Aktuali informacija dėl VRM informacinių sistemų ir registrų

Ar šiuo metu VRM registrai ir informacinės sistemos yra saugūs?

✅ TAIP 

VRM registruose ir informacinėse sistemose laikomi gyventojų duomenys, įskaitant biometrinius, nebuvo pažeisti, šiuo metu nėra nustatyta požymių, kurie rodytų vidaus reikalų srities registrų pažeidimą ar kritinių informacinių sistemų veiklos sutrikdymą.

VRM valdomose ir IRD tvarkomose el. pašto sistemose dviguba autentifikacija buvo įdiegta 2026 m. I–II ketvirtį. Šie sprendimai buvo įgyvendinti anksčiau, nei atitinkami reikalavimai taps privalomi visam viešajam sektoriui (techninių kibernetinio saugumo reikalavimų įgyvendinimo terminas – iki 2027 m. balandžio 17 d.).

Ar IRD įgyvendina kibernetinio saugumo reikalavimus?

✅ TAIP

IRD yra viena iš nedaugelio Lietuvos institucijų, kuri dar 2024 m. įsteigė specializuotą Saugumo operacijų padalinį (SOC), vykdantį nuolatinę informacinių sistemų ir tinklų stebėseną bei incidentų analizę. NKSC Kibernetinio saugumo informacinėje sistemoje (KSIS) deklaravus atitiktį organizaciniams kibernetinio saugumo reikalavimams, nustatyta 96 procentų IRD atitiktis.

Ar VRM įgyvendino 2022 m. NKSC teiktas rekomendacijas dėl VRM įstaigų infrastruktūros kibernetinio saugumo?

✅ TAIP

2022 m. gavus NKSC (Nacionalinio kibernetinio saugumo centro prie KAM) rekomendacijas, buvo parengtas ir su NKSC suderintas Kibernetinio saugumo rizikų valdymo planas. Dalies priemonių įgyvendinimo terminai, kuriems reikėjo didelių investicijų, NKSC pritarimu buvo pratęsti. Iki šiol įgyvendinta didžioji dalis plane numatytų organizacinių ir techninių priemonių – apie 80 proc. NKSC buvo raštu informuotas apie pažangą. Dalies techninių sprendimų įgyvendinimas priklausė nuo papildomo finansavimo, kuris buvo skirtas tik 2025 m. Perskirsčius lėšas, IRD nedelsdamas pradėjo viešuosius pirkimus ir el. pašto sistemos migravimo į saugesnę MS infrastruktūrą projektą.

Ar buvo skirta pakankamai lėšų kibernetiniam saugumui?

❌ NE

Įsigaliojus naujos redakcijos Kibernetinio saugumo įstatymui, papildomas finansavimas reikalingoms priemonėms nebuvo skirtas. Priešingai, bendrame viešojo sektoriaus kontekste finansiniai ištekliai buvo sumažinti 5 proc., nors nauji reikalavimai institucijoms didėjo.

Kokių priemonių imtasi stiprinant VRM kibernetinį saugumą?

VRM nuosekliai stiprina savo valdomų informacinių sistemų ir registrų kibernetinį saugumą: vykdoma nuolatinė informacinių sistemų ir tinklų stebėsena, įdiegtas saugumo įvykių stebėsenos ir valdymo sprendimas (SIEM); IRD įsteigtas Saugumo operacijų skyrius (SOC), prisijungta prie bendro su NKSC saugumo operacijų centrų vystymo projekto; reguliariai vykdomi pažeidžiamumų skenavimai; naudojami grėsmių žvalgybos ir ankstyvojo perspėjimo sprendimai; taikoma papildoma prieigos kontrolė ir geografiniai prisijungimų ribojimai; stiprinama saugos įvykių analitikos bazė; nuolat vykdomi darbuotojų mokymai ir socialinės inžinerijos pratybos; įdiegta dviguba autentifikacija el. pašto sistemose.

Ką padarė vidaus reikalų ministras stiprinant VRM sistemų saugumą?

2025 m. IRD perskirsčius lėšas ir prioritetus, vidaus reikalų ministro sprendimu buvo dedikuotas papildomas finansavimas ir įvykdytas viešasis pirkimas elektroninio pašto sistemų migravimo paslaugoms įsigyti, suplanuotas MS Exchange on premisses Hybryd sprendimo migravimo procesas į MS Exchange online. 2026 m. vasarį pradėtas planuotas migravimo procesas, kuris 2026 m. birželį buvo sėkmingai užbaigtas.

Ar elektroninis paštas yra tas pats, kas valstybės informacinė sistema ar registras?

❌ NE.

Elektroninis paštas yra darbinė komunikavimo priemonė. Valstybės registras ar valstybės informacinė sistema yra valstybės informaciniai ištekliai, skirti duomenims, taip pat ir asmens duomenims, duomenų bazėms tvarkyti. Elektroninio pašto paskyros kompromitavimas ir įsilaužimas į valstybės IS ar registrą yra skirtingo kritiškumo incidentai. Šių incidentų rizika, poveikis ir teisinis vertinimas nėra tapatūs.

Ar naudotojų paskyrų užvaldymas yra retas reiškinys?

❌ NE.

Elektroninio pašto paskyrų kompromitavimas, naudotojų paskyrų (angl. Account) užvaldymas išlieka pagrindinis įsilaužimo būdas. 2025 m. NKSC nustatė daugiau nei 106 tūkst. nutekintų prisijungimo duomenų, identifikuotų viešuose ir uždaruose informacijos šaltiniuose, iš 221 organizacijos. Todėl pats paskyrų užvaldymo faktas nėra išskirtinis reiškinys – svarbiausia vertinti, kokias pasekmes tai sukėlė ir ar buvo pažeistos informacinės sistemos, registrai bei duomenys. Šiuo metu svarbu nustatyti, ar prie RC registrų nebuvo neteisėtai prisijungta ir iš kitų organizacijų sukompromituotų paskyrų.

NKSC ataskaita https://www.nksc.lt/doc/Nacionaline-kibernetinio-saugumo-ataskaita-2025.pdf

Ar visada tokiais atvejais pradedamas ikiteisminis tyrimas?

❌ NE.

Ikiteisminis tyrimas pradedamas atsižvelgiant į įtariamos nusikalstamos veikos pobūdį, žalą ir kitas reikšmingas aplinkybes.

Ar buvo užvaldyti ne tik Registrų centro, bet ir VRM registrai?

❌ NE

Šiuo metu nėra nustatyta požymių, kad būtų pažeisti VRM valdomi registrai. Taip pat nėra nustatyta požymių, kad būtų sutrikdytas VRM kritinių sistemų veikimas.

Nustatytas galimas atskirų el. pašto paskyrų kompromitavimas, kuris galėjo būti įvykdytas socialinės inžinerijos metodais (phishing). Kiekvienas toks konkretus atvejis yra individualiai tikrinamas. Neteisėta prieiga prie el. pašto paskyrų nėra tapati valstybės registro ar informacinės sistemos paskyros pažeidimui.

Ar buvo nutekinti duomenys iš VRM registrų ar informacinių sistemų?

❌ NE

Šiuo metu nėra duomenų, leidžiančių teigti, kad asmens duomenys buvo nutekinti iš VRM valdomų registrų ar informacinių sistemų.

Viešai aptariami Nekilnojamojo turto registro ir kiti duomenys buvo nutekinti (pavogti) iš Registrų centro tvarkomų registrų. Dėl šios priežasties sprendimai dėl incidento viešinimo, duomenų subjektų informavimo ir tolesnės komunikacijos, vadovaujantis Bendruoju duomenų apsaugos reglamentu, priklauso duomenų valdytojui Teisingumo ministerijai ir (arba) duomenų tvarkytojui Registrų centrui.

Ar buvo galima išvengti duomenų nutekėjimo iš Registrų centro tvarkomų registrų?

✅ TAIP

Sutartyje tarp VRM ir Registrų centro buvo numatytos papildomos techninės apsaugos priemonės, įskaitant prieigos kontrolę pagal iš anksto nustatytus IP adresus. Registrų centro pareiga užtikrinti, kad Migracijos departamento darbuotojų prisijungimai būtų vykdomi tik iš konkrečių Migracijos departamento tinklo IP adresų. Jeigu Registrų centras laiku taikytų šią sutartyje numatytą kontrolę, prieiga prie registrų būtų buvusi galima tik iš sutartyje nurodytų IP adresų. Prisijungimai iš neleistinų adresų, įskaitant užsienio valstybių IP adresus, nebūtų galėję pasiekti Registrų centro sistemų. Tik po incidento, 2026 m. balandžio 8 d. Registrų centras raštu informavo VRM ir IRD, kad aktyvavo šią apsaugos priemonę – nuo tada prisijungimai leidžiami tik iš sutartyje nurodytų IP adresų, o įtartini ir galimai kenkėjiški adresai yra blokuojami.

Ar buvo galima Registrų centro incidentą pastebėti anksčiau?

✅ TAIP

Jei Registrų centre būtų veikusi pažangesnė prieigų valdymo sistema, būtų vykdoma anomalijų stebėsena, prisijungimai nedarbo ir nakties metu, neįprastas prisijungimų aktyvumas ir konkrečiam vartotojui nebūdingas duomenų siuntimosi mastas galėjo būti pastebėti anksčiau. Šiuo atveju incidentas buvo nustatytas ne automatinių kontrolės priemonių dėka, o dėl gyventojų pranešimų apie jų pastebėtus neįprastus asmens duomenų peržiūros atvejus Registrų centro teikiamuose išrašuose.

Ar buvo galima anksčiau informuoti Registrų centro tvarkomų duomenų subjektus (gyventojus, kurių asmens duomenys dėl šio incidento buvo neteisėtai atskleisti)?

✅ TAIP

Už duomenų subjektų informavimą atsakinga pažeistų registrų valdytoja Teisingumo ministerija ir (arba)jos įgaliotas tvarkytojas Registrų centras. Pats Registrų centras pripažino, kad Generalinė prokuratūra jam nebuvo uždraudusi informuoti gyventojus apie jų duomenų atskleidimą. Registrų centro teigimu, po prokuratūros atsakymo buvo rengiamas techninis sprendimas, leidžiantis identifikuoti ir informuoti didelį kiekį galimai nukentėjusių asmenų. Valstybinė duomenų apsaugos inspekcija nurodė, kad apie asmens duomenų saugumo pažeidimą jai buvo pranešta 2026 m. gegužės 7 d., o gyventojus Registrų centras buvo įpareigotas informuoti iki gegužės 27 d. Įrankis gyventojams pasitikrinti, ar jų duomenys buvo atskleisti, pradėjo veikti gegužės 25 d. Todėl vertinant BDAR nustatytą pareigą valdytojui nedelsiant informuoti duomenų subjektus, yra pagrįstų klausimų, ar nukentėję gyventojai negalėjo būti informuoti anksčiau, ypač turint omenyje, kad apie galimą incidentą institucijoms buvo žinoma dar balandžio pradžioje.

Ar institucijos turėjo visą informaciją apie Registrų centro incidentą?

❌ NE

Nei VRM, nei IRD ar Migracijos departamentas nedisponuoja Registrų centro prieigų valdymo sistemos ar audito sistemos duomenimis. Kol nebuvo gauti Registrų centro atsakymai į IRD paklausimus, nei VRM, nei IRD neturėjo galimybių savarankiškai nustatyti visų incidento aplinkybių ir apskritai identifikuoti galimo saugumo pažeidimo faktą. Todėl siekiant išsiaiškinti incidento aplinkybes, IRD 2026-03-05 kreipėsi į Registrų centrą dėl informacijos pateikimo. Prašoma informacija buvo gauta 2026-03-25. 

Ar iki incidento viešinimo NKSC teikė su incidentu susijusią informaciją VRM ar IRD?

❌ NE

VRM infrastruktūroje jau kelerius metus veikia NKSC stebėsenos sensoriai. Tačiau 2025–2026 m. laikotarpiu VRM ar IRD negavo jokios  informacijos apie šių sensorių identifikuotas konkrečias rizikas ar įtartiną veiklą. 2026-05-27 Informatikos ir ryšių departamentas kreipėsi į NKSC dėl tarnybinės pagalbos, NKSC paskyrė ekspertus, buvo sutarta dėl papildomo pažeidžiamumų skenavimo.

Kodėl VRM anksčiau neviešino informacijos apie Registrų centro incidentą?

Pareiga informuoti visuomenę apie Nekilnojamojo turto registro duomenų galimą nutekinimą priklauso duomenų valdytojai Teisingumo ministerijai ir (arba) jos įgaliotam duomenų tvarkytojui Registrų centrui.

VRM neturėjo ir neturi duomenų, kad incidentas būtų susijęs su duomenų nutekinimu iš VRM valdomų registrų ar informacinių sistemų.