Anoniminius tinklalapius turinčioje svetainėje neseniai paviešinta daugybė pavardžių asmenų, kurių privačius duomenis užvaldė įsilaužėliai.
Programišiai tvirtino gavę iš viso 24 tūkstančių klientų sveikatos korteles. Dalis duomenų jau paviešinta – tai nuotraukos, įrašai apie sveikatos būklę, atliktas operacijas.
Paviešintos ir pačių intymiausių operacijų nuotraukos - mergystės plėvės atstatymo, makšties susiaurinimo.
Anoniminiai programišiai kaltino pačią kliniką – esą ji nesaugojo klientų paslapčių, buvo galima lengvai patekti į duomenų bazę.
Atskleistos intymios detalės
„Pacientė nepatenkinta krūtinės dydžiu, skundžiasi iššutimais, nugaros skausmais.
Pacientė skundžiasi negražia nosies forma“, – tai tik dalis paviešintų Raimondos iš Žemaitijos sveikatos duomenų.
Krūtų kėlimo operaciją prieš kelerius metus atliko plastikos chirurgas Vygintas Kaikaris.
Praėjus mėnesiui jis į pacientės asmens sveikatos istoriją įrašė: „Pjūviai sugiję, pašalinti siūlai, krūtų forma gera.“
Pacientė buvo nufotografuota prieš ir po operacijos. Visos nuotraukos jau paviešintos.
Šių metų balandžio 21-osios vakarą Raimondos ramybę sutrikdė dvi trumposios žinutės.
„Neišsigandau, bet supratau, kad buvo nutekinti mano duomenys. Man buvo nesmagu tai sužinoti. Klinikos atstovai manęs neatsiprašė“, – teigė Raimonda.
Nukentėjo ir emigrantai
Programišiai visą savaitę kasdien internete viešino vis daugiau duomenų, kuriuos siūlė įsigyti po 50–100 eurų.
Iš klinikos jie pareikalavo daugiau kaip 300 tūkstančių eurų išpirkos, kurią norėtų gauti bitkoinais – virtualia valiuta.
Vykdant pavedimus bitkoinais panaudojami nežinomi prie tinklo prisijungę kompiuteriai, todėl juos sunku susekti.
Didžiausio smūgio sulaukė klientai, kuriems klinikų chirurgai operavo intymias kūno vietas. Net ir tokių operacijų nuotraukos buvo laikomos ne klinikos seife, o internetinėje duomenų bazėje.
Vagių grobiu tapo užsieniečių ir lietuvių emigrantų, gyvenančių Anglijoje bei Airijoje, asmens duomenys.
Klinikos chirurgai į tas šalis vykdavo ieškoti būsimų klienčių.
Svetur gyvenančių lietuvių sukurtose svetainėse galima surasti skelbimų, reklamuojančių grožio specialisto V.Kaikario būsimas viešnages.
Vis dar šantažuoja kliniką
„Neseniai klinika „Grožio chirurgija“ patyrė kibernetinį incidentą, kurio metu nusikalstamu būdu buvo gauta prieiga prie klinikos saugomų pacientų asmens duomenų. Apgailestaujame ir atsiprašome klientų – užtikriname, kad darome viską.
Kovo 24 dieną klinika kreipėsi į Kauno apygardos prokuratūrą ir Kauno apskrities vyriausiąjį policijos komisariatą prašydama pradėti ikiteisminį tyrimą“, – paaiškino „Grožio chirurgijos“ direktorius Jonas Staikūnas.
Jis patvirtino, kad nusikaltėliai vis dar šantažuoja kliniką ir jos pacientus.
Pradėtą ikiteisminį tyrimą kontroliuoja Kauno apygardos prokuratūros Antrojo baudžiamojo persekiojimo skyriaus prokurorai, o jį vykdo policijos pareigūnai, tiriantys nusikaltimus elektroninėje erdvėje.
Tyrimas atliekamas dėl, įtariama, įvykdytų nusikalstamų veikų – neteisėto prisijungimo prie informacinės sistemos, neteisėto informacijos apie privatų asmens gyvenimą rinkimo ir turto prievartavimo.
Už šiuos nusikaltimus gresia laisvės atėmimas iki 8 metų.
„Grožio chirurgija“ dar prieš programišių įsilaužimą atsidūrė pareigūnų taikiklyje.
Šiuo metu Kaune atliekamas ir tyrimas dėl galimų finansinių pažeidimų.
Pareigūnai klinikos patalpose surado apie 400 tūkstančių eurų grynųjų – aiškinamasi jų kilmė.
Neturėjo svarbaus leidimo
Programišiai, spėjama, iš viso pasiglemžė 24 tūkstančių pacientų duomenis. „Lietuvos ryto“ kalbinti informacinių technologijų specialistai svarstė, kad klinikos vadovai galėjo taupyti įsigydami programinę įrangą.
Apie tai, kad įmonės vadovai mažai dėmesio skyrė duomenų apsaugai, užsiminė ir Valstybinės duomenų apsaugos inspekcijos atstovai. Į juos „Lietuvos ryto“ žurnalistė kreipėsi po to, kai Asmens duomenų valdytojų registre nerado jokių žinių apie bendrovę „Grožio chirurgija“.
Tai rodo, kad įmonė neturi leidimo dirbti su asmenų sveikatos duomenimis. Šį faktą žurnalistei patvirtino ir leidimus išduodantys inspektoriai.
„Ypatingų duomenų valdytojai yra klinikos vadovai, todėl jie atsakingi už apsaugą.
Jie privalo techninėmis bei organizacinėmis priemonėmis užtikrinti tvarkomų asmens duomenų saugumą“, – teigė Valstybinės duomenų apsaugos inspekcijos Informacijos ir technologijų skyriaus vedėja Aušra Gučienė.
Inspekcijos teisininkai „Lietuvos rytui“ paaiškino, kad apie asmens duomenų, susijusių su sveikata, tvarkymą automatiniu būdu įmonė privalo pranešti iš anksto, turi būti atlikta patikra.
Tokie duomenys yra priskiriami prie ypatingųjų duomenų kategorijos, todėl jų valdytoją tikrina informacinių technologijų specialistai ir teisininkai.
„Grožio chirurgijos“ vadovai leidimo tvarkyti sveikatos duomenis turėjo prašyti dar prieš klinikos atidarymą.
To nepadarę jie pažeidė Asmens duomenų teisinės apsaugos įstatymą.
Žmonai leido botuliną
„Grožio chirurgijos“ klinika Kaune iškilmingai buvo atidaryta 2010 metų pradžioje. Jos bendraturčiai – plastikos chirurgai V.Kaikaris, K.Maslauskas ir anesteziologas J.Staikūnas.
Per klinikos atidarymą koncertavo scenos žvaigždės Rūta Ščiogoliovaitė, Vaida Genytė.
Viena jų buvo viešai pareiškusi, kad pasitiki naujosios klinikos specialistais ir jiems patikės įgyvendinti seną svajonę.
Būrį garsenybių suviliojo ir 2016 metais vykęs šios klinikos filialo Vilniuje atidarymas.
„Grožio chirurgijai“ netrūko pacientų.
Pavyzdžiui, 2015 metais jos oficiali apyvarta – iki 5 milijonų eurų.
V.Kaikario atliekamas grožio procedūras girdavo jo 52 metų žmona, dažna vakarėlių viešnia Kristina Kaikarienė.
Vestuvių planuotojai į veidą leidžiamos botulino injekcijos.
„Netrūksta manančių, kad vyras mane operuoja kas vakarą, ir ne kur kitur, o ant virtuvinio stalo. Tai kelia juoką. Profesionalios jo pagalbos man prireikia kas 8–9 mėnesius“, – yra sakiusi K.Kaikarienė.
Slaptažodžiai turi būti itin saugomi
Martynas Gedminas
Bendrovės „Alfa analitika“ vadovas
„Su atvejais, kai nesilaikoma saugumo procedūrų, tenka susidurti neretai. Rinkodaroje vis dažniau naudojami asmens duomenys – jų pagrindu kuriamos išmaniosios reklamos, klientų aptarnavimo ir analitinės sistemos.
Vienas dažniausių atvejų – prisijungimas prie klientų duomenų valdymo sistemų (vienas vartotojas, vienas slaptažodis), nors sistema leidžia sukurti atskirus vartotojus. Dažniausiai tokie prisijungimai įmonėse persiuntinėjami elektroniniu paštu, saugomi lengvai prieinamose vietose. Kai darbuotojas išeina iš darbo, slaptažodis kartais keičiamas pavėluotai.
Dalindamiesi prisijungimų kodais elektroniniu paštu kai kurių įmonių darbuotojai nerakina išmaniųjų telefonų ir nešifruoja jų turinio. Praradus įrenginį jis neblokuojamas (duomenys neištrinami), nes tikimasi susitarti su nauju šeimininku. Kyla pavojus, kad duomenys iš pavogtų įrenginių gali būti parduodami.
Kita problema, kai asmeniniai duomenys „atsitiktinai“ nusėda išorinėse sistemose dėl duomenų valdytojo nežinojimo (pavyzdžiui, dėl programavimo klaidos visi vartotojų slaptažodžiai atvirose formose atsiranda „Google Analytics duomenyse“).
Tokiu būdu prieigą prie asmens duomenų įgyja daugiau žmonių, nei numato saugumo reikalavimai. Man tenka dirbti ir su užsienio bendrovėmis – padėtis ten kartais būna dar labiau apgailėtina. Kuo išsamiau rinkodaros specialistai norės pažinti klientą, kuo labiau automatizuotos bus aptarnavimo procedūros, tuo didesnis iššūkis bus visa tai apsaugoti.“
Įsilaužimas į klinikos sistemas – kaip šaltas dušas
Andrius Barauskas
„Baltic Underwriting Agency“ rizikų vertinimo vadovas
„Jokia bendrovė nėra apsaugota nuo kibernetinio įsilaužimo pavojaus. Programišiams pavyksta įsilaužti net į JAV Federalinio tyrimų biuro serverius Amerikoje.
Pastarasis įvykis, kai buvo įsilaužta į klinikos sistemas, parodė, kad kibernetinių nusikaltėlių taikiniu gali tapti bet koks verslas, kasdien naudojantis internetą.
Šis atvejis galbūt bus šaltas dušas, po kurio ir kiti verslininkai susirūpins, kaip tokia informacija saugoma įmonių serveriuose, kompiuteriuose ar mobiliuosiuose telefonuose.
Šis skandalas pakenkė klinikos įvaizdžiui. Užsitarnauti klientų pasitikėjimą bus labai sunku.
Kai bent viena intymi nuotrauka išlįs į viešumą, klinika neišvengs klientų ieškinių. Tokie ieškiniai mūsų šalyje – dar naujiena, nors per metus registruojama apie 15 tūkst. įsilaužimų bei duomenų vagysčių. Vakarų Europoje ir Jungtinėse Amerikos Valstijose daugėja bylų dėl paviešintų asmens duomenų.
Didžiosios pasaulio draudimo bendrovės jau prieš dešimtmetį pasiūlė kibernetinių rizikų draudimą.
Jei „Grožio chirurgijos“ klinika būtų turėjusi tokį draudimą, jai būtų atlygintos visos teismuose patirtos išlaidos bei apmokėta žala klientams, kurių nuotraukos buvo išplatintos.
Nukentėjusių klientų ieškinių suma gali siekti kelis milijonus eurų. Klinikos klestėjimas gali baigtis dėl praeityje sutaupytų kelių tūkstančių eurų informacinių technologijų sistemai patobulinti ir drausti.“
