2022-09-28

Valstybinė duomenų apsaugos inspekcija pradėjo tyrimą, susijusį su „Baltic Amber Solution“ asmens duomenų saugumo pažeidimu

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI), gavusi UAB „Baltic Amber Solution“ (toliau – BAS) pranešimą dėl įvykusio asmens duomenų saugumo pažeidimo (toliau – ADSP), savo iniciatyva pradėjo tyrimą dėl galimų Bendrojo duomenų apsaugos reglamento pažeidimų.

Pirminė informacija apie įvykusį ADSP pateiktais BAS duomenimis:
•    ADSP metu galimai buvo įsilaužta į BAS IT infrastruktūrą, perimti prisijungimo duomenys ir taip įgauta prieiga prie duomenų bazėje saugomų asmens duomenų;
•    ADSP susijęs su asmens duomenų konfidencialumo praradimu;
•    Incidento metu paveiktų asmenų skaičius tikslinamas;
•    Incidento metu galėjo būti paveikti tokie asmens duomenys kaip: sąskaitos savininko vardas, pavardė, adresas, gimimo data, asmens kodas, asmens dokumento, tipas, numeris, pilietybė, sąskaitos numeris, sąskaitos atidarymo/uždarymo data;
•    Prisijungimo duomenys: asmens kodas, sąskaitos numeris;
•    BAS nurodė, kad elektroniniu paštu informavo 15 duomenų valdytojų.

Atsižvelgiant į tai, kad VDAI pradėjo BAS tyrimą savo iniciatyva dėl galimo ADSP, todėl atskiri asmenų skundai nebus nagrinėjami. Platesnė informacija bus skelbiama baigus tyrimą.

Rekomendacijos įmonėms dėl asmens duomenų saugumo

VDAI rekomenduoja įmonėms sustiprinti visos naudojamos IT infrastruktūros stebėseną įvairiais lygiais, turėti atsakingus asmenis kibernetinio ir duomenų saugumo užtikrinimui bei būti pasiruošus operatyviai imtis veiksmų ADSP ir kibernetinių incidentų aptikimui, lokalizavimui, neigiamo poveikio šalinimui ir veiklos tęstinumo užtikrinimui.

Primygtinai siūlome nuolat stebėti naudojamos techninės ir programinės įrangos gamintojų teikiamą informaciją apie jų produktuose aptiktus pažeidžiamus ir siūlomus būdus jų ištaisymui.

Reiktų kaip galima operatyviau diegti programinės įrangos atnaujinimus ir taikyti gamintojų teikiamas rekomendacijas, ypač kai tai susiję su kritiniais ir aktyviai išnaudojamais programinės įrangos pažeidžiamumais.
JAV kibernetinio ir infrastruktūros saugumo agentūra (CISA) publikuoja nuolat atnaujinamą aktyviai išnaudojamų pažeidžiamumų katalogą (https://www.cisa.gov/known-exploited-vulnerabilities-catalog) (angl. Known exploited vulnerabilities catalog). Jūsų įmonės naudojamos programinės įrangos kritinio pažeidžiamumo paskelbimas šiame kataloge indikuoja apie labai aukštą grėsmės lygį jūsų IT infrastruktūrai ir duomenų saugumui bei faktiškai reiškia, kad Jūs turite nedelsiant ir kuo operatyviau (kai kada net ne dienų, o kelių valandų eigoje) užtaisyti esamas spragas ir pažeidžiamumus bei imtis kitų, kylančią riziką kibernetiniam ir duomenų saugumui pašalinančių ar bent mažinančių organizacinių ir techninių priemonių.

Patarimai dėl asmens duomenų saugumo

VDAI ragina gyventojus būti budrius ir dėmesingus kibernetinėje erdvėje. Kibernetiniai nusikaltėliai nuolat ieško būdų, kaip užsidirbti pinigų Jūsų sąskaita ir bando išnaudoti žmogiškas emocijas, kad pasinaudojant socialinės inžinerijos technikomis, išgautų jiems reikalingą informaciją tiesiogiai iš Jūsų. Dažniausiai sukčiai vadovaujasi tuo pačiu principu – stengiasi užmezgę emocingą pokalbį priversti Jus imtis veiksmų jų neapgalvojus.

Piktavaliai ir sukčiai gali bandyti, naudodamiesi paviešinta informacija apie šį asmens duomenų saugumo pažeidimą, išvilioti iš Jūsų įvairius prisijungimo ar kitus svarbius asmens duomenis, siūlyti kokias nors fiktyvias paslaugas ir raginti jas apmokėti.

Kritiškai vertinkite tai, kam pateikiate savo asmeninius duomenis. Finansų įstaigos ir kitos teisėtai veikiančios organizacijos ar institucijos paprastai neprašo prisijungimo duomenų bei asmeninės informacijos el. laiškais, telefonu ar socialiniais tinklais. Būkite atsargūs dėl visų el. laiškų ar SMS žinučių, kuriuose prašoma pateikti bet kokią asmeninę informaciją, o kilus įtarimų, mėginkite susisiekti tos organizacijos oficialiu kontaktiniu telefono numeriu ir pasiteiraukite, kam bus naudojami Jūsų asmens duomenys.

Siekiant apsisaugoti nuo įvairių sukčiavimo, asmens duomenų viliojimo metodų, pasitikrinkite pateikiamą informaciją ar pasitarkite su patikimais žmonėmis prieš atlikdami veiksmus, kurie potencialiai gali Jums pridaryti žalos.
Kitas svarbus veiksnys yra dėmesingumas, nes socialinė inžinerija remiasi skubinimu priimti sprendimus, nespėjus apgalvoti ir pasverti jų būtinumo ir reikalingumo, tikintis, kad elgsitės impulsyviai ir iracionaliai. Nepriimkite sprendimų paskubomis ir nepasiduokite spaudimui.

Tais atvejais, kai nuteka el. pašto adresai ir telefonų numeriai, žmonės gali sulaukti galimų kenkėjiškų trumpųjų žinučių (SMS), el. laiškų ar sukčiaujančių asmenų skambučių. VDAI ragina žmones nespausti el. laišku ar SMS gautų nuorodų, nesidalinti savo slaptažodžiais, PIN kodais, būti atidiems ir kritiškai vertinti gaunamą informaciją.

Daugiau informacijos apie sukčiavimo prevenciją ir asmens duomenų saugumą internete:

www.neapsigauk.lt
Lietuvos bankų asociacijos patarimai, kaip išvengti sukčiavimo internete
PATARIMAI, jeigu Jūsų paskyra buvo „nulaužta“
Kaip netapti tapatybės vagystės auka
Dėl saugaus naršymo internete