Marszałkowska afera z wyciekiem danych w tle (WIDEO)

Tak jak informowaliśmy: w ubiegły czwartek firma EuroCert poinformowała, że w wyniku ataku hakerskiego wykradzionych zostało 65 GB danych osób posługujących się certyfikatami tej firmy. Ta właśnie firma dostarcza zestawy do podpisu kwalifikowanego na lata 2024-26, którymi posługiwali się pracownicy Urzędu Marszałkowskiego Województwa Podlaskiego. Skandalem jest to, że wiadomość o tym dotarła do zainteresowanych bardzo późno. I niewiele dowiedzieli się co mają konkretnie zrobić, żeby paść ofiarą cyberoszustwa.

To poważna afera 

Po pierwsze: To poważna afera i duże zagrożenie. Dane nie wyciekły z Urzędu Marszałkowskiego Województwa Podlaskiego i to nie urzędnicy ani politycy są winni temu, że wyciekły wrażliwe dane. Ujawnione zostały imiona i nazwiska, adresy zamieszkania, maile, telefony i skany dowodów osobistych pracowników. Dane zostały wykradzione z firmy EuroCert, które te dane przechowuje i potrzebowała ich do wydania certyfikatów pozwalających na składanie podpisów elektronicznych. Informacje z danymi osób pojawiły się w darknecie. Takie informacje mają dużą wartość dla hakerów, oszustów i włamywaczy internetowych.

Po drugie: EuroCert powiadomił o kradzieży wszystkie służby: policję, CERT Polska oraz Prezesa Urzędu Ochrony Danych Osobowych. Do części osób, których dane mogły wyciec (firma nie ma pewności konkretnie czyje dane zostały wykradzione) zostały wysłane automatyczne maile z EuroCertu z zawiadomieniem o zdarzeniu oraz spisem działań, które należy podjąć, aby zabezpieczyć się przed konsekwencjami użycia danych przez oszustów. A mogą być one dolegliwe: na podstawie ukradzionych informacji można wziąć kredyt lub pożyczkę, zadłużyć się w instytucjach finansowych i założyć fałszywe konta. Można też te dane wykorzystać do wyłudzeń lub włamać się na konto należące do osoby, której dane ukradziono. Możliwe jest też włamanie się na konta mailowe i profile, w których wykorzystywany jest numer PESEL i skany dowodu osobistego. To tylko niektóre z zagrożeń.

Po trzecie: zagrożenie nie minęło. NASK informuje, że "ryzyko upublicznienia danych jest wysokie" i przypomniał, że każda osoba, której dane wyciekły bądź są w posiadaniu cyberprzestępców powinna "być przygotowana i świadoma, że cyberoszuści mogą chcieć te dane wykorzystać". Takie osoby powinny być też zachować czujność w stosunku do przychodzących wiadomości, maili i telefonów. Powinny też "weryfikować ich nadawcę u źródła". Taka informacja powinna dotrzeć do zainteresowanych jak najszybciej. Wraz z konkretnymi działaniami, które muszą wykonać. Niestety - tak się nie stało. 

Czym zawinił urząd marszałkowski? 

Czym zawinił Urząd Marszałkowski, skoro nie jest odpowiedzialny za wyciek danych? Po pierwsze dane EuroCertu zostały wykradzione w nocy z 11 na 12 stycznia. Informacja o włamaniu pojawiła się na stronie firmy 16 stycznia, ale pierwsze maile do niektórych osób, których dane firma miała zostały wysłane wczesnym przedpołudniem.

Dopiero w czwartek wieczorem Małgorzata Półtorak, rzecznik prasowy UMPW poinformowała Kurier Poranny o zdarzeniu mówiąc, że pracownicy posiadający podpis elektroniczny "zostali natychmiast poinformowani o sytuacji i poproszeni o podjęcie działań zabezpieczających ich dane". To niestety nie jest cała prawda. Wielu o zdarzeniu dowiedziało się z naszego portalu, a część dostała informację w piątek lub nawet w poniedziałek. Dotyczy to zwłaszcza byłych pracowników urzędu, osoby na długotrwałych urlopach i zwolnieniach. Informacje, które dostali zainteresowani z UMWP jak mają zabezpieczyć się przed wykorzystaniem ich danych też są - delikatnie mówiąc - mało precyzyjne. 

Również w czwartek - ale około południa - część osób zatrudnionych w UMPW otrzymała zawiadomienia z EuroCert i ruszyła zabezpieczać swoje dane w bankach. Nieco później informacja o tym, że nastąpił wyciek danych i dotyczy on urzędników pojawiła się w wewnętrznym systemie urzędowym pw2. Wtedy kolejna grupa osób ruszyła zastrzegać swoje konta w bankach. Akcja nie była jednak skoordynowana, bo pełna lista osób dysponujących zestawem do podpisu kwalifikowanego nie jest informacją dostępną dla wszystkich. A Łukasz Prokorym, marszałek województwa i wiele decyzyjnych osób w urzędzie towarzyszyło akurat w tym dniu Rafałowi Trzaskowskiemu, który tego dnia prowadził kampanię wyborczą w województwie podlaskim. Przy okazji okazało się, że mogły wyciec dane nie tylko osób, które aktualnie posługują się podpisem kwalifikowanym ale również dane osób, które z urzędu odeszły i ich certyfikat stracił ważność. Wśród osób, które aktualnie pracują w UMWP również są osoby, których certyfikat jest już nieważny i które go nie przedłużały. A ponieważ dostęp do wewnętrznego systemu pw2 jest dostępny tylko na służbowych komputerach to na liście wyłączonych z obiegu informacji znalazły się też osoby nieobecne w pracy. W tym też takie, które są na długotrwałych zwolnieniach lekarskich lub urlopach (także macierzyńskich). Te osoby w czwartek nie dowiedziały się o tym, że ich dane wpadły w ręce oszustów. Informacja na ten temat trafiła do nich dopiero w piątek, do niektórych wieczorem. Do części informacja dotarła w poniedziałek. Tymczasem to co zaleca każdy specjalista zajmujący się ochroną danych to JAK NAJSZYBSZE ZASTRZEŻENIE DANYCH. Czy zatem urząd zatroszczył się o wszystkie osoby, których dane trafiły do EuroCert? Czy tylko o te, które w czwartek były w pracy? Czy poinformował jakie dane i w jaki sposób należy zastrzec? 

Pracownicy bez pomocy? 

Rozmawialiśmy z niektórymi pracownikami (obecnymi i byłymi). Na podstawie tych rozmów uważamy, że informacje o tym jak uniknąć negatywnych skutków wycieku danych są mało przydane. Instrukcje od EuroCert są faktycznie dość szczegółowe i precyzyjne, ale nie wszyscy je otrzymali. Dlatego jeszcze raz udostępniamy je TUTAJ. Zachęcamy też do obejrzenia filmu z instrukcją przygotowaną przez kanał YT Bankowe ABC Atak hakerski na EuroCert 2025 Wyciek danych, w tym numery PESEL!

Urząd do tej pory nie poinformował na swojej stronie o zagrożeniu wyciekiem danych. Nie podał żadnego komunikatu w tej sprawie. Są liczne informacje i zdjęcia czym aktualnie zajmują się członkowie zarządu, są komunikaty o tym jak spędzają czas wolny (np. zbierają podpisy pod listami poparcia dla Rafała Trzaskowskiego), ale brak informacji o istotnym wydarzeniu jakim był atak hakerski, którego łupem padło dane kilkuset pracowników urzędu. 

Jeżeli zaś taką informacją jest artykuł na stronie internetowej Kuriera Porannego to informacja udzielona tam przez panią Małgorzatę Półtorak jest - delikatnie mówiąc - nieprecyzyjna. Bo nie tylko nie wszyscy zostali niezwłocznie powiadomieni ale też nie zostali poinformowani co teraz mają zrobić, żeby być bezpiecznym. A stało się tak, bo o udostępnieniu danych byłych pracowników lub osób nie mających dostępu do systemu pw2 musiały zadecydować osoby zarządzające urzędem. A te - w czwartek - podążały za Rafałem Trzaskowskim i zdecydowały się dotrzymywać mu towarzystwa aż do chwili, kiedy zakończył on kampanijne występy. Czy uznały, że to akurat jest ważniejsze? Tego nie wiemy. 

Tak samo nie mamy wiedzy czy ktoś w imieniu Urzędu Marszałkowskiego zażądał od firmy EuroCert informacji dane ilu urzędników (i których konkretnie) znajdują się w ich zasobach. A także dlaczego dane osób, których podpisy kwalifikowane zostały cofnięte lub wygasły ciągle jeszcze są w zasobach firmy EuroCert? Czy ktoś w imieniu urzędu zażądał ich usunięcia lub archiwizacji? A jeżeli tak to dlaczego te dane jeszcze się tam znajdują? No i kwestia ostatnia: czy urząd wystąpi o odszkodowanie do firmy EuroCert i zabezpieczy pomoc prawną dla urzędników, gdyby jednak doszło do tego, że ich dane zostaną wykorzystane? 

To nie koniec kłopotów

Afera z wyciekiem danych wcale się jeszcze nie zakończyła. I dopóki nie padną odpowiedzi na pytania postawione w tym artykule będzie ona ciągle aktualna. Poza tym jest jeszcze jedna - niezwykle ważna kwestia - czy urząd ma procedury postępowania w sytuacji kryzysowej jak ta z wyciekiem danych? A jeżeli tak to dlaczego nie one nie zadziałały? No chyba, że w ich założeniach jest że niezwłoczne zawiadomienie oznacza po kilku dniach. 

Nie pytamy w imieniu naszych czytelników i widzów. Pytamy również w imieniu pracowników. Wielu z nich odezwało się do naszej redakcji prosząc o więcej informacji. W urzędzie panuje atmosfera, która nie zachęca do zadawania trudnych pytań pracodawcom. Jak powiedział jeden z naszych rozmówców: jak spytam to może wyjść i tak, że będzie jak w ludowym powiedzeniu, że "szewc zawinił, a kowala powiesili"

Przemysław Sarosiek