Kaip svarbu tinkamai saugoti ypač jautrius klientų duomenis, akivaizdžiai liudija neseniai visoje Lietuvoje, ir ne tik, plačiai nuskambėjusi kriminalinį atspalvį įgijusi istorija apie asmens duomenų vagystę iš Kaune veikiančios UAB „Grožio chirurgija“. Jai ištirti praėjusių metų balandį Kauno apskrities vyriausiajame policijos komisariate (apskr. VPK) buvo pradėtas ikiteisminis tyrimas dėl neteisėtos informacijos apie privatų gyvenimą rinkimo, turto prievartavimo, neteisėto elektroninių duomenų perėmimo ir panaudojimo, neteisėto prisijungimo prie informacinės sistemos. Vėliau šį tyrimą perėmė Kriminalinės policijos biuras, o jam vadovauja Generalinės prokuratūros Organizuotų nusikaltimų ir korupcijos tyrimo departamento prokuroras Redas Savickas.
Šią savaitę „Suvalkiečio“ pakalbintas prokuroras R. Savickas teigė, kad šis ikiteisminis tyrimas dar nėra baigtas, nes tebelaukiama atsakymų į kai kuriuos užsienio šalims išsiųstus teisinės pagalbos prašymus. Nepaisant to ir didžiulės ikiteisminio tyrimo apimties, prokuroro teigimu, planuojama, kad ši baudžiamoji byla teismui nagrinėti bus perduota dar šiais metais.
Įtariamieji tyrimo baigties laukia jau laisvėje
Skandalingą žinią – kad klinikos „Grožio chirurgija“ pacientų duomenų vagyste įtariami trys iš Marijampolės kilę, dabar kaip Kauno gyventojai pristatomi asmenys – „Suvalkietis“ savo skaitytojams pranešė dar praėjusių metų rudenį. Praėjusių metų rugpjūčio pabaigoje policijos pareigūnai įtardami jau minėtais nusikaltimais Kaune sulaikė šiame mieste pastaruoju metu gyvenusį gydytoją odontologą Eugenijų Čiuplevičių, informacinių technologijų specialistą Andrių Miškelevičių ir Simą Venčkauską. Du iš jų – E. Čiuplevičius ir A. Miškelevičius – gana ilgai buvo suimti, tačiau šiuo metu visi trys įtariamieji ikiteisminio tyrimo pabaigos jau laukia laisvėje. Beje, prokuroras R. Savickas įtariamąjį A. Miškelevičių buvo linkęs laikyti suimtą ir šių metų pavasarį jo suėmimą prašė pratęsti dar trims mėnesiams. Vis dėlto teismas tokį prokuroro prašymą atmetė ir įtariamąjį į laisvę paleido jam skyręs 10 tūkst. eurų užstatą ir dokumentų paėmimą.
Tarp nukentėjusiųjų – ir mūsų krašto žmonės
Ar įtariamieji pripažįsta padarę jiems inkriminuojamus nusikaltimus, prokuroras R. Savickas „Suvalkiečiui“ neatskleidė, motyvuodamas ikiteisminio tyrimo duomenų slaptumu. „Galiu pasakyti tik tiek, kad įtariamieji laikosi įvairių pozicijų“, – teigė prokuroras.
Vienas iš įtariamųjų teismo posėdyje, kuriame buvo sprendžiama, kokią kardomąją priemonę jam skirti, yra pasakojęs, kaip prisijungdavo prie klientų duomenų bazių. Jų apsauga esą buvusi labai paprasta, todėl norint sužinoti informaciją apie pacientą, pakakdavo žinoti jo vardą ir pavardę. Prie klientų duomenų bazių buvo galima prisijungti nebūnant pačioje klinikoje, bet prisijungiama buvo naudojantis specialiomis žiniomis ir slepiant prisijungimo kelius, taip pat naudojantis užsienio serveriais.
Primename, kad jau minėti iš Marijampolės kilę asmenys įtariami iš klinikos „Grožio chirurgija“ pagrobę daugiau nei 22 tūkst. asmenų duomenis. Į jų rankas pateko klinikos pacientų vardai, pavardės, asmens kodai, prieš ir po operacijos darytos nuotraukos. Tarp nukentėjusiųjų – ir nemažai mūsų krašto gyventojų. Pavyzdžiui, į Marijampolės apskrities vyriausiąjį policijos komisariatą dėl reketavimo kreipėsi vidutinio amžiaus Marijampolės gyventoja, pareigūnams pateikusi mobiliuoju telefonu gautą trumpąją žinutę (SMS), kurioje buvo parašyta (tekstas neredaguotas): „Tavo asmens duomens ir ligos istorija – INTERNETE! Issipirk kol dar ne per velu.“
Tokia pat žinutė buvo atsiųsta ir į vieno Kalvarijos savivaldybės gyventojo mobiliojo ryšio telefoną. Jis irgi kreipėsi į policijos pareigūnus dėl prievartavimo sumokėti tam tikrą pinigų sumą ir grasinimų virtualioje erdvėje paviešinti jo asmens duomenis, taip pat medicininius duomenis apie minėtoje klinikoje jam atliktą operaciją.
„Šioje klinikoje man buvo atlikta kojos operacija ir, tiesą sakant, nė kiek nesibaiminau, kad programišiai internete gali paviešinti apie mano patirtą kojos traumą ir atliktą operaciją pavogtus duomenis, – „Suvalkiečiui“ yra pasakojęs šis Kalvarijos savivaldybės gyventojas. – Į policijos pareigūnus kreipiausi ne dėl to, o tiesiog siekdamas padėti policijai atskleisti nusikaltimą ir nenorėdamas su tais reketininkais turėti jokių reikalų.“
Reketuoti žmonės tikisi neturtinės žalos atlyginimo
Į „Grožio chirurgijos“ duomenų tinklą įsibrovusių programišių tikslas buvo pacientų asmens duomenys, jų nuotraukos ir kita informacija apie gydymą. Po to jie grasindami, kad pavogtus duomenis paviešins internete, ėmė šantažuoti ir kliniką, ir nukentėjusius pacientus. Mat išsipirkti pavogtus duomenis buvo siūloma ir klinikai, ir pacientams, tarp kurių – ne tik mūsų šalies piliečiai, bet ir užsieniečiai, taip pat užsienio šalyse šiuo metu dirbantys ir gyvenantys mūsų tautiečiai.
Naudodamiesi „Tor“ tinklu programišiai buvo pradėję skelbti dalies grožio klinikos klientų vardus ir pavardes, nuotraukas prieš ir po operacijų, jų nusiskundimus ir kitus duomenis, kaip gautos informacijos pavyzdžius. Skelbta, kad jų reikalaujama bendra išpirkos suma siekė apie 300–350 tūkst. eurų, elektroninius atsiskaitymo vienetus bitkoinus konvertavus į eurus.
Grožio chirurgijos klinikos pacientų duomenis pavogę programišiai skelbė, kad yra pasirengę parduoti daugiau kaip 24 tūkst. klientų asmens sveikatos duomenis atskirai ir kad bendro duomenų paketo kaina vis auga. Ikiteisminį tyrimą atliekantys pareigūnai neslepia manantys, kad pinigus įtariamiesiems sumokėjo šimtai nukentėjusiųjų.
Prokuroro R. Savicko teigimu, šiuo metu nukentėjusiais yra pripažinta pati klinika „Grožio chirurgija“ ir kone šimtas jos klientų. Pastarieji buvo reketuojami reikalaujant, kad už tai, jog pavogti slapti jų duomenys nebūtų viešinami internete, reketininkams priklausomai nuo tų duomenų jautrumo sumokėtų nuo 25 iki 1000 eurų. Nemažai jų, anot prokuroro, byloje įtariamiesiems pateikė įvairaus dydžio civilinius ieškinius.
„Tokių civilinių ieškinių gauta ne vienas ir ne du, o labai daug, – sakė prokuroras. – Vis dėlto dauguma nukentėjusiųjų teismo prašo jiems iš įtariamųjų priteisti ne sumokėtas pinigų sumas už tai, kad jiems jautrūs duomenys nebūtų skelbiami virtualioje erdvėje, o atlyginti patirtą neturtinę žalą, tačiau yra ir tokių ieškinių, kuriuose prašoma atlyginti ir turtinę, ir neturtinę žalą.“
Skandalingą istoriją dėl klientų duomenų vagystės iš UAB „Grožio chirurgija“ tiria ne tik teisėsaugos pareigūnai. Ja susidomėjo ir Valstybinė duomenų apsaugos inspekcija (VDAI), kuri atliko „Grožio chirurgijos“ asmens duomenų tvarkymo teisėtumo ir įgyvendinamų asmens duomenų saugumo priemonių tinkamumo patikrinimą ir konstatavo, kad klinika neužtikrino tinkamų organizacinių ir techninių priemonių, skirtų apsaugoti asmens duomenims.
Duomenų vagystė sutrikdė sėkmingą klinikos veiklą
VDAI tikrindama iki skandalo sėkmingai savo veiklą plėtojusią UAB „Grožio chirurgija“ nustatė, kad asmens duomenims tvarkyti bendrovė naudojo dvi informacines sistemas – naują (nuo 2017 m.) ir dar veikusią, bet retai naudotą senąją. VDAI klinikai nurodė atsisakyti ypatingų asmens duomenų teikimo elektroniniu paštu arba užtikrinti, kad tokiu būdu teikiami duomenys būtų šifruojami, pasirūpinti, kad asmens duomenis tvarkanti bendrovė užtikrintų tinkamą duomenų saugumą, užtikrinti, kad senojoje informacinėje sistemoje naudojami slaptažodžiai atitiktų saugumo reikalavimus dėl slaptažodžių ilgio, sudėtingumo ir keitimo periodiškumo.
Klinikai taip pat buvo nurodyta reglamentuoti asmens duomenų tvarkymą išorinėse laikmenose nustatant, kokiais atvejais reikia saugoti duomenis šiose laikmenose, duomenų saugojimo terminą, sunaikinimo tvarką, privalomas įgyvendinti organizacines ir technines duomenų saugumo priemones, be to, pateikė ir kitų nurodymų.
Netinkama klientų asmens duomenų apsauga sutrikdė normalų „Grožio chirurgijos“ darbą. Įstaiga turėjo bylinėtis su VDAI, taip pat su klinikos bankroto siekiančiais partneriais.