Nowe informacje w aferze PESELowej, czyli jaki jest zakres śledztwa ABW

dodał 26 sierpnia 2016 o 14:40 w kategorii Prywatność  z tagami:
Nowe informacje w aferze PESELowej, czyli jaki jest zakres śledztwa ABW

Od wczoraj zbieramy nowe informacje dotyczące podejrzewanego ogromnego wycieku danych z rejestru PESEL poprzez kilka kancelarii komorniczych z całej Polski. Poniżej znajdziecie nasza najnowsze ustalenia i wnioski.

W ostatnich godzinach skontaktowało się z nami wiele osób dostarczających dodatkowych informacji na temat opisywanego przez nas wczoraj incydentu związanego z możliwym wyciekiem danych Polaków z rejestru PESEL. Wszystkim dziękujemy za wkład w powstanie niniejszego wpisu.

Ujawniono podstawę postępowania, śledztwo prowadzi ABW

Rzecznik Prokuratury Okręgowej w Warszawie opublikował komunikat na temat prowadzonego w tej sprawie postępowania. Czytamy w nim:

Prokuratura Okręgowa w Warszawie nadzoruje postępowanie karne w sprawie niedopełnienia obowiązków i działania na szkodę interesu publicznego i prywatnego przez komorników sądowych zobowiązanych do zabezpieczenia dostępu do danych osobowych z rejestru PESEL, wskutek czego mogło dojść do umożliwienia dostępu do danych osobom nieuprawnionym tj. o przestępstwo z art. 231 § 1 kk w zb. z art. 51 ust. 1 ustawy o ochronie danych osobowych oraz w sprawie uzyskania przez osoby nieuprawnione dostępu do danych osobowych zawartych w rejestrze PESEL tj. o przestępstwo z art. 267 § 1 kk.

Z powyższego paragrafu można wyczytać dwa możliwe zarzuty. Pierwszy, lżej sformułowany, mówi o mozliwości uzyskania dostępu do danych przez osoby nieuprawnione (zarzut z ustawy o ochronie danych osobowych), zaś drugi brzmi dużo groźniej  – to uzyskanie dostępu do danych osobowych zawartych w rejestrze PESEL przez osoby nieuprawnione (zarzut z kodeksu karnego). Wspomniany artykuł kodeksu mówi:

Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Komunikat wskazuje zatem na podejrzenie, że dostęp do danych uzyskały osoby nieuprawnione – co nie jest dobrą wiadomością. Czytajmy dalej.

Śledztwo zostało wszczęte z zawiadomienia Ministerstwa Cyfryzacji, które ujawniło, że ustaleni komornicy pobierali od kilkudziesięciu do kilkuset tysięcy rekordów z bazy PESEL miesięcznie. Przeprowadzona analiza połączeń z systemem PESEL – w tym czas ich trwania, częstotliwość zapytań, realizacja w porze nocnej oraz schemat pracy stacji roboczych – wskazywała na zastosowanie złośliwego oprogramowania bądź skryptów służących do automatycznego generowania zapytań.

Kilkaset tysięcy rekordów miesięcznie? Słyszeliśmy, że duże kancelarie (tzw. hurtownie) potrafią prowadzić naraz nawet 1-2 miliony spraw, lecz kilkaset tysięcy zapytań miesięcznie chyba przekracza ich możliwości. Według jednego z informatorów w zapytaniach odkryto następujące anomalie:

  • ponad 40% wszystkich zapytań komorniczych pochodziło od 5 kancelarii,
  • zapytania przychodziły w bardzo dużych paczkach,
  • nietypowe zapytania docierały zawsze w nocy.

Dodatkowa uwaga na marginesie – słyszeliśmy także, że nadużycie wykryli pracownicy Centralnego Ośrodka Informatyki, jednak mają zakaz się tym chwalić… Warto także dodać, że śledztwo zostało powierzone Agencji Bezpieczeństwa Wewnętrznego, co sugeruje dużą wagę zarzutów.

Czy mogło to być złośliwe oprogramowanie

Jednym z podejrzeń, formułowanych również przez rzecznika Prokuratury Okręgowej, jest użycie złośliwego oprogramowania do pobierania takich ilości danych z rejestru PESEL. Zapoznaliśmy się z wytycznymi Ministerstwa Cyfryzacji dotyczącymi warunków udostępniania danych z rejestru PESEL oraz zaleceniami bezpieczeństwa i w naszej ocenie spełnienie tych wymagań praktycznie uniemożliwia zdalne zainstalowanie złośliwego oprogramowania na stacjach łączących się do systemu. Dzięki Waszym informacjom wiemy, że stacje uprawnione do wysyłania zapytań są odseparowane od sieci kancelarii i połączone za pomocą dedykowanego rutera i łącza z siecią PESEL-net. Komputery te nie mają dostępu do internetu i nie mogą być wykorzystywane do żadnego innego celu a transfer danych odbywa się poprzez napędy USB (tak, możliwe są ataki przez USB, ale Stuxneta raczej się w tej historii nie spodziewamy).

pesel

Z jednej strony wytyczne i zalecenia opisują sytuację, w której prawdopodobieństwo infekcji dedykowanej stacji jest znikome, z drugiej wiemy też, że nawet najlepszy dokument nie pomoże w walce z użytkownikiem, który może go po prostu zignorować. Co istotne dowiedzieliśmy się, że przynajmniej część z kancelarii, których praktyki zostały zakwestionowane, prowadzi działalność na ogromną skalę i dysponuje własną obsługą informatyczną a nawet dedykowanymi pomieszczeniami serwerowni, zatem wizja jednego komputera służącego do wykonywania wszystkich czynności jest w tym wypadku mało prawdopodobna.

Jeśli nie złośliwe oprogramowanie, to co?

Oprócz infekcji kancelarii możliwe są także inne scenariusze tłumaczące dużą liczbę regularnych zapytań do systemu. Duże kancelarie korzystają z rozwiązań automatyzujących ich pracę, w tym także ze skryptów lub makr usprawniających odpytywanie rejestru PESEL. Na rynku działają firmy oferujące takie platformy, a same kancelarie czasem korzystają z własnych rozwiązań. Odpytywanie systemów może być zatem rozłożone regularnie w czasie by zwiększyć prawdopodobieństwo szybkiej odpowiedzi i zoptymalizować pracę kancelarii – skrypt rozkłada obciążenie na serie zapytań, które wysyła np. w nocy by skorzystać z mniejszego tłoku na serwerze.

Inny scenariusz jest mniej optymistyczny. Wierzymy, że prokuratura przed rozpoczęciem czynności dokonała analizy liczby spraw prowadzonych przez kancelarie i porównała ją z liczbą wysłanych zapytań. Jeśli te liczby znacząco od siebie odbiegały a metodologia porównania była prawidłowa, to może to oznaczać, że kancelarie mogły odpytywać bazy w celu innym niż przewidziany w ustawie. To bardzo niepokojący scenariusz. Czekamy zatem na wyniki śledztwa – a tych raczej się szybko nie możemy spodziewać.