Latvijā, iespējams, notikusi plaša mēroga nekustamo īpašumu apsaimniekošanas uzņēmumu klientu datu noplūde

Rīga, 5.febr., LETA. Latvijā, iespējams, notikusi plaša mēroga nekustamo īpašumu apsaimniekošanas uzņēmumu klientu datu noplūde.

Latvijas Televīzija (LTV) vakar ziņoja, ka sešu apsaimniekošanas uzņēmumu klienti šonedēļ saņēmuši vēstules. Žurnālistu rīcībā nonākušajā uzņēmuma "Hausmaster" nosūtītajā vēstulē teikts, ka kompānija zaudējusi piekļuvi virtuālajiem serveriem, visi tur glabātie dati ir nesankcionēti šifrēti un kompānijai zudusi iespēja tos kontrolēt. Tāpat šajā ziņojumā teikts, ka hakeri, iespējams, piekļuvuši klientu personas datiem.

Tādus paziņojumus saņēmuši arī piecu citu kompāniju - "CS Komercserviss", "Jūrmalas namsaimnieks", "Homemaster", "Labo namu aģentūra" un "VBS Serviss" - klienti, vēstīja LTV.

"Firmas.lv" informācija liecina, ka minētie uzņēmumi, tostarp, "Hausmaster" ietilpst grupā "Civinity", kas piedāvā pakalpojumus nekustamo īpašumu pārvaldības jomā Lietuvā un Latvijā.

Arī aģentūras LETA rīcībā esošajā e-pasta vēstulē "VBS Serviss" klientam teikts, ka 22.janvārī apstrādātājs, kas "VBS serviss" uzdevumā veic serveru un informācijas sistēmu uzturēšanu un apkalpošanu, konstatējis, ka noticis incidents, proti, ir zaudēta piekļuve virtuālajiem serveriem.

Drošības nolūkos atslēgti visi serveri un datortīkla infrastruktūra, tomēr konstatēts, ka ir notikusi patvaļīga piekļūšana serveriem, kā rezultātā dati tika nesankcionēti šifrēti un zuda iespēja tos kontrolēt, teikts vēstulē.

Veicot izmeklēšanu, 26.janvārī pārzinis "VBS serviss" konstatējis, ka trešās personas varētu būt nesankcionēti šifrējušas un, iespējams, piekļuvušas šādiem personas datiem - "vārds, uzvārds, personas kods/dzimšanas dati, identificējošie dati, kontaktinformācija, adrese, maksājumu dati (konta numurs, maksājuma apmērs, laiks un datums, iespējamās parādsaistības), sniegtā pakalpojuma apmērs, veids, būtība un apraksts."

Pastāv neliela iespējamība, ka nelikumīgi iegūto personas datu publicēšana vai neatbilstoša izmantošana varētu izraisīt materiālus zaudējumus, vai radīt nemateriālu kaitējumu, kā, piemēram, identitātes piesavināšanos vai krāpšanas risku. Šāda riska iespējamība ir zema, tomēr nav izslēdzama, teikts klientam nosūtītajā vēstulē.

"VBS serviss" darot visu iespējamo, lai atgūtu kontroli par zaudētajiem personas datiem, tādējādi mazinot iepriekš minēto risku iestāšanās iespējamību. Tāpat bloķēta patvaļīga piekļuve un veikti nepieciešamie pasākumi, lai atgūtu šobrīd šifrētos personas datus, tostarp, veicot atjaunošanu no rezerves kopijām, teikts aģentūras LETA rīcībā esošajā vēstulē.

Tāpat uzņēmums lūdzis klientus būt uzmanīgiem, nevērt vaļā pielikumus vai neklikšķināt uz nezināmas izcelsmes saitēm, ko ir atsūtījusi nezināma persona, teikts "VBS serviss" vēstulē.

LTV ziņoja, ka cietušie uzņēmumi vērsušies Valsts datu inspekcijā (VDI). Inspekcijā aģentūrai LETA apliecināja, ka konkrētajā gadījumā "Hausmaster" ir izpildījis Vispārīgās datu aizsardzības regulas nosacījumus un inspekcijai iesniedzis paziņojumu par personas datu aizsardzības pārkāpumu un klientiem sniedzis informāciju par incidentu.

Konkrētajā gadījumā inspekcija no saņemtajiem pārkāpuma paziņojumiem ir apkopojusi, ka aptuvenais personu skaits, uz kurām attiecas notikušais incidents "ir vairāk nekā 30 000 datu subjekti." "Būtiski ir uzsvērt, ka kopējo personu skaitu neveido tikai "Hausmaster", bet gan visu pārziņu iesniegtie paziņojumi", kuri izmanto konkrētā apstrādātāja pakalpojumus," norādīja inspekcijā.

To, cik lielā apjomā notikusi iejaukšanās datu pārvaldībā, ir iespējams pateikt tikai pēc visu apstākļu noskaidrošanas, uzsvēra inspekcijā.

Izvērtējot iesniegtos pārkāpumu paziņojumus, inspekcija ir sākusi lietas apstākļu noskaidrošanu. Pēc apstākļu noskaidrošanas tiks pieņemts lēmums par turpmāko darbību.

Tāpat inspekcijā apliecināja, ka kopš 2018.gada maija, kad sāka piemērot Vispārīgās datu aizsardzības regulu, "konkrētais gadījums var būt uzskatāms par personas datu aizsardzības pārkāpumu, kas skar lielu datu subjektu skaitu Latvijā." 

"Civinity Latvija" pārstāve Līga Purmale aģentūrai LETA apstiprināja, ka uzņēmumā, iespējams, ir notikusi datu noplūde.

"Neskatoties uz to, ka "Civinity" grupas uzņēmumi ir īstenojuši visus nepieciešamos datu aizsardzības pasākumus, uzņēmumā ir noticis informācijas tehnoloģiju drošības incidents. Šobrīd notiek pārbaudes, lai fiksētu, vai un kāda daļa no uzņēmuma datiem ir tikusi nesankcionēti šifrēta. Mūsu klienti ir informēti par notikušo un jebkuram ir iespēja sazināties ar mūsu datu aizsardzības speciālistu un klientu centru, lai uzdotu jautājumus par notikušo, kā arī tālākiem soļiem," skaidroja Purmale.

Viņa piebilda, ka visas atbildīgās institūcijas ir informētas par notikušo un patlaban notiek informācijas apkopošana, lai vērstos tiesībsargājošās institūcijās.

Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas Latvijā "Cert.lv" sabiedrisko attiecību pārstāve Līga Besere aģentūrai LETA uzsvēra, ka "Cert.lv" ļoti atzinīgi vērtē "Civinity" atbildīgo rīcību pret klientiem, izvēloties neslēpt incidenta faktu un informēt par notikušo.

Viņa uzsvēra, ka šādi un līdzīgi uzbrukumi gan Latvijā, gan pasaulē kompānijām notiek katru dienu.

"Uzbrukumu tendences liecina, ka uzbrucēji cenšas piekļūt datiem, iegūt tos savā pārziņā un tikai tad veikt jebkādas destruktīvas darbības. Uzņēmumiem un organizācijām tiek pieprasīta izpirkuma maksa par datu nenopludināšanu, taču jāņem vērā, ka pat saņemot šādu samaksu no uzņēmuma, uzbrucēji iegūtos datus var pārdot tālāk," skaidroja Besere.

Viņa uzsvēra, ka uzņēmumiem klientu datu noplūdes gadījumā ir pienākums par to informēt savus klientus, lai klienti būtu spējīgi pieņemt informētus lēmumus par tālāku rīcību.

Pēc Beseres teiktā, zinot, ka konkrētie dati ir noplūduši, klienti var censties padarīt šos datus par nederīgiem, veicot noplūdušu paroļu nomaiņu, atsaucot maksājumu līdzekļus vai mainot identifikācijas dokumentus - darbības, kas liegtu uzbrucējiem datu tālāku izmantošanu ļaunprātīgos nolūkos.

Viņa norādīja, ka ir zināms, ka nereti datu noplūdēs iegūtie dati tiek izmantoti arī tālākos pikšķerēšanas uzbrukumos. "Tad uzbrukuma mērķis vairs nav uzņēmums vai organizācija, bet gan lietotājs," apgalvoja Besere, kura uzsvēra - pat gadu pēc datu noplūdes lietotājiem kritiskāk jāizvērtē pat šķietami oficiāla komunikācija, kas izmanto noplūdušos datus un aicina uz (steidzamu) rīcību.

Latvijā ar kibernoziegumu izmeklēšanu nodarbojas Valsts policija. Šīs iestādes Sabiedrisko attiecību nodaļā aģentūrai LETA apliecināja, ka uzņēmumu iesniegums patlaban nav saņemts.