Wielki wyciek danych - komornicy czy hakerzy?

Od czerwca było wiadomo, że z rejestru PESEL masowo wypływają dane do pięciu kancelarii komorniczych. Sprawa do prokuratury trafiła w połowie sierpnia i okazała się na tyle poważna, że zajęło się nią ABW. Raczej nie doszło do hakerskiego ataku, ale i inne scenariusze wcale nie napawają optymizmem.

Na celownik śledczych trafiło pięć kancelarii komorniczych z Warszawy i Łodzi. Z ich serwerów masowo od 2015 r. pobierano dane z bazy PESEL, czyli wrażliwe informacje pozwalające namierzyć obywatela i sprawdzić jego meldunek. Pewne jest jedno: dane wyprowadzono w sposób nieuprawniony. Przez ponad rok wyciekły dane blisko 2 mln osób.

- Z bazy PESEL pobierane są co roku spore ilości danych, szczególnie przez policję. Tak więc te pobrania przez pewien czas były niezauważone - mówi nam jeden z urzędników związanych z systemem rejestrów państwowych.

- Jeden z architektów systemu pracujący w Centralnym Ośrodku Informatyki (instytucji podległej Ministerstwu Cyfryzacji - red.) przypadkiem zorientował się, że spora część zapytań przychodzi właśnie od komorników. A aż 40 procent od tej branży było generowanych przez zaledwie pięć kancelarii, a przecież tych w całym kraju są tysiące. Co więcej, działo się to nocami i od razu w dużych paczkach: jednorazowo pytano o tysiące numerów PESEL - opowiada urzędnik. Pracownik COI sprawę zgłosił szefom, a ci resortowi cyfryzacji odpowiedzialnemu za nadzór nad systemem PESEL.

Korzystanie przez komorników z danych zebranych w tej bazie nie jest niczym nadzwyczajnym ani tym bardziej złamaniem prawa. Komornicy, podobnie jak policja i prokuratura, mają uprawnienie do nieodpłatnego, automatycznego pobierania danych w związku ze swoimi czynnościami. Zresztą korzystają też masowo z bazy CEPiK, czyli informacji o zarejestrowanych w Polsce samochodach. To od nich pochodzi ponad 90 proc. zapytań do CEPiK, bo to w tej bazie poszukują informacji niezbędnych do ustalenia majątku dłużnika.

Tyle że takie pobieranie powinno być uzasadnione konkretnymi prowadzonymi postępowaniami egzekucyjnymi. Tymczasem w tych przypadkach liczby pobrań nie da się wyjaśnić windykacją długów: jeden z komorników pozyskał od marca 2015 r. dane 802 tys. osób i złożył blisko 1,8 mln zapytań. - Trudno sobie wyobrazić, do jakich celów potrzebne było aż tyle danych - mówi nam urzędnik.

Wątpliwości podziela resort cyfryzacji, który zgłosił sprawę do warszawskiej prokuratury.

- W sprawie masowego pobierania danych z PESEL zachodzi poważne podejrzenie, że dane nie były pobierane w celach uzasadnionych działalnością tych kancelarii - mówi nam Karol Manys, rzecznik ministerstwa.

Jak poinformowała Prokuratura Okręgowa w Warszawie, "analiza połączeń z systemem PESEL - w tym czas ich trwania, częstotliwość zapytań, realizacja w porze nocnej oraz schemat pracy stacji roboczych - wskazywała na zastosowanie złośliwego oprogramowania bądź skryptów służących do automatycznego generowania zapytań". Postępowanie, jakie wszczęła, dotyczy podejrzenia popełnienia przestępstwa z art. 231 kodeksu karnego, a więc nadużycia uprawnień przez funkcjonariusza publicznego. Do tego dochodzą jeszcze ewentualne zarzuty z art. 267 k.k. - uzyskanie przez osoby nieuprawnione dostępu do danych osobowych.

Po co komornikom tak ogromne zasoby danych? Pojawiający się wątek włamania hakerskiego do systemów kancelarii komorniczych w ocenie ekspertów od cyberbezpieczeństwa jest raczej wątpliwy.

- To mało prawdopodobne. W podmiotach, które mogą korzystać z bazy PESEL, uprawnione do wysyłania zapytań są tylko specjalne stacje odseparowane od sieci i połączone dedykowanym łączem PESEL-net. Co więcej, sama baza PESEL obsługiwana jest przez Exatel, który operuje na specjalnych bezpiecznych łączach - mówi nam jeden z ekspertów od cyberbezpieczeństwa pracujący dla administracji.

Bardziej prawdopodobne są inne scenariusze.

- Komornicy idący na skróty budowali na zapas własne bazy potencjalnych dłużników. A to jest złamaniem prawa, bo na taką bazę musiałby wydać zgodę GIODO, który na pewno by jej nie wydał. Albo też dane pobierano w celach ich odsprzedania. Obie sytuacje byłyby bardzo niepokojące - dodaje urzędnik.ⒸⓅ

Na celownik śledczych trafiło pięć kancelarii komorniczych z Warszawy i Łodzi

Sylwia Czubkowska

sylwia.czubkowska@infor.pl