Žiniasklaidai išplatintame komentare dėstoma, kad trečiadienį vėlai vakare ir ketvirtadienį rytą viešai pasklido informacija apie galimą neteisėtą prieigą prie Bilietai.lt klientų duomenų.
„Norėtume užtikrinti visus savo klientus – šią situaciją vertiname itin rimtai. Sužinoję apie galimą incidentą iš karto pradėjome vidinį tyrimą. Remiantis preliminariomis tyrimo išvadomis, identifikavome paveiktą sistemos vietą. Nedelsiant nutraukėme ir uždarėme bet kokią galimą neteisėtą prieigą prie klientų duomenų.
Pranešėme policijai ir kitoms atsakingoms institucijoms apie galimą nusikalstamą veiką – be neteisėtų kaltininko veiksmų nebūtų įvykęs duomenų saugumo pažeidimas. Apie galimą asmens duomenų saugumo pažeidimą informavome kompetentingą nacionalinę priežiūros instituciją – Estijos duomenų apsaugos instituciją, kuri turėtų būti vadovaujanti šioje situacijoje. Taip pat tinkamai informuosime ir Lietuvos duomenų apsaugos inspekciją.
Jis pridūrė norintis užtikrinti, kad klientų įsigyti Bilietai.lt pirkiniai yra galiojantys ir saugūs.
„Remiantis mūsų atliekama incidento analize, galimai buvo paveikti tik šie duomenys: klientų vardai, pavardės (jei pateiktos), el. pašto adresai, retais atvejais – telefono numeris. Pabrėžiame, kad klientų finansiniai duomenys nebuvo paveikti.
Incidentą, jo priežastis ir poveikio mastą tiriame toliau. Tam pasitelksime išorės ekspertus, kurie nustatys priežastis ir pateiks rekomendacijas, kaip pašalinti padarinius ir užkirsti kelią spragoms ateityje. Padarysime viską, ką galime, kad ši problema būtų išspręsta.
Atsiprašome visų už galimus nepatogumus, kuriuos sukėlė šis incidentas. Kaip ir minėjome, laikysimės visų teisės aktų reikalavimų, informuosime kiekvieną duomenų subjektą atskirai bei toliau skaidriai teiksime informaciją visiems, įskaitant žiniasklaidą“, – teigiama komentare.
Duomenų saugotojai: tirs Estijos priežiūros institucija
Valstybinės duomenų apsaugos inspekcija paaiškina, kad asmens duomenų saugumo pažeidimą, vadovaujantis Bendruoju duomenų apsaugos reglamentu, tiria tos valstybės asmens duomenų apsaugos priežiūros institucija, kurioje yra duomenų valdytojo pagrindinė buveinė.
„Dėl įvykusio ADSP pranešimą gavo Estijos asmens duomenų apsaugos priežiūros institucija. Aptariamu atveju informacinės sistemos bilietai.lt (įmonė UAB „Nacionalinis Bilietų Platintojas“) pagrindinė įmonė Piletilevi Grupp AS yra registruota Estijoje. Atsižvelgiant į tai šį atvejį tiria Estijos priežiūros institucija, nes yra vadovaujančioji priežiūros institucija. ADSP įvyko 2022 m. pabaigoje. Estijos priežiūros institucija apie šį ADSP buvo informuota 2023 m. sausio pradžioje.
Estijos priežiūros institucija per IMI sistemą informavo Valstybinę duomenų apsaugos inspekciją dėl įvykusio ADSP informacinėje sistemoje bilietai.lt 2023 m. kovo viduryje. Dėl platesnės tyrimo informacijos reikėtų kreiptis į Estijos priežiūros instituciją“, – paaiškinama komentare.
Valstybinė duomenų apsaugos inspekcija atkreipia dėmesį, kad ADSP patyrusi organizacija turi nedelsiant imtis veiksmų pažeidimui pašalinti, kad kaip galima labiau sumažintų galimas neigiamas pasekmes asmenims, kurių asmens duomenys galėjo nukentėti.
