Gyventojai, per manogile.lt mokantys už komunalines paslaugas, gavo e. laiškus su raginimais pateikti asmeninių savo bei šeimos duomenų ir atsiųsti paso ar asmens tapatybės kortelės kopiją siuntėjams atgal tuo pačiu e. paštu. Laiškų siuntėjai nieko blogo nemato, tačiau kitaip galvoja kibernetinio saugumo ir Asmens duomenų inspekcijos specialistai.
© DELFI / Šarūnas Mažeika
„Negalima viešinti savo asmens duomenų, taip? – į DELFI kreipėsi skaitytoja. – Juk žmonės naudodami šiuos duomenis ir paskolas paimta. Visuose bankuose yra tvarka, kad jei tu turi sąskaitą, turi užpildyti visas deklaracijas, bet banko sistemoje. Atsiverčiu savo elektroninį paštą „Gmail“ ir gaunu laišką, kad per „Gilę“ moku už paslaugas, o pinigus surenka „Elektroninių mokėjimų agentūra“ (EMA) ir įsivaizduojate, yra parašyta: tobulindama teikiamas mokėjimo paslaugas EMA skiria daug dėmesio jūsų patogumui bei saugumui ir įgyvendina savo veikloje principą „Pažink savo klientą.“
Moteris sako, kad laiške yra prisegti du dokumentai: vienas yra paaiškinimas, kodėl prašoma duomenų, o kitas – anketa. Ji vardija, kad anketoje klausiama ne tik vardo ir pavardės, bet pilietybės, gyvenamosios vietos, asmens kodo, telefono numerio ir kitų duomenų. Klausiama, ar šeimos nariai, artimi pagalbininkai, pavyzdžiui, verslo partneriai, eina atsakingas pareigas Vyriausybėje, Parlamente, Konstituciniame teisme, auditorių organizacijose, ambasadose ir t. t.
„Ir apačioje parašyta: svarbu užpildytą ir pasirašytą anketą su asmens tapatybę patvirtinančio dokumento paso ar asmens tapatybės kortelės kopija, prašome siųsti elektroniniu paštu. Tai kas čia yra?, – klausė pasipiktinusi skaitytoja. – Taip daryti negalima, tai yra baisu.“ Laiške paaiškinama, kad tokie duomenys renkami „dėl informacijos pateikimo pinigų plovimo ir terorizmo finansavimo prevencijos tikslais“.
„Elektroninių mokėjimų agentūros“ generalinis direktorius Mindaugas Šiuškus DELFI komentavo, kad informacijos rinkimą elektroniniu būdu naudoja daugelis finansų įstaigų. „EMA laiškus siuntė pagal FNTT ir Lietuvos banko numatytus reikalavimus, kurie taikomi elektroninių pinigų įstaigoms, siekiant vykdyti pinigų plovimo ir teroristų finansavimo prevenciją. Įvertinus visus sąnaudų ir saugumo aspektus, elektroninis paštas buvo pasirinktas kaip paprasčiausias, greičiausias ir tuo pačiu pakankamai saugus ir patogus būdas tokią informaciją iš klientų surinkti. Klientams, kurie pageidavo papildomų saugumo priemonių teikiant tokią informaciją, pasiūlėme elektroniniu paštu siunčiamą informaciją šifruoti PGP raktu – tai padidina saugumą, tačiau technologiškai apsunkina klientą“, – dėstoma jo komentare.
Nurodoma, kad kartu šie klientai buvo informuoti apie galimybę informaciją pristatyti fiziškai arba persiųsti registruotu laišku. „Artimiausiu metu šiems klientams, mokant už komunalines paslaugas manogile.lt svetainėje, bus pateikti priminimai atlikti tapatybės nustatymo procedūrą nuotoliniu būdu t. y. „Online“, – rašoma atsakyme.
Pasak jo, pateikiamos anketos dėl dalyvavimo politikoje turinys yra įprastas visoms finansų įstaigoms ir suderintas su bendrovę prižiūrinčia institucija – Lietuvos banku. Taip pat argumentuojama, kad nėra viešo registro, kuriame būtų saugoma asmenų ir jų šeimos narių, giminaičių dalyvavimo politikoje informacija. Laiškai buvo išplatinti tiems klientams, kurie atliko pavedimų už tam tikrą sumą.
„Remiantis Pinigų plovimo ir teroristų finansavimo prevencijos įstatymu, klientui viršijus vieną iš apyvartos ribų – 150 Eur/mėn. ar 1000 Eur/metai, privaloma nustatyti kliento ir naudos gavėjo tapatybę, jei klientas nori ir toliau naudotis elektroninių pinigų įstaigos paslaugomis. Elektroninių pinigų įstaiga, šiuo atveju EMA, turi pareigą nustatyti kliento ir naudos gavėjo tapatybę pasiekus aukščiau nurodytas kliento apyvartos ribas“, – komentavo M. Šiuškus.
Artimiausiu metu planuojama klientams pasiūlyti papildomų būdų informacijai pateikti. Tiems, kurie vengs pateikti informaciją, gali būti apribotą galimybė naudotis EMA teikiamomis mokėjimo paslaugomis.
Duomenų apsaugos specialistai: taip negalima
Duomenų apsaugos specialistų nuomone, siųsti savo asmens dokumento kopiją elektroniniu paštu taip siekiant įrodyti savo tapatybę nėra pakankamai saugu. Tokie svarbūs dokumentai kaip pasas ar asmens tapatybės kortelė turėtų būti pateikiami fiziškai arba saugiu būdu žmogui nedalyvaujant, t. y. pašto ar kurjerio siunta, tačiau siunčiami dokumentai prieš tai turi būti patvirtinti notaro, seniūno ar Lietuvos konsulinio pareigūno.
„Manytume, kad šiuo atveju neturėtų būti prašoma siųsti asmens tapatybės dokumento kopiją elektroniniu paštu“, – DELFI komentavo Valstybinės duomenų apsaugos inspekcijos Informacijos ir technologijų skyriaus vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė.
Kibernetinio saugumo ekspertas Marius Pareščius sako, kad nors siųsti elektroninius laiškus yra gana saugu, tačiau svarbu žinoti, kad laiškų siuntėjas yra tikras, nes suklastoti elektroninį paštą ar apsimesti viena ar kita laiškus siunčiančia įstaiga sukčiams nėra sudėtinga.
„Tuo gali pasinaudoti sukčiai susikurdami elektroninį paštą, kuris bus šiek tiek kitoks, ir prisistatyti tokius laiškus siunčiančia įstaiga, tad atveriamas platus kelias laiškams padirbinėti“, – sakė M. Pareščius.
Pasak jo, nesudėtinga sukurti sprendimą, kad laiško siuntėjas atrodytų kaip konkreti duomenis renkanti įstaiga, tačiau pasirinkus į laišką atsakyti, jau bus „rašomas“ laiškas kitu elektroniniu adresu ir tai gali pastebėti ne visi vartotojai. Gavus asmeninių duomenų, jie gali būti naudojami ne tik paskoloms paimti.
„Galima neimti paskolos, bet išsinuomoti automobilį Ispanijoje ir jo negrąžinti. Tarptautiniai vagys randa būdų, kaip pasinaudoti asmens duomenimis, – kalbėjo M. Pareščius. – Bankai tai daro, bet arba savo filiale, arba per elektroninę bankininkystę.“ Jis sako tokį laišką taip pat gavęs ir savo duomenų nesiųsiąs.