2026 m. gegužės 22 d. Generalinė prokuratūra patvirtino ikiteisminį tyrimą dėl daugiau nei 600 tūkst. įrašų neteisėto nukopijavimo iš Registrų centro Nekilnojamojo turto ir Juridinių asmenų registrų. Valstybinė duomenų apsaugos inspekcija (VDAI) tyrimą pradėjo savo iniciatyva. Pagrindinė įvykio detalė techniniu požiūriu — įsilaužimo į RC sistemas nebuvo. Duomenys nutekėjo pasinaudojus teisėto duomenų gavėjo vartotojo prisijungimo duomenimis.
Tai reiškia vieną dalyką: rizika yra ne RC pusėje, o kiekvieno duomenų gavėjo organizacijos viduje — pas notarus, antstolius, bankus, draudikus, NT brokerius, advokatus, žiniasklaidą, valstybės institucijas ir kitus subjektus, turinčius prieigą prie registrų. Pažymėtina, kad žiniasklaidos duomenimis, šiuo atveju kompromituoti buvo kitos valstybės institucijos darbuotojų prisijungimai — tai patvirtina, kad tiekimo grandinės rizika nepriklauso nuo sektoriaus ar nuosavybės formos. Ir būtent čia duomenų apsaugos pareigūno paslauga atlieka kritinį stebėsenos vaidmenį.
Ką rekomenduojame nedelsiant peržiūrėti kiekvienam duomenų gavėjui
- Prieigos teisės (BDAR 5 str. 1 d. f p., 32 str.; ISO/IEC 27001 A.5.15, A.5.18, A.8.2, A.8.3): auditas, kas iš darbuotojų turi prieigą prie RC sistemų, ar tai pagrįsta funkcija, ar prieiga panaikinta pasibaigus darbo santykiams. Aktyvios buvusių darbuotojų paskyros laikytinos BDAR reikalavimų neatitikimu — ir tai pirmoji sritis, kurią paprastai išryškina nepriklausomas BDAR auditas.
- Daugiaveiksnis autentifikavimas (MFA): slaptažodžio ir naudotojo vardo derinio nebepakanka 32 str. „tinkamų techninių priemonių” standartui — MFA šiandien laikytinas minimaliu lygiu. ISO/IEC 27001 A.8.5 reikalauja saugaus autentifikavimo.
- Veiksmų žurnalų stebėsena (ISO/IEC 27001 A.8.15, A.8.16): anomalus išrašų formavimo kiekis turi būti aptinkamas automatiškai, ne po metų. Tai vienas iš pagrindinių BDAR audito tikrinimo objektų.
- 72 valandų pareiga (BDAR 33 str.): jei kyla pagrįstas įtarimas, kad jūsų organizacijos prisijungimo duomenys buvo panaudoti, pranešimas VDAI yra valdytojo pareiga, net jei vidaus tyrimas dar nebaigtas. Būtent šioje fazėje duomenų apsaugos pareigūno paslauga užtikrina, kad procesas vyktų pagal BDAR reikalavimus, o ne improvizaciją.
- Pranešimas subjektams (BDAR 34 str.): esant didelei rizikai asmenims, pranešimas duomenų subjektams gali būti privalomas. To neatstoja RC savitarnos informavimas, kuris yra atskira RC kaip valdytojo pareiga.
Kodėl tiekimo grandinės rizika tampa BDAR audito centru
Šis incidentas nėra „RC problema”. Tai tiekimo grandinės pažeidimas, kuriame kiekvienas duomenų gavėjas yra savarankiškas valdytojas pagal BDAR 24 str. Atsakomybė už savo pusėje pažeistus prisijungimus tenka pačiam gavėjui.
Praktikoje matome aiškų skirtumą tarp organizacijų:
- Su veikiančia duomenų apsaugos pareigūno paslauga: į incidentus reaguoja greičiau ir tvarkingiau, nes prieigos kontrolės, logging’o ir incidentų valdymo procedūros yra dokumentuotos ir periodiškai tikrinamos.
- Be struktūruoto BDAR audito: reakcijos laikas paprastai viršija 72 valandų ribą, o BDAR reikalavimai vykdomi tik „popieriuje”.
- Be MFA ir prieigos kontrolės auditų: organizacija negali įrodyti, kuris darbuotojas ar partneris formavo išrašus, todėl atsakomybės įrodinėjimas VDAI tyrime tampa praktiškai neįmanomas.
Išorinio DPO pozicija
Rekomenduojame per artimiausias dienas atlikti vidaus peržiūrą pagal aukščiau nurodytus punktus ir dokumentuoti rezultatus. VDAI tyrimo metu duomenų valdytojų gali būti prašoma pademonstruoti atskaitomybės principo (BDAR 5 str. 2 d.) įgyvendinimą — o tai įmanoma tik tada, kai BDAR auditas yra ne vienkartinis dokumentas, o nuolatinis procesas.
Allaw® valdoma duomenų apsaugos pareigūno paslauga apima būtent šias funkcijas: prieigos kontrolės peržiūrą, incidentų valdymą pagal BDAR 33–34 str., ISO/IEC 27001 atitikties stebėseną ir BDAR auditą pagal Allaw® PATV 2.0™ metodiką.