Registrų centrui paskelbus, kokie duomenys galėjo būti nutekinti, o kokie liko neatskleisti, gyventojams kyla klausimas, kiek pavojinga yra tokia informacija. Tarp galimai nutekėjusių duomenų minimi vardai, pavardės, asmens kodai, gimimo datos ir nekilnojamojo turto (NT) duomenys. Ekspertai pabrėžia, kad vien asmens kodas dar nesuteikia galimybės atlikti visų veiksmų kito žmogaus vardu, tačiau nepaneigia, kad tai yra vienas svarbiausių aspektų, galintis gerokai palengvinti sukčių veiklą.
Apie tai naujienų portalo tv3.lt laidoje „Dienos pjūvis“ diskutuoja advokatų profesinės bendrijos „Widen“ teisininkė Daiva Tamulionienė ir Vilnius TECH Skaitmeninės gynybos kompetencijų centro direktorius Vitalijus Gurčinas.
Registrų centras visai neseniai, dar prieš laidą, išplatino pranešimą spaudai, kokie duomenys nutekėjo, o kokie nenutekėjo. Esu pasižymėjęs keletą jų. Iš duomenų, kurie galėjo būti atskleisti, minimi vardas, pavardė, asmens kodas, gimimo data, NT duomenys, NT adresas.
Tarp duomenų, kurie nebuvo atskleisti, yra telefono numeris, elektroninio pašto adresas, informacija apie mokėjimus už Registrų centro teikiamas paslaugas, banko duomenys, sąskaitų numeriai ir keletas kitų aspektų. Vertinant šiuos duomenis, kurie galimai buvo atskleisti ir nutekinti, kiek jie yra jautrūs ir kiek pavojingi kalbant apie kibernetines atakas ar bandymus sukčiauti ir apgauti žmones?
V. Gurčinas: Asmens kodas čia labai svarbi dedamoji. Aš prieš ateidamas čia dar pasitikrinau, kokiose sistemose man užtenka asmens kodo ir kitos informacijos, kurią aš galiu rasti internete. Tokių yra ne viena, ir diduma, kurias aš radau, yra valstybinės.
Ką tai reiškia? Suradus telefono numerį ir suradus asmens kodą. Įsivaizduokime, kad iš čia jo surasti nepavyks, bet tiesiog jį žinant. Nepamirškim, kad asmens kodą mes galime sužinoti iš bet kurio elektroninio dokumento, kurį pasirašome elektroniniu parašu, nes jis ten yra. Reikia tik žinoti, kaip jį pasiimti. Tokių dokumentų galime rasti internete.
Aišku, mes neįgyvendinsime pilnos atakos arba neišgausime pinigų, bet inicijuoti prisijungimą prie sistemos tų duomenų pakanka. Tuomet reikia arba antro faktoriaus, arba patvirtinimo telefonu.
Viskas priklausys nuo vartotojo gebėjimų, kada tai bus įgyvendinama, ar tai bus specializuota ataka. Kitaip tariant, asmens kodas čia yra labai svarbi dedamoji, kuri leidžia pagreitinti procesą, padaryti daugiau potencialios žalos ir ne tik. Tiesiog tai leidžia lengviau pasiekti tą galutinį tašką – ar išvilioti pinigus, ar prisijungti pasinaudojant kažkieno duomenimis.
Kadangi institucijose tai yra vienas pagrindinių identifikatorių ir mes jo negalime keisti, čia yra labai svarbu.
Ne valstybinės institucijos labai dažnai suteikia galimybę to nenaudoti kaip pagrindinio identifikatoriaus, ir visi turėtų tai daryti. Nes tie duomenys, kurie jau yra vieši, jie yra vieši. Jų naudoti prisijungimams ar slaptažodžių priminimams nereikėtų.
Diduma turbūt nebeatsimena, kai kūrėsi savo pirmąsias pašto dėžutes pas vieną ar kitą pašto dėžučių tiekėją. Kalbu apie dažniausiai nemokamus tiekėjus. Kai reikėjo susikurti papildomus atsakymus, jeigu prireiktų atstatyti slaptažodį ar kitoms situacijoms. Tarp tų klausimų gali būti ir tokių, į kuriuos galima atsakyti gavus šitą duomenų pakuotę arba bent jau palengvinti atsakymų suradimą pagal tai, kas nutekėjo iš Registrų centro.
Tai nereikia žiūrėti tik į šiandieną. Reikia atsukti laikrodį labai labai labai atgal ir pasižiūrėti, ar kartais tie duomenys kitur nebuvo naudojami, ar tie duomenys nėra kritiškai svarbūs. Nes jų pagrindu galėtum atlikti, kaip pavyzdį, paskyros užvaldymą.
Užvaldęs paskyrą, tarkim, elektroninį paštą ar kažką panašaus, turi didesnę galimybę atlikti daugiau nei neturėdamas prieigos prie konkretaus asmens pašto. Arba pasinaudoti informacija, kuri yra toje pašto dėžutėje, kur dažnai galime surasti ir dar papildomos informacijos, kas leistų atlikti kitą žingsnį.
Gerbiama Daiva, girdint pašnekovo pastebėjimus, žmonėms kažkodėl įstrigęs aspektas, kad jeigu žinai asmens kodą, iš karto gali paimti vartojimo paskolą ar kitą paskolą. Ar yra rizika, kad visoms šioms informacijos nuotrupoms susidėjus į vieną grandinę tokių rizikų gali daugėti ir atsiras daugiau fiktyvių bandymų paimti vartojimo paskolas ar kitaip apeiti sistemą?
D. Tamulionienė: Na, aš gal sakyčiau taip. Iš principo vien tik žinant asmens kodą, kažkokius duomenis apie asmenį, neturėtų būti suteikiamos tokios paslaugos, kurios sukeltų dideles pasekmes pačiam žmogui dėl jų vykdymo ar nevykdymo.
Iš principo už tai, kiek galima pasinaudoti tokiais duomenimis, kurie nutekėjo saugumo pažeidimo metu, atsakingi ir tie subjektai, kurie teikia paslaugas. Jiems lygiai taip pat galioja pareiga tinkamai identifikuoti asmenis ir užtikrinti, kad tas žmogus, kuris kreipiasi dėl paslaugos, ir yra tas, kuriuo prisistato.
Tai čia sakyčiau, kad atsakomybė kyla ir būtent toms įmonėms, organizacijoms, kurios gaudamos kažkokį duomenų kiekį priima sprendimus.
Jeigu kalbėtume apie asmens kodą, jau ir anksčiau buvo pasakyta: žiūrėkite, asmens kodas kaip identifikavimo duomuo, kai aš paskambinau, pasakiau savo asmens kodą ir jūs galite viską apie mane pasakyti, yra netinkamas.
Aš sakyčiau, kad rizika atsiranda tada, jeigu tos įmonės, organizacijos ar finansų įstaigos netaiko griežtos kontrolės ir pačios tinkamai nesilaiko pareigos užtikrinti saugumą. Tada rizika egzistuoja.
Bet jeigu procesai veikia tinkamai, jeigu jos tikrai tinkamai vykdo pareigas, tada tokia rizika kaip ir neturėtų kilti.
Praktikoje matome pavyzdžių. Sakykime, nuotolinis žmogaus identifikavimas. Akivaizdu, kad asmuo yra ne tas, rodo dokumentą, kuriame žmogui 18 metų, o iš vaizdo akivaizdu, kad jam arti 50-ies, bet paskola yra išduodama ir pripažįstama, kad žmogus buvo tinkamai identifikuotas nuotoliniu būdu.
Iš principo gyvename netobulame pasaulyje ir negalime įsivaizduoti, kad viskas bus tik gerai arba viskas bus tik blogai. Viskas priklauso ir nuo tų organizacijų.
Žinant, kad tokie įvykiai vyksta, aš sakyčiau, turėtų susiimti ir kitos įmonės bei organizacijos. Žinodamos, kad kartais bet kam gali atitekti kito žmogaus duomenys, jos turėtų labai atidžiai pasižiūrėti į žmogaus identifikavimo procesą ir tai daryti atsargiai.
Visą „Dienos pjūvio“ laidą kviečiame žiūrėti vaizdo įraše, esančiame teksto pradžioje.
