Imiona, nazwiska, adresy zamieszkania, numery telefonów – to tylko część danych, jakie wyciekły z serwerów Krajowej Szkoły Sądownictwa i Prokuratury. - Kiedyś zaczynałem dzień od sprawdzenia, co w nocy podpisał Andrzej Duda. Teraz będę zaczynał od sprawdzenia w Biurze Informacji Kredytowej, czy ktoś nie wziął na mnie pożyczki – mówi dziennikarzom TVN24 jeden z sędziów, którego dane mogły zostać naruszone.
Jak czytamy w "Zgłoszeniu Naruszenia Danych Osobowych" wysłanym przez szkołę do Urzędu Ochrony Danych Osobowych, do wycieku danych doszło 21 lutego, ale Krajowa Szkoła Sądownictwa i Prokuratury dowiedziała się o tym dopiero 7 kwietnia od Komendy Głównej Policji. Kilka dni później przekazała tę informację do osób, których dane wyciekły.
- O wszystkim dowiedziałem się mailowo w święta – mówi nam jeden z warszawskich sędziów. - W nocy w Wielką Sobotę szkoła przysłała maila z ogólną informacją, a w wielkanocną niedzielę przyszła druga wiadomość, już ze szczegółami, które dane wykradziono – dodaje.
Otrzymanie maila potwierdziło nam kilkoro sędziów. Jego tytuł brzmiał "Zawiadomienie o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia Pani/Pana praw lub wolności". Pod wiadomością do sędziów podpisana jest dyrektor szkoły, sędzia Sądu Najwyższego dr Małgorzata Manowska.
Także rzecznik UODO potwierdził nam otrzymanie 9 kwietnia zgłoszenia od szkoły. Podano w nim konkretną liczbę poszkodowanych – 50 776. Skąd w ogóle KSSiP miała pełne dane tak wielu osób?
Państwowa kuźnia prawniczych kadr
Krajowa Szkoła Sądownictwa i Prokuratury w Krakowie to jedyna centralna instytucja kształcąca sędziów i prokuratorów w Polsce. Podlega bezpośrednio Ministrowi Sprawiedliwości. Oprócz kształcenia aplikantów sędziowskich i prokuratorskich, szkoła prowadzi kursy doszkalające dla wszystkich sędziów sądów powszechnych (rejonowych, okręgowych, apelacyjnych), prokuratorów, asesorów, asystentów oraz pracowników sądowych sekretariatów. Zarówno wśród kursantów, jak i wykładowców, zdarzają się goście z Unii Europejskiej i spoza Europy.
- Nie znam sędziego, czynnego zawodowo, który nie byłby zarejestrowany w KSSiP – mówi nam warszawska sędzia. - To jest nasze główne miejsce szkoleń – dodaje.
Obowiązek ciągłego doszkalania się i poszerzania swojej wiedzy wynika z art. 82a ustawy "Prawo o ustroju sądów powszechnych". W par. 3 KSSiP jest wprost wskazana jako preferowane miejsce doskonalenia zawodowego.
Zajęcia, oprócz naukowców, często prowadzą praktycy – policjanci, biegli sądowi, prokuratorzy prowadzący najtrudniejsze sprawy. I to właśnie dane tych wszystkich osób - aplikantów, osób doszkalających się, jak i prowadzących zajęcia – zostały naruszone.
Dane udostępnione na zagranicznym portalu
Do wycieku miało dojść w trakcie przenoszenia danych pomiędzy platformami szkoleniowymi KSSiP.
"Uzyskaliśmy z KGP informację o pojawieniu się w internecie danych związanych z domeną kssip.gov.pl. Po zapoznaniu się z rodzajem danych ustalono że są to dane z bazy danych portalu szkolenia.kssip.gov.pl powstałe w dniu 21.02.2020 w trakcie testowej migracji platformy do obecnej platformy szkoleniowej ekssip.kssip.gov.pl. Dane udostępnione dotyczyły tabeli użytkowników z bazy danych" - czytamy w zgłoszeniu, które KSSiP wysłał do UODO.
W mailach do poszkodowanych szkoła pisze wprost, że wypłynęły następujące informacje: imię, nazwisko, numer telefonu, adres e-mail, miejsce zamieszkania, daty pierwszego i ostatniego logowania, numery ICQ, MSN, Skype, Yahoo, jednostka (miejsce pracy), hasło (zaszyfrowane). Ustalane jest, czy wyciekły też numery PESEL – w tym momencie nie można tego wykluczyć.
- Wysłanie takiego maila w sobotę o 23 to (wulgaryzm), wtedy nikt nie czyta maili! - mówi jeden z sędziów. - Do naruszenia doszło w lutym, a oni twierdzą, że dowiedzieli się dopiero 7 kwietnia. W najlepszym wypadku oznacza to, że te dane mogły być wykorzystywane przez co najmniej pięć tygodni - dodaje poirytowany.
W rozmowie z TVN24 szkoła potwierdza, że dane skradziono, jednak na tym etapie nie potrafi stwierdzić, jak doszło do wycieku. KSSiP odpiera jednak zarzuty o zbyt późnym rozsyłaniu informacji do poszkodowanych osób. - To, że część osób dostała te maile trochę wcześniej, a część trochę później wynika z kwestii technicznych - mówi Adam Czerwiński, zastępca dyrektora ds. kształcenia ustawicznego i współpracy międzynarodowej KSSiP. - Po prostu musieliśmy podzielić wysyłanie na "paczki", bo na raz nie udałoby nam się wysłać maila do tak dużej liczby osób i mógłby odbiorcom trafić też do spamu - dodaje.
Szkoła przyznaje również, że o samym wycieku dowiedziała się od policji. - Dostaliśmy nieoficjalnie informację z Komendy Głównej Policji, że dane z naszej bazy są dostępne na zagranicznym portalu internetowym – przyznaje Czerwiński. - Jak tylko nasi informatycy potwierdzili, że to nasza baza, od razu podjęliśmy wszystkie możliwe kroki, by te dane usunąć - zapewnia.
Jak poinformowała w zgłoszeniu do UODO Krajowa Szkoła Sądownictwa i Prokuratury, po ataku m.in. wysłano zgłoszenie do administracji portalu udostępniającego plik z danymi o zablokowanie pobierania, skasowano wszystkie hasła na nowej platformie i umieszczono informację o konieczności zmiany hasła przy logowaniu do nowej platformy.
W odpowiedzi na nasze pytania, Urząd Ochrony Danych Osobowych poinformował, że zgłoszenie ze strony szkoły ma charakter wstępny, w związku z czym urząd czeka na uzupełnienie go przez administratora. "Jednocześnie informuję, że naruszenie nie było konsekwencją kradzieży danych, a efektem incydentu o charakterze informatycznym", przekazał rzecznik prasowy UODO Adam Sanocki.
Czym grozi wyciek? Pożyczki, umowy, wgląd do danych zdrowotnych
- W kwietniu mamy złożyć i opublikować tegoroczne oświadczenia majątkowe – mówi warszawska sędzia. - W połączeniu z tymi danymi, które wyciekły, ktoś będzie miał doskonałe rozeznanie, ile i na kogo może wziąć w internetowych chwilówkach - dodaje.
Sama szkoła w rozsyłanych mailach przyznaje, że zagrożeń związanych z wyciekiem jest wiele. Osoba czy osoby mające dostęp do danych, jak pisze w mailu do poszkodowanych KSSiP, może m.in.:
"podejmować próby uzyskania na Pani/Pana szkodę, pożyczek w instytucjach pozabankowych np. przez Internet lub telefonicznie, w przypadkach niewymagających okazywania dokumentu tożsamości;
podejmować próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o Pani/Pana stanie zdrowia, w przypadkach, gdy dostęp do systemów rejestracji pacjenta będzie oparty na potwierdzaniu swojej tożsamość z wykorzystaniem numeru PESEL;
osoby trzecie mogą podjąć próbę zawarcia na Pani/Pana szkodę umów cywilnoprawnych, np. najmu nieruchomości;
Pani/Pana dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu" .
- Kiedyś zaczynałem dzień od sprawdzenia, co w nocy podpisał Andrzej Duda. Teraz będę zaczynał od sprawdzenia w Biurze Informacji Kredytowej, czy ktoś nie wziął na mnie pożyczki – komentuje jeden z sędziów, który otrzymał mailową informację o naruszeniu jego danych.
Kto zagwarantuje bezpieczeństwo?
Jeszcze większe obawy mają sędziowie orzekający w sprawach karnych. - Nie chciałbym, żeby adres, gdzie mieszka moje dziecko, poznał facet, którego właśnie wysłałem na 10 lat za kraty – mówi nam sędzia, który również pragnie pozostać anonimowy.
- Ktoś ma cały wymiar sprawiedliwości na talerzu - komentuje inny.
- Tak duże opóźnienie w poinformowaniu nas o tym wycieku sprawia, że nie mamy wrażenia, żeby państwo podjęło wystarczające działania w celu ochrony swoich funkcjonariuszy, którzy są na pierwszej linii walki z przestępczością – mówi Bartłomiej Przymusiński, rzecznik prasowy Stowarzyszenia Sędziów Polskich "Iustitia", który sam otrzymał powiadomienie, że jego dane wyciekły. Stowarzyszenie maile od KSSiP, dotyczące wycieku, opublikowało w swoich mediach społecznościowych.
Przymusiński wskazuje przy tym na kolejny problem. - Wygląda na to, że dane te mogą być nawet wystarczające, by unieważnić nasz głos w możliwych wyborach korespondencyjnych - stwierdza.
Rzeczywiście, w przygotowanym przez PiS projekcie ws. głosowania korespondencyjnego, art. 5 pkt. 5 przewiduje, że w przypadku gdy do komisji trafią dwie koperty zwrotne z danymi tej samej osoby, druga z nich będzie traktowana jako głos nieważny. - A skąd będzie wiadomo, że odrzuca się tę podrobioną? Przecież komisja nie będzie miała żadnych możliwości stwierdzić, która koperta pochodzi od prawdziwej osoby, a która od podszywającej się. Zdecyduje ślepy los, która koperta pierwsza zostanie przełożona do urny wyborczej - komentuje Przymusiński.
O komentarz poprosiliśmy Komendę Główną Policji. Czekamy na odpowiedź.
Źródło: tvn24.pl