PESEL - wyciek danych z bazy i komentarz eksperta
Jak mogło dojść do wycieku danych z bazy PESEL? Jak się zabezpieczyć przed takimi sytuacjami? O komentarz poprosiliśmy Michała Iwana, dyrektora zarządzającego F-Secure w Polsce.
Można by pomyśleć, że krajowe systemy identyfikacji tożsamości i rejestry ludności są chronione przed aktywnymi atakami hakerskimi i przypadkowym ujawnieniem danych, ponieważ korzystają z najnowocześniejszych technologii i procedur bezpieczeństwa. W rzeczywistości systemy te są na ogół stare (według standardów panujących w branży informatycznej).
Obecnie istnieje wiele sposobów, by w czasie rzeczywistym generować zapytania do serwerowych baz danych umieszczonych na serwerach przez przeglądarkę i API. Nawet jeśli rejestr byłby chroniony w pierwszej instancji, właściwie dowolny podłączony "partner", który ma do niego dostęp, może zostać wykorzystany jako pośrednik, przez którego można uzyskać nieograniczony dostęp do danych. Dokładnie o takiej sytuacji mówimy: pośrednikami były kancelarie komornicze.
Natomiast wśród podmiotów, które mają takie uprawnienia, polskie prawo wskazuje jeszcze m.in. organy administracji publicznej, sądy i prokuraturę, Policję, Straż Graniczną, służby specjalne, Biuro Ochrony Rządu czy Centralne Biuro Antykorupcyjne.
Poza dojściem do tego, jak i gdzie doszło do wycieku, równie ważne jest zidentyfikowanie, dlaczego nie został on wykryty i zgłoszony wcześniej.
Jak dane z wycieku mogą być wykorzystane?
Zgodnie z praktyczną zasadą, jaką należałoby przyjąć, danych takich jak numer identyfikacyjny nie należy traktować jako poufnych. To znaczy, że nie należy opierać systemu uwierzytelniania na założeniu, że tylko właściwa osoba może podać swój numer identyfikacyjny, adres domowy itd. A mimo wszystko wiele banków i innych firm świadczących usługi dla klientów rozpoznaje ich przez telefon, prosząc o te informacje.
W idealnym świecie żarty czy oszustwa z użyciem skradzionej tożsamości innej osoby nie powinny być możliwe, jednak nasza nieidealna rzeczywistość sprawia, że jest to zaskakująco proste.
Zdarzają się przypadki udzielenia kredytu przestępcom, którzy korzystają ze skradzionej tożsamości. Samochody i inne drogie rzeczy są nieraz brane w leasing lub kupowane na raty z wykorzystaniem fikcyjnej tożsamości. Nawet zwroty podatkowe lub zasiłki społeczne są przekierowywane na rachunki, z których korzystają przestępcy. Tak więc te dwa miliony pechowców mogą spodziewać się przynajmniej tego typu kłopotów.
Jest to też okazja do konfrontacji z rzeczywistością: dane znajdujące się w tym rejestrze są dostępne dla wielu osób i organizacji, które ich potrzebują, aby wykonać swoją pracę na rzecz obywateli. Z prawnego punktu widzenia ten wyciek można rozpatrywać jako naruszenie prywatności poszczególnych dotkniętych nim osób, można jednak uznać go również za naruszenie zgody.
Wielu z tych danych nigdy właściwie nie uznawano za poufne, ale zbierano i udostępniano z określonych względów prawnych. W tym sensie hakerzy nie uzyskali dostępu do danych poufnych, ale raczej złamali warunki świadczenia określonych usług i naruszyli zgodę osób zarejestrowanych. A do właścicieli systemu i operatorów danych należy zadbanie o to, by do takich naruszeń nie mogło dojść.
Jak chronić własne dane osobowe?
Obywatele i rezydenci danego kraju nie mogą uniknąć obowiązku rejestracji. On po prostu istnieje. Jeśli ktoś nie ufa własnemu rządowi, nie może zbyt wiele z tym zrobić. Rząd natomiast ma pewne możliwości: może ograniczać dostęp do wrażliwych systemów, przeprowadzać audyty, testować oprogramowanie, wymagać spełniania określonych warunków. Co ciekawe, Ministerstwo Cyfryzacji wymienia na przykład Windowsa Vistę jako dopuszczony system operacyjny, mimo że wsparcie dla niego dawno wygasło.
Teraz gdy dane już wyciekły, trzeba być wyczulonym na wszelkie oznaki, że ktoś próbuje oszukańczo wykorzystać naszą skradzioną tożsamość. Niestety pierwszymi takimi oznakami mogą być wezwania do zapłaty albo powiadomienia sądowe. Czasem szybciej zareaguje wystawca karty kredytowej. Koniecznie trzeba złożyć zawiadomienie o popełnieniu przestępstwa. Nie wolno ignorować tego typu znaków ostrzegawczych.
Zwykłym obywatelom warto przypomnieć, że o ile nie mają wpływu na to, jak ich dane przetwarza państwo, to mają taki wpływ w przypadku sektora prywatnego. Sami mogą decydować komu i jakie dane podają.