Asmens duomenų saugumo pažeidimai Lietuvoje 2023 m. I pusmetį

Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga (BDAR 4 straipsnio 12 punktas).

Pranešimai apie asmens duomenų saugumo pažeidimus (ADSP) teikiami Valstybinei duomenų apsaugos inspekcijai (VDAI) ir duomenų subjektams, vadovaujantis BDAR 33 ir 34 straipsniais. VDAI apie ADSP privalo pranešti visi duomenų valdytojai pateikdami pranešimą apie ADSP, išskyrus, kai tikėtina, kad toks ADSP nekels pavojaus asmenų teisėms ir laisvėms.

Kai dėl ADSP pobūdžio ir rizikos rimtumo kyla didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas apie ADSP privalo pranešti ir duomenų subjektui. Apžvelgiant 2023 m. I pusm. pranešimų apie ADSP Lietuvoje statistiką, VDAI buvo gauta 130 panešimų apie ADSP, Lietuvoje paveiktų vartotojų skaičius – 328.929.

Pagal ADSP pobūdį Lietuvoje statistiškai vyrauja konfidencialumo pažeidimai, kurių skaičius per 2023 m. I pusm. sudarė net 87 % visų atvejų, 6 % atvejų vientisumo pažeidimai, 4 % atvejų prieinamumo pažeidimai ir 3 % atvejų ADSP buvo nenustatyti. VDAI išanalizavusi per 2023 m. I pusm. gautus pranešimus apie ADSP nustatė, kad 85 % ADSP įvyko dėl įvairių priežasčių (žmogiškosios klaidos, IT sistemų trikdžių ir kt.), 15 % ADSP įvyko dėl kibernetinių incidentų (duomenų užšifravimo, išpirkos reikalavimo, socialinės inžinerijos, duomenų viliojimo atakų ir kt.).

Svarbu paminėti, kad nors kibernetiniai incidentai sudarė tik 15 % visų 2023 m. I pusm. įvykusių incidentų, bet jų metu buvo paveikti 43,5 % (iš visų 2023 m. I pusm. paveiktų subjektų) subjektų duomenys, dėl kitų priežasčių buvo paveikti 56,5 % subjektų duomenys. Be to, iš visų 2023 m. I pusm. įvykusių incidentų, apie kuriuos pranešta VDAI, 10 % atvejų įvyko viešojo sektoriaus įmonėse, 90 % – privačiame sektoriuje.

VDAI, išanalizavusi per 2023 m. I pusm. gautus pranešimus apie ADSP, išskyrė žmogiškąją klaidą kaip dažniausią tokių pažeidimų priežastį. Iš visų per 2023 m. I pusm. VDAI išnagrinėtų pranešimą apie ADSP žmogiškoji klaida lėmė 77 % visų atvejų. VDAI atkreipia dėmesį, kad labai svarbi priemonė minimizuojant žmogiškąsias klaidas, tuo pačiu ir siekiant išvengti kibernetinių incidentų (duomenų viliojimo atakų ir kt.) yra darbuotojų mokymai. Mokymai apie duomenų apsaugą ir saugumo procedūras (pvz., slaptažodžių naudojimą ir prieigą prie konkrečių IT sistemų) yra svarbūs tinkamam organizacinių ir techninių saugumo priemonių įgyvendinimui ir prevencijai dėl netyčinio duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų (BDAR 32 straipsnio 2 dalis).

Žinios apie asmens duomenų tvarkymui keliamus reikalavimus bei atsakomybes yra ypač svarbios tiems asmenims, kurie atlieka didelės rizikos asmens duomenų tvarkymo operacijas. 2023 m. I pusm. gauti 9 pranešimai apie ADSP, kurių metu vyko duomenų užšifravimo ir išpirkos reikalavimo atakos (angl. Ransomware), 7 iš šių atvejų susiję su įmonėmis Lietuvoje. ADSP metu piktavaliai naudojo įvairius socialinės inžinerijos ir duomenų viliojimo (angl. Phishing) metodus, siekdami išvilioti įvairiausius prisijungimų duomenis, pasitelkdami gerai apgalvotus scenarijus ir įvairius ryšio užmezgimo kanalus. 2023 m. I pusm. ADSP metu buvo pastebėtos ir DDoS (angl. Distributed Denial of Service) paskirstytos atkirtimo paslaugos atakos. Didėja naudojamos programinės ir techninės įrangos gamintojų ar debesijos paslaugų tiekėjų patikimumo, reputacijos ir kilmės šalies įvertinimo ir potencialių rizikų duomenų saugumui nustatymo svarba. 2023 m. I pusm. ADSP metu išryškėjo prieigos kontrolės valdymo organizacijų kompiuterių tinkluose spragos, kai suteikiant prieigą nėra taikomi apribojimai ir tinklo segmentavimas, nesilaikoma „mažiausių teisių privilegijos“ ir „būtina žinoti“ principų, netaikomas dviejų ir daugiau veiksnių autentifikavimas aukštesnes teises turintiems, nuotoliniu būdu besijungiantiems ar virtualų privatų tinklą naudojantiems vartotojams.

VDAI atkreipia dėmesį, kad nustačius, jog ADSP įvyko ir, kad yra pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas, ne vėliau kaip per 72 val. nuo sužinojimo apie ADSP, turėtų pranešti apie tai VDAI, kaip tai numato BDAR. 2023 m. I pusm. 77 % duomenų valdytojų apie įvykusį ADSP pranešė ne vėliau kaip per 72 val., 23 % – vėliau kaip per 72 val. Palyginti su praėjusių metų duomenimis, duomenų valdytojai dažniau vėluoja VDAI pranešti apie įvykusį ADSP (2022 m. I pusm. laiku pranešė 86 %, vėlavo – 12 %).

Dažniausia pranešimo VDAI vėlavimo priežastis – duomenų valdytojas ilgai aiškinasi ADSP aplinkybes ir duomenų subjektams keliamą pavojų. 2023 m. I pusm., kaip ir kasmet, daugiausia ADSP pranešimų buvo gaunama iš viešųjų juridinių asmenų – 58 % visų atvejų, iš privačių juridinių asmenų – 40 % visų atvejų ir 2 proc. atvejų pranešimų – iš elektroninių ryšių paslaugų teikėjų. Reikšmingesni 2023 m. I pusm. ADSP Lietuvoje Duomenų valdytojai pranešė apie įvykdytas duomenų užšifravimo ir išpirkos reikalavimo atakas, kurių metu buvo užšifruoti serveriai, buhalterinės programos ir kitos sistemos, įsilaužėliai reikalavo išpirkos už duomenų iššifravimą bei grasino nusikopijuotus asmens duomenis paskelbti tamsiajame internete (angl. Darknet). Baudos 2023 m. kovo mėn. VDAI, atlikusi ADSP tyrimą, priėmė sprendimą paslaugų teikimo bendrovei skirti 20.000 Eur. baudą už nustatytus BDAR nuostatų pažeidimus. Per incidentą buvo pažeistas apie 55.000 duomenų subjektų (vartotojų) asmens duomenų konfidencialumas. VDAI nustatė, kad dėl netinkamai vykdomos prieigų kontrolės ir autentifikavimo buvo prisijungta prie bendrovės duomenų bazės ir nutekinti bendrovės klientų duomenys.

2023 m. kovo mėn. VDAI, atlikusi ADSP tyrimą, priėmė sprendimą viešojo sektoriaus įstaigai skirti 6.600 Eur. baudą už nustatytus BDAR nuostatų pažeidimus. Per incidentą buvo pažeistas 13.525 duomenų subjektų (vartotojų) asmens duomenų konfidencialumas. VDAI nustatė, kad dėl neatnaujinamos programinės įrangos ir galimybės prie valdymo panelės prisijungti iš išorinio tinklo, nenaudojant kelių lygių autentifikacijos, sukčiai prisijungė prie interneto svetainės, nusikopijavo vartotojų duomenų bazę ir paskelbė ją tamsiajame internete. Duomenų saugos valdymo spragos, dėl kurių įvyko minėti pažeidimai: 

• nevykdomas kompiuterių tinklų duomenų srautų monitoringas, nevykdomas įsilaužimų aptikimas ir prevencija;
• nevaldomas veiklos tęstinumas;
• netinkami serverio nustatymai ir taisyklės;
• neapsaugoti komunikacijos kanalai, leidžiamas nešifruotų duomenų perdavimas;
• pasenusios serverių operacinės sistemos;
• nesegmentuoti kompiuteriniai tinklai;
• nevykdoma prieigos kontrolė.

Organizacinės ir techninės saugumo priemonės, padedančios išvengti panašių pažeidimų:

• reguliariai daryti pilnas ir dalines atsargines kopijas (angl. Backup), itin svarbius duomenis, kurių praradimas sukeltų didelius nuostolius, rekomenduojama saugiai laikyti bent dvejose atskirose laikmenose;
• užtikrinti kritinių operacinių sistemos saugos atnaujinimų diegimą reguliariai ir nedelsiant;
• tinkamai sukonfigūruoti išorinėje komunikacijoje dalyvaujančius serverius ir kitą įrangą pagal gerąsias praktikas; 
• apriboti išorinio prisijungimo galimybes tokiais protokolais kaip Windows Remote Desktop Protocol, daiktų interneto SSH prievadais ir pan.;
• prie maršrutizatorių leisti jungtis tik iš žinomų IP adresų (angl. Allow List) arba prisijungimui naudoti virtualaus privataus tinklo technologijas (angl. Virtual Private Network, VPN);
• turimuose įrenginiuose įsidiegti pažangią antivirusinę programinę įrangą;
• nenaudoti tų pačių slaptažodžių skirtingoms paskyroms, naudoti kelių faktorių autentifikavimą (el. pašto internetinei prieigai, VPN prieigai, paskyroms, kurios turi prieigą prie kritiškai svarbių sistemų);
• įdiegti el. pašto filtravimo mechanizmus, gebančius filtruoti laiškus pagal žinomus grėsmių indikatorius ir specifinius raktažodžius;
• parengti ir reguliariai testuoti veiklos tęstinumo planą;
• įdiegti prieigos kontrolę pagal organizacijos saugumo politiką, taikant „mažiausių teisių privilegijos“ ir „būtina žinoti“ principus;
• reguliariai mokyti darbuotojus apie IT sistemų saugumo reikalavimus.

Dažniausiai pasitaikančios klaidos informuojant apie įvykusį ADSP VDAI nori atkreipti dėmesį, kad BDAR nustato pranešimo VDAI ir duomenų subjektui turinį. Pranešant VDAI dažniausiai pasitaikančios klaidos yra susijusios su tuo, kad nepakankamai išsamiai aprašomos įvykusio ADSP aplinkybės, taip pat neaprašomos priemonės, kurių ėmėsi arba ketina imtis duomenų valdytojas, kad būtų pašalintas ADSP. Atsižvelgiant į tai, VDAI rekomenduoja naudoti VDAI patvirtintą pranešimo apie ADSP formą ir pildant šį pranešimą pateikti išsamią informaciją apie įvykusį ADSP.

Dėl duomenų subjektų informavimo VDAI atkreipia dėmesį, kad dažniausiai pasitaiko šios klaidos:

• Nėra nurodoma, kokių veiksmų pats duomenų subjektas gali imtis, kad sumažintų ADSP pasekmes (pavyzdžiui, blokuotų kredito kortelę ir pan.).
• Nenurodomi duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, duomenys. Atkreiptinas dėmesys į tai, kad BDAR nustatyta, kad pranešime duomenų subjektui be kontaktinių duomenų privalo būti pateiktas ir kontaktinio asmens vardas bei pavardė.
• Informacija apie įvykusį ADSP duomenų subjektui pateikiama sudėtinga kalba, naudojant sudėtingus terminus ir pan. Inspekcija pažymi, kad teikiant pranešimą duomenų subjektui, informacija turi būti pateikiama aiškia ir paprasta kalba, kad duomenų subjektas suprastų esminę informaciją, susijusią su įvykusiu ADSP.

Valstybinės duomenų apsaugos inspekcijos informacija