Armia i Służby
Wyciek danych z RCB. Co zrobiono, by chronić funkcjonariuszy?
W wycieku danych z RCB ujawniono istotne, szczególne informacje, które mogą być wykorzystane w sposób nieuprawniony, na przykład do wywierania wpływu na osoby odpowiedzialne za bezpieczeństwo państwa - wskazuje Biuro Rzecznika Praw Obywatelskich. W związku z incydentem skierowano do Rządowego Centrum Bezpieczeństwa specjalne zapytanie w celu uzyskania szczegółów na temat podjętych działań w reakcji na incydent. W piśmie do dyrektora RCB Adam Bodnar (RPO) zapytał o m.in. informację, czy osoby, których dotyczy wyciek danych zostały powiadomione o ryzyku.
Jak informowaliśmy na naszym portalu, w sieci został udostępniony plik Excel, który obejmował informacje na temat funkcjonariuszy publicznych, policjantów, celników, pracowników Służby Ochrony Państwa, Administracji Skarbowej, Straży Granicznej, Straży Pożarnej (także ochotniczej), Inspekcji Transportu Drogowego, Straży Miejskiej, a nawet SOK-u czy Służby Więziennej. Chodzi tu o takie dane jak imiona i nazwiska, numery PESEL, adres miejsca pracy, pełna nazwa jednostki oraz telefony kontaktowe i adresy e-mail.
Plik został udostępniony przez jednego z pracowników Rządowego Centrum Bezpieczeństwa i dotyczył osób, które zostały zgłoszone do programu szczepień. W związku z tym Biuro RPO w specjalnym komunikacie podkreśliło, że wyciek dotyczy „wrażliwego kontekstu przetwarzania danych w celu udzielania świadczeń zdrowotnych”.
Zostały zatem ujawnione istotne, szczególne dane osobowe, które mogą być wykorzystane w sposób nieuprawniony. W przypadku funkcjonariuszy publicznych jeszcze większe zagrożenie wiąże się z możliwością wkroczenia w życie prywatne poprzez niechciane telefony czy korespondencję, a nawet wykorzystanie możliwości kontaktu do wywierania wpływu lub podejmowanie działań w celu pozbawienia ich zaufania publicznego.
Z myślą o bezpieczeństwie osób, których dane wyciekły RPO skierował do dyrektora RCB płk. Konrada Korpowskiego konkretne pytanie dotyczące tego, jakie działania zostały podjęte lub są planowane w związku z incydentem. Rzecznikowi zależy m.in. na informacji, czy poszkodowani otrzymali odpowiedni komunikat o naruszeniu bezpieczeństwa ich danych oraz zaalarmowali o możliwym ryzyku.
Przypomnijmy, że w środowym oświadczeniu RCB wskazało, że po otrzymaniu informacji o wystąpieniu incydentu z udziałem danych osób odpowiedzialnych za bezpieczeństwo państwa, wszystkie zostały natychmiast zabezpieczone, a dalsza możliwość wprowadzania ich w formularzu została zablokowana. Równocześnie wszczęto specjalną procedurę wyjaśniają całe zajście.
Wspólnie z inspektorem ochrony danych osobowych natychmiast wprowadzono procedury dodatkowej weryfikacji wszystkich czynności podejmowanych w systemie, za pośrednictwem którego RCB przetwarza dane osobowe. Zaplanowano także dodatkowy audyt, którego celem będzie weryfikacja i usprawnienie procedur związanych z ochroną danych osobowych. Dyrektor RCB spotkał się również z Pełnomocnikiem Komendanta Głównego Policji ds. Bezpieczeństwa Cyberprzestrzeni w sprawie oceny sytuacji i wzmocnienia ochrony systemów informatycznych Centrum.
Co więcej, sprawa trafiła do CSIRT GOV, a także o incydencie powiadomiono komendantów i szefów służb. „Równolegle powiadomiono Prokuraturę Okręgową w Warszawie o uzasadnionym przypuszczeniu popełnienia przestępstwa. Zgodnie z obowiązującymi przepisami RODO, zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu bezpieczeństwa danych osobowych” - podkreśliło RCB.
W komunikacie wyjaśniono, że w okresie od 28 grudnia 2020 roku Centrum tworzyło formularze umożliwiające różnym grupom zawodowym zapisywanie się na szczepienia przeciwko koronawirusowi.