Par liela mēroga pašvaldību datu noplūdi apsūdzēts kāds "ZZ Dats" darbinieks
Lietā par pašvaldību datu noplūdī, kura rezultātā ārvalstīm radās piekļuve 25,2 miljoniem fizisko personu, apsūdzēts kāds SIA "ZZ Dats" darbinieks.
Prokuratūra sākta kriminālvajāšana pret atbildīgo darbinieku pēc Krimināllikuma panta par informācijas sistēmas drošības noteikumu pārkāpšanu. Apsūdzība uzrādīta par to, ka persona, būdama atbildīga par noteikumu ievērošanu, pārkāpa informācijas datorsistēmu aizsardzības drošības noteikumus, kas bija par iemeslu informācijas nolaupīšanai un ar to radīts cits būtisks kaitējums.
Sakarā ar to, ka noziedzīgais nodarījums izdarīts juridiskās personas nepienācīgas pārraudzības rezultātā, kriminālprocesā notiek process par piespiedu ietekmēšanas līdzekļa piemērošanu juridiskajai personai. Krimināllikums par šādu nodarījumu paredz īslaicīgu brīvības atņemšanu, probācijas uzraudzību, sabiedrisko darbu vai naudas sodu.
Jau ziņots, ka šis ir pirmais gadījums, kad Valsts policija (VP) ierosina prokuratūru sākt kriminālvajāšanu pret datorsistēmu administratoru, kurš ir atbildīgs par informācijas sistēmas drošības noteikumu ievērošanu, kā arī pret uzņēmumu, kas ir Nacionālā kiberdrošības likuma subjekts.
2024. gada 29. oktobrī "ZZ Dats" uzturētajā vienotajā Latvijas pašvaldību datu sistēmā notika kiberincidents, kura rezultātā vairākas dienas bija pieejami visu Latvijas pašvaldību, izņemot Rīgas pašvaldību, dati, kas ir aizsargāta informācija, iepriekš informēja policija.
Izmeklēšanā konstatēts, ka cēlonis bija "ZZ Dats" sistēmas ugunsmūra konfigurācijas kļūda, kas ļāva trešajām personām, tostarp no ārvalstīm, patvaļīgi piekļūt sistēmas resursiem un lejupielādēt 33,2 miljonus ierakstu, tajā skaitā 25,2 miljonus fizisko personu aktuālo un vēsturisko datu, informēja policija. Kiberincidents tika atklāts un novērsts pēc tam, kad tika saņemts ārējā drošības pētnieka paziņojums.
2024. gada decembrī "ZZ Dats" telpās veiktās procesuālās darbības apliecināja, ka kiberincidenta cēlonis bija atbildīgā darbinieka darbības, kuru rezultātā netika ievērotas minimālās kiberdrošības prasības un 42 Latvijas pašvaldību dati kļuva pieejami trešajām personām. Izmeklēšanā konstatēts, ka noziedzīgais nodarījums izdarīts uzņēmuma nepietiekamas pārraudzības rezultātā, teikts policijas paziņojumā medijiem.
Izmeklēšanas laikā konstatēts, ka nespēja savlaicīgi konstatēt datu noplūdi saistāma ar uzņēmuma nepietiekamu tehnisko un organizatorisko pasākumu kopumu, neieviešot atbilstošus risku pārvaldības pasākumus attiecībā uz ugunsmūra konfigurācijas kārtību un kontroli, kas novērstu vai maksimāli ierobežotu informācijas drošības riskus un nodrošinātu sistēmā glabāto datu konfidencialitāti.
Vienlaikus patlaban tiek turpināta pirmstiesas izmeklēšana izdalītā kriminālprocesā par patvaļīgu piekļuvi automatizētajai datu apstrādes sistēmai, kā rezultātā radīts būtisks kaitējums.
Savukārt uzņēmumā aģentūrai LETA pauda, ka "norises saistībā ar 2024. gadā notikušo kiberincidentu Vienotajā pašvaldību sistēmā (VPS) nekādā veidā neietekmē "ZZ Dats" ikdienas darbību". Uzņēmums pilnā apjomā turpina pildīt saistības pret klientiem un partneriem, informē "ZZ Dats" direktors Edžus Žeiris.
"Atsaucoties uz VP šodien publiskoto informāciju, uzsveram, uzņēmumam nekādi nodrošinājuma līdzekļi nav piemēroti. Līdz ar to mūsu darbība nav ierobežota, un uzņēmums sniedz visus pakalpojumus pilna apjomā un bez pārtraukuma," norāda uzņēmuma pārstāvis.
Viņš arī atgādina, ka tieši "ZZ Dats" bija tas, kas par notikušo kiberincidentu informēja tiesībsargājošās iestādes, jo vēlas savā darbībā ievērot godīgas un atklātas biznesa prakses principus.
"Neviens nenoliedz to, ka ir noticis kiberincidents, tomēr mēs kategoriski nepiekrītam, ka notikušajā būtu krimināli sodāms uzņēmums vai tā darbinieki. Mēs šo pozīciju juridiskajā strīdā esam gatavi aizstāvēt arī turpmāk," komentē uzņēmuma vadītājs.
Viņš arī apgalvo, ka gandrīz divu gadu laikā, kopš noticis incidents, "ZZ Dats" ieguldījis ievērojamu darbu uzņēmuma kiberdrošības stiprināšanai. Uzņēmumā veikts konsultāciju kompānijas "PwC Latvija" audits "ZZ Dats" par procesu atbilstību Nacionālās kiberdrošības likumam, kā arī pabeigts ārējs audits par atbilstību procedūrām un citiem normatīvajiem aktiem. Šajā laikā veikti VPS komponenšu infrastruktūras drošības testi, kā arī notiek "FortiGate" tīkla drošības ierīču ieviešana un citi drošības uzlabojumi. Tāpat ir sākts darbs pie VPS pārcelšanas uz paaugstinātas drošības datu centru, skaidroja uzņēmumā.
Datu valsts inspekcija "ZZ Dats" pērn rudenī piemēroja 300 000 eiro sodu saistībā ar 2024. gadā konstatēto pašvaldību datu noplūdi, bet uzņēmums lēmumu pārsūdzējis tiesā.
"ZZ Dats" direktors un līdzīpašnieks Edžus Žeiris aģentūrai LETA iepriekš norādīja, ka dzīvojam realitātē, kur kiberincidentu draudi pieaug katru dienu. Viņš uzsvēra, ka kopš notikušā "ZZ Dats" ir būtiski stiprinājis pašvaldību sistēmu kiberdrošību un samazinājis nākotnes riskus.
Tāpat uzņēmums veicis vairākus ārējos auditus, tostarp kopā ar profesionālo pakalpojumu un konsultāciju uzņēmumu "PricewaterhouseCoopers" un citiem partneriem, lai pārliecinātos par ieviesto drošības pasākumu kvalitāti.
"ZZ Dats" 2024. gadā strādāja ar 17,662 miljonu eiro apgrozījumu un 3,495 miljonu eiro peļņu.
Kompānija "ZZ Dats" reģistrēta 1995. gadā, un uzņēmuma pamatkapitāls ir 40 000 eiro. "ZZ Dats" kapitālā 75% īpašniece ir Inga Ziema, bet 25% pieder Edžum Žeirim.
