Dyrektor RCB w Sejmie o wycieku danych funkcjonariuszy: ryzyko zaciągnięcia zobowiązania finansowego przez nieuprawnionego posiadacza jest minimalne, a wręcz zerowe

19 maja 2021, 10:28
RCB, ASW, fot. Kancelaria Sejmu, RCB
Fot. Kancelaria Sejmu, RCB

Posłowie sejmowej Komisji Administracji i Spraw Wewnętrznych zajęli się sprawą wycieku danych osobowych ponad 20 tysięcy funkcjonariuszy służb mundurowych z baz Rządowego Centrum Bezpieczeństwa. Informację na ten temat, w imieniu premiera, przedstawił Michał Dworczyk  szef KRPM, Maciej Wąsik – wiceszef MSWiA oraz Dyrektor Rządowego Centrum Bezpieczeństwa – płk Konrad Korpowski. Jak poinformował szef KPRM Michał Dworczyk, za wyciek danych odpowiada pracownik RCB, który został już zwolniony z pracy w Centrum. 

Jak tłumaczył podczas spotkania w Sejmie Michał Dworczyk, wraz z ruszeniem Narodowego Programu Szczepień w grudniu 2020 roku, pojawiła się potrzeba zebrania danych osobowych wybranych grup, jak np. mundurowi. Jak się okazało, odpowiednim systemem dysponowało Rządowe Centrum Bezpieczeństwa. Z jego wykorzystaniem, za pomocą formularza, zebrano dane osobowe kilkuset tysięcy osób, na podstawie których wystawiono elektroniczne skierowania na szczepienia. Dworczyk wyjaśnił, że do wycieku danych doszło w efekcie kolejnego skorzystania z systemu, w wyniku błędu ludzkiego, a dokładnie błędu informatyka. Osoba ta nie pracuje już w Rządowym Centrum Bezpieczeństwa.

Brak pełnej gotowości organizacji do działania, spowodowane presją czasu w trudnej sytuacji kryzysowej. (...) Płace w administracji państwowych dla informatyków są na tyle niskie, że nie mamy szans, żeby konkurować o specjalistów tej branży z sektorem prywatnym

płk Konrad Korpowski, Dyrektor Rządowego Centrum Bezpieczeństwa

Płk Konrad Korpowski, szef RCB, dodał że w ramach postępowania wyjaśniającego ustalono, że czasowo dostępna była możliwość wyeksportowania danych przez osoby do tego nieupoważnione. Mundurowi otrzymali pisemne powiadomienie o potencjalnym naruszeniu. Plik zawierał 22661 rekordów (33 - Inspekcja Transportu Drogowego, 11 053 - Ochotnicza Straż Pożarna, 4804 - Państwowa Straż Pożarna, 5139 - Policja, 443 - Służba Celno-Skarbowa, 2 - Służba Ochrony Państwa, 439 - Straż Graniczna, 74 - Straż Ochrony Kolei, 154 - Straże Miejskie i Gminne, 520 - Służba Więzienna). Chodziło o nazwiska, numery telefonów, numery PESEL, e-maile (służbowe lub prywatne), a także dokładne adresy miejsca pracy. 

Według szefa RCB, służby nie potwierdziły, by dane te trafiły do osób nieuprawionych i istniało ryzyko ich użycia, ale kwestia ta jest nadal badana. Pułkownik cytował również opinię Urzędu Komisji Nadzoru Finansowego, która oceniła na minimalną lub wręcz zerową możliwość zaciągnięcia na podstawie danych, które wyciekły kredytu, pożyczki bądź innego zobowiązania finansowego. Jak zapewnił Michał Dworczyk, do władz nie dotarła informacja, by ktoś nieuprawiony skorzystał z danych, które wyciekły.

Ryzyko możliwości zaciągnięcia przez nieuprawnionego posiadacza tych danych kredytu, pożyczki bądź innego zobowiązania finansowego w sektorze bankowym i pozabankowym jest minimalne, a wręcz zerowe. Dokonana przez Urząd Komisji Nadzoru Finansowego konsultacja z Biurem Informacji Kredytowej wykazała zbieżność stanowisk w powyższym zakresie.

płk Konrad Korpowski, Dyrektor Rządowego Centrum Bezpieczeństwa

Przypomnijmy, portal Niebezpiecznik.pl 20 kwietnia poinformował, że z Rządowego Centrum Bezpieczeństwa wyciekły dane osobowe ponad 20 tys. funkcjonariuszy publicznych. RCB w opublikowanym komunikacie zapewniło, że wszystkie dane, które były opublikowane w internecie, zostały ponownie i niezwłocznie zabezpieczone. RCB podkreśliło też, że prowadzi wewnętrzną procedurę wyjaśniającą. Jak poinformowano "zamknięto także dalszą możliwość wprowadzania kolejnych rekordów w formularzu". Z informacji przekazanych przez Centrum wynika też, że zdarzenie zgłoszono do CSIRT GOV, powiadomiono także komendantów i szefów służb. "Równolegle powiadomiono Prokuraturę Okręgową w Warszawie o uzasadnionym przypuszczeniu popełnienia przestępstwa". Zgodnie z przepisami, zawiadomiono również Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu bezpieczeństwa danych osobowych.

Sprawę bada Agencja Bezpieczeństwa Wewnętrznego, zgłoszono ją również policji, a prokuratura prowadził w tej sprawie dochodzenie.

Reklama
Reklama

InfoSecurity24
InfoSecurity24
KomentarzeLiczba komentarzy: 4
pepe
środa, 19 maja 2021, 23:09

Zwolniono informatyka i już niby wszyscy zadowoleni? Oprócz informatyka iczywiście.

?
piątek, 21 maja 2021, 01:16

Zwolniono czy przeniesiono w inne miejsce? Kto się ma teraz pilnować?

...
środa, 19 maja 2021, 22:51

A że policjanci, którzy się zapisali za szczepienie są od jakiegoś czasu zasypywani SMS-ami typu: masz nieodebraną paczkę, tylko musisz zapłacić parę złotych za dostawę to jest ich wyłączna wina, bo widocznie gdzieś zaakceptowali zgody marketingowe. Dziwnym zbiegiem są to policjanci, którzy dostali w jednostkach kod do BIK...

...
sobota, 22 maja 2021, 02:25

Było się nie zgłaszać na watpliwe szczepienia organizowane w wątpliwej firmie...

Tweets InfoSecurity24