Ситуація ускладнюється тим, що у відкритому доступі опинилися охоронювані законом персональні відомості неповнолітніх учнів, викладацького складу та сотень інших співробітників освітньої сфери. Цей інцидент ставить під серйозний удар репутацію муніципальних ІТ-структур і вимагає негайної правової оцінки.
В результаті масштабної компрометації захищених інформаційних систем із дочірньої компанії міста Мюнхена в тіньовий сегмент інтернету (даркнет) потрапили понад 100 тис. структурованих записів. Вони містять детальні персональні відомості мюнхенських школярів, учителів, вищого керівництва навчальних закладів, а також численного адміністративного персоналу, рядових співробітників муніципальних дитячих садків та фахівців міського департаменту освіти та спорту (RBS). Важливо підкреслити, що суворо охоронювана інформація опинилася далеко за межами периметра безпеки спеціалізованої компанії LHM Service GmbH (LHM-S). Крім того, в мережу безперешкодно витекли суто внутрішні документи самої LHM-S, що проливають світло на операційну діяльність структури. Про це наочно свідчать тривожні результати ексклюзивного розслідування, опублікованого баварським виданням Abendzeitung München.
Дочірня компанія відповідає за ІТ-інфраструктуру навчальних закладів
Повні масиви скомпрометованих даних тривалий час нелегально розповсюджувалися через даркнет і згодом опинилися в розпорядженні редакції газети Abendzeitung у їхньому первісному, невідфільтрованому вигляді.
Професійні журналісти оперативно провели ретельну верифікацію та перевірку автентичності отриманої інформації, безпосередньо зв’язавшись із деякими постраждалими особами з опублікованих списків. За офіційними заявами редакції, у цих масивах містяться повні імена, верифіковані домашні адреси, точні约定 дати народження, офіційні найменування конкретних навчальних закладів і навіть детальні відомості про громадянство осіб.
Компанія LHM-S є стовідсотковою дочірньою структурою столиці Баварії та повністю фінансується за рахунок коштів місцевих платників податків. Згідно з офіційною інформацією самого підприємства, воно несе повну юридичну та технічну відповідальність за безперебійне обслуговування та захист ІТ-інфраструктури приблизно 900 шкілок, великих спортивних об’єктів та дитячих садків по всьому регіону. Масштаб потенційних ризиків для безпеки громадян у зв’язку з цим виглядає безпрецедентним, враховуючи вразливість цільової групи, що включає неповнолітніх.
Офіційні заяви та перебіг розслідування
Сама дочірня компанія, як повідомляє видання Abendzeitung München, на поточний момент поки не представила громадськості конкретну детальну оцінку витеклих масивів інформації. Комплексна внутрішня перевірка корпоративних систем безпеки все ще триває силами профільних фахівців. Вище керівництво підприємства вже оперативно направило офіційну заяву до правоохоронних органів за фактом виявлення правопорушення щодо невстановлених осіб, а також своєчасно повідомило земельний орган із нагляду за захистом даних для запобігання подальшим збиткам. А могли б як будь-яка самодостатня та відповідальна людина не перекладати відповідальність на підлеглих, а взяти відповідальність на себе і для початку подати в відставку.
Одночасно з цим представники адміністрації LHM-S публічно заявили про наявність т.зв. «серйозної первинної підозри» щодо одного з колишніх співробітників компанії. Згідно з інформацією, яку керівництво підприємства офіційно передало газеті, цей чоловік у свій останній робочий день у 2024 році міг цілеспрямовано завантажити на зовнішні носії та передати третім особам захищені дані в значному обсязі. Справжні мотиви передбачуваного зловмисника наразі встановлюються слідством.
Обер-бургомістр Мюнхена Домінік Краузе також оперативно прокоментував ці резонансні події, що викликали серйозне занепокоєння серед городян. В офіційній бесіді з журналістами Abendzeitung голова міста жорстко підкреслив, що будь-які можливі порушення суворих вимог європейського та німецького законодавства в галузі захисту даних мають бути розслідувані наглядовими органами в повному обсязі, а винні — притягнуті до відповідальності.
Довгострокові наслідки того, що сталося
Даний інцидент наочно демонструє, що витік особистих відомостей дітей та педагогів у Мюнхені актуалізує необхідність радикального перегляду стандартів управління кібербезпекою в муніципальному секторі та загалом у регіоні. Довіра громадян до цифрових ініціатив влади безпосередньо залежить від здатності держави гарантувати абсолютну конфіденційність інформації, що збирається, і ця криза стане серйозним іспитом для баварської адміністративної системи.
