JAV pateiktas grupinis ieškinys prieš automobilių koncerną „Stellantis“ atskleidžia, kokias pasekmes įmonėms gali sukelti nepakankamas kibernetinis saugumas. Po didelio masto klientų duomenų nutekinimo internete bendrovei metami kaltinimai dėl aplaidumo, nepakankamos duomenų apsaugos ir ignoruotų įspėjamųjų signalų.
2025 metų pabaigoje „Stellantis“ patyrė vieną rimčiausių kibernetinio saugumo incidentų savo istorijoje. Su „Everest Ransomware“ siejama programišių grupuotė įsilaužė į bendrovės sistemas ir pasisavino didelį kiekį klientų duomenų.
Teigiama, kad tarp pavogtos informacijos buvo asmens ir kontaktiniai duomenys, gyvenamosios vietos adresai, socialinio draudimo numeriai ir kita itin jautri informacija, kuri gali būti panaudota tapatybės vagystėms bei finansiniams sukčiavimams.
Nutekinti duomenys tapo ieškinio pagrindu
Skelbiama, kad „Stellantis“ atsisakius mokėti išpirką, kibernetiniai nusikaltėliai pavogtus duomenis paviešino internete. Būtent šis faktas – didelio kiekio jautrios informacijos paskelbimas viešai – tapo pagrindiniu motyvu pateikti grupinį ieškinį prieš bendrovę.
Byla šiuo metu nagrinėjama federaliniame teisme Mičigano valstijoje. Ieškovai tvirtina, kad dėl paviešintų duomenų jie atsidūrė itin didelėje tapatybės vagystės ir finansinio sukčiavimo rizikoje.
Kaltinimai dėl saugumo spragų
Ieškinyje teigiama, kad „Stellantis“ nesiėmė net minimalių kibernetinio saugumo priemonių, kurios būtų galėjusios užkirsti kelią tokiam incidentui arba bent jau sumažinti jo mastą. Anot ieškovų, bendrovė neužtikrino tinkamo klientų duomenų šifravimo, daugiafaktorio (keliais etapais vykdomo) vartotojų tapatybės patvirtinimo bei aiškios ir saugios duomenų saugojimo ir tvarkymo politikos.
Ieškovai taip pat teigia, kad tokie pažeidimai prieštarauja JAV federaliniams vartotojų apsaugos reikalavimams ir Ilinojaus valstijos teisės aktams, iš kurios kilę pagrindiniai skundą pateikę asmenys.
Jų atstovaujantys teisininkai pabrėžia, kad nepakankamos techninės ir organizacinės saugumo priemonės lėmė situaciją, kai klientų duomenys tapo itin pažeidžiami ir lengvai panaudojami sukčiavimo tikslais.
Platus kaltinimų spektras ir ieškovų reikalavimai
Grupinis ieškinys prieš „Stellantis“ apima visą eilę kaltinimų. Bendrovei inkriminuojamas aplaidumas tvarkant ir saugant klientų duomenis, sutarčių su klientais pažeidimas, nepagrįstas siekis gauti finansinės naudos taupant kibernetinio saugumo sąskaita, taip pat vartotojų teisių pažeidimai pagal taikytinus teisės aktus.
Ieškovai prašo priteisti finansines kompensacijas už patirtą ir galimą žalą, padengti teisines išlaidas bei įpareigoti „Stellantis“ iš esmės sustiprinti kibernetinio saugumo sistemas. Jei toks teismo sprendimas būtų priimtas, juo siekiama užtikrinti, kad panašūs incidentai ateityje nepasikartotų arba jų poveikis būtų gerokai mažesnis.
Ignoruoti įspėjamieji signalai
Ieškinyje pabrėžiama, kad „Stellantis“ jau anksčiau buvo gavusi įspėjimų dėl kibernetinių grėsmių. 2025 metais įmonė pati patvirtino kelis incidentus, susijusius su duomenų saugumo pažeidimais sistemose, kurias aptarnavo išoriniai paslaugų teikėjai.
Ieškovų manymu, šie įvykiai turėjo tapti rimtu signalu, kad būtina skubiai peržiūrėti ir sustiprinti informacijos saugumo politiką, investuoti į papildomas apsaugos priemones, atlikti auditą ir testavimus. Vis dėlto, kaip teigiama dokumentuose, „Stellantis“ neįdiegė pakankamų priemonių, todėl vėlesnis plataus masto įsilaužimas ir duomenų nutekinimas esą buvo tik laiko klausimas.
Bendrovė tyli, ekspertai kelia klausimus
Skelbiama, kad „Stellantis“ kol kas viešai nepakomentavo nei kibernetinės atakos masto, nei teismo bylos detalių. Į žurnalistų prašymus pateikti papildomą informaciją įmonė taip pat neatsakė.
Kibernetinio saugumo specialistai pažymi, kad toks tylėjimas kelia dar daugiau klausimų: tiek apie tai, kaip įmonė ketina ateityje apsaugoti klientų duomenis, tiek apie planą atkurti pasitikėjimą po nutekėjimo. Pasak ekspertų, skaidri komunikacija ir aiškus veiksmų planas dažnai yra ne mažiau svarbūs nei techninės priemonės, ypač kai kalbama apie milijonų klientų duomenis.
