Teisėsaugai pradėjus tyrimą dėl nutekintų šimtų tūkstančių Registrų centro duomenų, įmonės vadovas Adrijus Jusas sako, kad sistemoms atnaujinti per trejus metus reikia maždaug 50 mln. eurų, tačiau politikai skirti papildomo finansavimo kol kas nesutiko.
„Dėl (prastos – BNS) sistemų būklės, mūsų vertinimu, reikia bendrai apie 50–60 mln. eurų, kad jos būtų visos tvarkingai paruoštos pagal šios dienos standartus“, – interviu BNS teigė Registrų centro vadovas.
„Apie tuos reikalingus finansus per paskutinius kelerius metus esame apsukę ratą su įvairių ministerijų atstovais, su Vyriausybės atstovais. Deja, kažkokių esminių pokyčių, sprendimų nebuvo įvykę, tie iššūkiai yra išlikę“, – pridūrė jis.
Kaip rašė BNS, Generalinė prokuratūra praėjusį penktadienį pranešė tirianti galimus neteisėtus prisijungimus prie Registrų centro valdomų duomenų registrų ir daugiau nei 600 tūkst. įrašų nutekinimo.
Teisėsaugos teigimu, prisijungimai vykdyti iš „užsienio valstybės ir per kitų institucijų administruojamas sistemas“. Prokuratūra pranešime neįvardino nei šalies, nei institucijų. To sako negalintis atskleisti ir Registrų centro vadovas.
A. Juso teigimu, nutekėjus duomenims buvo atskleista NT registro išrašų informacija, įskaitant žmonių asmens kodus. Vis tik, anot jo, jokie asmenų kontaktiniai duomenys, pavyzdžiui, telefonai ar e. pašto adresai, mokėjimai už centro paslaugas, banko sąskaitų numeriai, taip pat jokie dokumentai – NT perleidimo sandoriai, teismų sprendimai – nebuvo atskleisti.
BNS žiniomis, pirmieji neteisėti prisijungimai ir duomenų nutekinimas siekia dar šių metų pradžią, o Registrų centrui apie tai tapo žinoma balandį.
Taip pat skaitykite
– Apie tai, kad iš Registrų centro nutekinta šimtai tūkstančių duomenų, prieš kelias dienas pranešė prokuratūra. Ar galite jūs papasakoti, kas nutiko?
– Pirmiausia, iš tikrųjų, norėtųsi atsiprašyti visų piliečių, kurių duomenys buvo pasisavinti piktavalių. Mes operatyviai užkardėme buvusias spragas, pranešėme institucijoms, įdiegėme naujas kontrolės priemones ir tikrai esame pasiruošę komunikuoti su visais nukentėjusiaisiais, teikiant visą reikiamą informaciją jiems.
Dėl paties įvykio – Registrų centras yra vienas iš pagrindinių valstybės duomenų teikėjų ir turim tam tikrus specifinius duomenų teikimo sprendimus, skirtus kitoms valstybės institucijoms, įstaigoms. Tame tarpe ir žurnalistai naudojasi tuo pačiu sprendimu.
Prie tų sprendimų prieigas turi daugiau kaip 20 tūkst. vartotojų iš įvairių įstaigų, institucijų. Jiems suteikiami vartotojų vardai, slaptažodžiai, pasirašomos sutartys. Yra reikalavimai slaptažodžiams, kas tris mėnesius jie keičiami, tai tam tikros saugumo priemonės yra.
Mums tapo žinoma, kad vienos iš institucijų kelios darbuotojų paskyros galimai buvo kompromituotos ir naudojantis jomis buvo paimtas gana nemažas kiekis, apie 600 tūkst. registrų įrašų. Didžiąja dalimi tai yra Nekilnojamojo turto registro išrašai. Nes tie darbuotojai turėjo teisę tokią informaciją matyti.
Ką noriu tiesiog pabrėžti, kad pačios Registrų centro sistemos, į jas nebuvo įsilaužta. (...) Tos kontrolės, kurios yra, veikia, tačiau šiuo atveju vienos iš trečiųjų institucijų paskyros buvo kompromituotos ir tie duomenys buvo paimti.
– Ar žinote tikslų skaičių, kiek duomenų nutekinta? Ar tai yra 600 tūkst. duomenų?
- Turime gana tikslų skaičių, bet tai yra toks skaičius (apie 600 tūkst. – BNS). Yra šiek tiek Juridinių asmenų registro išrašų (...). Mes skaičiuojame, kad jeigu bendrai Nekilnojamojo turto registras yra apie 7 mln. įrašų jame, tai čia kalbam apie 600 tūkst. – netoli 10 proc. paties registro imties buvo paimta.
– Kokie duomenys buvo pasisavinti?
– Matyt, dauguma turi namie nekilnojamojo turto išrašą, tai yra grynai tas pats išrašas, kuriuo dauguma operuoja. Ten yra vardas, pavardė, asmens kodas, nekilnojamasis turtas pats įvardintas, jo tam tikri parametrai, nuosavybės teisė. Tai yra tokio pobūdžio dokumento informacija. Diegiame įrankį, kuriame visi galės pasitikrinti, pamatyti, kokio pobūdžio tie duomenys buvo paimti ir pasitikrinti, įsivertinti.
– Sakote, kad yra asmens kodai, ar yra ir kontaktiniai duomenys nutekėję?
– Ne, jokių kontaktinių duomenų, mokėjimo duomenų, finansinių duomenų išrašuose nėra. Ta prasme, visas tas duomenų rinkinys iš esmės labiau yra apie nekilnojamojo turto objektą, tačiau yra vardas, pavardė, asmens kodas.
– Prokuratūra skelbia, kad pagrindinis taikinys buvo Nekilnojamojo turto ir Juridinių asmenų registrų duomenys. Ar galite skaičiais tas proporcijas įvardinti, kiek paveikta vienas, o kiek – kitas registras?
– Iki galo negaliu, nes dar vyksta ikiteisminis tyrimas, tai nelabai galiu operuoti kažkokiais skaičiais, kurie nebuvo įvardyti prokuratūros pranešime. Toks ekspertiškai – 99 proc. daugiau yra Nekilnojamojo turto registro išrašai.
– Kuo šie duomenys nusikaltėliams gali būti svarbūs? Kam jie gali būti panaudoti?
– Sunku pasakyti, mes negalime įvertinti, policija atlieka ikiteisminį tyrimą, kuruoja prokuratūra, galbūt jiems pavyks geriau įvertinti kėslus ar galimybes kažkokias. Galbūt nutiko taip, kad tiesiog pagal tai, ką tie darbuotojai galėjo pamatyti, tai tokie duomenys ir buvo tiesiog paimti.
– Kaip manote, ar buvo siekiama kriminalinių-komercinių tikslų, ar yra kažkokių politinių tikslų?
– Žinokit, neturiu informacijos, neturiu nuomonės. Mes apskritai stengiamės nežiūrėti, neanalizuoti apskritai tos duomenų aibės, ją perduoti teisėsaugai, kad jau jie įvertintų visus aspektus galimus.
Adrijus Jusas / BNS nuotr.
– Kada įvyko neteisėtas prisijungimas?
– Deja, kol kas negaliu šios informacijos atskleisti, nes tai yra ikiteisminio tyrimo medžiaga ir tų atsakymų dar reikia sulaukti. Matyt, prokuratūra juos turėtų pateikti.
– Bet maždaug gal galite įvardinti: tai – šio mėnesio pradžia, praėjęs mėnuo, pusmečio senumo įvykis?
– Ne, negaliu.
– Kodėl žmonės, kurių duomenys buvo paveikti, nebuvo iš karto informuoti? Jūs sakote, kad tarp tų duomenų yra asmens kodas – tai jautrūs asmens duomenys, apie tokius nutekinimus jie turėtų tarsi iš karto sužinoti.
– Aš tik galiu pasakyti iš mūsų Registrų centro pusės: mes nedelsiant, tik paaiškėjus šiems faktams, iš karto kreipėmės į visas reikiamas institucijas ir informavome apie situaciją, bet toliau jau visas planas, komunikacijos sprendimai, tai buvo jau labiau koordinuojama ikiteisminio tyrimo pareigūnų ir kitų institucijų.
– Bandau suprasti, kodėl iš karto nebuvo komunikacijos apie tai, kad Registrų centras patyrė įsilaužimą, iš karto įvardijama, kokio pobūdžio maždaug duomenys galėjo būti paveikti, pasakoma, kad kreiptasi į teisėsaugą. Na, ir toliau tuomet viskas, kaip buvo iki šiol.
– Buvo operatyvus kreipimasis į institucijas apskritai įvertinti situaciją, nes, kaip minėjau, nebuvo taip, kad ta viena institucija pamatė, kad pas ją įsilaužta. Kalbam apie tai, kad buvo kitos institucijos tarpusavyje susijusios, tai buvo apskritai kreiptasi į teisėsaugą, kad jie padėtų nustatyti aplinkybes, kas tiksliai įvyko. Nuo to laiko visą tolesnį kuravimą – ir informacinį – jau perėmė teisėsaugos institucijos.
– Kaip jūs pastebėjote, kad vykdoma neteisėta veikla?
– Grįšiu prie to, kad turime griežtą įpareigojimą apie patį incidentą pasakoti tiek, kiek yra paskelbta Generalinės prokuratūros pranešime ir stengtis neatskleisti jokios papildomos informacijos.
– Minėjote, kad gyventojai dar tik bus informuojami apie tai, ar ir kokie jų duomenys buvo paveikti. Kada apie tai bus jiems pranešta?
– Šiąnakt (iš sekmadienio į pirmadienį – BNS) planuojamas diegimas į Registrų centro savitarnos puslapį, kuriame bus įdiegta priemonė ir galimybė kiekvienam prisijungusiam pasitikrinti asmeniškai, ar jo duomenys, nekilnojamojo turto išrašas, pateko pas piktavalius. Taip pat planuojame galimybę atvykus gyvai į Registrų centro padalinius, vėlgi su asmens dokumentu identifikavus save, gauti tą informaciją. Tai planuojame, kad tai bus galima padaryti jau rytoj. Toks, toks planas.
– Per kokius prisijungimus buvo nusiurbti duomenys? Kolegos iš „15min“ skelbia, kad tai Migracijos departamento prisijungimai.
– Deja, negaliu nei patvirtinti, nei paneigti, vėlgi tai – ikiteisminio tyrimo medžiaga.
– Jūsų kolegos sako, kad duomenys pavogti galbūt pasinaudojus vieno iš vartotojų prisijungimo duomenimis. Tuo metu prokuratūra mini prisijungimus per kitų institucijų administruojamas sistemas. Ar galite atskleisti, kiek tų paskyrų, iš kurių buvo vagiami duomenys, iš tiesų buvo?
– Manau, kad tai turėtų atsakyti prokuratūra, jie tiksliau įvertins, nes mes galbūt ir nežinome iki galo. Mes pastebėjome, bet jie tiksliau turėtų įvertinti tą informaciją.
– Bet pastebėjote vieną ar daugiau? Nes jūs pats kalbate irgi tarsi daugiskaita.
– Tai gal tiesiog tada nekomentuosiu.
– Į tyrimą yra įtraukta Ekonomikos ir inovacijų ministerija, bet tai yra normalu, nes Registrų centras yra jai pavaldus. Teisingumo ministerija taip pat įtraukta, nes ji – registrų valdytoja. Kyla natūralus klausimas, kodėl į tyrimą yra įtraukta Vidaus reikalų ministerija? Tai tarsi suponuotų, jog būtent jos institucijos galėjo būti tos, per kurios sistemas buvo patekta prie registrų.
– Manau, kad tikrai prokuratūra turėtų atsakyti jums, kai tik galės, kokia ta grandinėlė galėjo būti informacinė.
– Ar jūs pats suprantate, kaip prisijungimo duomenys, turiu omeny, žmonių prisijungimo duomenys galėjo patekti į įsilaužėlių rankas?
– Sunku pasakyti, matyt, turėtų tyrimas tuos dalykus įvertinti.
Apie sistemas kalbant, tie registrai, sistemos, jie yra dešimties, keliolikos metų senumo, ir tų kibernetinių rizikų tam tikrų yra pakankamai nemažai. Mes jas esame įvertinę, turime trūkumų šalinimo planą, ką norėtume sudiegti idealiu atveju. Tos lenktynės su piktavaliais vyksta nuolat, kaip sakau: kažkas pirmi, kažkas antri.
Mes pastaruosius kelerius metus daug dėmesio skyrėme investavimui tiesiogiai, kad nebūtų galimybės prisijungti tiesiogiai prie registrų, prie sistemų. Trečiųjų šalių rizikas mes buvome įvertinę, buvome įvardiję, tačiau dėl ribotų finansinių resursų labai dėliojome prioritetus, ką sutvarkyti pirmiau, ką sutvarkyti po to.
Papildomas stipresnes kontrolės priemones dėl trečiųjų šalių – kad netgi jeigu kažkas įvyko blogai kitoje institucijoje, kad mes galėtume sužinoti, pamatyti, užkardyti – irgi buvome numatę, tačiau šiuo atveju mus šiek tiek aplenkė piktavaliai. Praeitų metų pabaigoje pradėjome diegti vieną įrankį, kuris leistų stebėti individualaus naudotojo srauto ėmimą ir kažkokias anomalijas pastebėti. Turėjome jį paleisti šių metų birželį. Deja, na, prototipinę pirminę versiją paleidome greičiau ir dabar jau tą matome, stebime, gauname raudonas lemputes, jeigu atrodo kažkas truputėlį ne taip.
Tikimės sudiegti dar vieną papildomą kontrolės įrankį, kuris galbūt nebus labai patogus, tačiau prie tų sistemų bus galima prisijungti tik autentifikavus elektroniniu parašu, elektronine tapatybe.
Mes stipriname, didiname tą kontrolę, bet, mūsų nuomone, (...) visas sektorius turi tvarkytis ir stiprinti savo kibernetinį atsparumą, nes kai visos institucijos yra tarpusavyje labai persipynusios, tai tu iš vienos institucijos niekada negalėsi užtikrinti, matyt, 100 proc. kontrolės.
– Jūs minit vartotojo veiksmų sekimą, siekiant užtikrinti saugumą. Patikslinkite, prašau, ar ši priemonė buvo įdiegta po incidento, ar prieš incidentą ir būtent tai leido pamatyti neteisėtą veiklą?
– Mes turėjome stebėsenos tam tikras priemones, bet jos buvo labiau agreguotos institucijos, sutarties lygmenyje ir tos priemonės nebuvo pakankamos. Tą priemonę individualaus vartotojo įsidiegėme iš karto po incidento, ji buvo kuriama, be kelių minučių paruošta naudoti, tai tiesiog paspartinome žingsnius ir tokią prototipinę versiją įsidiegėme ir dabar jau tą stebime, matome. Tai jau tokius dalykus turėtume pamatyti labai operatyviai.
– Kiek apskritai įmonė investuoja į duomenų saugumo užtikrinimą per metus?
– Bendra investicijų suma į IT pas mus siekia netoli 10 mln. eurų per metus, į saugumo, galima sakyti, keli milijonai, tačiau problema yra ta, kad saugumas labai glaudžiai susijęs su bendrai sistemos technologine būkle. Mes vadiname tą technologine skola. Tai reiškia, jeigu sistema kurta seniai, jos operacinės sistemos senos, jos programinė įranga sena, čia kaip, nežinau, seni „Windows“ ar panašiai, tai jie tiesiog išimami iš apyvartos, nes jie neatitinka saugumo reikalavimų. Tai mes turim tą patį, yra daug tokių saugumo rizikų, kur nuolat tu diegi, bandai atnaujinti tas sistemas, jų technologiją, privesti jas iki tiek, kad ta skola būtų mažesnė, rizikos mažesnės. Ir atitinkamai (seka tuomet – BNS) visos kitos tada priemonės. (...)
Dėl (prastos – BNS) sistemų būklės, mūsų vertinimu, reikia bendrai apie 50–60 mln. eurų, kad jos būtų visos tvarkingai paruoštos pagal šios dienos standartus. Ir apie tą sistemų būklę, apie tuos reikalingus finansus per paskutinius kelerius metus esame apsukę ratą su įvairių ministerijų atstovais, su Vyriausybės atstovais. Deja, kažkokių esminių pokyčių, sprendimų nebuvo įvykę, tie iššūkiai yra išlikę. Ir manau, kad ne tik pas mus, visam sektoriui ta pati situacija.
– Per kurį laiką jums reikėtų tų 50 milijonų?
– Mes vertinome labai optimistiniais terminais, tai galėtų galbūt būti apie trejus metus. Bet tai yra gana optimistiškai, nes kai kalbam apie kokį dešimties metų laikotarpį tam tikro neinvestavimo, tai po to pasivyti labai sunku yra. Tai optimistiniais terminais galbūt per trejus metus pavyktų, bet vėlgi, čia sudėtingas uždavinys būtų.
– Bet turbūt paties šio įsilaužimo specifika yra šiek tiek kitokia. Kad ir kokia saugi sistema būtų, jeigu tu gali turėdamas prisijungimo duomenis prisijungti, ji turbūt neapsaugos tavęs.
- Taip. Tai šiuo metu jaučiamės tvirtesni, kad susidiegę autentifikavimo priemonę, kuri jau leistų vėlgi truputėlį labiau apsaugoti tą vartotojo paskyrą. Net jeigu ji būtų nulaužta, tikimės, kad (tuomet suveiktų – BNS) ta stebėsena srauto. Šie du dalykai turėtų iš esmės padėti bent jau kuriam laikui šiek tiek susitvarkyti ir apsisaugoti. Bet, žinoma, kaip minėjau, labai svarbu, kad visas sektorius tinkamai investuotų į savo kibernetinį saugumą, nes ta rizika visada išliks.
– Ar tai, ką sakote, reiškia, kad jeigu institucijoje, iš kurios buvo prisijungta prie Registrų centro, būtų aukštesnis saugumo lygis, būtų buvę galima išvengti šitos situacijos?
– Matyt, vėlgi, tą tyrimas turėtų atsakyti, bet taip, bendrais principais kalbant, mūsų nuomone, taip.
Adrijus Jusas / BNS nuotr.
– Kadangi mes nežinome, kaip tai įvyko, jūs negalite dėl ikiteisminio tyrimo medžiagos to atskleisti, bet kitas variantas, jog prisijungimo duomenys galėjo būti saugomi asmeniniame kokiame nors įrenginyje ir tokiu atveju galbūt saugumas institucijos lygiu bet kokiu atveju nebūtų padėjęs. Ar čia yra ir edukacijos klausimas darbuotojų, tiek Registrų centro, turiu omeny, tiek kitų institucijų?
– Yra visas kompleksas tų galimų priemonių. Tai yra ir darbuotojų tas treniravimas, tas atsparumas fišingo įvairioms atakoms, kad neatiduotų savo kažkokių asmeninių duomenų. Kartu yra ir darbo vietų valdymo tam tikri standartai: ir tam tikri VPN tinklai, ir tam tikros gal kontrolės. Matyt, tų priemonių yra labai įvairių ir jeigu visų jų laikytumėmės, tai būtų šiek tiek paprasčiau. Na, bet, kaip rodo visa pasaulio praktika, piktavaliai nesnaudžia, jie atranda irgi tam tikras sritis. Nesame kažkuo, matyt, irgi išskirtiniai pasauliniu lygiu.
– Neabejoju, kad penktadienį finansavimo poreikį dar kartą išsakėte ir politinei vadovybei. Ar gavote kokių nors indikacijų apie galimai didėsiantį biudžetą, siekiant užtikrinti saugumą?
– Tai kol kas tokių iš esmės pokalbių gal nėra, šiuo metu mes labai buvome susikoncentravę į kiek galima greitesnį incidento priežasčių šalinimą, tų kontrolės priemonių sudiegimą, pasiruošiant komunikacijai su vartotojais. Bet tuos poreikius žino ir mūsų ministerija, ir kitos ministerijos. Galbūt tai galėtų būti signalas visam sektoriui apsispręsti, kaip valstybės skaitmeninis sektorius turėtų būti valdomas, finansuojamas, kaip prioritetai skirstomi, nes tie iššūkiai yra išlikę ir, reikia tikėtis, kad tikrai bent jau kurį laiką bus padidintas tam dėmesys.
– Ateinančią savaitę ar planuojate su politine vadovybe susitikti?
– Taip, planuojame pasikalbėti apie tai, kaip toliau turėtų vykti darbai, kaip geriausia užtikrinti stabilią įmonės veiklą, nes čia svarbiausia dalis.
– Kada planuojate tą padaryti?
– Pirmadienį.
– Grįžtant prie paties įsilaužimo, prokuratūra skelbia, kad prisijungimai galėjo vykti iš užsienio valstybės. Ar jūs galite atskleisti, kokia tai valstybė?
– Ne, tiesą sakant, neturim tokios informacijos.
– Turbūt pirma šalis, kuri šauna į galvą, yra Rusija? Ar ji figūruoja tyrime?
– Čia reiktų jų (prokuratūros – BNS) klausti, nes mes negalime atsakyti.
– Ar jums teisėsauga yra pasakiusi, kiek tyrime yra kriminalinio dėmens, kiek galbūt geopolitinio dėmens?
– Čia jie turėtų pakomentuoti.
– Po šios situacijos vėl imta diskutuoti apie NT, juridinių asmenų registrų atvirumą. Kaip pavyzdys, įvardijama Estija, kur ši informacija skelbiama atviriau. Ar pats čia matytumėte poreikį kažką keisti?
– Tai čia reiktų to politinio apsisprendimo, nes mes turėjome prieš kelerius metus labai suaktyvėjusią diskusiją apie atvirus duomenis ir tikrai buvom vieni iš tų pirmūnų, kurie pakankamai daug savo atvirų duomenų paskelbėme ir vis dar skelbiame.
Tikrai yra šalių Europoje – ar Estija, ar Švedija – kur didžioji dalis tokio pobūdžio informacijos yra vieša, nes laikoma, kad tai sukuria daugiau tos bendros visuomeninės, ekonominės naudos. Bet čia iš tikrųjų yra tokie politiniai sprendimai, matyt, apsispręsti, kaip mes, kaip valstybė, norėtume (elgtis – BNS). Nes tam tikri saugumo aspektai irgi yra gyvenant kaimynystėje tokių šalių. Iš tikrųjų, politiniai sprendimai sudėtingi, matyt, tarp ekonominių ir saugumo motyvų.
– Ar jūs pats matytumėt poreikį eiti į didesnį atvirumą?
– Aš asmeniškai, galbūt ne kaip institucijos vadovas, kokią patirtį matau užsienio tam tikrose valstybėse, tai tas didesnis atvirumas, jis labai stipriai sumažina administracinę naštą, biurokratiją, ir leidžia, atrodo, geriau vystytis ekonomikai, kurtis startuoliams, verslams tų duomenų pagrindu. Tai nauda tikrai yra pakankamai didelė, bet čia tokia asmeninė nuomonė.
– Premjerė, ekonomikos ir inovacijų ministras jus ragina trauktis. Žiniasklaidoje skelbiama, kad darbuotojams jau pranešėte apie priimtą sprendimą. Ką darysite?
– Sprendimo dar neturiu, planuoju jį aptarti su savininku, Ekonomikos ir inovacijų ministerija. Aišku, kai tokie autoritetingiausi valstybės pareigūnai žaibišku greičiu priima sprendimus ir pateikia pasiūlymus, tai įsiklausyti verta, bet iš kitos pusės – aš nesu politikas, aš esu profesionalus vadybininkas ir noriu tiesiog su ministru, politine vadovybe, savininku aptarti tiesiog, kas būtų geriausia įmonei. Nes, kaip ne kaip, svarbiausia yra užtikrinti šios strateginės įmonės sklandų tolesnį darbą.
– Jūs buvote paragintas trauktis, bet ar jūs manytumėt, jog panašiai turėtų elgtis ir politiniai pareigūnai, turiu omeny, ekonomikos ir inovacijų ministrą, kitos institucijos, kuri buvo paveikta, vadovą?
– Kaip minėjau, kadangi nesu politikas, esu profesionalus vadybininkas, tai galiu sau leisti nedalyvauti tokiose diskusijose ir tiesiog orientuotis į savo sritį.
– Po pirmadienio susitikimo jūsų sprendimas dėl ateities turėtų būti kaip ir aiškus?
– Aš tikiuosi.
– Supratau. Ačiū jums labai.
Plojimai 0Lankytojai 0
Rekomenduojami video
Rekomenduojame
Rodyti visus
Populiariausi straipsniai
Loading