Spotify

Mariau, kas čia įvyko? Kaip šį visą procesą galime vertinti?

M. Pareščius: Jeigu trumpai – prasileidome. Šį žodį per kibernetinio saugumo mokymus praktiškai naudoju paskutinius penkerius metus – „Grožio chirurgija“, „CityBee“, „filmai.in“ ir visa eilė kitų interneto svetainių bei portalų savininkų tiesiog prasileido, nepakankamai rūpestingai žiūrėjo į dalykus.

Bet čia ne šiaip portalas.

M. Pareščius: Čia visų pirma buvo panaudoti valstybinės institucijos darbuotojo prisijungimo duomenys tam, kad būtų prisijungta prie valstybinių resursų. Ir ne tik prie Registrų centro. Jeigu darbuotojas prasileido ir neteko savo elektroninio pašto prisijungimo duomenų, slaptažodžio, kurį galima naudoti prisijungti prie elektroninio pašto serverio, turint jo prisijungimo duomenis prie pašto serverio – kaip nutiko su pora Migracijos departamento darbuotojų ir analogiškai gali nutikti su bet kurios kitos valstybinės institucijos darbuotoju – buvo atkurti slaptažodžiai. Migracijos departamento vadovai pasakojo: „Ne, niekas tų slaptažodžių niekam nedavė. Mes neįsivaizduojame, kaip jie nutekėjo.“ Jie nenutekėjo. Yra tokia funkcija – atkurti slaptažodį. Pamiršai, užėjai į interneto svetainę, įvedei savo elektroninio pašto adresą, ir tau atsiunčia naujai sukurtą slaptažodį. Junkis, naudokis, dalinkis su draugais.

Daugelis programėlių naudoja dviejų veiksnių autentifikavimą, todėl tokių atvejų pasitaiko retai, bet Registrų centras veikia būtent taip?

M. Pareščius: Manau, tai buvo suprogramuota prieš 20–25 metus ir niekas nieko nekeitė. Visi buvo patenkinti, visiems buvo patogu. Naujai atėjusiems darbuotojams atsiunčiami prisijungimo duomenys, slaptažodis, ir visi gyvena toliau. Nesijaudina, kad kažkas kažką nurašys, jaučiasi saugūs: neva saugūs tinklai, saugi darbo vieta, saugus kompiuteris, antivirusinė programa, „Windows“ licencijos ir pan. Jie visi atsipalaidavę. Jie net neturi mokymų apie kibernetinį saugumą, jau nekalbu apie tai, kad darbuotojas, atsakingas už asmens duomenų apsaugą arba kibernetinę saugą, vestų tuos mokymus ir sakytų: „Žiūrėkite, šito nenaudokite, nes tai nesaugu.“ Tas pats buvo Registrų centre, bet Registrų centro darbuotojas, kuris buvo atsakingas už prevenciją, dabar tapo laikinai einančiu vadovo pareigas.

Giedrimai, kokios būklės yra valstybės kibernetinio saugumo higiena?

G. Jeglinskas: Šis atvejis labai gerai viską parodė, nes nepasakyčiau, kad tai buvo sofistikuota kibernetinė ataka.

M. Pareščius: Čia nebuvo atakos.

G. Jeglinskas: Taip, čia buvo paprasta vagystė, panaudojant paprastą, kaip Marius sako, prieš 20 metų sukurtą sistemą.

Nulaužei darbuotojo slaptažodį ir tokiu būdu sužinojai valstybės duomenis?

G. Jeglinskas: Ir pažiūrėkite dabar, ką mes matome. Dirbtinis intelektas, kuris jau yra čia, bei tam tikrose valstybėse ir organizacijose veikiantys programišiai dabar taikosi net į tas institucijas, kurios yra labai saugios. Aš jau nekalbu apie Registrų centrą ar mūsų kitas valstybės institucijas. Yra tokie įrankiai kaip „Mythos“ ar „Anthropico“, kurie randa net pačių stipriausių institucijų spragas. <…> Jau nekalbu apie kvantinę kompiuteriją, kuri ateina ir kuri nulauš visą mūsų kriptografiją. Aš norėčiau pamatyti mūsų institucijų kibernetinį auditą – kur dabar esame mes? To reikia klausti, reikia institucijos, kuri atsakinga už šią politiką, prašyti duomenų. Juk NKSC (Nacionalinis kibernetinio saugumo centras) prie KAM (Krašto apsaugos ministerijos) yra būtent ta institucija. Aišku, yra ir atsakomybės klausimas. Bet apžvelgiant esminius elementus, tai: krizės suvaldymas, kuris buvo absoliučiai nekorektiškas, neteisingas, taip pat tai, kad informacija nebuvo pasidalyta su Prezidentu. Juk girdėjome, kad ji buvo kažkur slepiama. Taip pat buvo ir bendra vieša komunikacija – niekas neatėjo pasiaiškinti. Kiek yra institucijų? Migracijos departamentas – pro jį pralindo, jis yra pavaldus VRM (Vidaus reikalų ministerijai), NKSC yra prie KAM, tada yra EIMIN (Ekonomikos ir inovacijų ministerija), kuriai pavaldus Registrų centras.

O už duomenų apsaugą atsakinga Teisingumo ministerija.

G. Jeglinskas: Ir kur viskas susijungia? Atsakymas paprastas – į premjero biurą. Tai klausimas, ką mes toliau darysime? Jei išspręstume organizacinį klausimą, kokiu būdu kuruosime šiuos dalykus, tada jau galėtume kalbėti apie resursus, žmonių paskirstymą. Nes trūksta visko – ir pinigų, ir talentų, ir technologijų.

M. Pareščius: Bet ar tikrai trūksta pinigų? Mano žiniomis, pinigų netrūksta. Trūksta talentų, kurie atsako už tai, ką padaro. Vadovų, kurie atsako už savo talentus.

G. Jeglinskas: Bet reikia ir duomenų centrų.

M. Pareščius: Visko pakanka. Duomenų centrų pristatyta daugiau, negu reikia. Pavieniais atvejais jie net statybų metu neturėjo užsakovų. Iki tokio lygio Lietuvoje esame ištaškę pinigus ir pristatę duomenų centrų.

Giedrimai, kokia yra tylėjimo apie šį nutekinimą logika? Manyta, kad niekas neišaiškės?

G. Jeglinskas: Čia geriausiai atsakytų premjerė ar jos patarėjai. Bet faktas, kad jeigu gauni tokią informaciją, tavo darbas yra, žinant, kokios vertės ta informacija, kokio dydžio yra kibernetinės spragos ir kiek žmonių tai palietė, apie tai pranešti. Registrų centras yra viena, bet yra ir kitos institucijos. Čia tik ledkalnio viršūnė. Premjerė dabar turėtų sėdėti kartu su ekspertais užsidariusi ir spręsti bei valdyti krizę. Aišku, ir jos komunikacija buvo keista. Kodėl nepranešta Prezidentūrai? Kodėl apie tai nebuvo komunikuota? To jau reikėtų paklausti jos, bet tai yra nekompetentingas krizės valdymas. Kito atsakymo nerandu.

Mariau, kaip jūs manote, kodėl buvo bandoma nuslėpti?

M. Pareščius: Esu vienas iš tų, kurie rengia mokymus būtent šiomis temomis. Negaliu įvardyti valstybinių institucijų, kurioms juos vedžiau, bet scenarijai buvo labai panašūs – nutekėjo duomenys, programišiai skelbia, kad netrukus juos paviešins, prašo sumokėti kelis bitkoinus kriptovaliuta, kad tos informacijos nepaviešintų, ir visa tai reikia padaryti šiandien. Jeigu nepadarysime šiandien, rytoj kaina bus dviguba ir t. t. Tai yra scenarijai, pagal kuriuos mokomasi. Šios pratybos skirtos ministerijoms, pačiame aukščiausiame lygmenyje, tiems, kurie valdo kitas duomenų bazes. Šios pratybos parodė, ir pats tą mačiau, kad visi, kurie jose dalyvauja pirmą kartą, elgiasi panašiai – nieko nedaro. Jie nesušaukia štabo, nesudėlioja pareigų, nesukviečia žmonių, kurie turėtų viską spręsti, ir visa tai vilkinama. Manau, kad jie tokių pratybų niekada nėra praėję, nors Vyriausybė turi Kibernetinio saugumo centrą, kuris turėtų reaguoti, turi Krizių centrą, kuris turėtų tvarkytis iš viešųjų ryšių pusės. Jie tai turėjo daryti prieš du mėnesius. Prieš du mėnesius nutekėjo duomenys. Net jei turime tik įtarimą, nebūtinai įrodymus, iškart skelbiame viešai. Skelbiame viešai, kad yra galimas nutekėjimas ir kad gali būti, jog jūsų duomenys nutekės. Ką darome? Pirmiausia keičiame slaptažodžius, keičiame autorizavimo mechanizmą ir tik tada ieškome, kokiu būdu buvo įsilaužta, kiek duomenų nutekėjo ir pan. Tuomet nutekėjusių duomenų būtų buvę gerokai mažiau. Būtų nutekėję 100–200 tūkstančių, bet tikrai ne 600 tūkstančių įrašų.

Kai kurie žmonės sako, kad jų duomenys buvo paimti sausio mėnesį. Norėčiau pacituoti atsitiktinai tai aptikusį Neringos merą Darių Jasaitį, kuris pamatė, kad vasario 16 dieną, šventinę dieną, 23 valandą kažkas iš VRM žiūri jo duomenis: „Nieko sau, – sako, – jeigu koks valdininkas dirba vasario 16 dieną 23 valandą, tai jau tikrai…“ Nes jo pirma mintis buvo, kad kažkas renka informaciją apie jį, kadangi artėja savivaldos rinkimai, ir, kreipęsis į VRM, paprašė patikslinti tokių veiksmų pagrįstumą. Tai rodo, kad jau tada buvo rašytinių žmonių kreipimųsi, tačiau reakcijos, apie kurią žinotume, nebuvo.

M. Pareščius: Aš žinau dar bent tris atvejus, neskaitant mero, kai žmonės dar po savaitės ar dviejų raštu kreipėsi į įvairias etikos komisijas ir teigė: „Žiūrėkite, jūsų darbuotojai kažką daro, galimai duomenys nuteka.“ Ir čia kalba eina apie finansinių technologijų įmonių vadovus, apie advokatus. Tai nėra bet kas. Aš pats savo „Facebook“ paskyroje prašiau sekėjų pasidalyti, iš kokių miestų ir kada duomenys nutekėjo. Praktiškai visi kalbėjo apie sausio pabaigą ir balandžio vidurį. Nors, kaip teigia mūsų valdantieji, tuo metu jau buvo pakeisti slaptažodžiai, duomenų nutekėjimas vyko toliau. Nors kovą jau neturėjo tekėti, bet kodėl balandį vis dar tekėjo? Niekas nesako.

Tai jeigu vėl „pamiršai“ slaptažodį, paprašei, kad atsiųstų naują, prisijungei prie pašto dėžutės ir viskas kartojasi.

M. Pareščius: Jeigu kalbėti rimtai, aš pats, VRM tinklo kibernetinės saugos skyriaus prašymu, kažkada esu bandęs išgauti slaptažodžius. Tai dariau 15 minučių, gerdamas kavą viename iš padalinių. Jie sakė: „Čia pas mus viskas užlopyta, nieko nerasi.“ Po 15 minučių atėjau pas juos ir sakau: „Žiūrėkite, čia tokio komisaro, čia tokio komisaro, čia tokio komisaro prisijungimo duomenys.“ Jie išsigando: „Būk geras, išjunk. Pas mus turėtų būti viskas užlopyta, tinklai izoliuoti. Tu tikrai neturėtum matyti tokių dalykų mūsų kabinete.“ Aš negalėjau neštis nei USB rakto, nei savo kompiuterio. Turėjau ateiti fiziškai, jie davė man kompiuterį ir paprašė parodyti, ką galiu. Tai parodžiau, kad jų tinklai yra kiauri. Gal kiek aplopyti, aptvarkyti, bet viskas daryta prieš 20 ir daugiau metų, todėl jie nėra visiškai sutvarkyti.

G. Jeglinskas: Nėra. Ir, beje, prieš keletą metų atliktas auditas parodė anekdotišką situaciją – krašto apsaugos sistemose, NKSC, kuris yra tas centras, ir Vidaus reikalų ministerijos sistemoje situacija, kalbant apie apsaugą, yra epidemiškai bloga. Ir aš taip pat netikiu, kad per metus ten buvo kažkas padaryta.

M. Pareščius: Aplopė, aptvarkė.

VRM didžiuojasi, kad įveda dviejų veiksnių autentifikavimą. Ką jūs apie tai manote?

M. Pareščius: Aš „Facebook“ rašiau, kas padaryta neteisingai ir kaip reikėtų daryti ateityje. O dviejų veiksnių autentifikavimą įdiegė ne VRM. VRM gali tik savo darbuotojams įvesti dviejų veiksnių autentifikavimą, kad tai naudojant būtų prisijungiama prie elektroninio pašto, bet duomenys nutekėjo per Registrų centrą. Aišku, jis įvestas ir ten, bet klausimas, ar to pakaks?

Pakaks?

M. Pareščius: Galiu garantuoti, kad ne. Reikia daugiafaktorės autentifikacijos, nes dviejų priemonių kartais neužtenka. Pamenate, kaip jungdavomės prie elektroninės bankininkystės? Buvo slaptažodžių generatoriai, vėliau atsirado „Smart-ID“, elektroninis parašas ir kitos programėlės. Galvojate, to užtenka? Pinigai ir toliau dingsta iš sąskaitų, nes atsiranda pats bjauriausias faktorius – žmogiškasis. Žmogus, kalbėdamas telefonu, pats gali prisijungti, suvesti slaptažodį ar jį padiktuoti, nes buvo įtikinamai paskambinta. Paskambino Janinai: „Ponia Janina, jūs gyvenate Palangoje, namas toks, butas toks. Jūsų asmens kodo paskutiniai keturi skaitmenys tokie“, – ir ji viską pasako.

Dabar, kai žmonių duomenys nutekėję, tą padaryti daug lengviau. Tačiau taip pat gali būti vykdomos ir operacijos prieš asmenis valstybėje. Kalbu apie karius, pareigūnus, žvalgus, seklius ir t. t.

M. Pareščius: Arba atvirkščiai. Juk kalbame apie duomenų bazę. Tu žinai, kad šitas žmogus, kuris yra mano kaimynas, išgėręs taurę vyno papasakoja, kad dirba kažkokiose tarnybose. Tai dabar, žinodamas jo adresą, aš galiu gauti jo asmens kodą, tikrą vardą ir pavardę, nors save jis vadino, pavyzdžiui, Dariumi, o iš tikrųjų yra Petras. Ir tai atveria labai daug galimybių.

O jeigu savininkai yra vyresnio amžiaus vyras ar moteris, tikėtina, kad jie yra jo tėvai, per kuriuos galima sužinoti ir tikrąją pavardę.

G. Jeglinskas: Ir daugelis galvoja: kas gi tuo žmogumi domėsis? Dabar net nereikia kažkuo domėtis – duomenys tiesiog yra. Paimi visą jų masyvą ir dirbtinis intelektas padaro viską, ko tau reikia. Anksčiau sakydavome, kad visi Registrų centro duomenys turi būti debesijoje, nes prasidėjus invazijai ar agresijai taip galėtume viską užrakinti ir kitus atjungti nuo informacijos. Bet dabar abejoju, ar tai padaryti įmanoma.

Mariau, o jeigu atsitrauktume nuo sukčiavimo, kaip dar žmonių duomenys gali būti panaudojami?

M. Pareščius: Pavyzdžiui, skambutis Seimo nariui: „Laba diena, mes čia nagrinėjame vieną duomenų nutekėjimo atvejį. Norėtume pasitikslinti kai kuriuos duomenis. Jūsų Seimo nario elektroninio pašto adresas yra minimas piratinėje interneto svetainėje „filmai.in“. Ar galėtumėte patvirtinti, kad filmus žiūrite nelegaliai?“

G. Jeglinskas: Begalė scenarijų.

M. Pareščius: Čia realus skambutis, po kurio ir aš sulaukiau skambučio: „Mariau, o ką man dabar daryti? Man skambina žurnalistai.“ Tai buvo Seimo narys, buvęs viceministras, kuris jau nebe politikoje, todėl galiu šiek tiek laisviau apie tai kalbėti. Tai reali situacija. Žinodami tai, automatiškai galime suprasti, kad jo elektroninis paštas buvo nutekėjęs. Bet esmė ta, kad visa tai yra beveik vieša. Jeigu žurnalistai gavo duomenų bazę, analogiškai ją gali gauti ir bet kuris iš mūsų – ir priešas. Norėdami daryti įtaką, jie gali tuo pasinaudoti. Jeigu nutekėjo duomenų bazė, kai kuriais atvejais kartu nutekėjo ir slaptažodžiai. Mūsų žmonės nemėgsta naudoti skirtingų slaptažodžių visoms savo pašto dėžutėms, prisijungimams prie interneto svetainių ir t. t. Todėl paėmus žmogaus slaptažodį, kuris buvo naudojamas „filmai.in“, ir jo inicialus arba vardą bei pavardę, galima bandyti jungtis, pavyzdžiui, prie „Gmail“, „Yahoo“ ir kitų paskyrų. Ir dažniausiai prisijungsime. O tada galima pažaisti ir su „Draugas.lt“, „Tinder“ bei kitomis paskyromis, kur tas slaptažodis taip pat bus toks pats. Taip pat prisijungus prie, pavyzdžiui, prekybos centrų nuolaidų kortelių portalų, galima stebėti, ką žmogus perka.

Bet juk stebint veiklą ir įpročius atsiveria galimybės priešiškai veiklai.

G. Jeglinskas: Tai akivaizdu. Taip manau, tą patį labai aiškiai pasakė ir VSD direktorius. Aišku, jis jautėsi labai nesmagiai. <…> Bet svarbiausias klausimas – ką daryti ir kokiu būdu dabar visa tai apsaugoti? Čia nėra lengvų sprendimų, tačiau krizė turi būti valdoma. Kaip ir sakau, premjerė turi sėdėti ir valdyti visą situaciją: kur, kaip mes tai išspręsime, kaip apsaugosime savo pareigūnus? Slaptus, neslaptus – nesvarbu. Tai labai sudėtinga situacija.

Juk yra lietuvių, kurie infiltruoti į tam tikrus tinklus, nusikaltėlių gaujas ir ten gyvena visai kitais vardais bei pavardėmis. Yra tokių, kurie su šeimomis gyvena priešo teritorijoje. Ir dabar atsiranda galimybė jiems visiems pakenkti.

M. Pareščius: Taip. Vienas dalykas – turiu bičiulį, kuris, paaiškėjus, kad nutekėjo duomenys, pradėjo vaikščioti su ginklu, nors anksčiau jį visada laikė seife. Tai žmogus, kuris yra žinomas Lietuvoje, matomas „Facebook“, aktyviai remia Ukrainą ir t. t. Dabar jis gyvena baimėje, nes jo adresas gali būti nutekėjęs. Jis kiekvieną dieną vaiką į mokyklą veža vis kitu maršrutu ir juda su ginklu. Taip pat galime kalbėti ir apie tikrus programišius, tikrus duomenis. Mes su kolegomis iš Ukrainos 2022 metais, prasidėjus naujam karo etapui vasario mėnesį, įsilaužėme į tam tikrus Rusijos serverius ir gavome Rusijos karių, kurie karo pradžioje įžengė į Ukrainos teritoriją, duomenų bazę. Ten buvo jų vardai, pavardės, tėvavardžiai, asmens kodai, adresai, telefono numeriai, elektroninio pašto adresai ir t. t. Netgi jų tėvų duomenys – kas yra tėvas, kas yra motina, jų pasų duomenys, gyvenamoji vieta, telefono numeriai. Turėjome visą šių duomenų masyvą. Analogiškus duomenų masyvus turi ir specialiosios tarnybos. Kai kuriais atvejais jos pačios juos nulaužia, kai kuriais atvejais pasamdo labai rimtus programišius, kurie tai padaro. Šiuo atveju mes prasileidome. Tai nebuvo kažkoks rimtas įsilaužimas, nes jeigu būtų laužęsi, būtų nusikopijavę visą duomenų bazę. O jeigu būtų turėję daugiau pinigų, manau, pigiau ir paprasčiau būtų buvę papirkti darbuotoją ir tą duomenų bazę nusikopijuoti. Ir tai galėjo būti net ne Registrų centro ar kitos valstybinės institucijos darbuotojas. Tai galėjo būti subrangovas – programuotojas, kuris turi prisijungimus ir gali pasidaryti kopiją tam, kad testuotų savo kuriamą programinę įrangą ir pan. Tačiau tie duomenys tekėjo, ir tai nebuvo vienetinis atvejis. Praeityje ir aš esu dirbęs su tokiais duomenimis. Pavyzdžiui, kažkada programavau visą „Snoro lizingo“ sistemą. Kartą per ketvirtį gaudavome „Sodros“ duomenis kietajame diske. Kiek pamenu, tai kainuodavo 10 tūkstančių litų.

„Sodros“ duomenis apie visų gyventojų pajamas ir sumokamus mokesčius?

M. Pareščius: Kreditingumo duomenis. Kad žmogus galėtų nusipirkti skalbimo mašiną, plaukų džiovintuvą ir pan. Dabar visa tai jau yra šiek tiek legaliau – perkama oficialiai, bet duomenys visada judėjo. Pirmąsias duomenų bazes esu čiupinėjęs ir naudojęs produktų kūrimui dar devintojo dešimtmečio pabaigoje.

Giedrimai, ar tiesa, kad dabar sukčiams, turint tikslius gyventojų duomenis, bus daug lengviau apgaudinėti gyventojus? Juk pinigų jie turi, nemaža dalis išsiėmė antrosios pakopos pensijų lėšas.

G. Jeglinskas: Taip. Todėl net nėra taip svarbu, kas tuos duomenis rinko, svarbiau, kur jie atsiras ir kas juos nupirks. Juk egzistuoja tokių dalykų prekybos tinklai, kuriuose galima įsigyti tokią informaciją, o tai atveria labai daug galimybių sukčiams – ar tai būtų pensijų fondų pinigai, ar kiti dalykai. Telefoniniai sukčiai ir taip jau atakuoja vyresnio amžiaus žmones, ir tai yra bei tikrai bus problema. Vėl grįžtu prie to, ką dabar galime padaryti. Šių problemų neišvengsime, bet reikia galvoti, ką gali padaryti Vyriausybė, institucijos kartu su bankais ir kitomis finansų institucijomis, kad mus apsaugotų, nes šis įvykis parodė, jog esame pažeidžiami. Kadangi nukentėjo 600 tūkstančių žmonių, daugeliui atrodo, kad jiems asmeniškai neskaudės, nes jie yra tik vieni iš daugelio, kad kažkas kitas sugalvos, kaip šią problemą spręsti. Tačiau bet kuriuo atveju labiausiai nukentės pažeidžiamiausi žmonės. Dažniausiai tai vyresnio amžiaus žmonės, neturintys pakankamų technologinių įgūdžių. Todėl reikia kalbėti ne apie bendrą vaizdą, o apie konkretų žmogų, nes paskambins būtent tau, o tavo duomenys jau yra nutekėję.

M. Pareščius: Taip. Paskambins ir pradės kalbėti apie palikimą, kurį gavai prieš tris mėnesius, nes mirė giminaitė, kuri buvo vienintelė paveldėtoja. Niekas apie tą palikimą net nežinojo…

O kaip manote, kokio dydžio ir masto yra ši krizė?

M. Pareščius: Vyriausybės lygmens.

G. Jeglinskas: Valstybės lygmens. Tikrai taip – tai valstybės lygmens problema. Kadangi įtraukta daugybė institucijų, natūralu, kad viskas nugula ant premjero stalo, nes viena VRM nesusitvarkys, viena Ekonomikos ir inovacijų ministerija taip pat nesusitvarkys. Nė viena institucija to neišspręs viena. Tai tas pats, kaip kalbant apie atsparumą ar oro gynybą – iškart galvojame apie visuotinę gynybą. Viena institucija šito nesutvarkys.

Tai premjero lygio klausimas?

G. Jeglinskas: Tai premjero lygio klausimas ir čia negalima išsisukinėti. Tikrai kviesčiau premjerę atvirai apie tai kalbėti ir pagaliau pradėti rodyti lyderystę. Nesakau, kad kažką reikia nušalinti ar kad turi ristis galvos. Svarbu išsiaiškinti, kas šiuo metu yra atsakingas. Mano nuomone – premjerė. Ir mes norime aiškių žingsnių, ką darysime. Turi būti atliekamas institucijų, kurios yra pažeidžiamos, auditas.

M. Pareščius: Kiek suprantu, auditas jau atliktas. VRM viešai sako, kad jis padarytas. Mano žiniomis, tas pats NKSC atliko patikrinimą Registrų centre, bet klausimas, kiek informacijos bus paviešinta.

G. Jeglinskas: Taip, bet išviešinimas turi būti. Bent jau tam tikro lygmens. Dabar jau nebegalima visko nuslėpti. Taip, kai kurie dalykai yra jautrūs, tačiau jie turi būti paviešinti.

O kodėl neatskleidžiama valstybė, iš kurios buvo prisijungta? Ir ar tai svarbu?

M. Pareščius: Man įdomiausia buvo matyti, kokiu būdu duomenys buvo siurbiami, kiek jų buvo siurbiama ir kokia buvo veiksmų seka. Pavyzdžiui, yra daugiabutis. Patikrinus vieno buto savininką ir ištraukus išrašą, po kelių sekundžių būdavo ištraukiami visų tame daugiabutyje esančių butų savininkų duomenys. Tai reiškia, kad veikė robotas. Mes tai vadiname „spideriu“ arba „crawleriu“, ir jis susisiurbė visus duomenis. Tada perėjo prie kito namo, kito buto ir kitų gyventojų duomenų. <…> Yra ir kitas dalykas – mes nežinome, kokia stebėsena vyko tuo metu, kai duomenys buvo vagiami, ir ką reiškia VRM pasisakymai. Ar buvo nulaužtos tik dvi paskyros, apie kurias jie kalba? Tas pats klausimas kyla ir dėl Migracijos departamento. Gal buvo kitas tyrimas, kurio metu tie duomenys buvo renkami? <…> Taip pat įdomu, kokiomis teisėmis buvo prisijungta, kai tie duomenys buvo siurbiami. Nes vienu atveju tai yra Migracijos departamento darbuotojas, kuris mato nuosavybės duomenis, kitu atveju – prokuroras, kriminalinės žvalgybos pareigūnas ir t. t. Tai skirtingos teisės ir skirtinga prieiga prie duomenų. Jeigu duomenys buvo imami naudojantis maksimaliomis teisėmis, tuomet ten turėjo būti matoma daug daugiau nei tik Registrų centro išrašo informacija.

Bet kalbant apie tuos naktinius atvejus, kuriuos minėjo Neringos meras, akivaizdu, kad jei tai vyko tokiu metu, tai darė ne darbuotojai.

M. Pareščius: 2000-ųjų pradžioje turėjau konfliktą su viena verslo įmone ir tuo metu bendravau su VRM programuotojais, kurie prižiūrėjo ministerijos duomenų bazes. Žinojau, kad įvairiose duomenų bazėse tas verslas ieškos informacijos apie mane ir bandys išsiaiškinti, kas aš toks. Todėl atėjau pas kolegas Policijos departamente ir pasakiau: „Žiūrėkite, uždėkite stebėseną, pažiūrėkite, kas mane tikrins ir kaip tai darys.“ Taip pat žinojau, kad viename policijos komisariate interneto ryšį įvedė tam tikras verslas, kuris turėjo galimybę nuotoliniu būdu prisijungti prie vieno iš kompiuterių ir, naudojantis tam tikru vartotojo vardu bei slaptažodžiu, matyti visas valstybines duomenų bazes, prieinamas kriminalinei žvalgybai. Kai sužinojau, kad mane tikrino, pasakiau: „Vyrai, važiuokite, reikia tą kompiuterį atjungti, ištrinti paskyrą ir atleisti darbuotoją.“ Tai buvo 2000-ųjų pradžioje. Jeigu tai egzistavo jau tada, manau, analogiškų nuotolinių prisijungimų yra ir dabar. Klausimas tik, ar tai suvaldoma, ar tai gali būti audituojama ir kas tokį auditą atliks.

G. Jeglinskas: Kalbant apie kibernetinę higieną, visi turime ją puoselėti. Taip, yra dviejų veiksnių autentifikavimas, daugiafaktorė autentifikacija ir pan., bet daug žmonių jas tiesiog naudoja neįsigilinę. Todėl reikia institucijų lyderystės, kuri pasakytų, kad kibernetinis saugumas turi būti esminis dalykas, kad negalima praleisti mokymų ir pan. Tai turi būti pamoka, kurią galime išmokti iš šio įvykio.

Tai ką dar šiandien reikėtų padaryti?

G. Jeglinskas: Labai norėčiau, ir čia nebandau politikuoti ar ko nors pulti, kad premjerės biuras pasakytų, kas iš tikrųjų įvyko, kokios buvo padarytos klaidos, kas suklydo, kokių priemonių dabar bus imtasi – kad pateiktų aiškų planą. Kad parodytų, jog be kibernetinio saugumo nebus nei saugios Lietuvos, nei saugių institucijų. Nebus ir saugios oro gynybos, kadangi kibernetika yra dabartinio karinio domeno dalis. Šiuo metu gyvename karo sąlygomis, todėl nesvarbu, kas paėmė tuos duomenis – svarbiausia yra lyderystė. Reikia aiškios lyderystės ir aiškaus plano: ką darysime, ką darys institucijos ir ką jos privalo daryti. Nuo to viskas prasideda, ir tai netgi nuramintų žmones. Dabar viskas yra gana chaotiška. Nukopijuota 600 tūkstančių įrašų, ir tai, mano manymu, yra nepriimtina.

M. Pareščius: O kitą kartą jie bus dingę.

G. Jeglinskas: Gali dingti arba būti užšifruoti. Ir tada tau pasakys: „Nebeturi savo buto, nebeturi sodybos.“

Taip, jei, pavyzdžiui, būtų sukeisti turto savininkai, prasidėtų rimta krizė.

M. Pareščius: Dėl to manau, kad vis dėlto reikėtų rimtai užsiimti kibernetinio saugumo mokymais – ne tik valstybės tarnautojų, bet ir privačių asmenų. Galime sulaukti sukčių skambučių, žinučių ar net fizinių laiškų į namų adresą. Klausimas, ar tinkamai į tai sureaguosime ir kas bus kaltas? Turime išmokti veikimo algoritmus ir stengtis būti šiek tiek saugesni.

Ačiū už pokalbį.