W sieci znalazły się numery telefonów, PESEL-e, adresy email, miejsca pracy oraz nazwiska funkcjonariuszy SOP, Straży Granicznej, Straży Pożarnej, ITD, KAS, funkcjonariuszy CBŚP i innych służb. I nie jest to efekt ataku chińskich czy rosyjskich hakerów. Jak bowiem twierdzi niebezpiecznik.pl, plik z danymi w serwisie ArcGIS udostępnił… pracownik Rządowego Centrum Bezpieczeństwa. Zdaniem serwisu, ta lista to informacje o osobach zgłoszonych do szczepień między 12 a 20 kwietniem tego roku.
Niebezpiecznik ostrzega, że choć dane mogli obejrzeć tylko zalogowani użytkownicy serwisu, to jednak konto tam może stworzyć każdy. A dla przestępców informacje, które pomogą zidentyfikować agentów polskich służb to żyła złota.
Reakcja RCB
RCB błyskawicznie zdjęło plik i przesłało Niebezpiecznikowi komunikat. “W związku z charakterem ww. informacji niezwłocznie podjęliśmy działania zmierzające do całkowitego zablokowania formularza i zabezpieczenia wykazu rekordów przesłanych za jego pośrednictwem. Równolegle (zgodnie z Procedurą zgłaszania naruszeń ochrony danych osobowych w Rządowym Centrum Bezpieczeństwa z dnia 11 września 2018 r.), wszczęliśmy wewnętrzną procedurę wyjaśniającą. W tej chwili prowadzimy spotkanie operacyjne, w trakcie którego analizujemy potencjalne przyczyny zaistniałej sytuacji. Gromadzimy także szczegółowe informacje dot. ewentualnego pobrania plików zawierających dane osobowe przez podmioty do tego nieuprawnione. Zgodnie z przepisami RODO złożymy niezwłocznie stosowne zgłoszenie o naruszeniu bezpieczeństwa danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych” – czytamy w oświadczeniu.
Lewica chce wyjaśnień od władz
Szef klubu Lewicy Krzysztof Gawkowski powiedział na konferencji prasowej, że mamy do czynienia z bezprecedensowym ujawnieniem danych osobowych. Odpowiedzialność za ten wyciek jest w kilku miejscach – wśród tych, którzy zarządzają MSWiA, w Kancelarii Prezesa Rady Ministrów, która nadzoruje Rządowe Centrum Bezpieczeństwa.
Zaznaczył, że ujawnienie danych funkcjonariuszy oznacza, że zagrożeni mogą być nie tylko oni, ale także ich rodziny. Zwracamy się z prośbą o informację prezesa Rady Ministrów Mateusza Morawieckiego, aby na posiedzeniu Sejmu wyjaśnił jak mogło dojść do takiego bezprecedensowego ujawnienia danych osobowych ludzi odpowiadających za polskie bezpieczeństwo – mówił Gawkowski.
Dodał, że premier, który sprawuje nadzór na RCB, powinien odpowiedzieć m.in. na pytania, czy rzeczywiście jest jakikolwiek nadzór nad bazami danych oraz czy rejestry danych osobowych są bezpieczne. I czy mamy do czynienia po prostu z partactwem, które dzisiaj rozlało się danymi po całej Polsce – mówił Gawkowski.
Podkreślił, że Lewica oczekuje też odpowiedzi od wicepremiera Jarosława Kaczyńskiego, ponieważ – jak mówił – jest odpowiedzialny za monitorowanie i analizowanie wszystkich czynników mających wpływ na polskie bezpieczeństwo, również za dane osobowe. Poseł Lewicy, szef sejmowej komisji administracji i spraw wewnętrznych Wiesław Szczepański zapowiedział, że będzie chciał zwołać posiedzenie swojej komisji w związku z udostępnienia danych funkcjonariuszy.
RCB: Wszystkie dane zostały ponownie i niezwłocznie zabezpieczone
“Po otrzymaniu informacji o możliwym, nieuprawnionym dostępie do danych osobowych, zgodnie z obowiązującymi w Rządowym Centrum Bezpieczeństwa procedurami, wszystkie dane zostały ponownie i niezwłocznie zabezpieczone” – zapewniło RCB w komunikacie zamieszczonym na swojej stronie internetowej.
RCB podkreśliło, że prowadzi wewnętrzną procedurę wyjaśniającą. “Wspólnie z inspektorem ochrony danych osobowych natychmiast wprowadzone zostały procedury dodatkowej weryfikacji wszystkich czynności podejmowanych w systemie, za pośrednictwem którego RCB przetwarza dane osobowe. Zaplanowano także dodatkowy audyt, którego celem będzie weryfikacja i usprawnienie procedur związanych z ochroną danych osobowych” – czytamy w komunikacie.
Centrum wskazało, że zgodnie z przepisami RODO, złożone zostanie stosowne zgłoszenie o naruszeniu bezpieczeństwa danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych.
Wyjaśniono, że od 28 grudnia Rządowe Centrum Bezpieczeństwa opracowało formularze umożliwiające różnym grupom zawodowym zgłaszanie się na szczepienia przeciwko COVID-19. Łącznie za ich pomocą zarejestrowało się ok. 366 tys. osób.
“Sytuacja dotycząca możliwego nieuprawnionego dostępu do danych osobowych dotyczy wyłącznie grupy osób, która została zarejestrowana w terminie 12-20 kwietnia br. (ok. 22 tys.). Wszystkim tym osobom zostanie przesłane powiadomienie oraz dodatkowe zalecenia” – podkreślono w komunikacie.