Praėjusį penktadienį įvykęs incidentas neliks neištirtas, vyksta NŠA inicijuotas tyrimas. „Kreipėmės į Valstybinę duomenų apsaugos inspekciją (VDAI), taip pat – į Karalienės Mortos mokyklą (KMM) dėl paaiškinimo. Apribojome prisijungimą duomenis nutekinusiam administratoriui“, – atliktus veiksmus vardijo NŠA ryšių su visuomene specialistas Gintautas Dulskas.
Atsakomybė gula ant mokyklos vadovų pečių
Pašnekovas pripažino, jog prieigos galimybė prie tokio pobūdžio duomenų yra, nes žmonėms reikia dirbti su informacija. „Negalime kiekviename žingsnyje galvoti, kas gali sukčiauti. Be to, mokyklų vadovai prisiima visą atsakomybę. Jie perleidžia tą atsakomybę kitiems asmenims. Tačiau bet kas prisijungti tikrai negali“, – patikino jis.
Po tokių atvejų teks ieškoti būdų, kaip apriboti prieigos galimybes. „Tačiau to daryti nesinorėtų – žmonėms reikia dirbti su informacija. Visgi žiūrėsime, kaip galima sumažinti duomenų prieinamumą. Galbūt reikalausime papildomų pasižadėjimų ar pan.“, – svarstė G. Dulskas ir pridūrė, kad šiuokart, matyt, įsilaužimo ir kriminalo nebuvo – žmogus tiesiog pasielgė neatsakingai ar neapgalvotai.
Neatmetama, kad tai gali būti susiję ir su tyčiniu asmens duomenų nutekinimu. Tačiau tai parodys išsamesnis tyrimas, jo rezultatai, anot G. Dulsko, turėtų paaiškėti kitos savaitės pabaigoje. „Kol kas sunku komentuoti, mokyklų vadovai kaip turėjo prieigą, taip ir turės, bet akivaizdu, kad jie tų duomenų netvarko. Visi turi administratorius – šie ir tvarko duomenis. Prieinančių prie duomenų žmonių skaičius yra ribotas. Viską galime atsekti, kas buvo veikiama sistemoje“, – teigė pašnekovas.
Įžvelgė spragą
KMM komunikacijos vadovė Rita Meilūnaitė „Delfi“ papasakojo, kaip buvo pastebėta saugumo spraga. Mokyklos IT administratorius, naudodamas oficialiai NŠA suteiktą prieigą bei slaptažodį ir sistemoje tvarkydamas KMM duomenis, pastebėjo, kad gali matyti ne tik savo mokyklos, bet visų Lietuvos mokinių ir mokytojų asmens duomenis (vardus, pavardes, ugdymo įstaigą, priskirtą el. pašto adresą).
„Atradimas buvo visiškai netikėtas – norėdamas automatiniu būdu KMM mokiniams priskirti „MS Office 365“ produktų licencijas pastebėjo, kad vietoj kiek daugiau nei 700 mokinių mato kelis šimtus tūkstančių“, – aiškino R. Meilūnaitė.
Apie aptiktą duomenų saugumo spragą el. paštu nedelsiant buvo informuota NŠA.
„Šiuo metu mūsų IT administratoriaus prisijungimo duomenys užblokuoti ir mes vis dar esame susirūpinę, ar mūsų mokyklos mokinių ir mokytojų duomenys saugūs. Viešoje erdvėje skaitėme agentūros atstovo patikinimą, kad konsolė, kurioje buvo matomi visų mokinių duomenys, šiuo metu yra užblokuota visų mokyklų administratoriams“, – sakė ji.
Mokyklos bendruomenei nesuprantama, kodėl NŠA atstovas viešame komentare išsakė, neva duomenys buvo nukopijuoti ir neteisėtai paviešinti.
„Tai nėra tiesa, mūsų IT administratorius prisijungė prie sistemos su oficialiai suteiktais prisijungimo duomenimis ir atliko tik tokius veiksmus, kurie buvo NŠA leidžiami“, – tikino R. Meilūnaitė.
Tai, kad sistema šalia mokyklos mokinių duomenų automatiškai pridėjo visų mokyklų mokinių ir mokytojų duomenis, R. Meilūnaitės įsitikinimu, yra saugumo spraga. „Tikimės, ji bus išspręsta. Taip pat patvirtiname, kad jokie asmens duomenys nebuvo paviešinti. Priešingai, Karalienės Mortos mokyklos IT administratorius pasielgė pilietiškai, nenutylėjo, o nedelsdamas pranešė apie galimą duomenų saugumo spragą“, – patikino mokyklos atstovė.
Gresia didelės baudos
Kitose mokyklose, anot G. Dulsko, panašių atvejų nepasitaikė. „Pasirodo, kad negalime visiškai pasitikėti žmonėmis, reikia prevenciškai planuoti, ką jie gali nesąžiningai padaryti. Nors tie, kurie prieina prie duomenų, turėtų puikiausiai žinoti, būti susipažinę su Asmens duomenų apsaugos įstatymu – kokios pasekmės jiems gresia“, – sakė jis.
VDAI informavo „Delfi“, kad yra gavusi pranešimą dėl šios situacijos. Šiuo metu gauta informacija yra vertinama ir sprendžiamas klausimas dėl tolimesnių būtinų veiksmų.
„Dėl galimos asmenų atsakomybės – ji asmeniui gali būti taikoma tuo atveju, jei nustatoma, kad buvo pažeisti Bendrajame duomenų apsaugos reglamente (BDAR) nustatyti reikalavimai dėl asmens duomenų tvarkymo, taip pat ir susiję su asmens duomenų saugumo užtikrinimu. Tokiu atveju VDAI gali imtis priemonių, nustatytų BDAR 58 straipsnio 2 dalyje“, – paaiškino VDAI Teisės skyriaus patarėja Margarita Valčiukė.
VDAI primena, kad pažeidus BDAR (bendrasis duomenų apsaugos reglamentas) nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Taigi bauda gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10–20 mln. eurų.
Reikėtų atkreipti dėmesį, kad tai – maksimalios baudos, o žemutinė baudų riba gali būti bet kuri minimali skaitinė išraiška.
Lietuva pasinaudojo BDAR numatyta galimybe nustatyti mažesnes baudas viešajam sektoriui, atsižvelgiant į tai, kad jos skiriamos iš to paties valstybės biudžeto. Tik Lietuvai būdingos tam tikros asmens duomenų tvarkymo nuostatos numatytos naujos redakcijos Asmens duomenų teisinės apsaugos įstatyme. Taigi Asmens duomenų teisinės apsaugos įstatyme viešajam sektoriui numatytos baudos iki 0,5–1 proc. metinio biudžeto, bet ne daugiau kaip iki 30–60 tūkst. eurų.
Tuo atveju, jeigu valstybės institucija užsiima komercine veikla, tai jai atsakomybė bus taikoma kaip privatiems juridiniams asmenims, o ne kaip viešajam sektoriui.