JAV prieš automobilių koncerną „Stellantis“ pateiktas masinis ieškinys atskleidžia, kokias pasekmes įmonėms gali sukelti nepakankamas kibernetinis saugumas. Po didžiulio klientų duomenų nutekinimo internete bendrovei metami kaltinimai dėl aplaidumo, netinkamos duomenų apsaugos ir ignoruotų įspėjamųjų signalų.
2025 metų pabaigoje „Stellantis“ patyrė vieną rimčiausių kibernetinio saugumo incidentų savo istorijoje. Su grupuote „Everest Ransomware“ siejami programišiai įsilaužė į bendrovės sistemas ir pasisavino didžiulį kiekį klientų duomenų.
Tarp pavogtų duomenų, kaip teigiama, buvo asmens ir kontaktiniai duomenys, gyvenamosios vietos adresai, taip pat socialinio draudimo numeriai ir kita itin jautri informacija, kuri gali būti panaudota tapatybės vagystėms ir finansiniams sukčiavimams.
Nutekinti duomenys tapo ieškinio pagrindu
Pasak žiniasklaidos, „Stellantis“ atsisakius mokėti išpirką, kibernetiniai nusikaltėliai pavogtus duomenis paviešino internete. Būtent šis faktas – milžiniško kiekio jautrios informacijos paskelbimas viešai – tapo pagrindiniu motyvu pateikti grupinį ieškinį prieš bendrovę.
Byla šiuo metu nagrinėjama federaliniame teisme Mičigano valstijoje. Ieškovai teigia, kad dėl paskelbtų duomenų jie atsidūrė itin didelėje tapatybės vagystės ir finansinio sukčiavimo rizikoje.
Kaltinimai dėl saugumo spragų
Ieškinyje teigiama, kad „Stellantis“ nesiėmė net minimalių kibernetinio saugumo priemonių, kurios būtų galėjusios užkirsti kelią tokiam incidentui arba bent jau sumažinti jo mastą. Bendrovė, anot ieškovų, neužtikrino: tinkamo klientų duomenų šifravimo, daugiafaktorinio (keliais etapais vykdomo) vartotojų tapatybės patvirtinimo, aiškios ir saugios duomenų saugojimo bei tvarkymo politikos.
Ieškovai tvirtina, kad tokie pažeidimai prieštarauja tiek JAV federaliniams vartotojų apsaugos reikalavimams, tiek ir Ilinojaus valstijos teisės aktams, iš kurios kilę pagrindiniai skundą pateikę asmenys.
Jų atstovaujantys teisininkai pabrėžia, jog nepakankamos techninės ir organizacinės saugumo priemonės nulėmė tai, kad klientų duomenys buvo ypač pažeidžiami ir lengvai panaudojami sukčiavimo tikslais.
Platus kaltinimų spektras ir ieškovų reikalavimai
Grupinis ieškinys prieš „Stellantis“ apima visą eilę kaltinimų. Bendrovei inkriminuojama: aplaidumas valdant ir saugant klientų duomenis, sutarčių su klientais pažeidimas, be pagrindo gautas finansinis naudos siekis, nes sutaupyta kibernetinio saugumo sąskaita, vartotojų teisių pažeidimas pagal taikytinus teisės aktus.
Ieškovai prašo priteisti jiems finansines kompensacijas už patirtą ir galimą žalą, padengti teisines išlaidas ir įpareigoti „Stellantis“ iš esmės sustiprinti kibernetinio saugumo sistemas. Toks teismo sprendimas, jei būtų priimtas, turėtų užtikrinti, kad panašūs incidentai ateityje nepasikartotų arba jų poveikis būtų gerokai mažesnis.
Ignoruoti įspėjamieji signalai
Ieškinyje taip pat pabrėžiama, kad „Stellantis“ jau anksčiau buvo gavusi įspėjimų dėl kibernetinių grėsmių. 2025 metais įmonė pati patvirtino kelis incidentus, susijusius su duomenų saugumo pažeidimais sistemose, kurias aptarnavo išoriniai paslaugų teikėjai.
Ieškovų manymu, šie įvykiai turėjo tapti rimtu signalu, jog būtina skubiai peržiūrėti ir sustiprinti informacijos saugumo politiką, investuoti į papildomas apsaugos priemones, atlikti auditą ir testavimus. Vietoje to, kaip teigiama dokumentuose, „Stellantis“ neįdiegė pakankamų priemonių, todėl vėlesnis plataus masto įsilaužimas ir duomenų nutekinimas buvo tik laiko klausimas.
Bendrovė tyli, ekspertai kelia klausimus
Vakarų žiniasklaidos duomenimis, „Stellantis“ kol kas viešai nepakomentavo nei paties kibernetinės atakos masto, nei teismo bylos detalių. Į žurnalistų prašymus pateikti papildomą informaciją įmonė taip pat neatsakė.
Kibernetinio saugumo specialistai pažymi, kad toks tylėjimas kelia dar daugiau klausimų – tiek apie tai, kaip įmonė ketina ateityje apsaugoti klientų duomenis, tiek apie jos planą atkurti pasitikėjimą po nutekėjimo. Pasak ekspertų, skaidri komunikacija ir aiškus veiksmų planas dažnai yra ne mažiau svarbūs nei techninės priemonės, ypač kai kalbama apie milijonų klientų duomenis.
