Valstybinė duomenų apsaugos inspekcija (Inspekcija), gavusi Vilniaus rajono savivaldybės administracijos (VRSA) informaciją apie įvykdytą kibernetinę ataką, savo iniciatyva pradėjo tyrimą, siekdama įvertinti galimus Bendrojo duomenų apsaugos reglamento (BDAR) nuostatų pažeidimus.
VRSA pranešė, kad apie įvykusį incidentą, be Inspekcijos, taip pat informavo Nacionalinį kibernetinio saugumo centrą, Vilniaus policijos komisariatą ir Kertinį valstybės telekomunikacijų centrą.
Atsižvelgiant į tai, kad Inspekcija jau pradėjo tyrimą savo iniciatyva dėl galimo asmens duomenų saugumo pažeidimo (ADSP), todėl atskiri asmenų skundai nebus nagrinėjami.
Inspekcija atkreipia dėmesį, kad ADSP patyrusi organizacija pirmiausia turi imtis veiksmų ADSP pašalinti ir užkirsti kelią galimam jo plitimui. BDAR numato, kad apie ADSP Inspekcijai privalo pranešti per 72 valandas visi duomenų valdytojai, jei kyla pavojus fizinių asmenų teisėms ir laisvėms.
Patarimai žmonėms, kurių asmens duomenys gali būti paveikti
įvairių incidentų elektroninėje erdvėje metu
Inspekcija ragina gyventojus būti budrius ir dėmesingus kibernetinėje erdvėje. Kibernetiniai nusikaltėliai nuolat ieško būdų, kaip užsidirbti pinigų Jūsų sąskaita ir bando išnaudoti žmogiškąsias emocijas, kad pasinaudojant socialinės inžinerijos metodais, išgautų jiems reikalingą informaciją tiesiogiai iš Jūsų. Dažniausiai sukčiai vadovaujasi tuo pačiu principu stengiasi užmezgę emocingą pokalbį priversti Jus imtis veiksmų jų neapgalvojus.
Kritiškai vertinkite tai, kam pateikiate savo asmeninius duomenis. Teisėtai veikiančios organizacijos ar institucijos paprastai neprašo prisijungimo duomenų bei asmeninės informacijos el. laiškais, telefonu ar socialiniais tinklais. Būkite atsargūs dėl visų el. laiškų ar SMS žinučių, kuriuose prašoma pateikti bet kokią asmeninę informaciją, o kilus įtarimų, mėginkite susisiekti tos organizacijos oficialiu kontaktiniu telefono numeriu ir pasiteiraukite, kam bus naudojami Jūsų asmens duomenys.
Piktavaliai ir sukčiai gali bandyti, naudodamiesi situacija, išvilioti iš Jūsų įvairius prisijungimo ar kitus svarbius asmens duomenis, siūlyti kokias nors fiktyvias paslaugas ir raginti jas apmokėti.
Neretai pasitaiko, kad kibernetiniams nusikaltėliams turint vienos svetainės naudotojų prisijungimo duomenis, yra bandoma patikrinti, ar įmanoma turimais prisijungimais prisijungti prie įvairių paskyrų (angl. Credential-matching attack).
Kaip atpažinti socialinės inžinerijos metodais paremtas atakas (angl. phishing)
1. Siuntėjo el. pašto adresas. Atidžiai išnagrinėkite siuntėjo el. pašto adresą. Apgaulinguose el. laiškuose dažnai naudojami apgaulingi el. pašto adresai, kurie imituoja tikrus el. pašto adresus, tačiau juose yra nedidelių pakeitimų arba rašybos klaidų. Pavyzdžiui, [email protected], vietoje [email protected], [email protected], vietoje [email protected], [email protected] arba [email protected] vietoje [email protected]. El. pašto adresas turėtų baigtis oficialiu organizacijos domenu.
2. Įtarimą keliantys URL adresai. Užveskite pelės žymeklį ant laiške esančių nuorodų (nespausdami), kad pamatytumėte tikrąjį URL adresą. Apgaulinguose el. laiškuose gali būti naudojami apgaulingi URL adresai, kurie panašūs į teisėtus, bet veda į apgaulingas svetaines. Patikrinkite, ar domenas jums žinomas, jame nėra rašybos klaidų, papildomų skaičių, simbolių.
3. Skubinanti arba grasinanti kalba. Sukčiavimo el. laiškuose dažnai sukuriamas skubos ar baimės jausmas, siekiant paskatinti imtis skubių veiksmų. Juose gali būti grasinama uždaryti paskyrą arba teigiama, kad įvyko saugumo pažeidimas. Būkite atsargūs, jei el. laiške be tinkamo paaiškinimo bandoma daryti spaudimą pateikti asmeninę informaciją arba imtis skubių veiksmų.
4. Bendro pobūdžio sveikinimai. Dažnai sukčiavimo el. laiškuose naudojami bendriniai pasisveikinimai, pavyzdžiui, Gerbiamas kliente arba Gerbiamas vartotojau, užuot kreipusis į Jus vardu ir pavarde.
5. Netaisyklinga rašyba ir gramatika, stilius. Sukčiavimo el. laiškuose dažnai būna pastebimų rašybos ir gramatikos klaidų, prastai suprojektuoti logotipai, grafinės detalės ir laiško stilius.
6. Prašymas pateikti asmeninę informaciją. Būkite atsargūs, jei el. laiške prašoma pateikti jautrią asmeninę informaciją, pavyzdžiui, slaptažodžius, asmens kodus ar finansinę informaciją. Tikros organizacijos paprastai neprašo pateikti tokios informacijos el. paštu.
7. Nelaukti prisegti dokumentai. Sukčiavimo el. laiškuose gali būti priedų, pateikiamų kaip svarbūs dokumentai (pvz. sąskaitos-faktūros). Neatidarinėkite priedų iš nežinomų ar įtartinų šaltinių, nes juose gali būti kenkėjiškas kodas.
Inspekcija rekomenduoja:
1. Siekiant apsisaugoti nuo įvairių sukčiavimo, asmens duomenų viliojimo metodų, pasitikrinkite pateikiamą informaciją ar pasitarkite su patikimais žmonėmis prieš atlikdami veiksmus, kurie potencialiai gali Jums pridaryti žalos. Nepriimkite sprendimų paskubomis ir nepasiduokite spaudimui.
2. Nespauskite įtartinų el. laiškų ar SMS gautų nuorodų, nesidalinkite savo slaptažodžiais, PIN kodais ar kitais asmens duomenimis.
3. Neatidarinėkite el. laiškuose pridėtų įtartinų priedų.
4. Nenaudokite to paties slaptažodžio skirtingoms sistemoms, jei naudojate, būtina nedelsiant pasikeisti. Prisijungimų slaptažodžiai turi būti saugūs ir kompleksiški, t. y. sudaryti bent iš 12 ženklų, kuriuos sudarytų raidės, skaičiai, bent viena didžioji raidė ir specialus simbolis. Taip pat rekomenduojama slaptažodžius keisti reguliariai.
5. Esant galimybei naudoti kelių faktorių autentifikaciją (MFA).
6. Atidžiai vertinkite el. parašo ir SMART ID sistemos generuojamas užklausas (atkreipkite dėmesį ar užklausa inicijuota Jūsų, ar sutampa saugumo kodai).
7. Prisijungimus prie e. bankininkystės, el. pašto ir kitų paskyrų atlikite iš pagrindinio žinomo paslaugų teikėjo puslapio, o ne spausdami nuorodas, gautas el. laiškais ir žinutėmis.
8. Nesuvedinėkite savo duomenų neaiškiose svetainėse, pavyzdžiui, kurios siūlo pasitikrinti ar Jūsų el. pašto adresas nėra nutekintas taip atiduosite savo duomenis sukčiams ir patvirtinsite, kad el. pašto adresas yra naudojamas.
Daugiau informacijos apie sukčiavimo prevenciją ir asmens duomenų saugumą internete:
www.neapsigauk.lt
Lietuvos bankų asociacijos patarimai, kaip išvengti sukčiavimo internete
NKSC siūlomos paprastos, bet veiksmingos priemonės, kaip išlikti saugiam internete
PATARIMAI, jeigu Jūsų paskyra buvo nulaužta
Kaip netapti tapatybės vagystės auka
Dėl saugaus naršymo internete