Imiona, nazwiska, adresy zamieszkania, numery telefonów – to tylko część danych, jakie wyciekły z serwerów Krajowej Szkoły Sądownictwa i Prokuratury. – Kiedyś zaczynałem dzień od sprawdzenia, co w nocy podpisał Andrzej Duda. Teraz będę zaczynał od sprawdzenia w Biurze Informacji Kredytowej, czy ktoś nie wziął na mnie pożyczki – mówi dziennikarzom jeden z sędziów, którego dane mogły zostać naruszone.

Jak czytamy w „Zgłoszeniu Naruszenia Danych Osobowych” wysłanym przez szkołę do Urzędu Ochrony Danych Osobowych, do wycieku danych doszło 21 lutego, ale Krajowa Szkoła Sądownictwa i Prokuratury dowiedziała się o tym dopiero 7 kwietnia od Komendy Głównej Policji. Kilka dni później przekazała tę informację do osób, których dane wyciekły.

– O wszystkim dowiedziałem się mailowo w święta – mówi nam jeden z warszawskich sędziów. – W nocy w Wielką Sobotę szkoła przysłała maila z ogólną informacją, a w wielkanocną niedzielę przyszła druga wiadomość, już ze szczegółami, które dane wykradziono – dodaje.

Otrzymanie maila potwierdziło nam kilkoro sędziów. Jego tytuł brzmiał „Zawiadomienie o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia Pani/Pana praw lub wolności”. Pod wiadomością do sędziów podpisana jest dyrektor szkoły, sędzia Sądu Najwyższego dr Małgorzata Manowska.

Także rzecznik UODO potwierdził nam otrzymanie 9 kwietnia zgłoszenia od szkoły. Podano w nim konkretną liczbę poszkodowanych – 50 776. Skąd w ogóle KSSiP miała pełne dane tak wielu osób?

 

Państwowa kuźnia prawniczych kadr

Krajowa Szkoła Sądownictwa i Prokuratury w Krakowie to jedyna centralna instytucja kształcąca sędziów i prokuratorów w Polsce. Podlega bezpośrednio Ministrowi Sprawiedliwości. Oprócz kształcenia aplikantów sędziowskich i prokuratorskich, szkoła prowadzi kursy doszkalające dla wszystkich sędziów sądów powszechnych (rejonowych, okręgowych, apelacyjnych), prokuratorów, asesorów, asystentów oraz pracowników sądowych sekretariatów. Zarówno wśród kursantów, jak i wykładowców, zdarzają się goście z Unii Europejskiej i spoza Europy.

– Nie znam sędziego, czynnego zawodowo, który nie byłby zarejestrowany w KSSiP – mówi nam warszawska sędzia. – To jest nasze główne miejsce szkoleń – dodaje.

Obowiązek ciągłego doszkalania się i poszerzania swojej wiedzy wynika z art. 82a ustawy „Prawo o ustroju sądów powszechnych”. W par. 3 KSSiP jest wprost wskazana jako preferowane miejsce doskonalenia zawodowego.

Zajęcia, oprócz naukowców, często prowadzą praktycy – policjanci, biegli sądowi, prokuratorzy prowadzący najtrudniejsze sprawy. I to właśnie dane tych wszystkich osób – aplikantów, osób doszkalających się, jak i prowadzących zajęcia – zostały naruszone.

 

Dane udostępnione na zagranicznym portalu

Do wycieku miało dojść w trakcie przenoszenia danych pomiędzy platformami szkoleniowymi KSSiP.

„Uzyskaliśmy z KGP informację o pojawieniu się w internecie danych związanych z domeną kssip.gov.pl. Po zapoznaniu się z rodzajem danych ustalono że są to dane z bazy danych portalu szkolenia.kssip.gov.pl powstałe w dniu 21.02.2020 w trakcie testowej migracji platformy do obecnej platformy szkoleniowej ekssip.kssip.gov.pl. Dane udostępnione dotyczyły tabeli użytkowników z bazy danych” – czytamy w zgłoszeniu, które KSSiP wysłał do UODO.

W mailach do poszkodowanych szkoła pisze wprost, że wypłynęły następujące informacje: imię, nazwisko, numer telefonu, adres e-mail, miejsce zamieszkania, daty pierwszego i ostatniego logowania, numery ICQ, MSN, Skype, Yahoo, jednostka (miejsce pracy), hasło (zaszyfrowane). Ustalane jest, czy wyciekły też numery PESEL – w tym momencie nie można tego wykluczyć.

– Wysłanie takiego maila w sobotę o 23 to (wulgaryzm), wtedy nikt nie czyta maili! – mówi jeden z sędziów. – Do naruszenia doszło w lutym, a oni twierdzą, że dowiedzieli się dopiero 7 kwietnia. W najlepszym wypadku oznacza to, że te dane mogły być wykorzystywane przez co najmniej pięć tygodni – dodaje poirytowany.

Szkoła potwierdza, że dane skradziono, jednak na tym etapie nie potrafi stwierdzić, jak doszło do wycieku. KSSiP odpiera jednak zarzuty o zbyt późnym rozsyłaniu informacji do poszkodowanych osób. – To, że część osób dostała te maile trochę wcześniej, a część trochę później wynika z kwestii technicznych – mówi Adam Czerwiński, zastępca dyrektora ds. kształcenia ustawicznego i współpracy międzynarodowej KSSiP. – Po prostu musieliśmy podzielić wysyłanie na „paczki”, bo na raz nie udałoby nam się wysłać maila do tak dużej liczby osób i mógłby odbiorcom trafić też do spamu – dodaje.

Szkoła przyznaje również, że o samym wycieku dowiedziała się od policji. – Dostaliśmy nieoficjalnie informację z Komendy Głównej Policji, że dane z naszej bazy są dostępne na zagranicznym portalu internetowym – przyznaje Czerwiński. – Jak tylko nasi informatycy potwierdzili, że to nasza baza, od razu podjęliśmy wszystkie możliwe kroki, by te dane usunąć – zapewnia.

Jak poinformowała w zgłoszeniu do UODO Krajowa Szkoła Sądownictwa i Prokuratury, po ataku m.in. wysłano zgłoszenie do administracji portalu udostępniającego plik z danymi o zablokowanie pobierania, skasowano wszystkie hasła na nowej platformie i umieszczono informację o konieczności zmiany hasła przy logowaniu do nowej platformy.

W odpowiedzi na nasze pytania, Urząd Ochrony Danych Osobowych poinformował, że zgłoszenie ze strony szkoły ma charakter wstępny, w związku z czym urząd czeka na uzupełnienie go przez administratora. „Jednocześnie informuję, że naruszenie nie było konsekwencją kradzieży danych, a efektem incydentu o charakterze informatycznym”, przekazał rzecznik prasowy UODO Adam Sanocki.

 

Czym grozi wyciek? Pożyczki, umowy, wgląd do danych zdrowotnych

– W kwietniu mamy złożyć i opublikować tegoroczne oświadczenia majątkowe – mówi warszawska sędzia. – W połączeniu z tymi danymi, które wyciekły, ktoś będzie miał doskonałe rozeznanie, ile i na kogo może wziąć w internetowych chwilówkach – dodaje.

Sama szkoła w rozsyłanych mailach przyznaje, że zagrożeń związanych z wyciekiem jest wiele. Osoba czy osoby mające dostęp do danych, jak pisze w mailu do poszkodowanych KSSiP, może m.in.:

„podejmować próby uzyskania na Pani/Pana szkodę, pożyczek w instytucjach pozabankowych np. przez Internet lub telefonicznie, w przypadkach niewymagających okazywania dokumentu tożsamości;

podejmować próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o Pani/Pana stanie zdrowia, w przypadkach, gdy dostęp do systemów rejestracji pacjenta będzie oparty na potwierdzaniu swojej tożsamość z wykorzystaniem numeru PESEL;

osoby trzecie mogą podjąć próbę zawarcia na Pani/Pana szkodę umów cywilnoprawnych, np. najmu nieruchomości;

Pani/Pana dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu” .

– Kiedyś zaczynałem dzień od sprawdzenia, co w nocy podpisał Andrzej Duda. Teraz będę zaczynał od sprawdzenia w Biurze Informacji Kredytowej, czy ktoś nie wziął na mnie pożyczki – komentuje jeden z sędziów, który otrzymał mailową informację o naruszeniu jego danych.

 

Kto zagwarantuje bezpieczeństwo?

Jeszcze większe obawy mają sędziowie orzekający w sprawach karnych. – Nie chciałbym, żeby adres, gdzie mieszka moje dziecko, poznał facet, którego właśnie wysłałem na 10 lat za kraty – mówi nam sędzia, który również pragnie pozostać anonimowy.

– Ktoś ma cały wymiar sprawiedliwości na talerzu – komentuje inny.

– Tak duże opóźnienie w poinformowaniu nas o tym wycieku sprawia, że nie mamy wrażenia, żeby państwo podjęło wystarczające działania w celu ochrony swoich funkcjonariuszy, którzy są na pierwszej linii walki z przestępczością – mówi Bartłomiej Przymusiński, rzecznik prasowy Stowarzyszenia Sędziów Polskich „Iustitia”, który sam otrzymał powiadomienie, że jego dane wyciekły. Stowarzyszenie maile od KSSiP, dotyczące wycieku, opublikowało w swoich mediach społecznościowych.

▪Sędziowie w całym kraju z Krajowej Szkoły Sędziów i Prokuratorów, otrzymali przed świętami informację, o kradzieży…

Publiée par Iustitia Polska – "Polish Judges" sur Lundi 13 avril 2020

 

Przymusiński wskazuje przy tym na kolejny problem. – Wygląda na to, że dane te mogą być nawet wystarczające, by unieważnić nasz głos w możliwych wyborach korespondencyjnych – stwierdza.

Rzeczywiście, w przygotowanym przez PiS projekcie ws. głosowania korespondencyjnego, art. 5 pkt. 5 przewiduje, że w przypadku gdy do komisji trafią dwie koperty zwrotne z danymi tej samej osoby, druga z nich będzie traktowana jako głos nieważny. – A skąd będzie wiadomo, że odrzuca się tę podrobioną? Przecież komisja nie będzie miała żadnych możliwości stwierdzić, która koperta pochodzi od prawdziwej osoby, a która od podszywającej się. Zdecyduje ślepy los, która koperta pierwsza zostanie przełożona do urny wyborczej – komentuje Przymusiński.

O komentarz poprosiliśmy Komendę Główną Policji. Czekamy na odpowiedź.

 

Red.:

Warto tu wspomnieć o alertach z Biura Informacji Kredytowej.
Niestety w tych czasach warto mieć usługę, która SMS’em powiadomi nas, gdy ktoś podejmie próbę wyłudzenia kredytu na nasze dane.

 

Aktualizacja 22 kwietnia:

Zarzut wycieku poufnych informacji usłyszy Krzysztof J., zatrzymany w związku z zamieszczeniem w internecie danych personalnych prokuratorów i sędziów z zasobów Krajowej Szkoły Sądownictwa i Prokuratury. Mężczyzna jest pracownikiem firmy zarządzającej serwerami szkoły.

Pracownik firmy obsługującej system informatyczny krajowej szkoły w trakcie przenoszenia danych na nowo utworzoną platformę utworzył katalog, do którego ściągnął między innymi nazwiska, adresy mailowe i telefony sędziów i prokuratorów. Następnie upublicznił ten folder w internecie, co umożliwiło internautom pobranie danych. Pliki te zostały ściągnięte do prywatnych baz przez nieustalone dotąd osoby.

Rzecznik Prokuratury Krajowej Ewa Bialik poinformowała, że Krzysztof J. usłyszy zarzut udostępnienia danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym KSSiP.

Grozi za to do 5 lat pozbawienia wolności.

O sprawie poinformowała w ubiegłym tygodniu m.in. „Gazeta Wyborcza”. Jak podał dziennik, do internetu wyciekły dane tysięcy sędziów i prokuratorów, które miała w swoich zasobach Krajowa Szkoła Sądownictwa i Prokuratury w Krakowie. W sieci pojawiły się prywatne adresy mailowe, adresy zamieszkania, numery telefonów, a także hasła logowania.

Dyrektor szkoły Małgorzata Manowska oświadczyła wówczas, że w zakresie usług informatycznych, KSSiP korzysta z obsługi profesjonalnych podmiotów zewnętrznych. Prawdopodobne jest, że do wycieku danych osobowych doszło na skutek zaniedbania jednej z tych firm – mówiła wtedy Manowska.

Dodała też, że szkoła – jako podmiot pokrzywdzony – już 7 kwietnia złożyła do prokuratury zawiadomienie o podejrzeniu popełnienia przestępstwa w tej sprawie. Z poczynionych na dzień dzisiejszy ustaleń, brak jest danych pozwalających na jednoznaczne stwierdzenie, że przedmiotem nieuprawnionego ujawnienia były również numery PESEL – podkreślała.

Z kolei w minioną środę zastępca rzecznika dyscyplinarnego sędziów Przemysław Radzik poinformował, że w związku z wyciekiem tych danych podjął czynności wyjaśniające w sprawie uzasadnionego podejrzenia popełnienia przewinienia dyscyplinarnego polegającego na niedopełnieniu obowiązków służbowych przez sędziów wykonujących obowiązki służbowe w KSSiP.

 

 

Źródło: tvn24, rmf24
0 0 vote
Article Rating