Co ujawnia analiza ataku na EuroCert? Ponad 100 polskich instytucji pod lupą

15 kwietnia opublikowano oświadczenie EuroCert dotyczące ataku „złośliwego oprogramowania szyfrującego pliki”, które były przechowywane na serwerach firmy. Co ważne, w zawiadomieniu wyróżniono duże prawdopodobieństwo kradzieży danych.

„Zdarzenie to doprowadziło do utraty dostępności oraz najprawdopodobniej poufności danych osobowych m.in. klientów, kontrahentów i pracowników EuroCert sp. z o.o.” – czytamy na stronie spółki.

Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, Krzysztof Gawkowski, opublikował komunikat w sprawie „wycieku danych w wyniku cyberataku wobec firmy EUROCERT”. Wśród zaleceń wymieniono m.in. korzystanie z dwuetapowego uwierzytelniania podczas logowania do kont.

Dotknięte podmioty publiczne

Z racji na powagę incydentu próbowaliśmy trzykrotnie skontaktować się z firmą Eurocert, która do dziś nie odpowiedziała na nasze pytania. Wobec tego, poddaliśmy analizie dowody ataku w formie pliku tekstowego, będące strukturą katalogów i plików (wynik polecenia tree). Udało nam się wyodrębnić 108 podmiotów publicznych, do których skierowaliśmy identyczny zestaw pytań. W przeciągu dwóch i pół tygodnia odpowiedziało nam 53 z nich.

Spośród 108 podmiotów ponad połowę stanowiły gminy oraz urzędy miast i gmin (63). Na drugim miejscu uplasowały się starostwa (11). Trzecią lokatę ex aequo zajmują urzędy miasta oraz podmioty poza wyróżnionymi kategoriami (po 10). Udało się nam wyodrębnić również:

• Izby Administracji Skarbowej (7 przypadków);
• ministerstwa (4 przypadki);
• województwa (2 przypadki);
• spółkę Skarbu Państwa (1 przypadek).

Na nasze pytania odpowiedziało 17 z 63 urzędów gminy lub miasta i gminy, co stanowi ok. 27 procent. Jednocześnie odpowiedzi nadesłało 9 z 10 urzędów miasta, 8 z 11 starostw powiatowych oraz wszystkie wojewódzkie Izby Administracji Skarbowej. Urzędy Miast i Gmin udzieliły odpowiedzi tylko w trzech z ośmiu przypadków. Dalsze wartości prezentują się następująco:

• inne – 7 z 10;
• ministerstwo – 3 z 4;
• województwo – 1 z 2;
• SSP – 1 z 1.

Korzystanie z usług EuroCert

Kluczowe pytanie dotyczy tego, ile podmiotów faktycznie wykorzystywało usługi EuroCertu. Spośród 53 organizacji, które udzieliły odpowiedzi, 43 z nich korzystały z różnych usług EuroCert. Jedno ze starostw nie współpracujących z firmą przekazało nam, że ich jedyny kontakt z EuroCert polegał na otrzymywaniu ofert handlowych.

Należy też w tym miejscu zaznaczyć, że wiele z kwalifikowanych podpisów elektronicznych było wyrabianych na konkretną osobę prywatną w ramach pracy w administracji publicznej, nie zaś na daną organizację (np. urząd miasta). Udało nam się dotrzeć do umów, które były zawierane pomiędzy osobami fizycznymi a spółką, gdzie jedynym wyznacznikiem pracy w administracji publicznej był adres e-mail i numer telefonu danej jednostki. Widać to również w odpowiedziach organizacji, przytoczonych w dalszej części artykułu. To zagadnienie dobrze opisują odpowiedzi Izb Administracji Skarbowej:

• „Informacji dotyczących naruszenia danych osobowych EuroCert udziela wyłącznie osobom fizycznym, na których dane został wystawiony podpis kwalifikowany. Izba nie otrzymała żadnych zbiorczych informacji dotyczących skali wycieku danych”.
• „EuroCert informował indywidualne osoby, których dane przetwarza, w przypadku gdy doszło do naruszenia ich danych osobowych”.

Rodzaje usług

EuroCert świadczył różne usługi dla wielu podmiotów. Wiele z nich nie sprecyzowało, z jakich usług korzysta, co może wynikać ze sposobu zadania pytania - niekoniecznie niechęci do odpowiedzi. Wśród nich znalazły się:

• kwalifikowana pieczęć elektroniczna (10 przypadków);
• kwalifikowany podpis elektroniczny (8 przypadków);
• Krajowy Węzeł Identyfikacji Elektronicznej (6 przypadków);
• więcej niż jedna usługa (2 przypadki);
• znakowanie czasem (1 przypadek);
• nieokreślono (16 przypadków).

Poinformowanie o zdarzeniu

Kolejnym ważnym aspektem jest to, czy organizacje zostały poinformowane o tym, że incydent w EuroCert miał miejsce. Spośród 43 organizacji korzystających z usług EuroCert, dziewięć z nich (ok. 21%) nie uzyskało informacji o zdarzeniu. Jeden z podmiotów publicznych nie udzielił jednoznacznej odpowiedzi na to pytanie.

Pewien podmiot dowiedział się o zdarzeniu od pracowników, nie otrzymując bezpośrednio informacji od EuroCert. Jeden z urzędów administracji rządowej stwierdził, że o incydencie dowiedział się „z innych źródeł”.

Podejrzenie wycieku danych

Kluczowe jest zagadnienie dotyczące podejrzenia wycieku danych oraz naruszenia ochrony danych osobowych. Spośród 43 organizacji, 16 z nich potwierdziło możliwość wycieku danych lub naruszenia ochrony danych osobowych. Nieco mniej, bo 14 podmiotów, kategorycznie zaprzeczyło, że naruszenie ochrony danych osobowych ich pracowników miało miejsce. Pozostałe 13 organizacji przekazało, że nie jest dysponetnem tej informacji lub nie udzieliło jednoznacznej odpowiedzi.

Warto przy tym dodać, że dużą rolę ogdrywało tutaj to, z jakich usług EuroCert korzystała dana jednostka. Spośród 16 odpowiedzi twierdzących, połowa z nich dotyczyła kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej.

Poniżej znajdują się wybrane odpowiedzi jednostek dotyczące ew. wycieku:

W ogólnym (EuroCert - przyp. red.) komunikacie poinformował, że mogło dojść do wycieku danych osobowych.
Starostwo Powiatowe w Ostrzeszowie

GDDKiA zawierając umowę z EuroCert nie powierzała danych osobowych swoich pracowników. Są to umowy zawierane na wydanie określonej liczby certyfikatów. Pracownik, któremu ma być wyrobiony certyfikat, podpisuje umowę bezpośrednio z EuroCert i samodzielnie udostępnia firmie niezbędne dane do wyrobienia certyfikatu. Zatem nie doszło do naruszenia ochrony danych osobowych, których administratorem jest GDDKiA.
GDDKiA

(...) poinformowano również, że EuroCert nie ma pewności, że dane zostały wykradzione, ale że zachodzi takie prawdopodobieństwo.
PIP Katowice

Zostaliśmy poinformowani że żadne nasze dane nie wyciekły.
Gmina Zaniemyśl

Naruszenie dotyczyło dwóch pracowników Urzędu KNF.
KNF

Ministerstwo Finansów nie jest dysponentem informacji o skali wycieku danych osobowych.
Ministerstwo Finansów

Na podstawie informacji uzyskanych od właściwych merytorycznie komórek organizacyjnych ministerstwa Zespół Ochrony Danych Osobowych Biura Dyrektora Generalnego oraz Inspektor Ochrony Danych w Ministerstwie Cyfryzacji ustalili, że nie doszło do wycieku danych osobowych pracowników MC.
Ministerstwo Cyfryzacji

Firma EuroCert stwierdziła naruszenie ochrony danych osobowych. Nie była jednak w stanie jednoznacznie potwierdzić, czyich danych osobowych dotyczyło. Komunikat emailowy informujący o naruszeniu otrzymali wszyscy subskrybenci podpisu kwalifikowanego (pracownicy Izby i podległych urzędów). Nie otrzymaliśmy informacji od pracowników o przypadkach naruszenia ochrony danych osobowych w wyniku ataku hakerskiego na EuroCert, którzy posiadają podpisy elektroniczne wydane przez tą firmę.
IAS Szczecin

Doszło do naruszenia danych osobowych dwóch współpracowników PWPW.
PWPW

W wyniku ataku cyberprzestępców na EuroCert doszło do naruszenia ochrony danych osobowych pracowników. Każdy pracownik został poinformowany indywidualnie, na służbowego e-maila. Nie ustalano liczby osób, które otrzymały informację.
Sąd Rejonowy w Nowym Dworze Mazowieckim

W wyniku ataku doszło do naruszenia ochrony danych osobowych 2 pracowników Urzędu Miasta Częstochowy.
Urząd Miasta Częstochowy

Firma EuroCert Sp. z o.o. w dniu 17 marca 2025 r. ostatecznie potwierdziła, że nie stwierdzono ponad wszelką wątpliwość naruszenia ochrony danych osobowych pracowników/współpracowników Narodowego Centrum Badań i Rozwoju w wyniku ataku hakerskiego, który dotknął ww. organizację.
NCBR

Nie dysponujemy potwierdzoną informacją o naruszeniu ochrony danych osobowych pracowników Urzędu, jedynie o prawdopodobieństwie, że do wycieku danych mogło dojść.
Urząd Miasta Stołecznego Warszawy

Na dzień sporządzenia niniejszej odpowiedzi nie posiadamy informacji, które wskazywałyby na naruszenie ochrony danych osobowych pracowników Starostwa Powiatowego w Wejherowie w związku z omawianym incydentem.
Starostwo Powiatowe w Wejherowie

Najważniejszej odpowiedzi udzieliło nam IAS w Zielonej Górze. „W wyniku cyberataku mogło dojść do naruszenia ochrony danych osobowych pracowników i funkcjonariuszy Izby Administracji Skarbowej w Zielonej Górze. Mogło dotyczyć to 339 pracowników i funkcjonariuszy” - przekazała nam Izba, co pokazuje powagę incydentu.

Unieważnianie podpisów kwalifikowanych

Zapytaliśmy również organizacje o to, czy unieważniały podpisy kwalifikowane. W komunikacie EuroCert zawarto następującą informację:

„Wykluczyliśmy ponad wszelką wątpliwość skompromitowanie wydanych Państwu certyfikatów. Nie zostały wykradzione. Nie ma potrzeby unieważniania certyfikatów.”

19 organizacji odniosło się bezpośrednio do pytania o unieważnianie certyfikatów. Dotyczy to podmiotów korzystających z pieczęci i/lub podpisu kwalifikowanego oraz w jednym przypadku certyfikatu do obsługi Węzła Krajowego. 6 z nich zdecydowało się unieważnić certyfikaty, zaś 13 nie podjęło taiego kroku. Zestawienie nie obejmuje nieokreślonych usług od EuroCert oraz KWE (poza jednym wyjątkiem, gdzie unieważniono wspomniany wcześniej certyfikat).

Warto przy tym dodać, że żadna z organizacji nie stwierdziła, iż atak na EuroCert powodował niepokojące telefony lub próby oszustwa.

Inne ważne informacje

Warto też zwrócić uwagę na stanowiska organizacji, które dobrze opisują incydent.

Dostaliśmy informację po moich pytaniach, co robimy z pieczęcią dopiero w dniu 17.01.2025 z informacją, że pieczęć nie została skompromitowana i nie ma potrzeby jej wymiany, a obsługą incydentu zajmuje się EuroCert i nie musimy wykonywać żadnych kroków.
Starostwo Powiatowe w Ostrzeszowie

Nie zostaliśmy poinformowani o wycieku danych osobowych, ponieważ (tak jak wyjaśniliśmy w odpowiedzi na poprzednie pytanie) żadne dane osobowe pracowników nie zostały powierzone firmie EuroCert przez GDDKiA.
GDDKiA

W przypadku danych osobowych urzędników oraz pracowników Ministerstwa Finansów, EuroCert Sp. z o.o. poinformował MF, że: obecnie nie ma pewności czy w ogóle doszło do pobrania danych przez hakerów i nie jest znana skala potencjalnej kradzieży. Naruszenie nastąpiło po stronie EuroCert, który jest zobowiązany do obsługi naruszenia. O naruszeniu zostały poinformowane odpowiednie służby bezpieczeństwa Państwa oraz poszczególni subskrybenci, którzy zawarli umowy bezpośrednio z Centrum Certyfikacji. MF/KAS nie otrzymuje zbiorczych informacji. Osoby, których dane mogły zostać zaszyfrowane i/lub skradzione w wyniku przeprowadzonego na EuroCert  ataku, zostały poinformowane o zakresie naruszenia ich danych osobowych w indywidualnych komunikatach przekazanych na adresy email tych osób. W związku z powyższym informacji na temat naruszenia EuroCert udziela wyłącznie osobom fizycznym, na których dane został wystawiony podpis kwalifikowany. MF/KAS nie otrzymuje zbiorczych informacji.
Ministerstwo Finansów

Choć EuroCert przekazał informację wskazującą na pojawienie się danych osobowych pracowników Ministerstwa Cyfryzacji wśród danych dotkniętych atakiem, informacja ta – w świetle wewnętrznych ustaleń – nie znalazła potwierdzenia.
Ministerstwo Cyfryzacji

Projekt ustawy

Ministerstwo Cyfryzacji przekazało nam, że trwają prace nad „projektem ustawy o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej”. Nowelizacja ma przyznać szefowi resortu „dodatkowe uprawnienia w ramach nadzoru nad dostawcami usług zaufania oraz nad krajowym schematem identyfikacji elektronicznej”.

MC poinformowało nas, że ustawa ma na celu „usprawnienie czynności nadzorczych oraz organizacji kontroli w ramach nadzoru Ministra Cyfryzacji nad krajowym schematem identyfikacji elektronicznej” oraz „przeprowadzanie przez Ministra Cyfryzacji audytu kwalifikowanych dostawców usług zaufania i udział osób upoważnionych przez ministra w audycie przeprowadzanym przez jednostkę oceniającą zgodność”.

Jak dodaje resort, 17 stycznia br. wszczęto postępowanie z urzędu w sprawie „możliwości prowadzenia przez EuroCert sp. z o. o. – kwalifikowanego dostawcę – działalności niezgodnie z przepisami”. Ministerstwo Krzysztofa Gawkowskiego otrzymało wyjaśnienia z EuroCert i raport z CSIRT NASK. „Zostanie wydane postanowienie w tej sprawie” - skwitowano.

Dobór dostawców usług

Przypadek EuroCertu dobrze pokazuje rolę doboru odpowiednich dostawców usług. Do dziś nie stwierdzono jednoznacznie, czy cyberprzestępcom udało się wykraść dane.

W momencie otrzymania odpowiedzi od EuroCert niezwłocznie zamieścimy je w artykule.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].