Alarmujące śledztwo dziennikarzy z cyberdefence24.pl ujawniło liczne naruszenia zasad ochrony danych. Niezabezpieczone numery PESEL dryfują w przestrzeni Internetu i tylko czekają na złodziei tożsamości.
Ustaw naTemat jako preferowane medium w GooglePomimo rozgrywającej się na bieżąco cyberwojny, nie radzimy sobie z podstawowymi zasadami ochrony danych w przestrzeni wirtualnej. Jak się okazuje, wiele numerów PESEL można znaleźć przy zastosowaniu prostej metody OSINT.
Śledztwo dziennikarzy cyberdefence24.pl ujawniło czterdzieści sześć jednostek publicznych, które upubliczniły dokumenty z danymi osobowymi. Mowa tu o 15 urzędach gminy, dwunastu urzędach miasta, jedenastu starostwach powiatowych, trzech urzędach miasta i gminy, dwóch domenach rządowych, dwóch uniwersytetach i pojedynczej organizacji niezaklasyfikowanej do powyższych.
W upublicznionych przez urzędy dokumentach znajdowały się m.in. numery PESEL. Pochodziły one z pism ogólnych do podmiotu publicznego oraz z uproszczonych ofertach realizacji zadania publicznego.
Dokumenty często pochodziły z błędnej publikacji niezanonimizowanych dokumentów z systemu e-PUAP. Oprócz samego dokumentu zdarzały się sytuacje, gdzie publikowano także dane jego nadawcy. Często były to dokumenty, które nie wymagały podawania tych konkretnych danych osobowych.
Numery PESEL mógł zobaczyć każdy z dostępem do Google
By dostać się do dokumentów, wystarczyło w odpowiedni sposób zmodyfikować parametry wyszukiwania w Google. Dostęp do numerów PESEL mógł mieć każdy z łączem internetowym.
Naruszenia zostały zgłoszone danym jednostkom przez dziennikarzy z cyberdefence24.pl. Odpowiedziały na nie trzydzieści dwa podmioty. Sześć organizacji usunęło dostęp do danych bez odpowiedzi na zgłoszenia. Osiem organizacji nie odpowiedziało na zgłoszenia i nie usunęło wrażliwych danych. W przypadku pozostałych trzy potwierdziły zgodę na publikację treści dokumentów, dwie zadeklarowały, że dokumenty dotyczą osób zmarłych, więc nie stanowią naruszenia ochrony danych, a jeden urząd stwierdził, że jego działania są zgodne z prawem. Do naruszenia przyznało się dziewiętnaście urzędów.
Choć część winy za tę sytuację ponosi przestarzały system BIP, nie zmienia to faktu, że urzędnicy często po prostu nie przestrzegają standardów cyberbezpieczeństwa. Urzędy nie zawsze korzystają z nowych narzędzi, takich jak Urzędowe Potwierdzenie Przedłożenia (UPP), które jest ekwiwalentem potwierdzenia przyjęcia dokumentu w danym terminie przez dany urząd.
Przestarzałe procedury i brak stosowania się do RODO – system jest beznadziejny, ale urzędnicy nie ułatwiają
W przypadku części urzędów przed wpłynięciem dokumentu z e-PUAP lub e-Doręczeń do systemu BIP, są one drukowane, podbijane, podpisywane i skanowane. Standardowe skany są trudniejsze do zanonimizowania przed umieszczeniem ich w BIP. Nie można w nich wyszukać newralgicznych danych tak samo, jak w standardowych dokumentach, o ile nie są poddane technice OCR.
Zobacz także
'/%3e%3cpath%20class='cls-2'%20d='M212.89,56.37v51.7h-19V56.37H173.83v-16h59.11v16H212.89Z'%20transform='translate(0%200)'/%3e%3c/svg%3e)
Jednym z flagowych założeń RODO jest to, by administrator dokonywał oceny niezbędności ujawnienia danych dla realizacji celu informacyjnego. Jeśli cel informacyjny może zostać spełniony bez danej informacji, należy ją zanonimizować. W większości przypadków – i to potwierdza dziewiętnaście urzędów, których dane znalazły się w wyszukiwarce Google, PESEL taką informacją nie jest, więc nie powinien się tam znaleźć.
Numery PESEL pozwalają na identyfikację danej osoby, jej daty urodzenia, płci, a ich wyciek może narażać nas na ryzyko kradzieży tożsamości. Przechwycony PESEL z danymi osobowymi może posłużyć do wyłudzenia kredytów, zakupów ratalnych, świadczeń medycznych, czy uwiarygodnienie ataków phishingowych i oszustw w naszym imieniu.
Nie przegap żadnej ważnej wiadomości i obserwuj nas w Google News!