Ситуация усугубляется тем, что в открытом доступе оказались охраняемые законом персональные сведения несовершеннолетних учащихся, преподавательского состава и сотен других сотрудников образовательной сферы. Этот инцидент ставит под серьезный удар репутацию муниципальных ИТ-структур и требует незамедлительной правовой оценки.
В результате масштабной компрометации защищенных информационных систем из дочерней компании города Мюнхена в теневой сегмент интернета (даркнет) попали более 100 тыс. структурированных записей. Они содержат подробные персональные сведения мюнхенских школьников, учителей, высшего руководства учебных заведений, а также многочисленного административного персонала, рядовых сотрудников муниципальных детских садов и специалистов городского департамента образования и спорта (RBS). Важно подчеркнуть, что строго охраняемая информация оказалась далеко за пределами периметра безопасности специализированной компании LHM Service GmbH (LHM-S). Кроме того, в сеть беспрепятственно утекли сугубо внутренние документы самой LHM-S, проливающие свет на операционную деятельность структуры. Об этом наглядно свидетельствуют тревожные результаты эксклюзивного расследования, опубликованного баварским изданием Abendzeitung München.
Дочерняя компания отвечает за ИТ-инфраструктуру учебных заведений
Полные массивы скомпрометированных данных длительное время нелегально распространялись через даркнет и впоследствии оказались в распоряжении редакции газеты Abendzeitung в их первоначальном, неотфильтрованном виде.
Профессиональные журналисты оперативно провели тщательную верификацию и проверку подлинности полученной информации, напрямую связавшись с некоторыми пострадавшими лицами из опубликованных списков. По официальным заявлениям редакции, в этих массивах содержатся полные имена, верифицированные домашние адреса, точные даты рождения, официальные наименования конкретных учебных заведений и даже подробные сведения о гражданстве лиц.
Компания LHM-S является стопроцентной дочерней структурой столицы Баварии и полностью финансируется за счет средств местных налогоплательщиков. Согласно официальной информации самого предприятия, оно несет полную юридическую и техническую ответственность за бесперебойное обслуживание и защиту ИТ-инфраструктуры примерно 900 школ, крупных спортивных объектов и детских садов по всему региону. Масштаб потенциальных рисков для безопасности граждан в связи с этим выглядит беспрецедентным, учитывая уязвимость целевой группы, включающей несовершеннолетних.
Официальные заявления и ход расследования
Сама дочерняя компания, как сообщает издание Abendzeitung München, на текущий момент пока не представила общественности конкретную детальную оценку утекших массивов информации. Комплексная внутренняя проверка корпоративных систем безопасности все еще продолжается силами профильных специалистов. Высшее руководство предприятия уже оперативно направило официальное заявление в правоохранительные органы по факту выявления правонарушения в отношении неустановленных лиц, а также своевременно уведомило земельный орган по надзору за защитой данных для предотвращения дальнейшего ущерба. А могли бы как любой самодостаточный и ответственный человек не перекладывать ответственность на подчиненных, а взять ответственность на себя и для начала подать в отставку.
Одновременно с этим представители администрации LHM-S публично заявили о наличии т.н. «серьезного первичного подозрения» в отношении одного из бывших сотрудников компании. Согласно информации, которую руководство предприятия официально передало газете, этот человек в свой самый последний рабочий день в 2024 году мог целенаправленно загрузить на внешние носители и передать третьим лицам защищенные данные в значительном объеме. Настоящие мотивы предполагаемого злоумышленника в настоящее время устанавливаются следствием.
(Разве не руководители несут ответственность за даже существования возможности простым рядовым специалистом скачать все данные с сервера, вынести или вывести данные за пределы офиса и распространить их? — ред.)
Обер-бургомистр Мюнхена Доминик Краузе также оперативно прокомментировал эти резонансные события, вызвавшие серьезное беспокойство среди горожан. В официальной беседе с журналистами Abendzeitung глава города жестко подчеркнул, что любые возможные нарушения строгих требований европейского и немецкого законодательства в области защиты данных должны быть расследованы надзорными органами в полном объеме, а виновные — привлечены к ответственности.
Долгосрочные последствия произошедшего
Данный инцидент наглядно демонстрирует, что утечка личных сведений детей и педагогов в Мюнхене актуализирует необходимость радикального пересмотра стандартов управления кибербезопасностью в муниципальном секторе и в целом в регионе. Доверие граждан к цифровым инициативам властей напрямую зависит от способности государства гарантировать абсолютную конфиденциальность собираемой информации, и этот кризис станет серьезным экзаменом для баварской административной системы.
