Jei kada nors domėjotės, kas ir kodėl tikrina jūsų asmens duomenis valstybiniuose registruose, Palangos mero istorija gali tapti atsakymu — ir ne pačiu ramiausiu. Šarūnas Vaitkus, Palangos meras, sekmadienį paskelbė gavęs Registrų centro atsakymą į savo užklausą. Rezultatas privertė jį kreiptis į Generalinę prokuratūrą.
Daugiau nei dešimt kartų — ir ne atsitiktinai
Pasak Š. Vaitkaus, Registrų centras patvirtino, kad jo bei žmonos duomenis peržiūrėjo Socialinės apsaugos ir darbo ministerija. Ir ne vieną kartą — daugiau kaip dešimt. Meras socialiniame tinkle „Facebook" klausimą suformulavo aštriai: „Kas tai — dar viena neteisėta ataka prieš mūsų valstybę, įsilaužiant į Registrų centro prieigas per Socialinės apsaugos ir darbo ministeriją, ar pačios ministerijos atstovų galimai neteisėti veiksmai."
Kreipimesi į Generalinę prokuratūrą Vaitkus prašo nustatyti, kas ministerijoje rinko informaciją, kokiu pagrindu tai buvo daroma ir ar nebuvo viršyti tarnybiniai įgaliojimai ar piktnaudžiaujama tarnyba. Tai nėra eilinis politikų tarpusavio konfliktas — tai klausimas apie tai, kas ir kodėl gali prieiti prie kiekvieno piliečio duomenų.
Skandalas, kuris jau kurį laiką auga
Palangos mero atvejis nėra izoliuotas. Gegužę Generalinė prokuratūra pranešė tirianti galimus neteisėtus prisijungimus prie Nekilnojamojo turto registro ir daugiau nei 600 tūkstančių įrašų, įskaitant žmonių asmens kodus, pasisavinimą iš Registrų centro. Teisėsaugos duomenimis, prisijungimai vykdyti per iš užsienio pasisavintas Migracijos departamento darbuotojų paskyras.
Tą pačią savaitę paaiškėjo ir apie dar vieną incidentą — iš Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos buvo pavogti daugiau nei 62 tūkstančiai įrašų su medikų profesine ir kontaktine informacija. Sveikatos apsaugos ministrė Marija Jakubauskienė patvirtino šį faktą.
Taigi vaizdas toks: per kelis mėnesius Lietuvoje fiksuoti keli dideli duomenų saugumo incidentai, apimantys skirtingas institucijas ir skirtingus registrus. Ir dabar prie šio konteksto prisideda Palangos mero atvejis — kur įtariama ne išorinė kibernetinė ataka, o galimai vidinis piktnaudžiavimas prieiga.
Ką reiškia, kai ministerija tikrina mero duomenis
Socialinės apsaugos ir darbo ministerija pagal savo funkcijas neturi tiesioginio pagrindo tikrinti savivaldybės mero asmens duomenų daugiau nei dešimt kartų. Ministerija administruoja socialinės paramos, darbo rinkos, šeimos politikos sritis. Palangos mero, kaip privataus asmens, duomenų peržiūra tokia apimtimi kelia klausimų — nebent būtų konkretus teisinis pagrindas, pavyzdžiui, tyrimas ar patikrinimas pagal aiškiai apibrėžtą procedūrą.
Kol kas ministerija viešai situacijos nekomentavo. Generalinė prokuratūra turės nustatyti, ar peržiūros buvo teisėtos, ar viršyti įgaliojimai. Jei paaiškės, kad tai buvo neteisėta, atsakomybė gali būti ne tik administracinė — už piktnaudžiavimą tarnyba Baudžiamasis kodeksas numato baudžiamąją atsakomybę.
Kaip veikia duomenų peržiūrų sistema
Registrų centras kaupia ne tik pačius duomenis, bet ir informaciją apie tai, kas, kada ir kokiu pagrindu tuos duomenis tikrino. Kiekviena peržiūra palieka pėdsaką — prisijungusio darbuotojo identifikatorių, laiką, peržiūrėtus įrašus. Ši sistema sukurta būtent tam, kad būtų galima atsekti galimus piktnaudžiavimo atvejus.
Tačiau sistema veikia tik tada, kai kas nors paprašo ataskaitos. Palangos meras paprašė — ir rado daugiau nei dešimt peržiūrų iš ministerijos. Kiek piliečių niekada nepaprašo tokios ataskaitos? Kiek peržiūrų lieka nepastebėtų?
Ką tai reiškia eiliniam piliečiui
Palangos mero atvejis — ne tik apie politiką. Tai apie kiekvieną, kurio duomenys yra valstybiniuose registruose. O jų yra praktiškai visų. Nekilnojamojo turto registras, Gyventojų registras, sveikatos duomenys, mokesčių informacija — visa tai saugoma sistemose, prie kurių prieigą turi dešimtys institucijų ir tūkstančiai darbuotojų.
600 tūkstančių įrašų nutekėjimas iš Registrų centro rodo, kad sistema nėra sandari. 62 tūkstančiai medikų įrašų — kad problema sisteminė. Palangos mero atvejis — kad prieiga gali būti naudojama ne pagal paskirtį ir ne išorės įsilaužėlių, o pačių institucijų darbuotojų.
Ką daryti? Stebėti savo duomenų peržiūras — Registrų centras suteikia galimybę gauti informaciją, kas ir kada tikrino jūsų įrašus. Tai padarė ir Palangos meras. Ir būtent tai atskleidė situaciją.
Kas toliau — tyrimas ir galimos pasekmės
Generalinė prokuratūra dabar turi du lygiagrečius tyrimus: vieną dėl 600 tūkstančių įrašų nutekėjimo per užsienyje pasisavintas paskyras, kitą — dėl Palangos mero duomenų peržiūrų iš ministerijos. Pirmasis atvejis rodo išorinę grėsmę, antrasis — vidinę. Abu kartu piešia vaizdą, kad asmens duomenų apsauga Lietuvoje turi spragų, kurias reikia skubiai taisyti.
Ekspertai jau kurį laiką kalba apie būtinybę stiprinti prieigos kontrolę valstybiniuose registruose — įvesti privalomą dviejų faktorių autentifikaciją, automatizuoti įtartinų peržiūrų aptikimą, griežtinti atsakomybę už neteisėtą duomenų rinkimą. Palangos mero atvejis gali tapti katalizatoriumi tokiems pokyčiams.
Dažnai užduodami klausimai
- Kaip sužinoti, kas tikrino mano duomenis Registrų centre?
- Registrų centras teikia paslaugą, leidžiančią gauti ataskaitą apie jūsų duomenų peržiūras — kas, kada ir kokiu pagrindu tikrino. Užklausą galima pateikti per Registrų centro savitarną arba tiesiogiai kreipiantis į RC.
- Ar 600 tūkst. įrašų nutekėjimas palietė ir mane?
- Generalinė prokuratūra tiria atvejį. Kol kas nėra viešai paskelbta, kurių konkrečiai asmenų duomenys buvo pasisavinti. Jei nerimaujate, galite kreiptis į Registrų centrą dėl informacijos apie savo įrašų peržiūras.
- Kokia atsakomybė gresia už neteisėtą duomenų tikrinimą?
- Priklausomai nuo aplinkybių — administracinė atsakomybė (baudos pagal BDAR), drausminė atsakomybė darbuotojui, o sunkiais atvejais — baudžiamoji atsakomybė už piktnaudžiavimą tarnyba (BK 228 str.) arba neteisėtą asmens duomenų rinkimą.