DELFI jau skelbė, kad vienas gabus 13-metis moksleivis pademonstravo, jog prisijungus prie populiaraus elektroninio dienyno ir pakeitus 1 skaičių atsiveria privati žmonių informacija.
Savo tinklapyje „Mano dienynas“ teigia, kad „atitinka visus šiuolaikinius interneto saugumo standartus, todėl galite patikėti visus savo duomenis“. Dienynas, kurio paslaugomis 918 mokyklų naudojasi 187512 mokiniai, 23582 mokytojai, o iš tėvų arba globėjų užsiregistravęs 277681 asmuo, yra antras pagal populiarumą elektroninis dienynas Lietuvoje.
Tačiau vienas prieš trejus metus programavimu susidomėjęs moksleivis atliko nedidelį eksperimentą, kurio metu pademonstruota, kad „Mano dienyne“ palikta akivaizdi spraga „leidžia atsisiųsti bet kokį failą iš sistemos pakeitus reikšmę“.
Spragos kaina – nesaugūs vaikų ir tėvų duomenys
Tai pabrėžęs jaunuolis pridūrė, kad nenorėtų detaliau komentuoti, kaip galima aptikti spragą, mat ji nėra sutaisyta ir apie tai pasakoti viešai būtų neetiška. Tiesa, norėdami įsitikinti, ar paviešinta spraga egzistuoja, IT specialistai patikrino informaciją.
„Jaunuolis sako teisybę. Susirašinėjant mokytojams, jų tėvams ar kitiems manodienynas.lt sistemos naudotojams, susirašinėjimo metu prie laiškų prisegtos bylos tampa prieinamos visiems sistemos vartotojams nepriklausomai nuo to, ar laiškai buvo adresuoti jiems, ar ne“, – DELFI teigė vienas IT specialistas, pabrėžęs, kad visos prie laiškų prisegamos bylos nesaugiai išsaugomos.
Tai gali būti asmeninis susirašinėjimas tarp mokinių, mokytojų ir tėvų arba globėjų, kurie gali įkelti savo arba vaikų duomenis – telefono numerius, gyvenamosios vietos adresus, ligų istorijų išrašus, kitus privačius duomenis.
Svarbu ir tai, kad šia dienyno sistema naudojasi ne viena mokykla, tad prie vidinių susirašinėjimų prisegtų bylų yra tūkstančiai. Prieš parsisiunčiant failus, apie jų turinį nėra žinoma, tačiau parsisiuntus jų dešimtis ar šimtus, jau galima analizuoti kokiais dokumentais privačiai keičiasi mokytojai ir mokinių tėvai.
Jaunuolis laišku kreipėsi į „Mano dienynas“ administruojančią bendrovę – UAB Nacionalinio švietimo centras. Tačiau pastarosios vadovas Giedrius Rakauskas dar praėjusį ketvirtadienį tikino nieko apie tai nežinantis ir pažadėjo komentuoti vėliau.
Iki šio pirmadienio popietės DELFI dar nebuvo sulaukęs Nacionalinio švietimo centro komentaro, nors straipsnis pasirodė praėjusio penktadienio rytą.
Beje, Nacionalinis švietimo centras šį mėnesį pasirinktas, kaip elektroninės registracijos į darželius ir mokyklas sistemai atnaujinti. Vilniaus savivaldybė tam skirs 177 tūkst. eurų. Nacionalinis švietimo centras buvo vienintelė bendrovė, dalyvavusi konkurse, mat, pasak savivaldybės atstovų, konkurso terminai buvo atidėti net kelis kartus, tačiau daugiau dalyvių neatsirado.
Baugino teismais ir turto atėmimu
Vis dėlto atsirado, kas pakomentuotų 13-mečio atskleistą spragą. Tiesa, tai padaryti pasirinkta itin keista forma. Nuo pat penktadienio ryto komentaruose po straipsniu pradėjo reikštis „tai va“ pasivadinęs komentatorius. Anoniminėje komentarų skiltyje jis ėmėsi teisėjo vaidmens.
„Įdomu, kaip reaguotumėte, jei kažkas su atsuktuvu „patikrintų“ jūsų automobilio durelių saugą? Ir, jei durelės atsidarytų, jums apie tai būtų pranešta, bet kažkas iš automobilio ir pavogta? Manyčiau, kad dienynas patyrė žalą – juk įmonė neįpareigojo šio vaikino testuoti savo saugą. Dar daugiau – žala turėtų būti atlyginta ir ją priteisti galima iš nepilnamečio tėvų“, – rašė komentatorius.
Kitiems komentuotojams išreiškus nuostabą ir pasipiktinimą dėl „tai va“ nuomonės, kad žala jau esą patirta ir turėtų būti atlyginta, jis paliko dar kelis įrašus, mėgindamas įtikinti, kad 13-metis padarė nusikaltimą, už kurį bus nubaustas jis arba jo tėvai.
„Įdomu, kaip 13-metis teismui įrodys, kad jis nieko nepavogė, nesugadino ir nepadarė žalos kai iš jo (jo tėvų) įmonė norės prisiteisti žalos atlyginimą?“, – klausė „tai va“, o išjuoktas, kad teisme reikia įrodyti kaltę, o ne nekaltumą, nesustojo ir tikino, jog „žala akivaizdi, vykdytojas žinomas, tačiau žalos dydis dar tik tikslinamas“, nors kol kas niekas dar nenustatė nei žalos, o ir 13-metis niekur nebuvo viešai įvardytas.
Viršijo savo įgaliojimus?
Į beprasmius ginčus su „tai va“ mėginę leistis komentatoriai greitai atkreipė dėmesį į vieną įdomią detalę. Mat paieškojus, iš kur rašo anonimas, prisidengęs „tai va“ pseudonimu, IP adresas priklauso Valstybinei duomenų apsaugos inspekcijai (VDAI).
Kaip teigiama VDAI tinklapyje, ši duomenų apsaugos priežiūros institucija „rūpinasi, kad būtų ginama žmogaus teisė į asmens duomenų ir privatumo apsaugą, tvarkant asmens duomenis profesiniais tikslais, kad asmens duomenų apsauga Lietuvoje atitiktų Europos Sąjungos teisinius reikalavimus ir būtų tinkamai užtikrinama informacinės visuomenės aplinkoje“.
Šiuo metu VDAI, kurios misija „ginti žmogaus privataus gyvenimo neliečiamumo teisę tvarkant asmens duomenis„ yra Lietuvos Respublikos Vyriausybės įstaiga, priskirta Lietuvos Respublikos teisingumo ministerijos valdymo sričiai, o savo strateginiais tikslais VDAI įvardija gražiai įvardija „duomenų subjektų teisių apsaugos užtikrinimą, vykdant efektyvią duomenų valdytojų priežiūrą ir didinant visuomenės informuotumą duomenų apsaugos srityje“.
„Valstybės tarnyba grindžiama teisėtumo principu. Todėl Valstybinė duomenų apsaugos inspekcija ir jo tarnautojai gali spręsti ir viešai pasisakyti tik tais klausimais, kurie įeina į jų kompetenciją. Klausimai dėl prisijungimo prie informacinių sistemų nagrinėjamu atveju ir tuo padarytos žalos nustatymo akivaizdžiai nepatenka į minėtos institucijos ir jo tarnautojų kompetencijos ribas.
Trylikamečio ir jo tėvų gąsdinimas neva gresiančia griežta atsakomybe yra nepagrįstas, neproporcingas ir neteisėtas. Tuo labiau, kad pasisakymuose ignoruojamos svarbios aplinkybės, kurios rodo, kad paauglio padaryta veika yra nepavojinga ir žalos nepadarė.
Aptiktos spragos ištaisymas nėra padarytos žalos šalinimas. Spragos atskleidimas ir savanoriškas pranešimas apie ją galėtų ir turėtų būti vertinamas kaip visuomenei naudingas poelgis“, – komentavo advokatų kontoros „Bitė ir Čaikovski ADJUTO“ advokatas Andžej Čaikovski.
Atsiprašo ir atliks tarnybinį patikrinimą
Tuo tarpu 13-mečio mokytojas iš projekto „Turing school“ Lukas Kaminskis pabrėžė, kad tokie VDAI darbuotojo veiksmai gali tik nuliūdinti ir kelti apgailestavimą.
„Tai rodo neprofesionalumą ir poreikį keisti šiuos žmones, nes dažniausiai jie gyvena savo burbuluose, nelabai suprasdami, kaip iš tikrųjų turėtume rūpintis savo saugumu. O kai institucijų atstovai pradeda grasinti, tai manau, kad atsakingiems asmenims reikėtų prisiimti atsakomybę ir pagalvoti apie struktūrinius pokyčius“, – teigė L. Kaminskis.
Jo nuomone, Lietuvoje išties nepakankamai kalbama apie kibernetinio saugumo esmę ir kaip spręsti kylančias problemas. Tuo tarpu, didelės bendrovės būtent gabiems IT specialistams duoda testuoti savo sistemas, tai yra natūrali praktika. Anot L. Kaminskio, 13-metis būtent tai ir padarė.
„Jis nenaudojo duomenų, tiesiog pabandė pažiūrėti, ar saugus yra tas elektroninis dienynas. Pasikonsultavęs jis iš karto apie spragą pranešė sistemos administratoriams. Tokį pavyzdį reikia tik sveikinti, kuo daugiau tokių bus, kurie padės rasti spragas kibernetinio saugumo srityje, tuo greičiau judėsime toliau. Beje, atsakymo jis taip ir negavo“, – sakė jaunas mokytojas.
Jo teigimu, tokių gabių jaunuolių, kuriems „Turing school“ mokyklose suteikia galimybę gilinti savo žinias labiau, nei tai gali padaryti pačios mokyklos, yra ir daugiau.
„Mes jiems padedame tobulėti, jie gali nuversti didelius kalnus“, – pridūrė L. Kaminskis.
Tad kodėl VDAI darbuotojas darbo metu DELFI komentarų skiltyje nusprendė bauginti spragą atskleidusį 13-metį, o ne įspėti minėtą duomenų apsaugos spragą palikusį Nacionalinį švietimo centrą? DELFI kreipėsi į VDAI su prašymu pakomentuoti, ar tikrai šios įstaigos atstovai darbo metu interneto portalų komentarų skiltyse rašinėja nepilnamečius bauginančius komentarus.
„Apgailestaujame ir atsiprašome dėl susiklosčiusios situacijos. Dėl komentarų rašymo iš institucijai priklausančio IP adreso ir darbo įrangos naudojimo asmeniniais poreikiais darbo metu inspekcija atliks tarnybinį tyrimą, peržiūrės vidinius teisės aktus ir imsis atitinkamų priemonių, kad panašūs atvejai nepasikartotų“, – sakė VDAI Informacijos ir technologijų skyriaus vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė.
Kiek vėliau ji pripažino, kad iš DELFI pateiktos informacijos matyti, kad IP adresas išties priklauso inspekcijai, tačiau atsižvelgiant į tai, kad inspekcijos visi vartotojai naudojasi vienu IP adresu, išsamesnius duomenis bus galima pateikti tik atlikus tyrimą.
„Komentaruose pateikta informacija nėra oficiali inspekcijos pozicija, o tik atskiro asmens nuomonė, tačiau atsižvelgiant į tai, kad komentarai pateikti naudojantis inspekcijos informaciniais ištekliais, institucija imsis priemonių, kad išsiaiškintų asmenį, viršijusį įgaliojimus, ir atliks tarnybinį tyrimą“, – pridūrė R. Sinkevičiūtė-Šečkuvienė.
Tarnybinis nusižengimas tiriamas ne ilgiau kaip 20 darbo dienų nuo įpareigojimo pradėti tarnybinio nusižengimo tyrimą gavimo.
Tiesa, į tarnybinio nusižengimo tyrimo laiką neįskaitomas laikas, per kurį valstybės tarnautojas, įtariamas padaręs tarnybinį nusižengimą, nebuvo darbe dėl laikinojo nedarbingumo, komandiruotės ir atostogų. Atlikus tyrimą inspekcijos direktorius priims sprendimą dėl nuobaudos skyrimo.