Dokładnie 12 stycznia 2025 r. doszło do ataku hakerskiego (ransomware) na EuroCert oferujące oprogramowanie do składania i weryfikacji podpisu kwalifikowanego lub chmurowego. Atak - jak napisała firma w oświadczeniu dostępnym i aktualizowanym na stronie - doprowadził do naruszenia ochrony danych osobowych poprzez atak złośliwego oprogramowania szyfrującego pliki przechowywane na jej serwerach z dużym prawdopodobieństwem ich kradzieży. - Zdarzenie to doprowadziło do utraty dostępności oraz najprawdopodobniej również poufności danych osobowych m.in. klientów, kontrahentów i pracowników EuroCert Sp. z o.o. – czytamy.

Wskutek ataku doszło do naruszenia dostępności oraz poufności danych osobowych, które mogą obejmować adres e-mail, numer telefonu podane podczas wydania certyfikatu; numer PESEL; imię, imiona i nazwisko; data i miejsce urodzenia; obywatelstwo; seria i numer dowodu osobistego oraz data ważności oraz nazwa użytkownika i/lub hasło.

Szkopuł w tym, że wyciek danych może mieć jeszcze swoje drugie, poważniejsze dno.

Czytaj również: Propozycje samorządowe leżą, a rząd przygotowuje własną ustawę>>
 

Konto urzędowe podpięte do... prywatnego

Tomasz Ludwiński, b. wieloletni przewodniczący Rady Krajowej Sekcji Administracji Skarbowej NSZZ „Solidarność”, twierdzi, że pracownicy prowadzący korespondencję z podatnikami w imieniu urzędu, np. w ramach wymiany korespondencji prowadzonej w trakcie kontroli, od lat zmuszani są do wysyłania służbowej korespondencji z prywatnych kont na ePUAP. – Wygląda to tak, że dzięki „nakładce” do prywatnego konta jest podpięte konto urzędowe. To jest prowizorka, która trwa od lat - mówi serwisowi Prawo.pl Tomasz Ludwiński. Według niego całe zło polega na tym, że w celach służbowych pracownicy muszą korzystać prywatnych skrzynek ePUAP, albo nawet je zakładać po to, żeby wykonywać czynności urzędowe na własnych skrzynkach ePUAP. - Temat był od dawna zgłaszany do kierownictwa Krajowej Administracji Skarbowej, ale – jak widać po wycieku prywatnych danych – nie zrobiono nic, aby stworzyć system korespondencji służbowej prowadzonej bez użycia prywatnych skrzynek ePUAP – podkreśla Tomasz Ludwiński. I dodaje: - Ja się pytam, jakim prawem pracownik, żeby wysłać służbową korespondencję podpisywaną podpisem kwalifikowanym, musi zalogować się na prywatne konto i podpisać prywatnym podpisem z własnym numerem PESEL? Tak być nie powinno.

31 stycznia br. pytania w sprawie wycieku skierował do Marcina Łobody, wiceministra finansów i szefa Krajowej Administracji Skarbowej, Dominik Lach, przewodniczący RKS Administracji Skarbowej NSZZ „S”. Zapytał m.in. o to, na jakich zasadach z prywatnych, indywidualnych kont pracowników/funkcjonariuszy, założonych przez nich na platformie ePUAP, wysyłane są wiadomości i materiały służbowe oraz czy  pracownicy/funkcjonariusze wyrażali pisemną zgodę na powyższe działania, a także w jaki sposób pracodawca zdobywa informacje o tym, że dany pracownik posiada takie konto i czy zgoda na jego udostępnianie jest obligatoryjna, czy fakultatywna.

- Ministerstwo Finansów nie posiada informacji w zakresie wykorzystywania prywatnych skrzynek ePUAP do wysyłania korespondencji służbowej. Jest ona przesyłana za pośrednictwem skrzynki urzędowej. Platforma ePUAP to ogólnopolska platforma teleinformatyczna służąca do komunikacji obywateli i przedsiębiorców z jednostkami administracji publicznej w ujednolicony, standardowy sposób. Więcej informacji w zakresie funkcjonowania platformy może udzielić Ministerstwo Cyfryzacji – przekazało Ministerstwo Finansów w odpowiedzi na nasze pytanie w tym zakresie.

E-usługi a RODO

Małgorzata Ciechomska

Sprawdź  

Wyciek był, ale o skali wszyscy milczą

Próbowaliśmy ustalić skalę wycieku w Krajowej Administracji Skarbowej i to, czy dotyczył on także innych niż KAS jednostek administracji publicznej.

- Szczegóły skali wycieku nie zostały jeszcze określone przez firmę EuroCert Sp. z o.o. Osoby, których dane mogły zostać zaszyfrowane i/lub skradzione w wyniku przeprowadzonego na EuroCert ataku zostały poinformowane o sposobach zminimalizowania ewentualnego ryzyka naruszenia ich danych osobowych w indywidualnych komunikatach przekazanych na adresy e-mail tych osób. Nadal trwają czynności mające na celu analizę zdarzenia, jego skali i zakresu. Prowadzą je zarówno dział bezpieczeństwa firmy EuroCert, jak też Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego, CERT/NASK oraz Centralne Biuro Zwalczania Cyberprzestępczości – przekazało ministerstwo. MF nie podało liczby osób w KAS, których dane mogły zostać wykradzione. Pytane zaś o to, jakie kroki podjął szef KAS i MF w związku z wyciekiem, przekazało: - Krajowa Administracja Skarbowa i Ministerstwo Finansów na bieżąco publikują zalecenia i rekomendacje w celu zminimalizowania ewentualnych negatywnych skutków tego zdarzenia. W tym celu jesteśmy w stałym kontakcie zarówno z przedstawicielami firmy EuroCert Sp. z o.o., jak również instytucjami właściwymi w sprawach cyberbezpieczeństwa państwa (Ministerstwo Cyfryzacji, Agencja Bezpieczeństwa Wewnętrznego, Centralne Biuro Zwalczania Cyberprzestępczości). Na bieżąco przekazywane i wdrażane są zalecenia w zakresie bezpieczeństwa resortu finansów, jak również jego pracowników. Resort finansów jest w stałym kontakcie z firmą EuroCert Sp. z o.o. i otrzymuje jako klient stosowne wyjaśnienia i komunikaty. Ministerstwo Finansów we współpracy z CIRF prowadzi analizę ryzyka w różnych obszarach, na które incydent w EuroCert może potencjalnie oddziaływać. Wprowadzono też dodatkowe środki bezpieczeństwa w stosunku do osób, które posiadają lub w przeszłości posiadały certyfikaty zakupione w ramach zawartej z EuroCert umowy.  

O możliwym wycieku MF dowiedziało się z komunikatu na stronie dostawcy 15 stycznia 2025 r. Tego samego dnia zostało skierowane pytanie do firmy w sprawie bezpieczeństwa danych osobowych pracowników. Osoby zaś, których dane mogły zostać zaszyfrowane i/lub skradzione w wyniku przeprowadzonego na EuroCert ataku, zostały poinformowane o ryzyku naruszenia ich danych osobowych w indywidualnych komunikatach przekazanych na adresy e-mail tych osób w nocy z 15 na 16 stycznia 2025 r.

- Zgodnie z informacją otrzymaną od EuroCert sprawa wycieku jest w dalszym ciągu badana przez Policję (CBZC) oraz NASK oraz ze strony EuroCert Sp. z o.o. zgłoszona do PUODO. Jesteśmy w stałym kontakcie zarówno z przedstawicielami firmy EuroCert Sp. z o. o., jak również instytucjami właściwymi w sprawach cyberbezpieczeństwa państwa (Ministerstwo Cyfryzacji, Agencja Bezpieczeństwa Wewnętrznego, Centralne Biuro Zwalczania Cyberprzestępczości). Ministerstwo Finansów we współpracy z Centrum Informatyki Resortu Finansów prowadzi analizę ryzyka w różnych obszarach, na które incydent w EuroCert może potencjalnie oddziaływać – przekazał nam resort finansów.

Z kolei Ministerstwo Cyfryzacji stwierdziło, że nie jest uprawnione do przekazywania szczegółowych informacji na temat incydentu, który wydarzył się w podmiocie trzecim szczególnie mając na uwadze aktualnie prowadzone postępowanie przez organy ścigania oraz administracyjne prowadzone przez Ministerstwo Cyfryzacji. - Do czasu zakończenia obu postępowań dalsze informacje nie będą przekazywane – poinformowało nas MC, dodając, że 17 stycznia minister cyfryzacji wszczął z urzędu postępowanie w sprawie możliwości prowadzenia przez EuroCert sp. z o. o. - kwalifikowanego dostawcę - działalności niezgodnie z przepisami ustawy o usługach zaufania oraz identyfikacji elektronicznej. W jego ramach prowadzone są wyjaśnienia.

Ministerstwo Spraw Wewnętrznych i Administracji, które zapytaliśmy o kroki, jakie zostaną podjęte, by zabezpieczyć dane osobowe pracowników urzędów administracji publicznej poradziło nam kontakt z Ministerstwem Finansów. Z kolei Departament Służby Cywilnej KPRM, który zapytaliśmy o to, jak są chronione dane osobowe pracowników korpusu służby cywilnej poinformował, że za ochronę danych osobowych osób, które są zatrudnione w korpusie służby cywilnej odpowiadają poszczególni administratorzy danych osobowych (pracodawcy). To oni ustalają zasady ochrony tych danych. W przypadku wycieku danych osobowych przepisy RODO nakładają na administratora konkretne obowiązki – szczegółowo opisane m.in. w art. 33 i 34 RODO.

M.in. o to, ile danych wyciekło i z ilu urzędów administracji publicznej zapytaliśmy również Urząd Ochrony Danych Osobowych. - EuroCERT zgłosił naruszenie ochrony danych, o czym informowaliśmy w komunikacie na naszej stronie internetowej. Jednocześnie informuję, że UODO nie może podawać szczegółów związanych ze zgłaszanymi naruszeniami. Takich informacji mogą udzielać jedynie administratorzy danych, u których doszło do naruszenia – przekazał Karol Witowski, rzecznik prasowy urzędu.

- Wszystkie niezbędne informacje na temat ewentualnej kradzieży danych przekazujemy na bieżąco policji (Centralne Biuro Zwalczania Cyberprzestępczości) i CSIRT NASK. Dla dobra śledztwa nie udzielamy żadnych informacji. Proszę kierować pytania do tych instytucji - przekazało nam biuro prasowe EuroCert.

Czytaj w LEX:  RODO w łańcuchu bloków > >

Prawo łamie zarówno przełożony, jak i pracownik

- Pytanie, co robi Ministerstwo Finansów i szef Krajowej Administracji Skarbowej, bo nawet jeżeli wcześniej nie wiedział, to teraz już wie, że prywatne konta na ePUAP są wykorzystywane do celów służbowych, a w wyniku wycieku danych może dojść nie tylko do kradzieży tożsamości, ale nawet - czego nie można wykluczyć – ktoś może nawet próbować wystawiać decyzje np. o umorzeniu postępowania w swojej sprawie – mówi nam prof. Hubert Izdebski, prawnik, ekspert w dziedzinie samorządu terytorialnego i administracji publicznej.

Zdaniem prof. Izdebskiego taka sytuacja (tj. wykorzystywanie prywatnego konta na ePUAP do wysyłania służbowej korespondencji – przyp. red.) w ogóle nie powinna mieć miejsca. Bo pracownik w pracy i po pracy to dwie różne osoby. - Na poziomie abstrakcyjnym można powiedzieć, że prawo łamie zarówno przełożony, jak i pracownik czy funkcjonariusz. Pierwszy nie ma prawa zmuszać podwładnego do wysyłania służbowej korespondencji z prywatnej skrzynki, a drugi nie ma obowiązku wykonywać poleceń niezgodnych z prawem, nawet jeżeli ma to na piśmie – podkreśla prof. Hubert Izdebski.       

- Parafrazując J. Szpotańskiego chciałoby się zapytać: czy zza gęstej mgły – strategii, planów, dobrych praktyk i szeroko rozumianych abstraktów (m.in. rekomendacji, zaleceń) – MF/KAS nie dostrzega już faktów? Jakby nie było tzw. prawdopodobny/możliwy/ewentualny wyciek (kradzież) danych osobowych pracowników/funkcjonariuszy MF/KAS, jak w soczewce, ukazuje „dysfunkcyjność zarządczo-strukturalną” w jednostkach organizacyjnych MF/KAS. Jeżeli resort finansów (zbiorcze określenie jednostek organizacyjnych KAS i MF) w liczbie około 65 tys. osób (w tym 1762 osób z Centrum Informatyki Resortu Finansów) nie jest w stanie zagwarantować swoim pracownikom/funkcjonariuszom szeroko rozumianego bezpieczeństwa (zarówno przed, jak i po wycieku danych), to wszyscy podatnicy stają przed elementarnym pytaniem: co z ochroną ich danych osobowych w rozliczeniach i e-korespondencji z organami podatkowymi – mówi dr Ireneusz Nowak, adiunkt w Katedrze Prawa Podatkowego WPiA UŁ. 

Czytaj również: Firmy mogą nadzorować pracowników tylko w określonych celach i przypadkach>>

Zobacz także w LEX:  Cyberbezpieczeństwo kancelarii prawnych > >

Podpis kwalifikowany może być potwierdzany inną daną niż PESEL

- To jest problem samego podpisywania podpisem kwalifikowanym. Wynika z tego, że dostęp do konta na ePUAP musi być potwierdzony. W rozporządzeniu Parlamentu Europejskiego i Rady nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym jest wskazane, że kod certyfikatu powinien oprzeć się na danych z rejestrów publicznych, nie musi jednak to być numer PESEL. To nie wynika z rozporządzenia. Z kolei w ustawie w sprawie identyfikacji usług przyjęto, że dostęp w rejestrze publicznym będzie potwierdzany m.in. numerem PESEL. Niestety zdarzają się sytuacje, że ten PESEL jest widoczny u odbiorcy – mówi serwisowi Prawo.pl Magdalena Szczytko-Sołtysiak, ekspertka ds. ochrony danych osobowych, liderka specjalizacji Ochrona danych osobowych w kancelarii Lubasz i Wspólnicy. Jej zdaniem problem dotyczy podpisu kwalifikowanego, który jest dostępny i bezpłatny. Za wszystkie inne podpisy trzeba już zapłacić. – Do identyfikacji powinna być jednak używana inna dana niż PESEL – podkreśla Magdalena Szczytko-Sołtysiak. I dodaje: - Uważam, że widoczny PESEL to nie jest duże zagrożenie w kontekście innych dostępnych danych, co niesie za sobą ryzyka związane z naruszeniem prywatności. Niemniej jednak, jeżeli nie zostaną zmienione przepisy, to ten PESEL nadal będzie funkcjonował.

Jak zauważa Magdalena Szczytko-Sołtysiak, pracodawca realizując swoje obowiązki np. w zakresie obowiązkowych ubezpieczeń, upoważnia określonych pracowników do dostępu do PUE ZUS (wysyłając taką informację do ZUS). - Pracownik upoważniony ma dostęp do danych pracowników w trakcie trwania jego stosunku pracy. Przy czym, jak odchodzi on z pracy, pracodawcy bardzo często zapominają o zweryfikowaniu nadanego dostępu do danych pracownika, który odszedł z pracy, zapominając o przekazaniu takiej informacji do ZUS. A nawet jak informacja zostanie przekazana do ZUS, to jest jeszcze czas pomiędzy jej wysłaniem a samym wykonaniem czynności odebrania dostępu. A sam system PUE ZUS nie daje innej możliwości. Tymczasem nieodebranie dostępu pracownikowi skutkowało nałożeniem kary na bank Santander – przypomina. I dodaje: - Dane pracownika muszą być chronione.

Sprawdź również w LEX:  Elektroniczny podpis – nie w sądzie. Omówienie wyroku TS z dnia 17 października 2024 r. C-302/23 (Jarocki) > >