Hakerzy mogli wykraść dane osobowe milionów Polaków
Niepowołane osoby mogły się spisać za kogoś lub zdobyć o nim informacje - poinformował Generalny Inspektor Ochrony Danych Osobowych, który skontrolował prowadzony przez GUS spis powszechny. Zdaniem GIODO bazy danych GUS były zabezpieczone w sposób nie dość nowoczesny. Generalny inspektor Wojciech Wiewiórowski powiedział, że kontrola wykazała, iż niektóre aspekty spisu budzą jego zastrzeżenia, ponieważ mogły ulec atakom hakerskim.
Na konferencji prasowej w Warszawie GIODO Wojciech Wiewiórowski zastrzegł jednak, że nieprawidłowości nie były na tyle poważne, by przerwać spis.
"Dość istotne" zastrzeżenia GIODO budzi sposób uwierzytelniania się przy samospisie internetowym. Logowanie odbywa się przy pomocy numerów PESEL lub NIP, czyli danych, które mogą być powszechnie dostępne. - Rzeczywiście można było wykorzystać powszechnie dostępne dane osób fizycznych po to, aby spisać się za tę osobę, bądź też wydobyć o niej dodatkowe informacje. Taka sytuacja mogła nastąpić przede wszystkim w tych przypadkach, kiedy dość duża liczba danych dot. osoby ujawniona jest w publicznym miejscu - powiedział Wiewiórowski. Jak dodał, taka możliwość dotyczy sprawozdań partii politycznych, gdzie znajdują się dokładne dane osób z ich kierownictwa.
Jak powiedział Wiewiórowski, osoby niepowołane mogły poznać adres zamieszkania i zameldowania danej osoby (po zalogowaniu te dane same pojawiały się w odpowiednich rubrykach spisu). Dodatkowo, przy spisie reprezentacyjnym, czyli rozszerzonej wersji spisu, można było poznać imiona i nazwiska osób mieszkających pod tym samym adresem. Według GIODO wskazane niebezpieczeństwa mogą także wpłynąć na wyniki spisu powszechnego.
"Zdziwienie" GIODO wywołał też sposób zabezpieczenia baz danych przed włamaniami. - Tutaj stwierdziliśmy, że nie zostały wdrożone pewne uznane za - powiedziałbym - normalne i naturalne systemy zapobiegania atakom - powiedział Wiewiórowski. Dodał jednak, że nie ustalono, by nastąpiły próby ataku na bazę danych spisowych i by brak nowoczesnych systemów zabezpieczeń negatywnie wpłynął na sam spis. Ponadto GIODO powiedział, że mimo tych wątpliwości, od strony formalnej GUS spełnił wszystkie wymagania.
Mimo tych wątpliwości GIODO przyznaje, że system zbierania danych spisowych przez GUS jako całość nie budzi jego zastrzeżeń. - Wydaje się, że jest to jeden z lepiej przygotowanych pod tym względem projektów w Polsce w ostatnich latach - przyznał Wiewiórowski.
Rzecznik prasowy GUS Artur Satora podkreślił, że sam GIODO przyznał, iż pewnych rzeczy nie da się zabezpieczyć do końca. - Dosłownie na palcach jednej ręki da się policzyć przypadki podszycia się pod inną osobę, co jest oczywiście przestępstwem - powiedział Satora. Zapowiedział też wyciąganie konsekwencji wobec osób, które dopuściły się takiego czynu. Dodał, że GUS zastanawia się nad konsekwencjami wobec dziennikarza, który - włamując się do systemu - ujawnił możliwość podszycia się pod inną osobę.
Odnosząc się do zarzutu niedostatecznego zabezpieczenia baz danych GUS, Satora powiedział, że zakup odpowiedniego systemu kosztowałby 1 mln zł. Jego zdaniem taki wydatek byłby rozrzutnością, zwłaszcza jeśli weźmie się pod uwagę, że odnotowano niewiele przypadków podszycia się pod inną osobę.
Rzecznik GUS stwierdził, że póki co, nie ma lepszych zabezpieczeń niż PESEL, NIP czy nazwisko panieńskie matki. - Podczas spisu mieliśmy do czynienia z dwoma przypadkami (to znikoma liczba), w tym jeden został wywołany przez dziennikarza jako prowokacja, a drugi, kiedy ojciec zapomniał powiadomić syna, że już go spisał - wyjaśniał zaistniałe incydenty Satora.
Rzecznik GUS zaznacza, że uwagi GIODO będą honorowane. - W najbliższym czasie, jeśli środki budżetowe na to pozwolą, zakupimy nowe zabezpieczenia - obiecuje rzecznik. Jednak na wdrożenie zabezpieczeń w obecnym spisie powszechnym jest już za późno. - W następnym spisie, który ma być za 10 lat, takie systemy będą już funkcjonować - mówi Satora.
Kontrola w GUS odbyła się w połowie kwietnia. Była zaplanowana od ub.r., ale przed jej rozpoczęciem do GIODO trafiały też skargi dot. tzw. samospisu internetowego.W kwietniu Wiewiórowski oceniał, że nie są to sygnały, które mówiłyby o generalnym zagrożeniu dla systemu.
Spis powszechny rozpoczął się 1 kwietnia. Od tego dnia do 16 czerwca można spisać się samemu przez internet. Od 8 kwietnia spis przeprowadzają także ankieterzy telefoniczni oraz rachmistrze spisowi, którzy prowadzą bezpośrednie rozmowy z obywatelami, a dane wpisują do elektronicznych terminali. Jedni i drudzy skończą zbieranie danych 30 czerwca.
Udział w spisie jest obowiązkowy. Reguluje to ustawa o Narodowym Spisie Powszechnym Ludności i Mieszkań.