Biuletyn Informacji Publicznej RPO

• Agencja Bezpieczeństwa Wewnętrznego odpisała RPO o swych działaniach ws. wycieku danych osobowych użytkowników Platformy Szkoleniowej KSSiP, których administratorem jest Krajowa Szkoła Sądownictwa i Prokuratury
• Śledztwo prowadzi policja, wspierana m.in. przez funkcjonariuszy ABW, którzy uczestniczyli w czynnościach w firmie hostingowej, skąd nastąpił wyciek- jej pracownik usłyszał już zarzuty  
• Obecnie Agencja pozostaje do dyspozycji organów prowadzących postępowanie jako instytucja ekspercka

Media podają, że naruszenie ochrony danych wskutek wycieku dotyczy ponad 50 tys. osób, w tym m.in. aplikantów sędziowskich i prokuratorskich, sędziów, prokuratorów, asesorów, referendarzy, asystentów oraz pracowników sądów, a także osób prowadzących zajęcia w KSSiP.

Przedmiotem kradzieży były: imię, nazwisko, numer telefonu, adres e-mail, miejsce zamieszkania, daty pierwszego i ostatniego logowania, numery ICQ, MSN, Skype, Yahoo, jednostka (miejsce pracy), hasło (zaszyfrowane). Trwają ustalenia, czy doszło również do ujawnienia numerów PESEL.

Ujawnione dane mogą być wykorzystywane w sposób nieuprawniony. Mogą np. posłużyć z jednej strony do wyłudzenia kredytu czy pożyczki, a z drugiej - zawarcia umowy w imieniu osoby której dane dotyczą czy uzyskania dostępu do danych o stanie zdrowia. Dane maila, numery telefonu czy komunikatorów internetowych pozwalają na niespotykaną skalę wkroczyć w życie prywatne osób dotkniętych wyciekiem.

Wydaje się to szczególnie groźne w przypadku sędziów i prokuratorów, zwłaszcza gdy ujawnione dane będą zestawione z jawnymi informacjami o stanie majątkowym tych osób. Ujawnienie tego rodzaju informacji może również stanowić zagrożenie dla bezpieczeństwa publicznego.

Dlatego Adam Bodnar zwrócił się do szefa ABW płk. Krzysztofa Wacławka o  podjęcie działań w ramach kompetencji Agencji w związku z zagrożeniami dla dobra wymiaru sprawiedliwości i praw obywateli. Wcześniej RPO spytał o tę sprawę Prezesa UODO i Prokuratora Krajowego.

Odpowiedź wiceszefa ABW płk. Norberta Loby

W związku z zaistniałym zdarzeniem Prokuratura Regionalna w Lublinie prowadzi śledztwo o sygn. akt RP 11 Ds. 3.2020 w sprawie zakłócenia automatycznego przetwarzania łub przekazywania danych o szczególnym znaczeniu dla funkcjonowania Krajowej Szkoły Sądownictwa i Prokuratury w Krakowie poprzez uzyskanie bez uprawnienia dostępu do systemu informatycznego tej instytucji państwowej oraz informacji w postaci bazy danych Platformy Szkoleniowej KSSiP, a następnie ujawnienia tych informacji w sieci internet, tj. o czyn z art. 269 § 1 kk w zb. z art. 267 § 1, 2 i 4 kk w zw. z art. 11 § 2 kk w zw. Z art. 12 § 1 kk.

Śledztwo to zostało powierzone do prowadzenia funkcjonariuszom Wydziału do Walki z Cyberprzestępczością Komendy Wojewódzkiej Policji w Lublinie, doraźnie wspieranych przez funkcjonariuszy Biura do Walki z Cyberprzestępczością KGP, funkcjonariuszy ABW, pracowników państwowego instytutu badawczego NASK, a także biegłych z zakresu informatyki śledczej Policji i ABW.

Odnosząc się do zaangażowania ABW w przedmiotową sprawę pragnę poinformować, iż w dniu 7 kwietnia 2020 r., na adres e-mail Dyżurnego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV wpłynęła wiadomość od informatyka KSSiP wraz z odpowiednim formularzem, w którym zgłoszono wyciek bazy danych z Platformy Szkoleniowej KSSiP, do którego mogło dojść w związku z testową migracją danych z dotychczas używanej platformy na serwer docelowy nowo tworzonej Platformy Szkoleniowej eKSSiP.

Czynność ta była wykonywana przez firmę (….) z siedzibą w Warszawie, z którą Krajowa Szkoła Sądownictwa i Prokuratury zawarła umowę na świadczenie usług hostingowych. Ponadto zgłoszenie zawierało adres URL znajdujący się w otwartych źródłach internetowych (nienależący i niezarządzany przez administratora KSSiP), pod którym znajdował się zrzut bazy danych.

Dodatkowo, w formularzu przekazano informację o podjęciu działań zaradczych, tj. całkowitym zablokowaniu poprzedniej wersji platformy szkoleniowej i rozpoczęciu czynności weryfikacyjnych pod kątem bezpieczeństwa danych użytkowników znajdujących się już na nowej platformie szkoleniowej.

Jednocześnie informatyk KSSiP zadeklarował, iż działania naprawcze będą prowadzone po zweryfikowaniu stanu bezpieczeństwa aktualnej platformy szkoleniowej oraz wskazaniu właściwych i koniecznych procedur.

W systemie krajowego systemu cyberbezpieczeństwa, podmiot, jakim jest Krajowa Szkoła Sądownictwa i Prokuratury z siedzibą w Krakowie, podlega pod CSIRT NASK. Wobec powyższego zgłoszenie opisanego incydentu zostało przekazane przez CSIRT GOV do CSIRT NASK.

Po wstępnej analizie zawartości zrzutu bazy danych upublicznionych w otwartych źródłach internetowych ujawniono, że znajdują się tam dane sędziów i prokuratorów. W związku z tym, w tym samym dniu Zespół CSIRT GOV poinformował Ministerstwo Sprawiedliwości o wycieku bazy danych i zalecił poinformowanie o tym fakcie podległych instytucji, jak również przekazał rekomendacje w celu mitygacji zagrożeń związanych z upublicznieniem danych, a mianowicie:

• niezwłoczną weryfikację danych zawartych w bazie,
• zmianę haseł na platformie e-KSSiP oraz w innych serwisach, w których hasła zostały użyte,
• powiadomienie użytkowników o wycieku powyższych danych.

W dniu 9 kwietnia 2020 r. informacja o wycieku bazy danych KSSiP została przekazana przez Zespół CSIRT GOV również Prokuraturze Krajowej (wraz z rekomendacjami mającymi na celu mitygację zagrożeń).

Warto nadmienić, iż w dniu 17 kwietnia 2020 r. funkcjonariusze ABW, realizując postanowienie Prokuratury Regionalnej w Lublinie, uczestniczyli w czynnościach procesowych przeprowadzonych w firmie hostingowej (….) z siedzibą w (….) w Warszawie, polegających przede wszystkim na zabezpieczeniu danych z serwerów dedykowanych dla KSSiP. Zgodnie z dyspozycją prokuratury, w trakcie czynności procesowych prowadzonych na terenie spółki (…), rola wiodąca należała do funkcjonariuszy Policji działających przy udziale biegłego sądowego oraz przedstawiciela NASKu, natomiast funkcjonariusze ABW pełnili rolę doradczą, a ich obecność na miejscu czynności służyła wsparciu specjalistyczną wiedzą techniczną.

Przeprowadzone czynności pozwoliły na ustalenie okoliczności wycieku danych i osoby za wyciek odpowiedzialnej. Z informacji, którymi dysponuje ABW wynika, iż podejrzany o udostępnienie danych umożliwiających nieuprawniony dostęp do informacji przechowywanych  w systemie informatycznym KSSiP został zatrzymany przez Policję w dniu 22 kwietnia 2020 r.

Dalsze czynności dowodowe w tym śledztwie prowadzi wyspecjalizowana komórka Policji pod nadzorem Prokuratury Regionalnej w Lublinie. Na tym etapie sprawy Agencja Bezpieczeństwa Wewnętrznego pozostaje do dyspozycji organów prowadzących przedmiotowe postępowanie - jako instytucja ekspercka.

VII.501.90.2020