2024-01-29

Asmens duomenų saugumo pažeidimai Lietuvoje 2023 m.

Apžvelgiant 2023 m. pranešimų apie asmens duomenų saugumo pažeidimus (ADSP) Lietuvoje statistiką, Valstybinė duomenų apsaugos inspekcija (VDAI) gavo 254 pranešimus apie ADSP, Lietuvoje paveiktų duomenų subjektų skaičius – 571 833. Palyginti su ankstesnių metų duomenimis, VDAI gavo mažiau pranešimų apie ADSP negu 2022 m. (2022 m. VDAI gautų pranešimų apie ADSP – 304), taip pat Lietuvoje paveiktų duomenų subjektų skaičius sumažėjo daugiau negu 3 kartus (2022 m. Lietuvoje paveiktų duomenų subjektų skaičius – 1 955 382).

Pagal ADSP pobūdį Lietuvoje statistiškai vyrauja konfidencialumo pažeidimai, kurių skaičius per 2023 m. sudarė net 76 proc. visų atvejų, 10 proc. atvejų vientisumo pažeidimai, 10 proc. atvejų prieinamumo pažeidimai ir 4 proc. atvejų incidentas nebuvo laikomas ADSP (neatitiko sąvokos).

VDAI, išanalizavusi per 2023 m. gautus pranešimus apie ADSP nustatė, kad 85 proc. ADSP įvyko dėl įvairių priežasčių (žmogiškosios klaidos, IT sistemų trikdžių ir kt.), 15 proc. ADSP įvyko dėl kibernetinių incidentų (duomenų užšifravimo, išpirkos reikalavimo, socialinės inžinerijos, duomenų viliojimo atakų ir kt.).

Palyginti su praėjusių metų duomenimis, pastebima, kad įvykusių ADSP dėl kibernetinio incidento yra mažiau negu 2022 m. (2022 m. dėl kibernetinio incidento įvykę ADSP – 35 proc., o įvykusių dėl kitų priežasčių – 65 proc.).

Svarbu paminėti, kad nors kibernetiniai incidentai sudarė tik 15 proc. visų 2023 m. įvykusių ADSP, bet jų metu buvo paveikti 49 proc. (iš visų 2023 m. paveiktų subjektų) subjektų duomenys, dėl kitų priežasčių buvo paveikti 51 proc. subjektų duomenys. Palyginti su praėjusių metų duomenimis, pastebima, kad dėl 2022 m. įvykusių kibernetinių incidentų buvo paveikta 82 proc. duomenų subjektų (iš visų 2022 m. paveiktų duomenų subjektų skaičiaus), o dėl kitų priežasčių buvo paveikta 18 proc. duomenų subjektų.

Palyginti su praėjusių metų duomenimis, ADSP įvykusių dėl žmogiškosios klaidos daugėja. 2023 m. 72 proc. ADSP įvyko dėl žmogiškosios klaidos (2022 m. tokių ADSP buvo 60 proc.). Dėl kitų priežasčių įvykę ADSP sudaro 28 proc. (2022 m. tokių ADSP buvo 40 proc.).

2023 m. buvo gauta 12 pranešimų apie ADSP, kurių metu vyko duomenų užšifravimo ir išpirkos reikalavimo atakos (angl. Ransomware). 2023 m. ADSP metu buvo pastebėtos ir DDoS (angl. Distributed Denial of Service) paskirstytos paslaugos atkirtimo atakos. Didėjo naudojamos programinės ir techninės įrangos gamintojų ar debesijos paslaugų tiekėjų patikimumo, reputacijos ir kilmės šalies įvertinimo ir potencialių rizikų duomenų saugumui nustatymo svarba.

VDAI atkreipia dėmesį, kad nustačius, jog ADSP įvyko ir, kad yra pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas, ne vėliau kaip per 72 val. nuo sužinojimo apie ADSP, turėtų pranešti apie tai VDAI, kaip tai numato BDAR. 2023 m. 77 proc. duomenų valdytojų apie įvykusį ADSP pranešė ne vėliau kaip per 72 val., 23 proc. – vėliau kaip per 72 val.

 

Asmens duomenų saugumo pažeidimų Lietuvoje 2023 m. apibendrinimas>>

 

2023 ADSP infografikas.jpg