PRZEMYSŁAW WILCZYŃSKI: Radio RMF podało informację o wycieku olbrzymiej ilości danych z bazy PESEL. Co się stało?
PIOTR KONIECZNY, Niebezpiecznik.pl: Urzędnicy Centralnego Ośrodka Informatyki wykryli wzmożony ruch w systemie PESEL pochodzący z pięciu kancelarii komorniczych, które mogą korzystać z bazy. Jedna z nich wygenerowała tyle zapytań o dane od marca 2015 r., że średnio musiała to robić co kilkanaście sekund. Pracownicy Ministerstwa Cyfryzacji, któremu podlega COI, przekazali swoje obawy prokuraturze i ABW, co zapoczątkowało śledztwo.
Jak do tego doszło?
Jest kilka, mniej lub bardziej prawdopodobnych hipotez. Ktoś mógł zainfekować komputer wyznaczony do komunikacji z rejestrem PESEL, który powinien być dodatkowo zabezpieczony. Komornicy mogli w dobrej wierze zainstalować na tym komputerze oprogramowanie automatyzujące ich pracę, ale oprogramowanie to posiadało „tylną furtkę” i poza pomocą komornikom, w tle, bez ich wiedzy, generowało dodatkowe zapytania. Z racji warunków technicznych, jakie muszą być spełnione przez komorników, aby uzyskać dostęp do rejestru, trudno uwierzyć, by odbywało się to bez ich wiedzy.
Po co komornikom, zakładając, że działali świadomie, dane z bazy, w której – dodajmy – są nie tylko numery PESEL, ale też np. nazwiska, dane współmałżonków, rodziców czy historia adresów zamieszkania i zameldowania?
Wbrew medialnej panice moim zdaniem celem nie było raczej zaciąganie kredytów. Wzięcie „na kogoś” kredytu na podstawie danych w rejestrze PESEL bez dysponowania skanem dowodu osobistego i już założonym na te dane rachunkiem bankowym jest praktycznie niemożliwe.
Być może kluczem do rozwiązania zagadki jest zmieniające się prawo? Jesienią zacznie obowiązywać tzw. elektroniczne zajęcie rachunku bankowego, które umożliwi komornikom natychmiastowe ściąganie długu. Wcześniej jednak komornik musi wysłać wezwanie do zapłaty, a do tego potrzebny jest adres dłużnika… Do tej pory wielu małych długów nie opłacało się ściągać.
Mamy się czego bać? Baza PESEL jest zagrożona?
Dane Polaków zostały pozyskane dozwolonym kanałem przez dopuszczone do rejestru podmioty. Nie nastąpił atak, miało miejsce nadużycie. Zachodzi jedynie pytanie, dlaczego na zwiększony ruch zareagowano dopiero po prawie półtora roku? Systemy takiej wagi powinny być ściślej monitorowane, a odpowiednie ograniczenia w dostępie (np. blokada konta użytkownika po przekroczeniu X zapytań) wprowadzone już dawno temu. ©℗
PIOTR KONIECZNY jest szefem zespołu bezpieczeństwa Niebezpiecznik.pl, firmy zajmującej się m.in. namierzaniem błędów bezpieczeństwa w infrastrukturze teleinformatycznej firm.
„Tygodnik Powszechny” – jedyny polski tygodnik społeczno-kulturalny.
30 tys. Czytelniczek i Czytelników. Najlepsze Autorki i najlepsi Autorzy.
Wspólnota, która myśli samodzielnie.
Artykuł pochodzi z numeru TP 36/2016
