Polska

Afera z wyciekiem danych z bazy PESEL? Ponoć nie ma się czym przejmować - wszystko jest pod kontrolą...

Maciej Sikorski
Afera z wyciekiem danych z bazy PESEL? Ponoć nie ma się czym przejmować - wszystko jest pod kontrolą...
19

Nasze państwo potrafi mnie zaskakiwać: kilka dni temu głośno zrobiło się o aferze z wyciekiem dużej iloci danych z bazy PESEL, a dzisiaj okazuje się, że... afery nie ma. Najwyraźniej sprawę rozdmuchano, zrobiono z igły widły. Informowaliśmy o temacie w miarę spokojnie, niektórzy poszli krok dalej (albo i dziesięć kroków) i wieszczyli apokalipsę. Dzisiaj moglibyśmy powiedzieć, że nie mieli racji, że przesadzili, a nawet pojechali po bandzie. Typowe podgrzewanie atmosfery w mediach. I niby sprawa wydaje się wyjaśniona (prawie), ale jakoś mnie to nie uspokaja.

Wyciek, który wstrząśnie Polską - tak sprawę stawiali niektórzy komentatorzy. Kilka dni temu Jakub tak wprowadzał Czytelników do sprawy:

Jak podaje serwis Zaufana Trzecia Strona, doszło do poważnego incydentu z systemem PESEL w roli głównej. Jak się okazuje, pewna kancelaria znalazła się w posiadaniu informacji o 800 tysiącach osób z całej Polski. Powołując się na RMF FM, ZTS mówi również o tym, że proceder został wykryty przez Ministerstwo Cyfryzacji.

A dalej czytaliśmy:

Kancelarie, których sprawa dotyczy prawdopodobnie znalazły się w rękach cyberprzetępców. Jak wygląda taki mechanizm? Otóż, uprawnieni do tego urzędnicy mają dostęp do bazy PESEL i mogą z niej korzystać wtedy, gdy jest to uzasadnione. Dodatkowo, jak wskazuje Zaufana Trzecia Strona, mogą to robić „hurtowo” wprowadzając do systemu ogrom zapytań. Pięć kancelarii „wyciągnęło” z systemu PESEL 800 tysięcy rekordów, przy czym jeden rekord, to jeden obywatel. W tych danych znajdują się m. in. imię, nazwisko, stan cywilny, numer aktu urodzenia, związki małżeńskie, dane meldunkowe, informacje dot. posiadanych dokumentów. Wszystko to, co zebrali cyberprzestępcy może przyczynić się do masowych kradzieży tożsamości.

Poważna sprawa, więc nie może dziwić, że zainteresowały się nią stare i nowe media, w pewnym momencie przybrało to wręcz formę wyścigu na liczbę osób, które mogą ucierpieć w wyniku takich wycieków. Kto da więcej, bo ja daję połowę Polaków...

Minęło trochę czasu i okazuje się, że... wyciek danych nie zaistniał:

Czy doszło do „wycieku” danych z bazy PESEL?

Nie. Ministerstwo Cyfryzacji stwierdziło jedynie, że o dane PESEL wnioskuje kilka podmiotów, które składają zapytania o nie w bardzo dużych ilościach i w np. porze nocnej. To zwróciło uwagę specjalistów MC. Urzędnicy na podstawie tych anomalii zawiadomili organy ścigania i dopiero te ustalą, czy doszło do przestępstwa. Komornicy mają bowiem, z mocy przepisów, dostęp do bazy PESEL. Jest jednak kilka warunków, które muszą spełnić, by w sposób bezpieczny z tego dostępu korzystać. Są to m.in.: specjalnie przystosowany komputer bez dostępu do internetu. Dostęp do bazy PESEL odbywa się za pomocą łączy dedykowanych, zaś ona sama NIE JEST PODŁĄCZONA do sieci internet.[źródło]

Dostęp do bazy PESEL ma sporo podmiotów, ale urzędnicy przekonują, że jest ona bezpieczna. Jednocześnie trafiamy na informacje, iż minister Streżyńska nie wie, dlaczego kancelarie komornicze pobierały dane nocą oraz na pewne wyjaśnienia:

Jak się nieoficjalnie dowiedzieliśmy, trzy z tych kancelarii pobierały dane tylko w związku z egzekucjami. W przypadku dwóch pozostałych jeszcze nie ma takiej pewności. Wygląda na to, że "wzmożony ruch" w bazie PESEL, który zaniepokoił Ministerstwo Cyfryzacji, spowodowany został zmianami prawnymi, jakich dokonano w listopadzie ubiegłego roku. Chodzi o likwidację największych kancelarii, tzw. hurtowni, które prowadziły setki tysięcy spraw. Przepisy zmieniła jeszcze PO, by zwiększyć konkurencję i dać zarobić innym komornikom.

Po nowelizacji przepisów, komornik może prowadzić 5 tys. spraw rocznie, a jeśli ma wysoką skuteczność - 10 tys. Hurtownie dotychczas prowadziły w roku nawet po kilkaset tysięcy i zarabiały miliony złotych. Współpracowały z firmami windykacyjnymi i skupującymi długi. Tuż przed zmianą przepisów komornicy robili "zapasy" spraw egzekucyjnych. Mogą je nadal prowadzić i zarabiać w ten sposób. Być może szybkie obsłużenie tych spraw wymagało nocnego ściągania informacji o dłużnikach. Jeśli to się potwierdzi, prokuratura będzie musiała umorzyć postępowanie.[źródło]

Możemy zatem spać spokojnie? Cóż, niektórzy przekonują, że spawy właściwie nie ma. Nie doszło do żadnego włamania, wycieku, zakrojonego na szeroką skalę procederu, który sprawi, iż połowa Polaków będzie spłacać nie swoje kredyty. Ot, nieporozumienie, niedomówienie, "anomalie". Wszystko, ale nie wyciek czy kradzież danych. Może faktycznie tak jest. Ale z natury jestem sceptyczny i zastanawiam się, czy obserwujemy teraz wyciszanie sprawy, zamiatanie jej pod dywan? Nie chcę tworzyć teorii spiskowych, lecz prawda jest taka, że za szybko stwierdzono "wszystko jest ok". Przecież sprawa dopiero zaczyna być badana. Może do wycieku nie doszło, może wszystko da się racjonalnie wytłumaczyć, ale... to trochę potrwa.

Minister pytana, czy mogło dojść do cyberataku odpowiedziała, że "na tym etapie niczego nie można wykluczyć". - Ale bardziej prawdopodobne jest, że były to dane pobierane po prostu przez komorników jako uprawnionych do pobierania niż, że to był jakiś cyberatak osób trzecich. Zawsze jest jednak możliwe, że komornik nie przestrzega zasad i korzysta z komputera, który pobiera dane nie w wydzielonej sieci. Wtedy do tych danych może mieć dostęp cyberprzestępca - tłumaczyła.[źródło]

W całej sprawie dostrzegam kilka plusów. Po pierwsze, rozpoczęła się dyskusja na temat bazy, tego, kto ma do niej dostęp, ewentualnych konsekwencji, gdyby doszło do wycieku, odpowiedzialności państwa. Po drugie, obywatele zaczynają być uświadamiani, że to nie są przelewki, dowiadują się, czego mogą się obawiać, jak się zabezpieczyć, gdzie sprawdzić, czy wszystko jest ok.

Obywatelu, jeśli niepokoją Cię informacje, że Twoje dane mogły być wykorzystane bez Twojej wiedzy, pamiętaj, że…

Każdy obywatel może bezpłatnie sprawdzić jakie dane na jego temat znajdują się w bazie PESEL oraz czy zwracały się o nie konkretne instytucje.

Taką informację możesz uzyskać na jeden z następujących sposobów:

Przesłać do Ministerstwa Cyfryzacji elektronicznie wypełniony i podpisany Profilem Zaufanym wniosek.
Przesłać wypełniony i podpisany wniosek na adres: Ministerstwo Cyfryzacji, Departament Ewidencji Państwowych, ul. Królewska 27, 00-060 Warszawa, z dopiskiem SRP[źródło]

Podejrzewam, że nie słyszymy o tej sprawie po raz ostatni. Albo inaczej: mam nadzieję, że nie słyszymy o sprawie po raz ostatni i za jakiś czas dowiemy się co zaszło w bazie. Oby ta historia trzymała się kupy. Bo na razie dziwi fakt, że urzędnicy byli zdziwieni wydarzeniami sprzed kilku dni, by nagle stwierdzić, że wszystko jest ok...

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy:

Polskadanewyciek