Рига: -5.6°С
Беспрецедентный шаг в сфере кибербезопасности
Государственная полиция Латвии обратилась в прокуратуру с призывом начать уголовное преследование в отношении администратора компьютерных систем компании ZZ Dats, а также самого предприятия, как субъекта Закона о национальной кибербезопасности. Это решение знаменует собой первый случай в латвийской юридической практике, когда правоохранительные органы инициируют уголовное преследование против системного администратора, ответственного за соблюдение правил безопасности информсистемы, и связанной с этим компании, как сообщает портал LSM+.
Поводом послужил крупный киберинцидент, произошедший еще в конце октября 2024 года. В результате сбоя в Единой информационной системе самоуправлений (ЕИС), которую обслуживала SIA «ZZ Dats», критическая уязвимость позволила третьим лицам в течение нескольких дней несанкционированно получать и скачивать конфиденциальную информацию.
Масштабы утечки и источник проблемы
Как установило следствие, утечке подверглись колоссальные 33,2 миллиона наборов данных, принадлежащих латвийским самоуправлениям. Эта информация включала защищенные персональные данные жителей. Инцидент затронул 42 муниципалитета Латвии; Рижское самоуправление, по имеющимся данным, в список пострадавших не вошло.
Основной причиной инцидента была названа ошибка конфигурации межсетевого экрана (брандмауэра) системы компании «ZZ Dats». Согласно результатам процессуальных действий, проведенных в офисе компании в декабре 2024 года, киберинцидент стал следствием несоблюдения ответственным сотрудником минимальных требований кибербезопасности. Более того, следствие выявило недостаточный надзор со стороны руководства предприятия, что позволило такой грубой ошибке произойти и долгое время оставаться незамеченной.
В руки третьих лиц, в том числе из-за рубежа, попали 25,2 миллиона записей, содержащих актуальную и историческую информацию о физических лицах. Утечка была устранена только после уведомления, полученного от независимого внешнего исследователя в области безопасности.
Юридическая квалификация и прецедент
Действия, повлекшие утечку данных, были квалифицированы по статье 245 Уголовного закона Латвии. Речь идет о нарушении правил безопасности информационной системы лицом, обязанным их соблюдать, если это привело к хищению информации и причинило существенный ущерб. Привлечение к уголовной ответственности не только администратора, но и самого предприятия как субъекта Закона о национальной кибербезопасности, подчеркивает серьезность подхода правоохранительных органов к инцидентам такого масштаба.
Этот случай отличается и с точки зрения административной ответственности. Ранее Государственная инспекция данных (ГИД) уже наложила на «ZZ Dats» административный штраф в размере 300 000 евро за несоблюдение обязательств в соответствии со статьей 32 Общего регламента по защите данных (GDPR). Однако компания обжаловала это решение в Рижском городском суде.
Контекст и последствия для кибербезопасности
Масштабная утечка затрагивает важный аспект доверия к поставщикам ИТ-услуг, особенно тем, которые оперируют критически важными государственными данными. Единая система самоуправлений является ключевым элементом цифровой инфраструктуры регионального управления Латвии. Недостаточность технических и организационных мер, а также отсутствие должной системы управления рисками в настройке и контроле межсетевого экрана, стали, по мнению следствия, прямыми предпосылками для катастрофического исхода.
Теперь, когда материалы переданы в прокуратуру, общественность ожидает развития событий, которое может установить новые стандарты ответственности для ИТ-компаний в стране, работающих с чувствительной информацией. Этот прецедент, несомненно, послужит уроком для всего сектора, требуя более строгого соблюдения протоколов кибергигиены и более жесткого внутреннего контроля.
Следите за новостями на других платформах: