„To poraża!” - ekspert o dostępie do danych o szczepieniach polityków

W środę na łamach Onetu ukazał się artykuł dotyczący statusu szczepień przeciwko koronawirusowi członków polskiego rządu, a także innych ważnych instytucji państwowych, w tym Trybunału Konstytucyjnego. Nie wskazano jednak, w jaki sposób portal uzyskał tak wrażliwe dane. Dziennikarze ujawnili jedynie, że informacje pochodzą z dwóch źródeł: bazy Ewidencji Wjazdu do Polski oraz zasobów Sanepidu (konkretnie Systemu Ewidencji Państwowej Inspekcji Sanitarnej). 

Sprawę opisało także WP.pl, które skupiło się jednak na luce, która umożliwiała uzyskanie dostępu do opisanych danych. Chodzi o podatność w systemie rejestracji szczepień - wystarczyło wpisać PESEL konkretnej osoby, aby dotrzeć do interesujących nas danych. Nie trzeba być hakerem, aby go uzyskać. W wielu przypadkach jest dostępny publicznie ze względu np. na prowadzoną działalność w KRS. 

Przed naruszeniem bezpieczeństwa danych miała chronić weryfikacja za pomocą SMS. Problem jednak w tym, że można było wpisać dowolny numer, na który chcieliśmy otrzymać wiadomość, czyli m.in. swój własny. 

Łatwość wartością nadrzędną

Co ciekawe, rząd wiedział o problemie. „Po analizie przez ekspertów uznano jednak, że korzyść, jaką daje łatwość rejestracji, jest wartością nadrzędną. W tamtym okresie kluczowe było, by każdy mógł jak najszybciej, bez Profilu Zaufanego, zapisać się na szczepienie. Dziś sytuacja się zmieniła, bo coraz mniej osób się szczepi, dlatego też zrezygnowano z tej drogi” - wskazał w rozmowie z „Dziennikiem Gazetą Prawną" Janusz Cieszyński, sekretarz stanu w KPRM i pełnomocnik rządu ds. cyberbezpieczeństwa (w latach 2018-2020 wiceminister zdrowia). 

Jego zdaniem dostęp do danych, które opublikował Onet pozyskano w jeszcze inny sposób. Według ministra miało dojść do nieuprawnionego dostępu. „Zawinił więc nie system i jego zabezpieczenia, tylko człowiek. Jeśli zostanie ustalony, to musi liczyć się z poważnymi konsekwencjami” - pisze „DGP”. 

UODO i prokuratura powinny zająć się sprawą

Jak podkreślił dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński, doszło do naruszenia poufności danych osobowych w wyniku ich ujawnienia osobom trzecim. „W mojej ocenie skala tego zjawiska, rodzaj danych, które są przedmiotem naruszenia oraz osoby, których naruszenie dotyczy, wskazują na to, że w tej sprawie powinno zostać z urzędu wszczęte postępowanie przez Prezesa Urzędu Ochrony Danych Osobowych oraz przez prokuraturę, bo takie ujawnienie danych to przestępstwo z art. 107 ust. 2 ustawy o ochronie danych osobowych, zagrożone karą pozbawienia wolności do lat trzech” - wskazał w rozmowie z dziennikiem. 

Inna sytuacja dziennikarzy

Co ciekawe, „DGP” zaznacza, że jeśli chodzi o dziennikarzy, to nie podlegają oni przepisom RODO, dlatego też nie można mówić tu o zarzucie przestępstwa. Chodzi konkretnie o zapis art. 2 ustawy o ochronie danych osobowych dotyczący tzw. klauzuli prasowej. Dodatkowo mają obowiązek zachowania w tajemnicy swoich źródeł informacji. 

„Co nie znaczy, że autor wycieku pozostanie nieustalony. Administrator systemu powinien sprawdzić, czy ktoś sprawdzał dane dotyczące polityków i jeżeli ta informacja się potwierdzi, zgłosić naruszenie poufności danych osobowych do prezesa UODO oraz zawiadomić o tym fakcie prokuraturę, gdyż jako podmiot publiczny ma taki prawny obowiązek. Swoją drogą, i prokuratura, i Prezes UODO powinni, korzystając z własnych kompetencji, dążyć do ustalenia tego, kto dane ujawnił” - stwierdził dr Paweł Litwiński. 

Dziennik ustalił, że Urząd Ochrony Danych Osobowych analizuje tę sprawę, lecz obecnie jest za wcześnie, aby przedstawić szczegóły. 

„Syrena alarmowa”

Z całej sytuacji płynie konkretny wniosek. Niezależnie od tego, co było przyczyną ujawnienia wrażliwych danych, państwo nie zabezpiecza w odpowiedni sposób naszych danych. Według dr Łukasza Olejnika, niezależnego badacza i eksperta ds. prywatności, taki incydent może spotkać każdego. „To poraża, że w Polsce nie działa ochrona tak wrażliwych danych. Mamy jasny dowód. Po prostu nie działa! Takie są właśnie wnioski. Zdecydowanie widać powody dla uzasadnionych obaw o prywatność” - podkreślił na łamach „DGP”. Dodał, że powinna to być „syrena alarmowa i to dla wszystkich, nie tylko dla urzędników państwowych”.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.