Kaltina informacijos slėpimu
Verslo teisės advokatų kontoros „INVENT“ partneris ir vadovas Mindaugas Kiškis Delfi sako, kad ieškiniu siekiama apginti žmonių teises, mat jį nustebino vakar išsakyta policijos pozicija, kad šioje situacijoje nukentėjusia laikoma įmonė, o ne patys vartotojai. Be to, jo teigimu, įmonė galimai dangsto nusikalstamą veiką.
„Tai, ką mes matome, ir tai, kas vyksta iš institucijų ir pačios įmonės pusės, – iš esmės nesąžiningi dalykai ir galimai nusikalstamos veiklos dangstymas. Jei dabar iškeltuose procesuose policija nukentėjusia pripažįsta pačią įmonę, o žmonių ne, tai labai aiškiai parodo, kas valdžiai labiau rūpi, – ar žmonių konstitucinės teisės, ar kažkieno komerciniai interesai.
Vien pagal informaciją, kuri šiuo metu prieinama viešai, – ir paties hackerio paviešinta, ir kaip pati įmonė komunikuoja: pusė paros buvo nutylėta, kad prarasti slaptažodžių duomenys. Per pusę paros prie žmonių paskyrų kitose interneto svetainėse buvo bandoma prisijungti, įsilaužti ir t. t. Visa tai yra toleruojama, viskas atrodo gerai iš valdžios pusės“, – komentuoja M. Kiškis.
„CityBee“: pilna pavogtų duomenų apimtis nebuvo žinoma
„CityBee“ vadovas Kristijonas Kaikaris nepakomentavo viešoje erdvėje pasirodžiusios nusikaltėlio informacijos, kaip buvo pavogti klientų duomenys.
„Šiuo metu Lietuvos teisėsauga vykdo ikiteisminį tyrimą, todėl šį klausimą liečiančių faktų komentuoti negalime. Pasitikime teisėsaugos pareigūnais ir IT saugumo specialistais, kurie, esame tikri, nustatys nusikaltusiuosius ir visas su vagyste susijusias aplinkybes“, – sako jis.
Anot vadovo, apie duomenų vagystę įmonė sužinojo pirmadienį, vasario 15 d., po pietų. Apie tai informavo kibernetinio saugumo specialistai. K. Kaikario teigimu, pirmadienį dar nebuvo žinoma pilna pavogtų duomenų apimtis, tai išaiškėjo tik vėliau. Abiem atvejais esą buvo iškart reaguojama pagal bendrovės turimą informaciją.
Sieks 300 Eur žalos atlyginimo kiekvienam
Nukentėję asmenys toliau buriasi į feisbuko grupę „Nukentėjusieji nuo CityBee“. Joje šiuo metu – 12 tūkst. narių. Advokato teigimu, kalbama apie pretenziją įmonei atlyginti žalą, jei tai nepadės, ruošiamasi kreiptis ir į teismą.
„Mūsų siekis ne eiti į teismus, o pasiekti realų žalos atlyginimą žmonėms ir kad sustotų melas. Jei neišspręsime šių dalykų taikiai, kitas etapas – teismas. Pirmas etapas – pretenzija pačiai įmonei“, – pažymi jis.
Anot advokato, dauguma žmonių palaiko poziciją, kad turi būti atlyginta mažiausiai po 300 Eur kiekvienam nukentėjusiam vien neturtinės žalos.
„Dar yra individualūs dalykai – ir turtinė žala, pavyzdžiui, kam nors reikės keisti asmens dokumentus, kažkas praras kitas paskyras dėl šio skandalo, bus neteisėtai pasinaudota jų finansiniais duomenimis, jų vardų bus pasinaudota finansinių operacijų eigoje“, – pridūrė M. Kiškis.
Galimai nukentėjo ir vėliau nei 2018 m. vasarį prisijungusių vartotojų duomenys
Trečiadienio ryte pretenziją pasirašė apie 4 tūkst. žmonių, šiuo metu, advokato teigimu, parašų bus daugiau. Pretenziją pasirašo ir vėliau nei 2018 m. kovą prie „CityBee“ sistemos prisiregistravę asmenys.
Įmonės teigimu, nusikaltėliai viename iš kibernetinių įsilaužėlių pamėgtų forumų paskelbė trejų metų senumo vartotojų duomenis. Informuojama, kad ribotam asmenų ratui tapo prieinami duomenys tų klientų, kurie „CityBee“ sistemoje užsiregistravo iki 2018 vasario 22 d. Vis dėlto advokatas abejoja tokių bendrovės teiginių teisingumu.
„Klausimas įmonei, ji turėtų nuoširdžiai prieš atsakydama pagalvoti, teikdama, tikėtina, melagingą informaciją. Aš pats sistemoje iš naujo užsiregistravau paskyrą pernai vasarą, turiu visas tai įrodančias žinutes. Kažkada labai seniai turėjau paskyrą, bandžiau prisijungti praėjusiais metais, bet man parodė, kad tokios paskyros nebėra, todėl užregistravau naują. Dabar mano informacija yra tarp prarastų duomenų. Kaip taip gali būti? Turime šimtus žmonių, kurie patys pranešė apie tai, kad jie registravosi „CityBee“ po 2018 m. vasario, jų duomenys yra nutekintose duomenų bazėse“, – atkreipia dėmesį M. Kiškis.
Pašnekovas svarsto, kad „CityBee“ tokiu būdu galimai siekia išvengti atsakomybės, remiantis Bendruoju duomenų apsaugos reglamentu (BDAR), kuris įsigaliojo 2018 m. gegužę.
„Labai patogu teigti, kad yra senesni dalykai, viskas įvyko prieš trejus metus. Tokiu būdu, tikėtina, susimažinama atsakomybė. Galbūt tai iš tikrųjų įvyko prieš trejus metus, kaip teigia įmonė, nežinau. Pats hackeris sako, kad šie duomenys yra pavogti prieš savaitę. Taip pat turime šimtus žmonių, sakančių, kad registravosi vėliau nei 2018 m. vasarį, kai kurie jau ir įrodymus surinko. Ir jų duomenys yra tarp nutekintų“, – komentuoja jis.
„CityBee“: nutekėjo tik užsiregistravusių iki 2018 m. vasario 22 d. duomenys
Be kita ko, M. Kiškis pažymi, jog aiškėja ir kitų šio incidento detalių – preliminariais duomenimis, kuriuos skelbė pats nusikaltėlis, prarasti duomenys yra ne tik Lietuvos klientų, bet, tikėtina, ir kitų šalių, kuriose veikia „CityBee“, t. y. Estijos, Latvijos.
K. Kaikaris atmeta nuogąstavimus, kad nutekėjo duomenys ir tų vartotojų, kurie prie sistemos registravosi jau po 2018 m. vasario mėn., bei patikina, kad klientai Latvijoje ir Estijoje nenukentėjo.
„Šiuo metu turimi duomenys rodo, kad pavogti ir paviešinti buvo Lietuvoje „CityBee“ paslaugos naudotojais tapusių asmenų, kurie užsiregistravo iki 2018 m. vasario 22 d., duomenys“, – tikina K. Kaikaris.
Pasak bendrovės vadovo, šiuo metu ji svarsto visas galimybes kompensuoti nukentėjusių klientų patirtą žalą ir artimiausiu metu apie tai informuos.
Bandoma įsilaužti į paskyras, skambinama iš užsienio
Šiuo metu advokatas sulaukia žmonių pranešimų, kad į jų paskyras (Spotify, Google, Facebook ir kt.) bandoma prisijungti.
„Slaptažodžiai nutekėjo iškart, kai jie buvo paviešinti. Tai buvo aišku nuo pirmos minutės, bet ši informacija buvo slepiama pusė paros“, – pažymi M. Kiškis.
„Nemanau, kad yra sutapimas, kad iškart bandoma laužtis į žmonių paskyras kitą dieną, kai yra nutekinti jų slaptažodžiai. Nėra saugu, kai žmonės naudoja tą patį slaptažodį skirtingose svetainėse, bet jie žmonės, todėl nereikia jų kaltinti. Pačios įmonės turėtų imtis didesnės atsakomybės, pavyzdžiui, reikalauti, kad slaptažodis būtų tam tikro sudėtingumo ir pan. Ir galiausiai šifruoti slaptažodžius ne 30 metų senumo algoritmais, kuriuos nulaužti užtrunka vieną minutę“, – pridūrė jis.
Maža to, kai kurie nukentėję „CityBee“ vartotojai teigia sulaukiantys keistų skambučių iš užsienio, pavyzdžiui, Haičio. Pasak advokato, sunku dar pasakyti, ar tai susiję su nutekintais duomenimis, bet tai kelia įtarimų.
„Norint atsidaryti finansinių paslaugų paskyrą, vienas iš elementų – numerio patvirtinimas, skambučiai ir pan. Manyčiau, kad yra indikacija ir rizikos, kad tokie procesai jau vyksta“, – sako M. Kiškis.
Vartotojo vardu atidarė sąskaitą
Pašnekovo teigimu, jei kalbama apie blogiausią scenarijų – tapatybės vagystę, nusikaltimą, žmogui žala padaroma labai ilgalaikė, todėl nėra aišku, kada ji tiksliai atsiras.
„Jeigu norėsite atsidaryti banko paskyrą, pasinaudoti finansinių paslaugų teikėju nebūtinai Lietuvoje, o Jungtinėje Karalystėje, Estijoje ir pan., ir bus neleidžiama to padaryti.
Pavyzdžiui, vienas vartotojas papasakojo apie konkrečią situaciją, kad kažkas, pasirodo, jau atidarė jo vardu sąskaitą. Jis nebežino, ką daryti, įmonė nebeteikia jokios informacijos. Jis net negali jos uždaryti. Gal ir gali, bet tai – didžiuliai procesai ir išlaidos.
Tarkim, yra finansų startuolis, veikiantis Ispanijoje, kaip jam įrodyti, kad ne jis atidarė sąskaitą, kad ne jis ja naudojasi ir joje neplaus pinigų. Šie dalykai išlįs ne šiandien, ne po savaitės, o po dvejų metų. Žmogui galbūt ateis kriminaliniai kaltinimai, kad jis neva plovė pinigus, o, pasirodo, jo duomenis prarado nelabai sąžiningai veikusi įmonė ir jo vardu tiesiog pasinaudojo piktavaliai“, – pasakoja advokatas.
Abejoja nešališkais tyrimais
Bendrovė teigia, kad jokių mokėjimo kortelių duomenų nekaupia, tačiau tarp nutekėjusių duomenų galima matyti ir aplanką „Credit cards“. K. Kaikaris patikslina, kad šiame aplanke yra internetinių mokėjimų sprendimų operatoriaus „Braintree“ vidiniai identifikatoriai. Jis užtikrina, kad jais pasinaudoti blogiems tikslams galimybės nėra.
Antradienį teisingumo ministrė Evelina Dobrovolska teigė, kad išlieka žema rizika, jog gali būti panaudojami vairuotojų pažymėjimo, mokėjimo kortelių duomenys. Tokie teiginiai advokatą esą šokiravo.
„Nelabai suprantu, ką gina ir atstovauja teisingumo ministrė. Ji žodis žodin kartoja tą pačią įmonės žinutę, kuri kelia klausimų. Neatlikusi jokio tyrimo, jis dar nepradėtas, o teisingumo ministrė, Duomenų apsaugos inspekcija jau tvirtina tam tikrus dalykus, kad vairuotojų pažymėjimo nuotraukų nėra, duomenys yra seni ir t. t. Kaip galime tikėtis nešališko tyrimo po tokių pareiškimų? Jau ne pirmas kartais, kai įmonės įžūliai meluoja ir institucijos transliuoja visuomenei jų poziciją, visiškai neatlikę jokio tyrimo“, – dėsto M. Kiškis.
Klausimas dėl rizikų – neatsakytas
Anot jo, klausimas, ar rizika yra, – neatsakytas: „Įmonė suka uodegą. Iki galo nėra aišku, ar nutekėjo vartotojų vairuotojų pažymėjimų atvaizdai. Aiškiai nepasako, ar yra vairuotojų pažymėjimų atvaizdai, ar nėra. Jei nutekėjo jie, manau, kad rizikos yra dramatiškai didesnės, nei kitais atvejais. Jau turint vairuotojo pažymėjimo atvaizdą, galima atsidaryti bankinę sąskaitą daugelyje šalių, taip pat ir Lietuvoje. Žmogaus vardu vykdyti finansines operacijas ir t. t.“
Tuo metu jis nemato rizikos, jog buvo pavogti vartotojų mokėjimo kortelių duomenys.
„Būčiau linkęs tikėti ta versija, kad, tikėtina, įmonė nekaupia mokėjimo kortelių duomenų, nes ne pati įmonė vykdo mokėjimo operacijas, naudojasi paslaugomis kokio nors mokėjimų procesoriaus, kuris ir tvarko mokėjimų duomenis. Tai yra bendra praktika internete. Mokėjimo procesoriai taiko aukštesnį saugumo lygį duomenims, nes jie yra jautrūs ir tiesiogiai panaudojami. Tikėtina, kad rizikos nėra, kad pavogtos pačių kortelių duomenys“, – sako jis.
Kaip sako advokatas, remiantis BDAR, bauda įmonei gali siekti iki 20 mln. Eur arba 4 proc. metinės apyvartos: „Tai yra bauda, kuri mokama pačiai valdžiai, o žmonėms turi būti atlyginama žala. Mano įvardyta suma (300 Eur – Delfi) – minimaliausia neturtinė žala, kurią įmonė turėtų atlyginti.“
VDAI: kai kurias pasekmes sunku prognozuoti
Trečiadienį surengtoje spaudos konferencijoje Valstybinės duomenų apsaugos inspekcijos (VDAI) direktorius Raimondas Andrijauskas sako, kad įmonė „CityBee“ dar nepateikė oficialios informacijos apie šį įvykį, todėl negali detaliai atsakyti į klausimus.
„Dar šiuo metu oficialios informacijos iš įmonės nėra pateikta, ji turi 72 valandas nuo pažeidimo paaiškėjimo momento pranešti institucijai. Kol kas tai nepadaryta. Susisiekus su įmonės atstovais, buvo nurodyta, kad buvo daug informacijos, ir tikisi, kad darbo dienos pabaigoje ši informacija bus pateikta“, – sakė R. Andrijauskas ir priduria, kad VDAI sulaukė daugiau nei 2 400 įvairių pranešimų ir informacijos iš gyventojų.
Vertindamas viešoje erdvėje pasirodžiusią paties nusikaltėlio poziciją ir pasakojimą VDAI vadovas tikina negalintis tiksliai atsakyti, kada įvyko duomenų vagystė.
„Reali situacija paaiškės po oficialaus pranešimo. Antras dalykas – po tyrimo veiksmų, nes į pačią įmonę dar nėjome, ji turi pati veiklos analizuoti ir įvertinti. Suprantame, kokia informacija gali atskleisti, kada yra įvykęs tas tikrasis duomenų saugumo pažeidimas.
Patys galime atsakyti į klausimą, jei mums pavyktų gauti tam tikrą informaciją, bet neatmetame galimybės, kad gali tekti kreiptis į atitinkamas institucijas. Kada įvyko duomenų saugumo pažeidimas ir ar jis buvo įvykęs 2018 metų vasarį, atsakyti dar negalime“, – nurodė R. Andrijauskas.
Atsakydamas, kiek truks tyrimas, jis pažymėjo, kad teisės aktuose numatytas terminas – 4 mėn. su galimybe pratęsti iki 6 mėn. Jis neatmeta galimybės, kad tyrimas gali užtrukti, bet nemano, kad viršys 6 mėn. terminą.
„Didžiulė kompanija, valdanti jautrią informaciją, susijusią su mokėjimais ir technologijomis. Tokio masto pažeidimo jau seniai nebuvo. Todėl asmenims trūksta informacijos, kaip reikia elgtis. Sudėtinga suprasti, kai iš įmonės informacija nesutampa su esančia viešoje erdvėje. Šioje vietoje matome komunikavimo neatitikimą“, – komentuoja VDAI vadovas.
Institucija, sulaukusi klausimų, ar galėjo nutekėti ne tik Lietuvos vartotojų duomenys, pažymi, kad šią informaciją dar tikrina: „Kadangi žinome, kad įmonė veikia ne tik Lietuvoje, arba užsieniečiai Lietuvoje ja taip pat gali naudotis, šiuo atveju tikrinsime informaciją ir ją teiksime Europos priežiūros institucijoms.“
Vertindamas rizikas nutekintus duomenis panaudoti R. Andrijauskas sako, kad kai kurias pasekmes sunku prognozuoti: „Jei žvelgtume į įvairius tiesioginius finansinius nuostolius, vertinant pirminę informaciją, nutekintų duomenų neužtektų padaryti tiesioginiams finansiniams nusikaltimams.
Žvelgiant į kitus duomenis, kurie galėjo būti pasisavinti ir nutekinti, tu negali įsivaizduoti, kaip viena ir kita informacija gali būti panaudota. Tarkim, telefono numeris bus panaudotas, siekiant išvilioti iš jūsų informaciją, el. pašto adresas – atsiųsti kenkėjišką adresą. Yra įvairių galimybių, kaip gali būti panaudotas kiekvienas dėmuo apie juos. Gali priklausyti nuo programišių fantazijos, kaip juos panaudoti – skambučiais, naudojant socialinę inžineriją ir t. t. Dėl to prognozuoti pasekmes – sunku.“
„CityBee“ kompensacijos lubos – iki 2 000 Eur vienam nukentėjusiajam
Komentuodamas apie paviešintus daugiau nei šimto tūkstančių klientų asmens duomenis advokatų profesinės bendrijos „Avocad“ teisininkas Mantas Baigys pažymi, kad tai – nerimą keliantis asmens duomenų apsaugos pažeidimas, nes kiekviena įmonė turi dėti pastangas, jog būtų diegiamos deramos duomenų saugumo priemonės, taip būtų saugomasi ir išvengiama kibernetinių atakų. Pasak jo, ar buvo įgyvendintos pakankamos saugumo priemonės, atsakys tik Valstybinė duomenų apsaugos inspekcija ir jos tyrimas.
Teisininkas pranešime žiniasklaidai pažymi, kad Europos valstybių praktika rodo, kad už tai gali grėsti baudos ir žalos klientams kompensavimo procedūros.
„Už nepakankamą ir netinkamą saugumo priemonių naudojimą, dėl ko yra nutekinami asmens duomenys, įmonės įprastai susilaukia didesnių ar mažesnių priežiūros institucijų baudų. Tuo pat metu visi nukentėję asmenys turi teisę reikalauti ir žalos atlyginimo.
ES tokių atveju jau buvo ir ne vienas. Praėjusiais metais Jungtinės Karalystės duomenų inspekcija (ICO) nubaudė „British Airways“ 22 mln. Eur bauda, nes 2018 metais po kibernetinės atakos buvo pavogti 400 tūkstančių klientų duomenys – vardai, pavardės, el. pašto adresai bei bankinių kortelių duomenys. Maksimali bauda galėjo siekti ir 100 mln. Eur, tačiau dėl bendrovės patiriamų COVID-19 ekonominių pasekmių ji buvo žymiai sumažinta“, – pasakoja M. Baigys.
Vertindamas, kas lems kompensacijos dydį „CityBee“ byloje, teisininkas sako, jog reikia atkreipti dėmesį į situacijos rimtumą. Tačiau pažymi, kad „CityBee“ kompensacijos lubos – net iki 2 000 Eur vienam nukentėjusiajam.
„CityBee“ leidžia suprasti, kad tai nėra reikšmingas pažeidimas, nes neva mokėjimo duomenys nebuvo nutekinti. Tą tyrimo metu turi detaliai tikrinti VDAI – abejoti leidžia tai, kad tokie duomenys įmonės aplikacijoje buvo pildomi, o tai gali reikšti, jog teisine prasme tokie duomenys buvo renkami.
Tuo pat metu svarbu, kad nukentėję asmenys gavo pranešimus apie asmens duomenų apsaugos pažeidimus, o tokie pranešimai yra siunčiami tik tada, kai yra didelė rizika fizinių asmenų teisėms ir laisvėms. Žinoma, galbūt įmonė tik prevenciškai ėmėsi tokių veiksmų, tačiau įprastai, jeigu nėra didelio pavojaus, tokie pranešimai nėra siunčiam. Tokias rekomendacijas yra paskelbusi ir VDAI“, – komentuoja M. Baigys.
Antra, vertinant lietuviškus precedentus, anot jo, reikia prisiminti „Grožio klinikos“ incidentą, kai buvo pavogti itin jautrūs sveikatos duomenys, nuotraukos, ligų istorijos ir pan. Tačiau teisininkas atkreipia dėmesį, kad tai įvyko dar iki BDAR įsigaliojimo, todėl didesnių sankcijų įmonė tuomet išvengė. „Šiandien tai būtų vertinama kaip itin reikšmingas pažeidimas ir, tikėtina, sankcijos būtų grėsusios dar rimtesnės nei dabar „CityBee“ situacijoje“, – pažymi jis.
Trečia, svarbus ir bendros jungtinės nukentėjusių klientų pastangos: ar jie sugebės deramai fiksuoti pažeidimo aplinkybes (pavyzdžiui, klientai turėtų išsisaugoti iš „CityBee“ gautą pranešimą apie įvykdytą pažeidimą – tai svarbi faktinė aplinkybė), kaip ir kas įvertins patirtą žalą, kiek ginčą pavyks užbaigti ikiteisminėje stadijoje, ar teks procesą perkelti ir išbandyti visas Lietuvos teismų instancijas?
