Kai tavo veikla pagal visus parametrus (išskyrus mokesčių mokėjimą Valstybinei mokesčių inspekcijai) nėra teisėta, galvos kvaršinimas dėl kažkokių kibernetinio saugumo klausimų tikrai nėra prioritetinių užduočių sąraše. O tuomet ir nestebina, kad visų neteisėtomis paslaugomis besinaudojančių vartotojų el.pašto adresai, prisijungimo vardai ir slaptažodžiai būna saugomi nešifruotu tekstiniu pavidalu. Nestebina ir kai visi tie duomenys būna pagrobiami kibernetinių nusikaltėlių bei galų gale patenka į žurnalistų rankas.

Užtat stebina, kai tokiame elektroninio pašto adresų sąraše atrandami įrašai, rodantys, kad neteisėtu turinio platinimu užsiimančios svetainės filmai.in vartotojas yra Seimo narys, buvęs užsienio reikalų ministras konservatorius Audronius Ažubalis. Arba buvusi kito Seimo nario konservatoriaus Lauryno Kasčiūno padėjėja-sekretorė Eglė Švabauskienė. Arba dar kito Seimo nario, taip pat konservatoriaus Algio Strelčiūno patarėja Inga Cemnolonskaitė.

Dar labiau stebina tai, kad pagrindinės Lietuvos įstatymų leidimo institucijos atstovai registracijai filmai.in svetainėje naudojasi savo oficialiu, valstybės išduotu darbiniu el.pašto adresu, kuris baigiasi @lrs.lt ir kuriame nurodomas asmens vardas bei pavardė.

Seimo narys patvirtino, kad šioje svetainėje registravosi. „Tikrai kažkada esu registravęsis nurodytoje svetainėje, kuri tuo metu man pasirodė patikima (mokama ir solidaus dizaino), vėliau patyręs, kad dėl jos veiklos viešojoje erdvėje kyla klausimų, ja nebesinaudojau“, – 15min teigė A.Ažubalis.

Vieno @lrs.lt domene registruoto pašto adreso naudotojo identifikuoti nepavyko – jo pavadinimas (roaugu@lrs.lt) sukurtas ne pagal įprastą vardas.pavardė@lrs.lt šabloną.

Beje, tokių „nuodėmingų“ (nes neteisėtų) pramogų gerbėjų yra ne tik Seime. Peržiūrint iš filmai.in ne vėliau nei 2018 m. spalį nutekėjusią vartotojų el.pašto adresų duomenų bazę (iš kurios, iki ją perduodant 15min redakcijai, buvo pašalinti vartotojų vardai bei slaptažodžiai ir kuri vis vien užėmė daugiau nei 15 MB tekstiniame pavidale) pavyko rasti ir vieną adresą, priklausantį Vyriausybei, kanceliarijos Socialinės grupės darbuotojai Aurelijai Urbonienei (adresas @lrv.lt srityje), ir atskiroms ministerijoms.

Ministerijose dirbantys valstybės tarnautojai taip pat nevengė naudodamiesi valstybės suteiktais darbo įrankiais registruotis svetainėje, kuri vykdo nelegalią veiklą, kasmet galimai pridarančią dešimtimis milijonų eurų vertinamą žalą turinio kūrėjams, teisių turėtojams, platintojams:

• Aplinkos ministerija (adresai @am.lt): 6 asmenys
• Socialinės apsaugos ir darbo ministerija (adresai @socmin.lt): 1 asmuo
• Sveikatos apsaugos ministerija (adresai @sam.lt): 1 asmuo
• Švietimo ir mokslo ministerija (adresai @smm.lt): 5 asmenys
• Vidaus reikalų ministerija (adresai @vrm.lt): 1 asmuo
• Žemės ūkio ministerija (adresai @zum.lt): 3 asmenys.

Daugumos šių asmenų vardai redakcijai žinomi (vienu atveju registracijai „filmai.in“ svetainėje panaudotas ne pagal tipinį šabloną sukurtas adresas. Dėl to galima daryti prielaidą, kad tai yra arba asmuo, dirbantis tos institucijos IT skyriuje, arba asmuo, labai artimai bendraujantis su IT skyriaus darbuotojais).

Taip pat tarp įdomesnių piratinį turinį platinančios svetainės vartotojų yra vienas viešoje erdvėje gerai žinomas verslininkas, dvarininkas, skiepų priešininkas bei sąmokslo teorijų platintojas.

„Filmai.in“ administracija apie įsilaužimą į jų duomenų bazę ir tekstinės vartotojų duomenų bazės vagystę, panašu, sužinojo tik interneto forumuose pradėjus sklisti pasiūlymams šią duomenų bazę įsigyti. Po to visų vartotojų slaptažodžiai buvo priverstiniu būdu pakeisti.

Šiuo metu nėra žinoma, ar nelegalaus turinio platintojai patobulino savo vartotojų asmeninės informacijos saugojimo principus, tačiau 15min šiuo klausimu konsultavęs kibernetinio saugumo ekspertas nurodė, jog akivaizdu, kad šios svetainės valdytojai neturi kibernetinio saugumo politikos.

Veiksmų gali imtis ir VDAI

Į 15min klausimą, ar Valstybinė duomenų apsaugos inspekcija (VDAI) gali imtis veiksmų dėl šio duomenų nutekėjimo, VDAI atstovai atsakė taip: „Vadovaujantis Bendrojo duomenų apsaugos reglamento (toliau – BDAR) 55 straipsnio 1 dalimi, „kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal [BDAR] jai pavestas užduotis ir naudotis pagal [BDAR] jai suteiktais įgaliojimais“. Taigi, Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) turi teisę imtis veiksmų dėl tų duomenų valdytojų, kurių buveinė yra Lietuvos Respublikoje. Tuo atveju, jei konkretaus duomenų valdytojo ir (ar) duomenų tvarkytojo buveinė yra kitoje valstybėje narėje, tuomet jo atliekamas asmens duomenų tvarkymo operacijas ar asmens duomenų saugumo priemones kompetentinga vertinti tos valstybės, kurioje jis registruotas, duomenų priežiūros institucija.

Bet kuriuo atveju, tinkamų techninių ir organizacinių saugumo priemonių pasirinkimas yra duomenų valdytojo pareiga, kylanti iš BDAR 24, 25 ir 32 straipsnių, todėl duomenų valdytojas turi įvertinti techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, asmens duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms. Atsižvelgiant į šiuos kriterijus turi būti parinktos tinkamo lygio saugumo priemonės, kurios turi būti reguliariai vertinamos ir atnaujinamos. Taip pat galite susipažinti su VDAI paskelbtomis Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairėmis duomenų valdytojams ir duomenų tvarkytojams (skaityti).

Papildomai atkreipiame dėmesį į tai, kad asmens duomenų vagystė gali sudaryti nusikalstamos veikos požymius, kurių vertinimą atlieka teisėsaugos institucijos.“

Komentarai ()