Pastaraisiais metais naujienų portaluose pastebime vis daugiau ir daugiau aprašomų kibernetinių incidentų ir asmens duomenų saugumo pažeidimų atvejų. Pats naujausias įvykis, sudrebinęs visą Lietuvą ir iškėlęs ne tik privatumo, bet ir nacionalinio saugumo lygio klausimą – asmens duomenų saugumo pažeidimas, įvykęs Valstybės įmonėje Registrų centre, tretiesiems asmenims neteisėtai prisijungus per kitos institucijos administruojamus prisijungimus, gavus prieigą prie Nekilnojamojo turto registro duomenų bazės ir tokiu būdu neteisėtai paveikus daugiau kaip 600 tūkstančių Nekilnojamojo turto registro išrašų.
Advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė pažymi, kad paviešinta informacija apie įvykusį pažeidimą atskleidžia esminį faktą – prieiga prie šio valstybinio duomenų šaltinio piktavaliams buvo suteikta ne pasinaudojant Valstybės įmonės Registrų centro informacinių sistemų pažeidžiamumais ar įvykdžius kenkėjiškos programinės įrangos ataką, bet pasinaudojant silpniausia grandimi – žmonėmis.
Tiesa, nors oficialių duomenų apie šio asmens duomenų saugumo pažeidimo tyrimo rezultatus dar nėra skelbiama, iš šio plačiai pagarsėjusio incidento įmonių ir organizacijų vadovai jau dabar gali pasimokyti.
Visų pirma, šis asmens duomenų nutekėjimo atvejis dar kartą parodė, kad įmonėse ir organizacijose be kitų diegiamų vertybių turi būti skiriamas itin didelis dėmesys kibernetinės higienos žinioms, kibernetinio atsparumo ir sąmoningumo didinimui. Įmonėse ir organizacijose turi būti periodiškai organizuojami mokymai ir pratybos darbuotojams, kurių metu būtų vertinama, ar darbuotojai geba atpažinti kibernetines atakas (pvz., phishing, smishing, socialinės inžinerijos technikas ir pan.), ar žino, kaip tinkamai reaguoti, į kokius atsakingus asmenis kreiptis ir kokius reikiamus veiksmus atlikti.
Įmonėms itin rekomenduojame persižiūrėti visus darbuotojų, kuriems suteikta prieigos teisė prie valstybės informacinių sistemų ir registrų (kaip šiuo atveju, prie Valstybės įmonės Registrų centro, taip pat ESPBI IS, Valstybinio socialinio draudimo fondo valdybos (SODRA), Valstybinės mokesčių inspekcijos informacinių sistemų ir pan.), sąrašus ir įvertinti, ar darbo funkcijų vykdymui šiems darbuotojams būtina turėti prieigos teises prie atitinkamų valstybės informacinių sistemų ir registrų, ir, jeigu taip, ar prieigos teisės iš tikrųjų būtinos tokia apimtimi, kokios yra suteiktos. A. Laurinaitytė atkreipia dėmesį, jog taip pat labai svarbu įvertinti, ar tų darbuotojų, su kuriais darbo santykiai jau yra pasibaigę, arba, kurių darbo funkcijos pasikeitė ir valstybės informacinėse sistemose ir registruose talpinama informacija jiems tapo nebereikalinga, prieigos teisės buvo panaikintos.
Aktualu pažymėti, kad tie darbuotojai, kuriems darbo funkcijų vykdymui yra suteiktos prieigos teisės prie valstybės informacinių sistemų ir registrų, turėtų būti pasirašę konfidencialumo pasižadėjimus, kuriais būtų pasirašytinai įsipareigoję užtikrinti asmens duomenų saugumą, naudodamiesi valstybės informacinėse sistemose ir registruose tvarkomais asmens duomenimis.
Tam, kad šis prieigos teisių peržiūros procesas būtų sklandus, įmonėse turi būti parengta ir vadovo įsakymu patvirtinta prieigos valdymo tvarka, kurioje nurodomos aiškios prieigos teisės suteikimo, peržiūros ir panaikinimo taisyklės, šių procesų įgyvendinimo terminai ir atsakingi asmenys.
Valstybės įmonės Registrų centro asmens duomenų saugumo pažeidimas atskleidė, kad vien slaptažodžio ir vartotojo vardo pateikimas informacinėje sistemoje autentifikacijai įvykdyti nėra pakankamai saugus būdas. Rekomenduojame papildomai taikyti MFA sprendimus (pvz., Microsoft Entra ID, Okta, Cisco Secure Access by Duo), t. y. prisijungiant prie valstybės informacinių sistemų ir registrų, neapsiriboti vien tik naudotojo vardo ir slaptažodžio pateikimu, bet taikyti papildomas saugumo priemones (pvz., patvirtinti prisijungimą telefone, įvesti vienkartinį kodą, panaudoti biometrinius duomenis (piršto atspaudą, akies rainelę, veido atpažinimą).
Įtartinų veiksmų atpažinimui ir savalaikei reakcijai įmonėms gali padėti žurnalinių įrašų fiksavimas ir nuolatinė analizė. Advokato padėjėja Akvilė Laurinaitytė nurodo, kad vadovaujantis šiuo metu galiojančiu teisiniu reglamentavimu, įmonių tinklų ir informacinėse sistemose turėtų būti fiksuojami šie žurnaliniai įrašai, t. y. tinklų ir informacinių sistemų komponentų (serverių, virtualių serverių, saugasienių, maršrutizatorių, komutatorių ir kitų svarbių komponentų) įjungimas, išjungimas ar perkrovimas, naudotojų ir administratorių autentifikavimo įvykiai, naudotojų, administratorių paskyrų sukūrimas, prieigų prie tinklų ir informacinių sistemų pakeitimai, administratorių atliekami veiksmai, operacinėse sistemose sukurti ir atlikti sisteminiai uždavinių įvykiai, saugasienių taisyklių pakeitimai, žurnalinių įrašų rinkimo funkcijos įjungimas, išjungimas, saugumo sistemų įjungimas ir išjungimas, operacinėse sistemose vykstančių procesų ar servisų įvykiai, tinklų ir informacinių sistemų galinių įrenginių autentifikavimo įvykiai, žurnalinių įrašų peržiūrėjimas, trynimas, kūrimas ir keitimas.
Tam, kad būtų įmanoma laiku identifikuoti ir sureaguoti į nustatytą įtartiną veiklą, žurnaliniai įrašai turi būti nustatytu periodiškumu peržiūrimi, o įmonių ir organizacijų vadovai turi paskirti atsakingus už šią peržiūrą ir reagavimą asmenis.
Apibendrinant, advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė pažymi, jog Valstybės įmonės Registrų centro atvejis, kaip ir kiti įvykę asmens duomenų saugumo pažeidimai, mums dar kartą įrodo, kad kibernetinis saugumas ir atsparumas šiomis dienomis nebėra vien tik formalumas – tai turi būti kiekvienos įmonės ir organizacijos siekiamybė ir kasdienės veiklos dalis.
Advokatų profesinė bendrija „NEWTON LAW“
Advokato padėjėja Akvilė Laurinaitytė
+370 646 53727
