Registrų centrui balandžio pradžioje tapo žinoma, kad tretieji asmenys galėjo gauti NTR išrašus neteisėtai prisijungus per kitos institucijos administruojamus prisijungimus.
Gyventojams šia tema kyla įvairių klausimų. Valstybės įmonė teikia atsakymus į dažniausiai kylančius klausimus.
Kas nutiko?
Registrų centras teikia Nekilnojamojo turto registro (toliau – NTR) duomenis kitiems duomenų gavėjams pagal duomenų teikimo sutartis. Registrų centrui balandžio pradžioje tapo žinoma, kad tretieji asmenys galėjo gauti NTR išrašus neteisėtai pasinaudoję vieno iš Registrų centro autorizuotų duomenų gavėjų prisijungimais.
Apie įvykusį incidentą įmonė pirmiausia pranešė visoms reikalingoms teisėsaugos ir priežiūros institucijoms, kurios nedelsiant pradėjo bendradarbiavimą siekiant nustatyti incidento mastą, galimus kaltininkus, motyvus ir visapusį poveikį visuomenei.
Dėl šio incidento Generalinė prokuratūra pradėjo ikiteisminį tyrimą, kurio metu visiems proceso dalyviams privalomai yra taikomai tam tikri viešos komunikacijos apribojimai. Įtariama, kad iš viso galėjo būti neteisėtai paveikta daugiau kaip 600 tūkst. NTR išrašų.
Buvo atskleisti asmens duomenys tų asmenų, kurių NTR išrašus suformavo galimai neteisėtai prisijungę asmenys.
Buvo atskleisti NTR išraše įrašyti duomenys: vardas, pavardė, asmens kodas, gimimo data;
NT duomenys (NT adresas, registro numeris, unikalūs nekilnojamųjų daiktų numeriai, kadastro duomenys); turimos daiktinės teisės ar juridiniai faktai bei jų įregistravimo pagrindas (dokumento data, numeris, pavadinimas).
Nebuvo atskleisti jokie asmenų kontaktiniai duomenys (telefonas ar el. pašto adresas), mokėjimo už Registrų centro teikiamas paslaugas informacija, banko sąskaitos numeris, taip pat jokie dokumentai (pavyzdžiui, NT objekto perleidimo sandoriai, teismų sprendimai, kadastrinių matavimų dokumentai, statinių išdėstymo planai ir kt.).
Kaip sužinoti, ar mano asmens duomenys buvo atskleisti?
Prisijungus prie specialaus techninio sprendimo Registrų centro savitarnos sistemoje (reikalingas prisijungimas patvirtinant savo tapatybę elektroniniu būdu), kuriuo naudodamiesi asmenys gali patys pasitikrinti, ar jų asmens duomenys buvo atskleisti.
Neturintys galimybės pasinaudoti minėtu techniniu sprendimu Registrų centro savitarnos sistemoje, galės šią informaciją gauti atvykę gyvai į bet kurį iš klientų aptarnavimo padalinių (būtina su savimi turėti asmens tapatybę patvirtinantį dokumentą).
Kodėl negalima gauti informaciją apie duomenų nutekėjimą telefonu ar el. paštu?
Negalėdami patikimai nustatyti asmens tapatybės telefonu ar el. paštu (kai nėra pateiktas oficialus kvalifikuotu el. parašu pasirašytas prašymas), teikti tokios informacijos negalime.
Ką daryti sužinojus, kad mano asmens duomenys buvo atskleisti?
Atskirai daryti nieko nereikia.
Tačiau būkite atidūs ir atsargūs, jeigu jūsų prašoma pateikti bet kokią asmeninę informaciją.
Jeigu jums skambina telefonu, gaunate el. laišką ar Facebook žinutę ir į Jus kreipiasi vardu bei pavarde arba pamini kokią nors informaciją apie Jūsų turimą nekilnojamąjį turtą: ignoruokite bet kokio pobūdžio raginimus prisijungti prie banko sąskaitos; nespauskite pateiktų įtartinų ar neaiškių nuorodų ir pan.
Piktavaliai neretai bando išnaudoti žmogiškas emocijas, kad išgautų jiems reikalingą informaciją; gali bandyti išvilioti įvairius prisijungimo ar kitus svarbius Jūsų asmens duomenis, siūlyti kokias nors fiktyvias paslaugas ir raginti jas apmokėti.
Atkreipiame dėmesį, kad Registrų centras, informuodamas gyventojus apie jų asmens duomenų atskleidimą, nesiunčia gyventojams jokių el. laiškų ar SMS žinučių. Tam sukurtas techninis sprendimas Registrų centro savitarnoje, o neturintys galimybių prisijungti su elektroninėmis tapatybės priemonėmis gali atvykti gyvai į įmonės padalinį.
Piktavaliams tapo žinoma TIK NTR išrašuose esanti informacija, tačiau jokie asmenų kontaktiniai duomenys, pavyzdžiui, telefono nr. ar el. pašto adresas, mokėjimo už Registrų centro teikiamas paslaugas informacija, banko sąskaitos numeris, taip pat jokie dokumentai, pavyzdžiui, nekilnojamojo turto objekto perleidimo sandoriai, teismų sprendimai, kadastrinių matavimų dokumentai, statinių išdėstymo planai ir kt., nebuvo atskleisti.
Ar gali piktavaliai mano turtą parduoti arba įkeisti?
NE, net ir turėdami NTR išrašą piktavaliai jokių nekilnojamojo turto sandorių už Jus sudaryti negali, nes tokie veiksmai yra atliekami pas notarą, kuris tikrina sandorio šalių tapatybę ir informaciją specialioje sistemoje, kuri yra skirta tokių sandorių sudarymui ir tvirtinimui, bei kuri turi tiesiogines sąsajas su NTR duomenų bazėje esančiais duomenimis ir dokumentais.
Sužinojau, kad mano duomenys buvo nutekinti metų pradžioje, o Registrų centras pranešė tik gegužę?
Apie įvykusį incidentą Registrų centras sužinojo balandžio mėnesį ir pirmiausia pranešė visoms reikalingoms teisėsaugos ir priežiūros institucijoms, kurios nedelsiant pradėjo bendradarbiavimą siekiant nustatyti incidento mastą, galimus kaltininkus, motyvus ir visapusį poveikį visuomenei. Atsakingos teisėsaugos institucijos pradėjo ikiteisminį tyrimą, kurio metu visiems proceso dalyviams privalomai yra taikomai tam tikri viešos komunikacijos apribojimai.
Suprasdami Registrų centro prievolę tinkamai informuoti asmenis, kurių duomenys buvo nutekinti, įmonė nedelsiant ėmėsi projektuoti ir kurti tinkamą techninį sprendimą tokio didelio kiekio asmenų informavimui. Tam taip pat reikėjo laiko.
Asmens duomenų teikimo suvestinėje pamačiau, kad mano asmens duomenys buvo tikrinami neįprastu laiku, t.y. naktį ar švenčių dienomis. Ar turėčiau dėl to sunerimti?
Registrų centras duomenų teikimo sutartis yra sudaręs su įvairiomis valstybės ar savivaldybių institucijomis, kurios duomenis gauna savo funkcijoms vykdyti. Kai kurios gali būti įsidiegusios techninius sprendimus ir siekiant netrikdyti sistemų darbo dienos metu, duomenis pasiima naktį, kai sistemų apkrova būna mažesnė. Todėl vien faktas, kad jūsų asmens duomenys buvo teikiami neįprastu laiku neturėtų sukelti didelio susirūpinimo.
Primename, kad visais atvejais turite teisę kreiptis į jūsų asmens duomenis iš Registrų centro gavusią instituciją ir pasiteirauti, kokiu konkrečiai tikslu jūsų duomenys buvo naudojami.
Kiek laiko bus galima susipažinti apie mano duomenų nutekinimą?
Informacija apie tai, ar buvo atskleisti asmens duomenys, gyventojams bus teikiama tiek, kiek bus poreikis – mėnesius ar metus.
Kur kreiptis dėl žalos atlyginimo? Kam galiu pateikti skundą dėl nutekintų duomenų?
Šiuo metu nėra objektyvių duomenų apie realiai duomenų subjektų patirtą žalą dėl įvykusio asmens duomenų saugumo pažeidimo. Tačiau, jei tokia žala patirta ir įrodyta, dėl patirtos žalos atlyginimo gyventojai gali kreiptis į teismą bendra tvarka.
Registrų centras yra pateikęs pranešimą apie įvykusį asmens duomenų saugumo pažeidimą priežiūros institucijai – Valstybinei duomenų apsaugos inspekcijai. Valstybinė duomenų apsaugo inspekcija paskelbė, kad dėl šio atvejo pradėjo tyrimą, todėl atskiri asmenų skundai nebus nagrinėjami. Be to, ikiteisminį tyrimą dėl šio atvejo atlieka ir policija.
Kaip buvo nutekinti duomenys?
Įsilaužimo į Registrų centro tvarkomas sistemas ir registrus nebuvo.
Prieigą prie duomenų tretieji asmenys gavo per kitos institucijos, kuri yra teisėtas Nekilnojamojo turto registro (NTR) duomenų gavėjas, paskyras. Ši institucija duomenis gauna jungdamasi elektroniniu būdu prie Registrų centro tvarkomo NTR.
Duomenų gavėjai yra atsakingi už prisijungimo priemonių apsaugą ir duomenų naudojimą pagal tarpusavio sutartyse (tarp duomenų gavėjo ir Registrų centro) numatytą tikslą.
Registrų centras diegia papildomas prisijungimo prie informacinių sistemų priemones, tęsia duomenų teikimo stebėseną bei analizę, kad esant abejonėms dėl galimai neteisėto duomenų naudojimo duomenų teikimas būtų sustabdomas.
Ar dabar mano duomenys saugūs? Kaip Registrų centras užtikrins duomenų saugumą?
Taip, duomenys saugūs. Sužinojus apie incidentą Registrų centras nedelsiant užblokavo įtariamas vartotojų paskyras, apribojo kitų šio duomenų gavėjo vartotojų prieigas su reikalavimu atnaujinti prisijungimo duomenis.
Siekiant užtikrinti didesnį saugumą prisijungimui prie Registrų centro informacinių sistemų įdiegtos papildomos saugumo ir asmens identifikavimo priemonės, kurios padės užkardyti atvejus, kai prie sistemų bandoma jungtis pasinaudojant svetimais prisijungimo duomenimis.
Registrų centras techninių sprendimų pagalba ir toliau vykdys duomenų teikimo stebėseną bei analizę, o esant abejonėms dėl perteklinio ar galimai neteisėto duomenų naudojimo duomenų teikimas sustabdomas.
Registrų centro inf.
