Od czerwca było wiadomo, że z rejestru PESEL masowo wypływają dane do pięciu kancelarii komorniczych. Sprawa do prokuratury trafiła w połowie sierpnia i okazała się na tyle poważna, że zajęło się nią ABW. Raczej nie doszło do hakerskiego ataku, ale i inne scenariusze wcale nie napawają optymizmem.
Na celownik śledczych trafiło pięć kancelarii komorniczych z Warszawy i Łodzi. Z ich serwerów masowo od 2015 r. pobierano dane z bazy PESEL, czyli wrażliwe informacje pozwalające namierzyć obywatela i sprawdzić jego meldunek. Pewne jest jedno: dane wyprowadzono w sposób nieuprawniony. Przez ponad rok wyciekły dane blisko 2 mln osób.
– Z bazy PESEL pobierane są co roku spore ilości danych, szczególnie przez policję. Tak więc te pobrania przez pewien czas były niezauważone – mówi nam jeden z urzędników związanych z systemem rejestrów państwowych.
– Jeden z architektów systemu pracujący w Centralnym Ośrodku Informatyki (instytucji podległej Ministerstwu Cyfryzacji – red.) przypadkiem zorientował się, że spora część zapytań przychodzi właśnie od komorników. A aż 40 procent od tej branży było generowanych przez zaledwie pięć kancelarii, a przecież tych w całym kraju są tysiące. Co więcej, działo się to nocami i od razu w dużych paczkach: jednorazowo pytano o tysiące numerów PESEL – opowiada urzędnik. Pracownik COI sprawę zgłosił szefom, a ci resortowi cyfryzacji odpowiedzialnemu za nadzór nad systemem PESEL.
Korzystanie przez komorników z danych zebranych w tej bazie nie jest niczym nadzwyczajnym ani tym bardziej złamaniem prawa. Komornicy, podobnie jak policja i prokuratura, mają uprawnienie do nieodpłatnego, automatycznego pobierania danych w związku ze swoimi czynnościami. Zresztą korzystają też masowo z bazy CEPiK, czyli informacji o zarejestrowanych w Polsce samochodach. To od nich pochodzi ponad 90 proc. zapytań do CEPiK, bo to w tej bazie poszukują informacji niezbędnych do ustalenia majątku dłużnika.
Tyle że takie pobieranie powinno być uzasadnione konkretnymi prowadzonymi postępowaniami egzekucyjnymi. Tymczasem w tych przypadkach liczby pobrań nie da się wyjaśnić windykacją długów: jeden z komorników pozyskał od marca 2015 r. dane 802 tys. osób i złożył blisko 1,8 mln zapytań. – Trudno sobie wyobrazić, do jakich celów potrzebne było aż tyle danych – mówi nam urzędnik.
Wątpliwości podziela resort cyfryzacji, który zgłosił sprawę do warszawskiej prokuratury.
– W sprawie masowego pobierania danych z PESEL zachodzi poważne podejrzenie, że dane nie były pobierane w celach uzasadnionych działalnością tych kancelarii – mówi nam Karol Manys, rzecznik ministerstwa.
Jak poinformowała Prokuratura Okręgowa w Warszawie, „analiza połączeń z systemem PESEL – w tym czas ich trwania, częstotliwość zapytań, realizacja w porze nocnej oraz schemat pracy stacji roboczych – wskazywała na zastosowanie złośliwego oprogramowania bądź skryptów służących do automatycznego generowania zapytań”. Postępowanie, jakie wszczęła, dotyczy podejrzenia popełnienia przestępstwa z art. 231 kodeksu karnego, a więc nadużycia uprawnień przez funkcjonariusza publicznego. Do tego dochodzą jeszcze ewentualne zarzuty z art. 267 k.k. – uzyskanie przez osoby nieuprawnione dostępu do danych osobowych.
Po co komornikom tak ogromne zasoby danych? Pojawiający się wątek włamania hakerskiego do systemów kancelarii komorniczych w ocenie ekspertów od cyberbezpieczeństwa jest raczej wątpliwy.
– To mało prawdopodobne. W podmiotach, które mogą korzystać z bazy PESEL, uprawnione do wysyłania zapytań są tylko specjalne stacje odseparowane od sieci i połączone dedykowanym łączem PESEL-net. Co więcej, sama baza PESEL obsługiwana jest przez Exatel, który operuje na specjalnych bezpiecznych łączach – mówi nam jeden z ekspertów od cyberbezpieczeństwa pracujący dla administracji.
Bardziej prawdopodobne są inne scenariusze.
– Komornicy idący na skróty budowali na zapas własne bazy potencjalnych dłużników. A to jest złamaniem prawa, bo na taką bazę musiałby wydać zgodę GIODO, który na pewno by jej nie wydał. Albo też dane pobierano w celach ich odsprzedania. Obie sytuacje byłyby bardzo niepokojące – dodaje urzędnik.ⒸⓅ
Na celownik śledczych trafiło pięć kancelarii komorniczych z Warszawy i Łodzi