Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos (VASPVT) praneša apie kibernetinį incidentą vienoje iš jos valdomos informacinės sistemos posistemių. Tuo pat metu Generalinė prokuratūra patvirtino pradėjusi ikiteisminį tyrimą dėl galimo neteisėto prisijungimo prie sistemos, kurioje tvarkomi sveikatos priežiūros specialistų duomenys.

Incidentas pastebėtas naktį iš sekmadienio į pirmadienį

Pirminiais VASPVT duomenimis, neautorizuotas prisijungimas galėjo būti atliktas birželio 7–8 dienomis, o pažeidimas pastebėtas naktį iš birželio 8-osios į 9-ąją.

Įtariama, kad pažeidžiamumas galėjo būti išnaudotas pasinaudojant trečiosios šalies atvirojo kodo įrankio „Apache Superset“ spraga. Per ją galėjo būti gauta neteisėta prieiga prie dalies sistemos.

Reagavimas - per kelias valandas

VASPVT teigia, kad incidentui suvaldyti buvo imtasi veiksmų iš karto: atjungta išorinė prieiga, lokalūs prisijungimai, deaktyvuoti prieigos raktai, pritaikytos papildomos saugumo priemonės.

Šiuo metu sistemą prižiūrintys specialistai kartu su VASPVT tęsia stebėseną ir yra pasirengę taikyti papildomas priemones, jei būtų nustatyta naujų kibernetinio pavojaus indikacijų.

Galimai pasiekti tūkstančių asmenų duomenys

Pirminiais vertinimais, incidento metu galėjo būti pasiekta:

iki 62 203 sveikatos priežiūros specialistų profesinių ir kontaktinių duomenų įrašų;
iki 156 įstaigų administratorių įrašų;
iki 365 pakopinių kompetencijų duomenų įrašų;
sisteminių ir techninių metaduomenų.

VASPVT nurodo, kad visi asmenys, kurių duomenys galėjo būti paveikti, informuoti elektroniniu paštu.

Apie incidentą pranešta Nacionaliniam kibernetinio saugumo centrui, Valstybinei duomenų apsaugos inspekcijai ir Valstybinei skaitmeninių sprendimų agentūrai. Taip pat palaikomas nuolatinis ryšys su Sveikatos apsaugos ministerija.

Pradėtas ikiteisminis tyrimas

Praėjus maždaug valandai po VASPVT pranešimo, Generalinė prokuratūra patvirtino, kad Baudžiamojo persekiojimo departamente pradėtas ikiteisminis tyrimas dėl neteisėto prisijungimo prie informacinių sistemų.

Tyrimas pradėtas gavus Sveikatos apsaugos ministerijos pranešimą apie galimą kibernetinį incidentą ir asmens duomenų saugumo pažeidimą.

Kaip nurodoma prokuratūros pranešime, įtariama, kad vienoje iš sveikatos priežiūros specialistų kompetencijų platformos posistemių galėjo būti neteisėtai prisijungta ir nukopijuota daugiau nei 62 tūkst. specialistų duomenų, taip pat dalis administratorių ir techninių metaduomenų.

Ikiteisminį tyrimą pavesta atlikti Lietuvos kriminalinės policijos biurui. Jis atliekamas pagal Baudžiamojo kodekso 198-1 straipsnį dėl neteisėto prisijungimo prie informacinės sistemos.

Sistema veikia, atliekamas tyrimas

VASPVT pabrėžia, kad sistema, kurioje įvyko incidentas, yra praėjusi kibernetinio saugumo testavimus, o vartotojai prie jos jungiasi per el. valdžios vartų sistemą.

Tarnybos direktorius Tadas Žentelis teigia, kad šiuo metu prioritetas - išsamiai ištirti incidento aplinkybes, įvertinti poveikį ir sustiprinti saugumo priemones.

„Suprantame šios situacijos jautrumą ir siekiame užtikrinti maksimalų skaidrumą bei nuolatinį informavimą“, - sakė Tadas Žentelis.

Tiek VASPVT, tiek teisėsauga žada artimiausiomis dienomis pateikti daugiau informacijos, kai bus aiškesnės tyrimo išvados.