Valsts policija pabeigusi izmeklēšanu par pašvaldību datu noplūdi
Valsts policija (VP) krimināllietā par pašvaldību datu noplūdi rosinājusi prokuratūrai apsūdzēt SIA "ZZ Dats" darbinieku un ir sākts process par piespiedu ietekmēšanas līdzekļa piemērošanu uzņēmumam.
Šis ir pirmais gadījums, kad Valsts policija (VP) ierosina prokuratūru sākt kriminālvajāšanu pret datorsistēmu administratoru, kurš ir atbildīgs par informācijas sistēmas drošības noteikumu ievērošanu, kā arī pret uzņēmumu, kas ir Nacionālā kiberdrošības likuma subjekts, informēja VP.
2024. gada 29. oktobrī "ZZ Dats" uzturētajā vienotajā Latvijas pašvaldību datu sistēmā notika kiberincidents, kura rezultātā vairākas dienas bija pieejami visu Latvijas pašvaldību, izņemot Rīgas pašvaldību, dati, kas ir aizsargāta informācija.
Izmeklēšanā konstatēts, ka cēlonis bija "ZZ Dats" sistēmas ugunsmūra konfigurācijas kļūda, kas ļāva trešajām personām, tostarp no ārvalstīm, patvaļīgi piekļūt sistēmas resursiem un lejupielādēt 33,2 miljonus ierakstu, tajā skaitā 25,2 miljonus fizisko personu aktuālo un vēsturisko datu, informēja policija.
Kiberincidents tika atklāts un novērsts pēc tam, kad tika saņemts ārējā drošības pētnieka paziņojums.
2024. gada decembrī "ZZ Dats" telpās veiktās procesuālās darbības apliecināja, ka kiberincidenta cēlonis bija atbildīgā darbinieka darbības, kuru rezultātā netika ievērotas minimālās kiberdrošības prasības un 42 Latvijas pašvaldību dati kļuva pieejami trešajām personām. Izmeklēšanā konstatēts, ka noziedzīgais nodarījums izdarīts uzņēmuma nepietiekamas pārraudzības rezultātā, teikts policijas paziņojumā medijiem.
Izmeklēšanas laikā konstatēts, ka nespēja savlaicīgi konstatēt datu noplūdi saistāma ar uzņēmuma nepietiekamu tehnisko un organizatorisko pasākumu kopumu, neieviešot atbilstošus risku pārvaldības pasākumus attiecībā uz ugunsmūra konfigurācijas kārtību un kontroli, kas novērstu vai maksimāli ierobežotu informācijas drošības riskus un nodrošinātu sistēmā glabāto datu konfidencialitāti.
Nodarījums kvalificēts atbilstoši Krimināllikuma pantam par informācijas sistēmas drošības noteikumu pārkāpšanu, ko izdarījusi persona, kura ir atbildīga par šo noteikumu ievērošanu, ja tas bijis par iemeslu informācijas nolaupīšanai, ja ar to radīts būtisks kaitējums.
Vienai personai piemērots aizdomās turētā statuss un sākts process par piespiedu ietekmēšanas līdzekļa piemērošanu juridiskajai personai.
2026. gada janvārī VP Kibernoziegumu apkarošanas pārvaldes 1. nodaļa nosūtīja kriminālprocesu prokuratūrai kriminālvajāšanas sākšanai.
Vienlaikus patlaban tiek turpināta pirmstiesas izmeklēšana izdalītā kriminālprocesā par patvaļīgu piekļuvi automatizētajai datu apstrādes sistēmai, kā rezultātā radīts būtisks kaitējums.
Jau ziņots, ka Datu valsts inspekcija "ZZ Dats" pērn rudenī piemēroja 300 000 eiro sodu saistībā ar 2024. gadā konstatēto pašvaldību datu noplūdi, bet uzņēmums lēmumu pārsūdzējis tiesā.
"ZZ Dats" direktors un līdzīpašnieks Edžus Žeiris iepriekš norādīja, ka dzīvojam realitātē, kur kiberincidentu draudi pieaug katru dienu. Viņš uzsvēra, ka kopš notikušā "ZZ Dats" ir būtiski stiprinājis pašvaldību sistēmu kiberdrošību un samazinājis nākotnes riskus.
Tāpat uzņēmums veicis vairākus ārējos auditus, tostarp kopā ar profesionālo pakalpojumu un konsultāciju uzņēmumu "PricewaterhouseCoopers" un citiem partneriem, lai pārliecinātos par ieviesto drošības pasākumu kvalitāti.
"ZZ Dats" 2024. gadā strādāja ar 17,662 miljonu eiro apgrozījumu un 3,495 miljonu eiro peļņu.
Kompānija "ZZ Dats" reģistrēta 1995. gadā, un uzņēmuma pamatkapitāls ir 40 000 eiro. "ZZ Dats" kapitālā 75% īpašniece ir Inga Ziema, bet 25% pieder Edžum Žeirim.
