Рига: -11.9°С
Передача дела в прокуратуру: новый этап в расследовании крупной утечки
Государственная полиция Латвии завершила расследование резонансного инцидента, связанного с утечкой конфиденциальных данных из Единой системы самоуправлений, и передала материалы уголовного дела в Генеральную прокуратуру. Это решение знаменует собой начало этапа, на котором будет решаться вопрос о привлечении к уголовной ответственности как конкретного сотрудника, так и обслуживающее предприятие SIA «ZZ Dats».
Инцидент, произошедший в конце октября 2024 года, стал одним из самых масштабных нарушений кибербезопасности в сфере государственных данных Латвии. В результате критической уязвимости, вызванной ошибкой конфигурации межсетевого экрана (брандмауэра) в системе, которой управляла «ZZ Dats», в течение нескольких дней в открытом доступе оказались защищенные сведения жителей 42 муниципалитетов страны. Утечка не затронула только Рижское самоуправление.
Масштаб ущерба и установленные причины
По данным следствия, в результате киберинцидента третьи лица, включая пользователей из-за рубежа, смогли несанкционированно скачать колоссальный объем информации: было извлечено 33,2 миллиона записей. Эти записи включали как актуальные, так и исторические данные физических лиц — в общей сложности 25,2 миллиона записей, что вызвало серьезные опасения по поводу конфиденциальности личной информации.
Процессуальные действия, проведенные в помещениях компании «ZZ Dats» в декабре 2024 года, позволили установить корень проблемы. Следствие пришло к выводу, что непосредственной причиной стала халатность ответственного сотрудника, который не обеспечил соблюдение минимальных требований кибербезопасности. Более того, расследование выявило и системный провал: недостаточный надзор со стороны руководства компании и отсутствие своевременных мер по обнаружению уязвимости.
Прецедентное уголовное преследование
Передача дела в прокуратуру является знаковым событием, поскольку Госполиция инициирует уголовное преследование не только в отношении системного администратора, но и в отношении самой компании, которая является субъектом Закона о национальной кибербезопасности. Деяние квалифицировано по статье 245 Уголовного закона Латвии, которая предусматривает ответственность за нарушение правил безопасности информационной системы лицом, ответственным за их соблюдение, при условии причинения существенного ущерба, как это произошло в данном случае с хищением информации.
Эксперты отмечают, что это первый случай, когда правоохранительные органы Латвии требуют привлечь к уголовной ответственности администратора компьютерных систем на таком высоком уровне ответственности за нарушение регламентов безопасности. Это подчеркивает серьезность, с которой государство намерено подходить к защите критической инфраструктуры и персональных данных.
Административные санкции и дальнейшие шаги
Помимо потенциального уголовного преследования, компания «ZZ Dats» уже столкнулась с серьезными административными мерами. Государственная инспекция данных ранее наложила на предприятие штраф в размере 300 000 евро в связи с произошедшим. Стоит отметить, что сумма этого штрафа была оспорена компанией в судебном порядке.
В контексте текущего развития событий, стало известно о начале процесса о применении принудительной меры воздействия к самому предприятию. Хотя детали этой меры пока могут быть не полностью раскрыты публично, введение принудительных мер в отношении субъекта Закона о национальной кибербезопасности является дополнительным давлением, направленным на ужесточение контроля за их деятельностью и предотвращение повторных инцидентов. Прокуратуре предстоит оценить все собранные доказательства и принять решение о выдвижении обвинений.
Общий контекст кибербезопасности в стране
Данный инцидент привлек широкое внимание общественности и органов власти к уязвимостям в цепочке поставщиков услуг по управлению данными для государственного сектора. В Латвии, как и во многих других странах, растет понимание того, что аутсорсинг критических IT-функций требует не только строжайшего соблюдения технических стандартов, но и адекватного внутреннего контроля и надзора на уровне руководства. Решение прокуратуры по этому делу, несомненно, послужит важным правовым прецедентом для будущих разбирательств, касающихся кибербезопасности и защиты данных.
Следите за новостями на других платформах: