Pašlaik ir stājies spēkā vairums Datu valsts inspekcijas (DVI) pašvaldībām piemēroto sodu lietā par vērienīgo pašvaldību datu noplūdi 2024. gada rudenī, liecina DVI publiskotā informācija.
DVI pērn rudenī minētajā lietā bija izteikusi rājienu un uzlikusi pienākumu kopumā 36 pašvaldībām, vienas pašvaldības pagasta apvienības pārvaldei un divu pašvaldību slimnīcām. Sodi bija Ādažu, Cēsu, Gulbenes, Limbažu, Rēzeknes, Ropažu, Aizkraukles, Balvu, Krāslavas un Ludzas novadu pašvaldībām. Tāpat DVI lēmumus bija pieņēmusi par Ogres, Ķekavas, Augšdaugavas, Dienvidkurzemes, Tukuma, Dobeles, Bauskas, Jelgavas, Kuldīgas un Madonas novadu pašvaldībām. Rājiens un pienākums uzlikts Mārupes, Olaines, Saulkrastu, Siguldas, Talsu, Saldus, Salaspils, Valmieras, Smiltenes un Ventspils novada pašvaldībām. Lietā lēmumi pieņemti arī par Jelgavas, Liepājas, Daugavpils, Ventspils, Jūrmalas un Rēzeknes valstspilsētu pašvaldībām, kā arī Madonas novada pašvaldības Varakļānu apvienības pārvaldi un divām pašvaldībām piederošām slimnīcām – Madonas slimnīcu un Liepājas reģionālajai slimnīcai.
Visos gadījumos DVI rīcībā bija nonākusi informācija par notikušo personas datu aizsardzības pārkāpumu, kura dēļ laikā no 2024. gada 29. oktobra līdz 2. novembrim nenoskaidrotām personām izdevās no vairākām interneta vietnēm nelikumīgi piekļūt SIA “ZZ Dats” informācijas sistēmas atsevišķām datubāzēm un iegūt tajās glabātos fizisko personu personas datus – vārdu, uzvārdu, personas kodu un deklarētās dzīvesvietas adresi. Kopskaitā tas skāra vairāk nekā 25 miljonus ierakstu, arī visas pašvaldības un iestādes, kurām DVI šajā lietā bija izteikusi rājienu un uzlikusi pienākumu.
DVI secināja, ka visos gadījumos pašvaldību un slimnīcu veiktajās personas datu apstrādēs nav nodrošināta nepieciešamā tehniskā un organizatorisko pasākumu ieviešana un īstenošana sadarbībā ar “ZZ Dats”, tādējādi netika nodrošināta tiesiskajam regulējumam atbilstoša personas datu drošība.
Visām pašvaldībām un slimnīcām DVI izteica rājienus un līdz noteiktam laikam uzdeva pārskatīt tās iekšējos personas datu apstrādes noteikumus, tostarp izstrādāt veiktās personas datu apstrādes risku novērtējumu un personas datu aizsardzības pārkāpumu (incidentu) reaģēšanas kārtību.
Tāpat tika uzlikts noslēgt ar “ZZ Dats” atbilstošu datu apstrādes līgumu, tajā jo īpaši iekļaujot visas Datu regulā noteiktās prasības, lai tiktu nodrošināts datu subjektu personas datu aizsardzībai un iespējamiem riskiem atbilstošs drošības līmenis.
Lēmumu DVI direktorei apstrīdēja Gulbenes, Balvu, Saldus, Valmieras, Ādažu, Cēsu, Limbažu, Ropažu, Rēzeknes un Aizkraukles novadu pašvaldības. Tāpat ar DVI lēmumu mierā nebija un to pārsūdzēja Krāslavas, Ogres, Ludzas, Ķekavas, Bauskas, Salaspils, Ventspils un Smiltenes novadu pašvaldības. Sodus pārsūdzēja arī Jūrmalas, Jelgavas, Ventspils, Rēzeknes valstspilsētu pašvaldības, kā arī Liepājas reģionālā slimnīca.
Visos šajos gadījumos DVI savu sākotnējo lēmumu atstāja nemainītu, tomēr Smiltenes novada pašvaldība un Liepājas reģionālā slimnīca DVI direktores lēmumu, ar kuru atteikts grozīt sākotnējo spriedumu, pārsūdzējušas tiesā.
Lietā par pašvaldību datu noplūdi prokuratūra uzrādījusi apsūdzību “ZZ Dats” darbiniekam. Prokuratūrā sākta kriminālvajāšana pret atbildīgo darbinieku pēc Krimināllikuma panta par informācijas sistēmas drošības noteikumu pārkāpšanu. Apsūdzība uzrādīta par to, ka persona, būdama atbildīga par noteikumu ievērošanu, pārkāpa informācijas datorsistēmu aizsardzības drošības noteikumus, kas bija par iemeslu informācijas nolaupīšanai, un ar to radīts cits būtisks kaitējums, aģentūra LETA noskaidroja prokuratūrā.
Sakarā ar to, ka noziedzīgais nodarījums izdarīts juridiskās personas nepienācīgas pārraudzības rezultātā, kriminālprocesā notiek process par piespiedu ietekmēšanas līdzekļa piemērošanu juridiskajai personai. Krimināllikums par šādu nodarījumu paredz īslaicīgu brīvības atņemšanu, probācijas uzraudzību, sabiedrisko darbu vai naudas sodu.
Šis ir pirmais gadījums, kad Valsts policija (VP) ierosina prokuratūru sākt kriminālvajāšanu pret datorsistēmu administratoru, kurš ir atbildīgs par informācijas sistēmas drošības noteikumu ievērošanu, kā arī pret uzņēmumu, kas ir Nacionālā kiberdrošības likuma subjekts.
2024. gada rudenī “ZZ Dats” uzturētajā vienotajā Latvijas pašvaldību datu sistēmā notika kiberincidents, kura rezultātā vairākas dienas bija pieejami visu Latvijas pašvaldību, izņemot Rīgas pašvaldību, dati, kas ir aizsargāta informācija, iepriekš informēja policija.
Izmeklēšanā konstatēts, ka cēlonis bija “ZZ Dats” sistēmas ugunsmūra konfigurācijas kļūda, kas ļāva trešajām personām, arī no ārvalstīm, patvaļīgi piekļūt sistēmas resursiem un lejupielādēt 33,2 miljonus ierakstu, tajā skaitā 25,2 miljonus fizisko personu aktuālo un vēsturisko datu, informēja policija.
Kiberincidents tika atklāts un novērsts pēc tam, kad tika saņemts ārējā drošības pētnieka paziņojums.
2024. gada decembrī “ZZ Dats” telpās veiktās procesuālās darbības apliecināja, ka kiberincidenta cēlonis bija atbildīgā darbinieka darbības, kuru rezultātā netika ievērotas minimālās kiberdrošības prasības un 42 Latvijas pašvaldību dati kļuva pieejami trešajām personām. Izmeklēšanā konstatēts, ka noziedzīgais nodarījums izdarīts uzņēmuma nepietiekamas pārraudzības rezultātā, teikts policijas paziņojumā medijiem.
Izmeklēšanas laikā konstatēts, ka nespēja savlaicīgi konstatēt datu noplūdi saistāma ar uzņēmuma nepietiekamu tehnisko un organizatorisko pasākumu kopumu, neieviešot atbilstošus risku pārvaldības pasākumus attiecībā uz ugunsmūra konfigurācijas kārtību un kontroli, kas novērstu vai maksimāli ierobežotu informācijas drošības riskus un nodrošinātu sistēmā glabāto datu konfidencialitāti.
Vienlaikus patlaban tiek turpināta pirmstiesas izmeklēšana izdalītā kriminālprocesā par patvaļīgu piekļuvi automatizētajai datu apstrādes sistēmai, kā rezultātā radīts būtisks kaitējums.
Savukārt uzņēmumā aģentūrai LETA pauda, ka “norises saistībā ar 2024. gadā notikušo kiberincidentu Vienotajā pašvaldību sistēmā (VPS) nekādā veidā neietekmē “ZZ Dats” ikdienas darbību”. Uzņēmums pilnā apjomā turpina pildīt saistības pret klientiem un partneriem, informē “ZZ Dats” direktors Edžus Žeiris.
“Neviens nenoliedz to, ka ir noticis kiberincidents, tomēr mēs kategoriski nepiekrītam, ka notikušajā būtu krimināli sodāms uzņēmums vai tā darbinieki. Mēs šo pozīciju juridiskajā strīdā esam gatavi aizstāvēt arī turpmāk,” komentē uzņēmuma vadītājs.
Viņš arī apgalvo, ka gandrīz divu gadu laikā, kopš noticis incidents, “ZZ Dats” ieguldījis ievērojamu darbu uzņēmuma kiberdrošības stiprināšanai. Uzņēmumā veikts konsultāciju kompānijas “PwC Latvija” audits “ZZ Dats” par procesu atbilstību Nacionālās kiberdrošības likumam, kā arī pabeigts ārējs audits par atbilstību procedūrām un citiem normatīvajiem aktiem. Šajā laikā veikti VPS komponenšu infrastruktūras drošības testi, kā arī notiek “FortiGate” tīkla drošības ierīču ieviešana un citi drošības uzlabojumi. Tāpat ir sākts darbs pie VPS pārcelšanas uz paaugstinātas drošības datu centru, skaidroja uzņēmumā.
DVI “ZZ Dats” pērn rudenī piemēroja 300 000 eiro sodu saistībā ar 2024. gadā konstatēto pašvaldību datu noplūdi, bet uzņēmums lēmumu pārsūdzējis tiesā.
“ZZ Dats” 2024. gadā strādāja ar 17,662 miljonu eiro apgrozījumu un 3,495 miljonu eiro peļņu. Kompānija “ZZ Dats” reģistrēta 1995. gadā, un uzņēmuma pamatkapitāls ir 40 000 eiro. “ZZ Dats” kapitālā 75 % īpašniece ir Inga Ziema, bet 25 % pieder Edžum Žeirim.
