Kai tavo turtas tampa viešas
Įsivaizduokite situaciją: norėdami sužinoti, ar kas nors domėjosi jūsų privačia nuosavybe, turite patys pateikti užklausą valstybinei institucijai, o gavę atsakymą – nuščiūti. Būtent taip kai kurie Lietuvos piliečiai sužinojo, kad jų asmens kodai, gyvenamosios vietos adresai ir detalūs duomenys apie visą turimą nekilnojamąjį turtą (NT) tapo prieinami tretiesiems asmenims.
2026-ųjų pavasarį Lietuvą supurtęs Registrų centro (RC) duomenų nutekėjimo skandalas nėra tik eilinė techninė triktis. Tai beprecedentis incidentas, palietęs 600 000 įrašų, tarp kurių – ir aukščiausių šalies vadovų, įskaitant Prezidentą Gitaną Nausėdą bei Premjerės Ingos Ruginienės šeimą, duomenys. Ši krizė apnuogino faktą, kad mūsų skaitmeninė tvirtovė turi ne tik plyšių sienose, bet ir plačiai atvertas „šonines duris“, o valstybės deklaruojama „skaitmeninė higiena“ dažnai tėra teorinė sąvoka, neatlaikanti praktinio patikrinimo.
Nutekėjimas, apie kurį tylėta nuo sausio
Vienas didžiausių šios krizės skaudulių – institucinis paralyžius informuojant visuomenę. Nors oficialiai teigiama, kad įtartinas aktyvumas pastebėtas balandžio pradžioje, advokatė Liudvika Meškauskaitė, remdamasi teisėsaugos duomenimis, kelia dar baisesnę versiją: duomenys per Migracijos departamento paskyras galėjo būti kopijuojami nuo pat sausio mėnesio. Tai reiškia keturis mėnesius trukusį informacinį kraujavimą, apie kurį piliečiai sužinojo tik gegužės pabaigoje.
Buvęs Registrų centro vadovas Adrijus Jusas bandė gintis teigdamas, kad „ne mes buvome sprendėjai, ką ir kada galima komunikuoti“, apeliuodamas į Generalinės prokuratūros pradėtą ikiteisminį tyrimą. Tačiau toks slapstymasis po procedūriniais skydais sulaukė griežto Prezidento atsako. G. Nausėda pabrėžė, kad negalima „sušluoti po kilimu“ informacijos, kuri tiesiogiai veikia piliečių saugumą.
„Negalima slapstytis po jokiais Generalinės prokuratūros reikalavimais, kodėl nebuvo informuota anksčiau. […] Ši informacija būtų leidusi mūsų žmonėms priimti atitinkamus sprendimus“, – konstatavo šalies vadovas.
Šis delsimas yra kritinė klaida ne tik vadybiniu, bet ir psichologiniu požiūriu. Tylėdama valstybė atima iš piliečių subjektiškumą (agency) – galimybę patiems laiku pasirūpinti savo saugumu, pakeisti slaptažodžius ar padidinti budrumą, kol piktavaliai dar nespėjo pasinaudoti gautu grobiu.
„Šoninės durys“ ir Zero Trust būtinybė
Analizuojant techninį incidento mechanizmą, paaiškėjo, kad hakeriams net nereikėjo laužtis į tiesiogiai saugomą Registrų centro branduolį. Jie pasinaudojo autorizuoto duomenų gavėjo – Migracijos departamento – prieigomis. Tai klasikinis „integruotų sistemų pažeidžiamumo efekto“ pavyzdys: bendra saugumo grandinė yra tik tokia stipri, kokia yra jos silpniausia dalis.
Eksperto žvilgsniu, ši situacija indikuoja fundamentalią klaidą – aklą pasitikėjimą vidiniais partneriais. Čia turėjo suveikti „Nulinio pasitikėjimo“ (Zero Trust) modelis. Jei sistema būtų veikusi pagal šį principą, net ir turint galiojančius Migracijos departamento kredencialus, neįprastai masinis duomenų „siurbimas“ turėjo būti automatiškai identifikuotas kaip anomalija ir užblokuotas po pirmųjų tūkstančių užklausų. Vietoje to, piktavaliai nepastebėti kopijavo šimtus tūkstančių išrašų, nes sistema atliko tik vienkartinį tapatybės patikrinimą prisijungiant, bet nevykdė nuolatinės sesijos elgsenos analizės.
Taikiklyje – asmens kodai ir politinis elitas
Nutekintų duomenų spektras yra itin pavojingas: nuo asmens kodų ir gimimo datų iki unikalių NT numerių ir turto įregistravimo pagrindų. Žala įvertinta mažiausiai 111 tūkst. eurų, tačiau politinė kaina yra nepalyginamai didesnė. Premjerė Inga Ruginienė, kurios šeima taip pat nukentėjo, situaciją įvertino kaip nedovanotiną:
„Mano pačios šeimos duomenys buvo tikrinti ir nutekinti, dėl to labai suprantu, ką jaučia kiekvienas žmogus, pakliuvęs į šią situaciją“, – sakė Premjerė.
Faktas, kad kovo pradžioje buvo domėtasi net Prezidento turtu, rodo, jog tai nebuvo atsitiktinis duomenų rinkimas. Tai galėjo būti tikslinė operacija, siekiant surinkti kompromatą arba sukurti prielaidas hibridinėms provokacijoms prieš valstybės vadovus.
Psichologija: Duomenys kaip „pasitikėjimo kūrimo rinkinys“
Visuomenėje kilusi baimė, kad sukčiai „perrašys butus“, yra kiek perdėta – notarinė sistema su gyva tapatybės verifikacija Lietuvoje vis dar yra patikimas barjeras. Tačiau tikroji grėsmė slypi informacinėje asimetrijoje ir autoriteto šališkume (authority bias).
Nutekinti duomenys piktavaliams tapo idealiu „pasitikėjimo kūrimo rinkiniu“. Kai sukčius jums paskambina ir žino ne tik jūsų pavardę, bet ir asmens kodą, tikslų adresą bei datą, kada įsigijote būstą, jūsų smegenys automatiškai priskiria jam oficialios institucijos statusą. Socialinė inžinerija veikia ne per techninį įsilaužimą, o per psichologinį manipuliavimą. Kaip taikliai pastebi ekspertas M. Kutkaitis: „Didžiausia rizika – ne patys duomenys, o gebėjimas jais manipuliuoti“. Turėdami tokią detalią informaciją, sukčiai gali kurti itin įtaigias phishing schemas, kurios atrodo kaip bankų ar VMI pranešimai.
IT skola: Investicijų ir strategijos disonansas
Paradoksalu, tačiau pernai Registrų centrui buvo papildomai skirta net 12 mln. eurų kibernetiniam saugumui stiprinti. Tai, kad net ir su tokiomis investicijomis sistema liko „kiaura“, rodo sisteminę problemą. Valstybė moka pirkti brangią „geležį“ ir naują programinę įrangą, bet nemoka (arba nenori) investuoti į nuolatinę priežiūrą ir vadybos kultūros pokyčius.
A. Juso pastebėjimai apie „technologinę skolą“ ir „pasiraitojimą rankovių“ tvarkant įsisenėjusias problemas yra teisingi, tačiau jie pavėluoti. Šis incidentas parodė, kad mes gyvename „iliuzinėje valstybėje“, kur skaitmenizacija yra fasadinė, o už jos slypi senstanti infrastruktūra ir fragmentuotas požiūris į saugumą. Milijonai eurų neduos jokio rezultato, jei saugumas nebus suprantamas kaip nenutrūkstamas procesas, apimantis visų grandžių – nuo RC iki Migracijos departamento – higieną.
Ar pasitikėjimas sugrįš?
Registrų centro krizė tapo „grandiozine pamoka“ apie tai, kad duomenų apsauga šiandien yra nacionalinio saugumo pamatas, o ne techninė detalė. 600 000 nutekintų paslapčių yra kaina, kurią sumokėjome už institucinį arogantiškumą ir lėtumą.
Valstybė dabar stovi prieš didžiausią iššūkį – kaip susigrąžinti brangiausią valiutą, kurią ji prarado per tuos keturis tylos mėnesius: piliečių pasitikėjimą. Ar sugebėsime pereiti prie tikro Zero Trust modelio, ar ir toliau tikėsime, kad skaitmeninio saugumo spragas galima tiesiog „sušluoti po kilimu“? Atsakymas į šį klausimą nulems, ar kitas skandalas bus tik laiko klausimas, ar mes pagaliau prabudome iš skaitmeninio naivumo miego.