Aktuali informacija dėl VRM informacinių sistemų ir registrų

DAŽNIAUSIAI UŽDUODAMI KLAUSIMAI

I DALIS. VRM INFORMACINIŲ SISTEMŲ BŪKLĖ

1. Ar šiuo metu VRM informacinės sistemos yra saugios?

✅ TAIP.

VRM informacinėse sistemose laikomi gyventojų biometriniai duomenys nebuvo pažeisti, o šiuo metu nėra nustatyta požymių, kurie rodytų vidaus reikalų srities registrų pažeidimą ar kritinių informacinių sistemų veiklos sutrikdymą. VRM valdomose ir IRD (Informatikos ir ryšių departamento prie VRM) prižiūrimose el. pašto sistemose dviguba autentifikacija buvo įdiegta 2026 m. I–II ketvirtį. Šie sprendimai buvo įgyvendinti anksčiau, nei atitinkami reikalavimai taps privalomi visam viešajam sektoriui.

2. Ar VRM įgyvendino 2022 m. NKSC teiktas rekomendacijas dėl VRM įstaigų infrastruktūros kibernetinio saugumo?

✅ TAIP.

2022 m. gavus NKSC (Nacionalinio kibernetinio saugumo centro prie KAM) rekomendacijas, buvo parengtas ir su NKSC suderintas Kibernetinio saugumo rizikų valdymo planas. Dalies priemonių įgyvendinimo terminai, kuriems reikėjo didelių investicijų, NKSC pritarimu buvo pratęsti. Iki šiol įgyvendinta didžioji dalis plane numatytų organizacinių ir techninių priemonių – apie 80 proc. Visą laiką NKSC buvo reguliariai informuojamas apie pažangą. Dalies techninių sprendimų įgyvendinimas priklausė nuo papildomo finansavimo, kuris buvo skirtas tik 2025 m. Gavęs lėšas, IRD nedelsdamas pradėjo viešuosius pirkimus ir el. pašto sistemos perkėlimo į saugesnę aplinką projektą.

3. Ar buvo skirta pakankamai lėšų kibernetiniam saugumui?

❌ NE.

Įsigaliojus naujos redakcijos Kibernetinio saugumo įstatymui, papildomas finansavimas reikalingoms priemonėms nebuvo skirtas. Priešingai, bendrame viešojo sektoriaus kontekste finansiniai ištekliai buvo sumažinti 5 proc., nors nauji reikalavimai institucijoms didėjo.

4. Ar el. pašto paskyra = valstybės IS ar registro paskyra?

❌ NE.

El. paštas yra darbinė komunikacijos priemonė.

Valstybės registras ar valstybės informacinė sistema yra valstybės informaciniai ištekliai, skirti duomenims, taip pat ir asmens duomenims, duomenų bazėms tvarkyti.

Gavus prieigą prie valstybės IS ar registro paskyros, gali būti pasiekiami registruose saugomi duomenys ar atliekami veiksmai su valstybės informaciniais ištekliais.

Esant dabartinei geopolitinei situacijai, kibernetinės atakos tapo kasdienybe. Neteisėta prieiga prie el. pašto paskyrų yra viena dažniausių kibernetinių grėsmių pasaulyje. NKSC 2025 m. nustatė daugiau kaip 106 000 nutekintų prisijungimo duomenų 221 organizacijoje. Todėl svarbiausia vertinti ne patį paskyros užvaldymo faktą, o tai, ar buvo pasiekti registruose saugomi duomenys.

NKSC ataskaita – https://www.nksc.lt/doc/Nacionaline-kibernetinio-saugumo-ataskaita-2025.pdf

5. Kokių priemonių imtasi stiprinant VRM kibernetinį saugumą?

➡️VRM nuosekliai stiprina savo valdomų informacinių sistemų ir registrų kibernetinį saugumą: vykdoma nuolatinė informacinių sistemų ir tinklų stebėsena, įdiegtas saugumo įvykių stebėsenos ir valdymo sprendimas; IRD įsteigtas Saugumo operacijų padalinys (SOC), prisijungta prie bendro su NKSC saugumo operacijų centrų vystymo projekto; reguliariai atliekami pažeidžiamumų vertinimai ir saugumo testavimai; naudojami grėsmių žvalgybos ir ankstyvojo perspėjimo sprendimai; taikoma papildoma prieigos kontrolė ir geografiniai prisijungimų ribojimai; stiprinama saugos įvykių analitikos bazė; nuolat vykdomi darbuotojų mokymai ir socialinės inžinerijos pratybos; įdiegta dviguba autentifikacija el. pašto sistemose.

6. Ar IRD įgyvendina kibernetinio saugumo reikalavimus?

✅ TAIP.

IRD yra viena iš nedaugelio Lietuvos institucijų, kuri dar 2024 m. įsteigė specializuotą Saugumo operacijų padalinį (SOC), vykdantį nuolatinę informacinių sistemų ir tinklų stebėseną bei incidentų analizę. NKSC Kibernetinio saugumo informacinėje sistemoje deklaravus atitiktį organizaciniams kibernetinio saugumo reikalavimams, nustatyta 96 procentų IRD atitiktis.

7. Ką padarė vidaus reikalų ministras stiprinant VRM sistemų saugumą?

➡️2025 m. vidaus reikalų ministro sprendimu buvo skirtas papildomas finansavimas ir įvykdytas viešasis pirkimas el. pašto sistemų migravimo paslaugoms įsigyti. 2026 m. vasarį pradėtas planuoti migravimo procesas, kuris 2026 m. birželį buvo sėkmingai užbaigtas. Po nustatyto kibernetinio incidento vidaus reikalų ministras taip pat sudarė Tinklų ir informacinių sistemų veiklos tęstinumo užtikrinimo grupę, pavedė įvertinti kibernetines rizikas ir pateikti rekomendacijas. Buvo sustiprinta sistemų stebėsena, pradėtas nepriklausomas auditas, pasitelkti NKSC ekspertai bei įgyvendintos papildomos prisijungimų kontrolės ir apsaugos nuo „phishing“ atakų priemonės.

II DALIS. REGISTRŲ CENTRO INCIDENTAS

8. Ar buvo užvaldyti VRM registrai?

❌ NE.

Šiuo metu nėra nustatyta požymių, kad būtų pažeisti VRM valdomi registrai. Taip pat nėra nustatyta požymių, kad būtų sutrikdytas šių sistemų veikimas.

Nustatytas galimas atskirų el. pašto paskyrų įtariamas kompromitavimas (t. y. kai atsiranda požymiai, kad el. pašto paskyros prisijungimo duomenys galėjo tapti prieinami tretiesiems asmenims), kuris galėjo įvykti socialinės inžinerijos metodais. Kiekvienas toks konkretus atvejis yra individualiai tikrinamas. Neteisėta prieiga prie el. pašto paskyrų nėra tapati valstybės registro ar informacinės sistemos paskyros pažeidimui.

9. Ar buvo nutekinti duomenys iš VRM registrų ar informacinių sistemų?

❌ NE.

Šiuo metu nėra duomenų, leidžiančių teigti, kad asmens duomenys buvo nutekinti iš VRM valdomų registrų ar informacinių sistemų.

Viešai aptariami duomenys buvo galimai nutekinti (galimai pavogti) tik iš Registrų centro tvarkomų registrų. Dėl šios priežasties sprendimai dėl incidento viešinimo, duomenų subjektų informavimo ir tolesnės komunikacijos, pagal BDAR, priklauso duomenų valdytojui Teisingumo ministerijai ir (arba) duomenų tvarkytojui Registrų centrui.

10. Ar buvo galima išvengti galimo duomenų nutekėjimo iš Registrų centro tvarkomų registrų?

✅ TAIP.

Sutartyje tarp VRM ir Registrų centro buvo numatytos papildomos techninės apsaugos priemonės, įskaitant prieigos kontrolę pagal iš anksto nustatytus IP adresus. Registrų centro pareiga užtikrinti, kad Migracijos departamento darbuotojų prisijungimai būtų vykdomi tik iš konkrečių Migracijos departamento tinklo IP adresų. Jeigu Registrų centras laiku taikytų šią sutartyje numatytą kontrolę, prieiga prie registrų būtų buvusi galima tik iš sutartyje nurodytų IP adresų. Prisijungimai iš neleistinų adresų, įskaitant užsienio valstybių IP adresus, nebūtų galėję pasiekti Registrų centro sistemų. Tik po incidento, 2026 m. balandžio 8 d. Registrų centras reaktyvavo šią apsaugos priemonę – nuo tada prisijungimai leidžiami tik iš sutartyje nurodytų IP adresų, o įtartini ir galimai kenkėjiški adresai yra blokuojami. Paprastai tariant, prie Registrų centro registrų sistemos dabar galima jungtis tik iš oficialaus Migracijos departamento kompiuterių tinklo.

11. Ar buvo galima Registrų centro incidentą pastebėti anksčiau?

✅ TAIP.

Jei Registrų centre būtų veikusi pažangesnė prieigų valdymo sistema, būtų vykdoma anomalijų stebėsena, prisijungimai nedarbo ir nakties metu, neįprastas prisijungimų ir konkrečiam vartotojui nebūdingas duomenų užklausų aktyvumas, galėjo būti pastebėta anksčiau. Šiuo atveju incidentas buvo nustatytas ne automatinių kontrolės priemonių dėka, o dėl aktyvių piliečių pranešimų apie jų pastebėtus neįprastus asmens duomenų peržiūros atvejus.

12. Ar buvo galima anksčiau informuoti Registrų centro incidento duomenų subjektus (gyventojus, kurių asmens duomenys dėl šio incidento buvo atskleisti)?

✅ TAIP.

Už duomenų subjektų informavimą atsakingas registrų valdytojas Teisingumo ministerija ir (arba) tvarkytojas Registrų centras. Pats Registrų centras pripažino, kad Generalinė prokuratūra jam nebuvo uždraudusi informuoti gyventojus apie jų duomenų atskleidimą. Registrų centro teigimu, po prokuratūros atsakymo buvo rengiamas techninis sprendimas, leidžiantis identifikuoti ir informuoti didelį kiekį galimai nukentėjusių asmenų. Valstybinė duomenų apsaugos inspekcija nurodė, kad apie asmens duomenų saugumo pažeidimą jai buvo pranešta 2026 m. gegužės 7 d., o gyventojus Registrų centras buvo įpareigotas informuoti iki gegužės 27 d. Įrankis gyventojams pasitikrinti, ar jų duomenys buvo atskleisti, pradėjo veikti gegužės 25 d. Todėl vertinant vien BDAR nustatytą pareigą informuoti duomenų subjektus, egzistuoja pagrįstų klausimų, ar nukentėję gyventojai negalėjo būti informuoti anksčiau, ypač turint omenyje, kad apie galimą incidentą institucijoms buvo žinoma dar balandžio pradžioje.

13. Ar institucijos turėjo visą informaciją apie Registrų centro incidentą?

❌ NE.

Nei VRM, nei IRD, nei MD, nedisponuoja Registrų centro prieigų valdymo sistemos ar audito sistemos duomenimis. Kol nebuvo gauti Registrų centro atsakymai į IRD paklausimus, nei VRM, nei IRD neturėjo galimybių savarankiškai nustatyti visų incidento aplinkybių ir apskritai identifikuoti galimo saugumo pažeidimo faktą. Todėl siekiant išsiaiškinti incidento aplinkybes, IRD 2026-03-05 kreipėsi į Registrų centrą dėl informacijos pateikimo. Prašoma informacija buvo gauta 2026-03-25.

14. Ar iki incidento viešinimo vyko duomenų apsikeitimas ir bendradarbiavimas su NKSC?

✅ TAIP.

VRM infrastruktūroje jau kelerius metus veikia NKSC stebėsenos priemonės ir sensoriai. Tačiau 2025–2026 m. laikotarpiu VRM negavo informacijos apie konkrečias rizikas ar įtartiną veiklą. 2026-05-27 Informatikos ir ryšių departamentas kreipėsi į NKSC dėl tarnybinės pagalbos, NKSC paskyrė ekspertus, buvo sutarta dėl papildomo pažeidžiamumų skenavimo.

15. Kodėl VRM anksčiau neviešino informacijos apie Registrų centro incidentą?

➡️ Pareiga informuoti visuomenę apie Nekilnojamojo turto registro duomenų galimą nutekinimą priklauso duomenų valdytojui Teisingumo ministerijai ir (arba) duomenų tvarkytojui Registrų centrui.

VRM neturėjo ir neturi duomenų, kad incidentas būtų susijęs su duomenų nutekinimu iš VRM registrų ar informacinių sistemų.