Kibernetinio saugumo ekspertai teigia, kad kibernetinės saugos ir skaitmeninės higienos lygis Lietuvoje yra itin žemas – tai parodė įvykęs dalies „CityBee“ klientų duomenų nutekinimo incidentas. Anot jų, pasauliui vis labiau skaitmenėjant panašūs incidentai kartosis vis dažniau, todėl būtinas sisteminis požiūris siekiant tvaresnės asmens duomenų apsaugos.

„NCC Group“ Lietuvoje direktorė, regiono pardavimų vadovė Zoja Antuchevič teigė, kad spartėjant skaitmenizacijai panašių duomenų nutekinimo incidentų vyks vis daugiau ir dažniau.

„Matome, kad dabar pasaulis vis labiau skaitmenizuojasi, ir duomenys yra jautrūs kaip niekada, ir jų yra visur. Klausimas, ar visi esame tam pasiruošę, turiu galvoje ne tik įmones, bet ir pačius vartotojus, kurie naudojasi tais duomenimis. Turbūt kuo toliau, tuo labiau susidursime su panašiais incidentais, tiesiog jų bus daugiau“, – „ESET Lietuva“ organizuotos konferencijoje sakė ji.

Z. Antuchevič pridūrė, kad reikalingas sisteminis požiūris į asmens duomenų apsaugą.

„Turime būti sąmoningi atlikdami vienokius ar kitokius veiksmus su savo duomenimis, tokia yra realija. (...) Požiūris į duomenų apsaugą turėtų būti sisteminis: kuo daugiau duomenų yra, tuo labiau jie prieinami bei įdomūs ir programišiams“, – sakė ji.

Valstybinės duomenų apsaugos inspekcijos (VDAI) Informacinių technologijų skyriaus vedėjas Jevgenijus Tichonovas savo ruoštu pažymėjo, kad patirtą žalą nutekėjus asmens duomenims reikėtų vertinti pagal poveikį asmeniui, o ne jo finansams.

„Kai atsirado Bendrasis duomenų apsaugos reglamentas (BDAR), turime pradėti vertinti poveikį asmeniui dėl konfidencialumo pažeidimo, vientisumo ar duomenų praradimo.  Reglamentas sako, kad riziką vertinti turime ne per finansų prizmę, bet per poveikį pačiam asmeniui, jo teisėms ir laisvėms. Ir kai pradėsime vertinti rizikas tokiu būdu, galėsime parinkti ir tinkamas priemones apsisaugoti ir apsaugoti tuos duomenis“, – teigė jis.

Tuo tarpu Mykolo Romerio universiteto (MRU) Teisės ir finansinės technologijos studijų programos vadovas Marius Laurinaitis teigė, kad „CityBee“ nutekintų duomenų incidentas parodė, kad kibernetinės saugos kultūra Lietuvoje yra itin žema.

„Šis incidentas parodė, kad kibernetinės saugos kultūros ir skaitmeninės higienos lygis šalyje yra kritiškai žemas. Žmonės, nesuprasdami tam tikrų duomenų kategorijos svarbos, įsivaizduoja menamą žalą.

Jei tam tikri prieigos duomenys, (...) nutekėję per komercinę paslaugą, yra sumaišyti su asmenų finansų sistema ar su privatumo ar komunikacinio privatumo sistema, tai apie kokią higieną ir kultūrą galime kalbėti? Labai tikiuosi, kad po tokių incidentų būtent į tai kreipsime daugiau dėmesio“, – sakė jis.

Profesoriui antrino ir kibernetinio saugumo analitikas Darius Povilaitis, teigdamas, kad kibernetinio saugumo kultūra Lietuvoje „yra bloga tiek privačiame, tiek viešajame sektoriuje. Dešimtbalėje sistemoje ją vertinčiau trimis balais.“

Tuo tarpu grįždamas prie „CityBee“ duomenų nutekinimo klausimo, „ESET Lietuva“ vadovas Tomas Parnarauskas teigė, jog jį nustebino net trejus metus laikomos „CityBee“ klientų duomenų kopijos.

„Kalbant apie šį konkretų atvejį, kas mane labai nustebino, tai, ko gero, IT administratorių požiūris. Jeigu informacija, kuri yra prieinama viešoje erdvėje, yra teisinga, programišių buvo rasta tam tikro pažeidžiamumo duomenų bazės kopija. (...)

Atsarginė duomenų bazės kopija reikalinga, kad įvykus incidentui būtų galima greitai atkurti duomenis. (...) Savaitės senumo duomenų bazės kopija yra reikalinga. Bet jei turime trejų metų duomenų bazės kopiją kažkur pasidėję, kyla klausimas, kodėl tiek laiko yra laikomos duomenų kopijos?“, – klausė jis.

„Prie pačios sistemos prieiti ir iš jos kažką išlukštenti gali būti žymiai sudėtingiau, (...) bet duomenų bazė yra jau saldainis, padėtas ant stalo ir tiek laiko saugotas“, – pridūrė T. Parnarauskas.

Pirmadienio popietę paaiškėjus, kad kibernetiniai nusikaltėliai forume paskelbė apie 110 tūkst. Lietuvoje registruotų „CityBee“ klientų informaciją, ikiteisminį tyrimą dėl pavogtų duomenų pradėjo Lietuvos kriminalinės policijos biuras, glaudžiai bendradarbiaudamas su pačia įmone. Tyrimą savo iniciatyva skelbia taip pat pradėjusi asmens duomenų apsaugos priežiūros institucija Valstybinė duomenų apsaugos inspekcija (VDAI).

Anksčiau išplatintame „CityBee“ pranešime sakoma, kad duomenys, kurie buvo įkelti viename iš kibernetinių įsilaužėlių pamėgtų forumų, yra trejų metų senumo.