2026 m. birželio 19 d. Valstybinė duomenų apsaugos inspekcija (VDAI) priėmė sprendimą, kuris turėtų tapti perspėjimu visam Lietuvos verslui ir viešajam sektoriui: UAB „InMedica“ (perėmusiai UAB „Kardiolita“ teises ir pareigas) paskirta 450 000 EUR administracinė bauda už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus.
Tai – viena didžiausių baudų, kada nors skirtų Lietuvoje pagal BDAR, ir ji iš esmės kyla iš techniškai paprastos, bet sistemiškai ignoruojamos spragos: nebuvo kelių veiksnių autentifikavimo (MFA).
Kas nutiko ir kodėl skirta bauda
VDAI sprendimas apima du atskirus asmens duomenų saugumo pažeidimus. Pirmasis įvyko 2024 m. rugsėjį, kai trečiasis asmuo, tamsiajame internete radęs UAB „Kardiolita" darbuotojos prisijungimo duomenis, neteisėtai prisijungė prie pacientų informacinės sistemos per išorinį tinklą. Sistemai pakako vien prisijungimo vardo ir slaptažodžio – jokios papildomos apsaugos nebuvo.
Antrasis incidentas įvyko 2025 m. spalį, kai išpirkos reikalaujančios atakos metu trečiasis asmuo prisijungė prie UAB „InMedica“ serverio, naudodamasis privilegijuotą prieigą turinčia administratoriaus paskyra, kuri buvo sukurta dar 2023 m. ir realiai nenaudojama. Buvo užšifruotos keturios bendrovės sistemos su beveik 383 000 pacientų ir 10 000 darbuotojų duomenimis.






