greitai informuoti visuomenę. Pasižiūrėsime, ar nebuvo pavėluota, ar informacija buvo teikta laiku. Bendradarbiaujant su GI šiai dienai negalime atskleisti viso tyrimo eigos, tačiau vėliau analizė tikrai bus padaryta, ištransliuota, kad tokios situacijos neapaugtų įvairiais papildomais gandais, nesusikurtų bereikalingų papildomų mitų“, – pabrėžė ministras.
„Situacija nėra smagi. Situacija nėra gera“, – neslėpė socialdemokratas.
Politikų atsakomybės neįžvelgia
R. Kaunas po žurnalistų klausimų pripažino apie nutekintus duomenis sužinojęs praėjusį trečiadienį, Vyriausybėje vykusio Nacionalinio saugumo komisijos (NSK) posėdžio metu. Visuomenė apie tai sužinojo penktadienį, po 15min žurnalistinio tyrimo.
„Aš asmeniškai apie tai sužinojau Nacionalinio saugumo komisijos posėdžio metu (…), tačiau, kaip suprantu, eiga, priemonės, reakcija tarp įstaigų ir bendradarbiavimas įvyko gerokai anksčiau. Ir ta situacija buvo valdoma. Nenoriu detalizuoti, nes tai yra ir tyrimo medžiaga“, – kalbėjo ministras.
Tuo metu iš pareigų pasitraukęs buvęs RC vadovas Adrijus Jusas pirmadienį teigė, kad didelės apimties duomenų nutekėjimas iš įmonės registrų pastebėtas dar balandžio pradžioje, tačiau galimybes pranešti apie incidentą ribojo teisėsaugos pradėtas tyrimas.
Jis nurodė, kad apie situaciją iškart informuota ir Ekonomikos ir inovacijų ministerijos (EIM) vadovybė, Nacionalinis krizių valdymo centras (NKVC).
Ar R. Kaunas tikrai šioje situacijoje nemato ir politikų atsakomybės, nes visą kaltę nukreipė tik į dabar jau buvusį RC vadovą? Jis aiškiai leido suprasti, kad ne – atsakomybė esą gula būtent ant A. Juso pečių.
„Atsakant dėl politinio vertinimo – įstaigų vadovai tam ir reikalingi, kad užtikrintų kiekvienos įstaigos darbą. NKSC darbas yra padėti toms įstaigoms, prisidėti savo ekspertine žinia, versti juos imtis atsakomybių, higienos, taisyti klaidas. Jeigu įstaigos to nedaro, tai klausimas, kiek politikas arba kitos organizacijos vadovas gali priversti įstaigos vadovą dirbti savo darbą?“ – retoriškai klausė ministras.
„Šiuo atveju duomenų nutekinimas įvyko per standartinius prisijungimus, o ne kažkaip įsilaužiant (...) per vartotojo anketą iš kitos įstaigos. Imituotas normalus standartinis darbas. Kodėl nebuvo dvigubos autorizacijos? (...) Čia – ne ministras turi techninį klausimą spręsti, o įstaigų vadovai“, – tęsė jis.
NKSC vadovas: duomenų nutekinimo pastebėjimo greitis priklauso nuo organizacijos brandos
Pasirodžius informacijai, esą pirmieji duomenys galėjo būti nutekinti dar sausį, NKSC direktorius A. Aleknavičius akcentavo, kad tikslias detales atskleis vykdomi tyrimai. Pasak jo, incidentų fiksavimo greitis priklauso nuo organizacijos „brandos“.
„Tyrimas pasakys tiksliau, kaip, kada buvo, nes dabar vyksta ikiteisminis tyrimas ir mes atskirai tyrimą vedame. (...) Kai turėsime visas tyrimo detales, tuomet ir vertinsime“, – kalbėjo jis.
„Tam tikrais atvejais, ypatingai kalbant apie šitą atvejį, tam tikri duomenų pikai gali būti dėl sistemų veikimo, dėl automatizuotų sistemų veikimo ir, matyt, nusikaltėlių gudrumo pasislėpti po tais pikais. Viskas priklauso ir nuo organizacijos brandos, kiek ji save pažįsta“, – sakė jis, paklaustas, ar yra normali praktika keturis mėnesius nepastebėti galimo duomenų nutekinimo.
NKSC vadovo teigimu, jau kelerius metus organizacijos turi stebėti savo interneto svetainių įvykių žurnalus.
„Prieš keletą metų priimtame Kibernetinio saugumo įstatyme, įgyvendinamuosiuose teisės aktuose atsirado pareiga visiems stebėti savo vadinamus log‘us tam, kad būtų pastebima. Ar visos organizacijos jau stebi ir moka tą daryti? Tai ateis su branda, bet tai privaloma daryti ir, kaip sakiau, tai užkoduota jau kurį laiką“, – teigė jis.
Generalinė prokuratūra praėjusį penktadienį paskelbė pradėjusi ikiteisminį tyrimą dėl galimai nutekintų RC nekilnojamojo turto registro duomenų. Įtariama, kad galėjo būti nutekinti daugiau nei 600 tūkst. registro išrašų, žala siekia ne mažiau nei 111 tūkst. eurų.
Pasirodžius šiai informacijai, premjerė Inga Ruginienė bei ekonomikos ir inovacijų ministras E. Grikšas ragino RC vadovą A. Jusą trauktis iš pareigų. Pirmadienį jis pranešė paliekantis pareigas.