2025-02-04

Asmens duomenų saugumo pažeidimai Lietuvoje 2024 m.

Valstybinė duomenų apsaugos inspekcija (VDAI) 2024 m. gavo 273 pranešimus apie asmens duomenų saugumo pažeidimus (ADSP), paveiktų duomenų subjektų skaičius Lietuvoje – 1 467 368.

Palyginti su ankstesnių metų duomenimis, 2024 m. VDAI gavo daugiau pranešimų apie ADSP negu 2023 m. (2023 m. VDAI gautų pranešimų apie ADSP – 254),  o paveiktų duomenų subjektų skaičius  padidėjo beveik 3 kartus (2023 m. Lietuvoje paveiktų duomenų subjektų skaičius – 571 833).

Pagal ADSP pobūdį Lietuvoje statistiškai vyrauja konfidencialumo pažeidimai, kurių skaičius per 2024 m. sudarė net 87 proc. visų atvejų, 6 proc. atvejų – vientisumo pažeidimai, 6 proc. atvejų – prieinamumo pažeidimai ir 1 proc. atvejų, kai incidentas nebuvo laikomas ADSP (neatitiko sąvokos).

VDAI, išanalizavusi per 2024 m. gautus pranešimus apie ADSP nustatė, kad 52 proc. ADSP įvyko dėl žmogiškosios klaidos (dėl žmogaus padaromų veiksmų, kurie pasireiškia neapdairumu, nežinojimu, kad veiksmai gali sukelti ADSP, taip pat dėl veiksmų, nuo kurių įprastai apsaugoti negali taikomos techninės ir organizacinės priemonės). ADSP, įvykę dėl kitų priežasčių, sudaro 15 proc. (įvairūs IT sistemų trikdžiai, įvykę dėl IT sistemų klaidų, dėl kurių atnaujinti duomenys nebuvo laiku perduoti ir duomenų valdytojai negalėjo laiku suteikti paslaugų, taip pat, netinkamai atlikus programavimo darbus, asmens duomenys buvo pasiekiami asmenims, kurie neturėjo teisės su jais susipažinti ir kt.).

VDAI, išanalizavusi per 2024 m. gautus pranešimus apie ADSP, nustatė, kad 33 proc. ADSP įvyko dėl kibernetinių incidentų (11 proc. –  dėl duomenų užšifravimo ir išpirkos reikalavimo atakų, 66 proc. – dėl neteisėtai gautos prieigos prie IT sistemų, 18 proc. – dėl socialinės inžinerijos metodais paremtų ir 5 proc. – dėl kredencialų brukimo kibernetinių atakų).

Svarbu paminėti, kad dėl kibernetinių incidentų buvo paveikti 49 proc., t. y. 712 881 (iš visų 2024 m. paveiktų duomenų subjektų) duomenų subjektų duomenys, dėl kitų priežasčių buvo paveikti 51 proc. (754 487) duomenų subjektų duomenys. 

VDAI atkreipia dėmesį, kad duomenų valdytojas, nustatęs, jog ADSP įvyko ir kad yra pavojus fizinių asmenų teisėms ir laisvėms, nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie ADSP, turėtų pranešti apie tai VDAI, kaip tai numato BDAR. 2024 m. 79 proc. duomenų valdytojų apie įvykusį ADSP pranešė ne vėliau kaip per 72 val., 21 proc. – vėliau kaip per 72 val.

VDAI, 2024 m. spalio mėn. atlikusi ADSP tyrimą, priėmė sprendimą biudžetinei įstaigai skirti 9 tūkst. eurų baudą už nustatytus BDAR nuostatų pažeidimus. Taip pat VDAI, įvertinusi 2024 m. gautus pranešimus apie ADSP ir nustačiusi, kad yra netinkamai užtikrinamas asmens duomenų saugumas, pateikė 38 rekomendacijas, kurios padės užtikrinti, kad asmens duomenų tvarkymas atitiktų BDAR reikalavimus.

Asmens duomenų saugumo pažeidimų Lietuvoje 2024 m. apibendrinimas