В начале ноября в результате ошибки системы произошла утечка персональных данных работников и жителей 42 различных самоуправлений Латвии. Данные включали в себя имена, фамилии, персональные коды и адреса. Хотя такие относительно масштабные утечки происходят нечасто, причин для паники нет, отметили в Государственной инспекции данных (DVI). Кроме того, в качестве положительного момента отмечается тот факт, что компания рассказала об этом публично, сообщает LSM.lv.
Утечка данных из технологической компании ZZ Dats произошла из-за технического сбоя. Он позволил злоумышленникам скопировать данные из Единой информационной системы самоуправлений в течение нескольких дней. Инцидент напрямую затронул все самоуправления Латвии, кроме Риги. Однако пока неизвестно, к персональным данным какого количества людей хакеры получили доступ.
"Мы приносим извинения всем, у кого это вызвало негативные эмоции или переживания. Но хочу подчеркнуть, что это не создало никаких новых рисокв. Или что-то, что должны сделать жители", - заявил руководитель ZZ Dats Эджус Жейрис.
По словам Жейриса, утечке подверглась лишь относительно небольшая часть данных, доступных компании. Кроме того, данные не были исправлены или удалены, а это значит, что муниципалитеты могут продолжать безопасно пользоваться системой.
Учреждение по предотвращению инцидентов в сфере безопасности информационных технологий Cert.lv была проинформирована о ситуации и после инцидента оценило, есть ли в латвийской интернет-системе другие системы, которые могут быть подвержены подобному риску.
"Мы нашли 10 или 11 [ошибок]. К счастью, среди них нет ни одной, которая могла бы считаться существенной для информационной системы. В основном в частном секторе. Мы уже связались со всеми этими представителями частного сектора, чтобы они убрали их из такого расширенного доступа", - пояснил заместитель руководителя Cert.lv Варис Тейванс.
Что могут сделать злоумышленники, получив персональные данные? Как сообщили в DVI, их могут использовать интернет-мошенники или телефонные мошенники для создания расширенного профиля своей потенциальной жертвы. Также теоретически существует вероятность попытки выдать себя за человека, чьи данные были украдены, переписываясь с другими людьми. Однако, например, взять деньги в долг на чужое имя невозможно.
"Конечно, мы не знаем, на что способны люди, которые имеют такие неблагоприятные, противозаконные намерения, воображение у них достаточно большое, широкое. Раньше взять кредит было можно, сейчас сами компании, которые выдают кредиты, ввели много мер для того, чтобы действительно проверить, тот ли это человек, который берет кредит, или нет", - заявила руководитель DVI Екатерина Мацука.
Кроме того, злоумышленники могут попытаться продать такие данные на черном рынке, где они снова могут быть использованы для мошенничества.
"Поэтому люди должны быть внимательны к тому, с кем они разговаривают, куда нажимают и что делают", - добавил Мацука.
Как компании, так и государственные учреждения могут быть оштрафованы за утечку данных, если в деятельности этих организаций найдут нарушения.