Co robił marszałek, gdy wyciekły dane urzędników? (update)

Z naszych informacji wynika, że wyciekły dane osobowe pracowników Urzędu Marszałkowskiego Województwa Podlaskiego. Zagrożone są dane przynajmniej kilkuset urzędników, którym firma EuroCert wydała zestawy do podpisu kwalifikowanego na lata 2024-26. Informacje o ataku ransomware na infrastrukturę EuroCert pojawiły się 16 stycznia. W tym czasie marszałek Łukasz Prokorym i członek zarządu Jacek Piorunek podróżowali z Rafałem Trzaskowskim, który prowadził kampanię prezydencką w województwie podlaskim. Żaden z nich jednak nie przerwał swoich aktywności politycznych mimo poważnego kryzysu, który dotknął urząd. Nie sposób było się też skontaktować się z rzeczniczką prasową marszałka.

EuroCert dostarczył (odnowił) dla podlaskiego urzędu marszałkowskiego co najmniej 200 zestawów do podpisów kwalifikowanych (karta kryptograficzna, czytnik kart USB, oprogramowanie do zarządzania kartą oraz aplikacji służącej do składania bezpiecznego podpisu elektronicznego). Ta firma właśnie od kilku lat dostarcza samorządowi województwa urządzania i oprogramowanie związane z kwalifikowanym elektronicznym podpisem (ich ważność to zazwyczaj rok lub 2 lata).

To są narzędzia niezbędne do pracy: obecnie jest wiele dokumentów, gdzie zgodnie z przepisami urzędnicy muszą obowiązkowo podpisywać elektronicznie. Dotyczy to głównie przetargów, wpisów na BIP, decyzji wydawanych w imieniu marszałka czy przelewów bankowych, ale także procedury wydawania środków unijnych. Takie zestawy otrzymują pracownicy zatrudnieni w urzędzie w działach związanych z księgowością, finansami i kadrami, prawnym, zamówień publicznych ale także wszyscy dyrektorzy departamentów i ich zastępcy oraz członkowie zarządu województwa. Według informacji podanych przez portal niebezpiecznik.pl

Według naszych informacji część danych wykradzionych z EuroCert dotyczy pracowników podlaskiego urzędu marszałkowskiego. Zawierają one serię i numer dowodu osobistego, nazwę użytkownika i hasło, dane identyfikacyjne, dane kontaktowe (e-mail, telefon), imię i nazwisko, datę urodzenia, PESEL, a nawet wizerunek (np. skany dowodów osobistych). Niektórzy urzędnicy otrzymali już powiadomienie z firmy EuroCert. 

Jak zareagować na taką informację? W Orlenie, którego to spotkał podobny wyciek danych, wydano polecenie zaprzestania korzystania z certyfikatów i innych produktów EuroCert. Tyle, że to nie wystarczy do powstrzymania skutków wycieku danych. Każda osoba, której dane miał EuroCert powinna jak najszybciej zastrzec swój numer PESEL w serwisie mObywatel.gov.pl, aby zapobiec podszywaniu się pod siebie. Warto zmienić hasło przy wszystkich używanych systemach, gdzie loginem lub hasłem był numer PESEL oraz reagować na alerty wysyłane przez bank i instytucje finansowe. Warto też założyć konto w systemie informacji kredytowej i gospodarczej w celu monitorowania aktywności kredytowej (np. bik.pl; big.pl) oraz włączyć dwuetapowe zabezpieczenia na serwisach, które to umożliwiają. Szczegółowy spis działań tutaj https://eurocert.pl/atak-na-eurocert-oswiadczenie/

Osoby, które posługiwały się certyfikatem powinny zostać natychmiast ostrzeżone, że muszą wykazać daleko idącą ostrożnością w przypadku każdej korespondencji lub rozmowy telefonicznej. Dotyczy to nie tylko osób, o których na pewno wiadomo, że ich dane wyciekły, ale wszystkich, które są takim wyciekiem zagrożone. Chcieliśmy dowiedzieć się czy w urzędzie zarządzono już procedury bezpieczeństwa dotyczące wycieku danych, ale nie uzyskaliśmy żadnej odpowiedzi. Według naszych nieoficjalnych informacji wieść o wycieku dotarła do podlaskiego urzędu marszałkowskiego w czwartek przed południem i z niektórymi pracownikami (w tym byłymi) już się skontaktowano. Urząd Marszałkowski od maja ubiegłego roku przeszedł prawdziwą czystkę kadrową: wymiana pracowników dotknęła ponad połowy departamentów i doświadczoną kadrę zarządzającą. Trudno powiedzieć czy zmiany miały wpływ na opóźnienie wdrażania procedur. Jak się dowiedzieliśmy cześć osób pracujących w UMWP już na pierwszy (jeszcze nieoficjalny) sygnał o wycieku danych pospieszyło zastrzegać dokumenty w bankach. Wiadomo jednak, że nie wszyscy posługujący się obecnie i w przeszłości urządzeniami firmy EuroCert zostały powiadomione o zagrożeniu. Dotyczy to zwłaszcza osób, które przestały pracować w urzędzie lub ich certyfikat utracił ważność niedawno. Tymczasem ich dane również mogły znajdować wśród ukradzionych informacji z EuroCert. Niektóre 

Próbowaliśmy się skontaktować ze służbami prasowymi Urzędu Marszałkowskiego, ale - wedle naszych informacji - towarzyszyły one świcie Rafała Trzaskowskiego, z którym od rana aż do późnego popołudnia podróżowali marszałek Łukasz Prokorym oraz członek zarządu Jacek Piorunek. Czy partyjne obowiązki nie pozwoliły im osobiście zająć się kryzysem w urzędzie? Tego nie wiemy, wiadomo jednak, że sporo osób nie otrzymało żadnych informacji aż do godzin wieczornych.

Według informacji z EuroCert informacja o ataku ransomware została odkryta 12 stycznia. Wiadomo, że wykradziona została część danych klientów, ale firma ciągle nie poinformowała jak wielu osób to dotyczy. O ataku hackerskm została powiadomiona Policję oraz CERT Polska oraz Prezes UODO. Ten ostatni otrzymał dodatkowo zawiadomienie o naruszeniu ochrony danych związanych z wysokim ryzykiem naruszenia praw i wolności osób. 

Według naszych informacji dopiero późnym popołudniem maile o potencjalnym zagrożeniu zostały skierowane do zagrożonych wyciekiem danych. Dlaczego tak późno? Czy dlatego, że marszałek był zajęty kampanią Rafała Trzaskowskiego? Dysponujemy urządzeniami i danymi osób, które aż do czwartkowego wieczora nie otrzymały żadnej informacji o wycieku swoich danych ze strony UMWP wbrew informacjom podanym "Kurierowi Porannemu" przez rzeczniczkę prasową marszałka, która zapewniła, że informacja taka trafiła do takich osób "niezwłocznie".

Przemysław Sarosiek