O incydencie poinformowała samych poszkodowanych dyrektor Krajowej Szkoły Sądownictwa i Prokuratury (KSSiP). Jak wynika z treści pisma, wyciekły dane osobowe z Platformy Szkoleniowej KSSIP w zakresie co najmniej imienia, nazwiska, numeru telefonu, adresu e-mail, miejsca zamieszkania, miejsca pracy, daty pierwszego i ostatniego logowania oraz numerów ICQ, MSN, Skype, Yahoo oraz haseł (w formie „zaszyfrowanej”).
Warto zauważyć, że z Platformy Szkoleniowej KSSIP korzystali nie tylko aplikanci szkoły, ale także między innymi asesorzy prokuratury, asesorzy sądowi, prokuratorzy sądowi i ich asystenci, sędziowie i ich asystenci, audytorzy wewnętrzni, dyrektorzy sądów, referendarze sądowi, urzędnicy prokuratur i sądów, zawodowi kuratorzy sądowi. Nieoficjalnie mówi się o danych aż 50 tysięcy osób.
Skutki mogą być bolesne
Skutki wycieku danych osobowych do Internetu w tak szerokim zakresie mogą być bardzo bolesne. Po pierwsze należy wskazać na możliwości nielegalnego wykorzystania danych do np. próby uzyskania pożyczek w instytucjach parabankowych, wyłudzenia ubezpieczenia lub zawarcia innych niekorzystnych dla poszkodowanych umów cywilnoprawnych. Może dojść także do uzyskania nieuprawnionego dostępu do systemów obsługujących udzielanie świadczeń medycznych i tym samym wglądu do danych o stanie zdrowia.
Jednak poza powszechnie znanymi skutkami każdego nieuprawnionego wykorzystania danych osobowych, w tej konkretnej sytuacji – upublicznienie danych osobowych w zakresie adresów zamieszkania pracowników sądów, w tym sędziów i prokuratorów jest wysoce niepokojące. W piśmie skierowanym do poszkodowanych dyrektor KSSiP wskazała jedynie, że wyciekły informacje o „miejscach” zamieszkania. Nie wskazano zatem jak szczegółowe dane na temat adresów zamieszkania dostały się w niepowołane ręce.
KSSIP aktualnie prowadzi czynności analityczne w celu ustalenia czy przedmiotem kradzieży były także numery PESEL. Dyrektor KSSiP wskazała jedynie bardzo zdawkowo, że takiej możliwości nie można całkowicie wykluczyć.
Nieokreślone przyczyny braku odpowiednich zabezpieczeń
Jak wskazała dyrektor KSSiP naruszenie ochrony danych osobowych polegało na kradzieży danych użytkowników Platformy Szkoleniowej KSSiP, którzy zarejestrowali się na niej do dnia 21 lutego 2020 r. Skutkiem incydentu był wyciek wszystkich danych osobowych przetwarzanych za pośrednictwem Platformy Szkoleniowej do Internetu. Dyrektor KSSiP zapewniła, że niezwłocznie podjęto działania zmierzające do ustalenia okoliczności naruszenia ochrony danych osobowych.
Jednocześnie nieznane są żadne szczegóły dotyczące przyczyn wycieku. Jak wynika z informacji na stronie KSSiP (patrz TUTAJ- https://www.kssip.gov.pl/node/6847), szkoła udostępniła dla dotychczasowych użytkowników Platformy Szkoleniowej nowe narzędzie – platformę e-KSSiP, która w dniu 2 marca 2020 r. zastąpiła dotychczasową platformę szkoleniową. Jak wspomniano wyżej, nieuprawnione udostępnienie danych osobowych osobom trzecim dotyczyło informacji wprowadzonych do systemu do dnia 21 lutego 2020 r. Jednej z przyczyn nieprawidłowości można zatem doszukiwać się albo w migracji danych między systemami albo w nieprawidłowym testowaniu systemów.
Podjęte działania
Dyrektor KSSiP poinformowała, że zostały powiadomione niezbędne instytucje i organy, w tym zgłoszono naruszenie ochrony danych osobowych do Prezesa UODO. Ponadto usunięto wszystkie hasła dostępu do Platformy Szkoleniowej KSSiP oraz do jej nowej wersji- Platformy eKSSiP, wymuszając tym samym dokonanie ich zmiany przez użytkowników.
Szkoła zapewniła także, że dokonano dodatkowej weryfikacji zabezpieczeń systemów informatycznych wykorzystywanych do administrowania zasobami informatycznymi KSSiP. Ponadto podjęto czynności zmierzające do zablokowania możliwości rozpowszechniania skradzionych danych. Szkoła zwróciła się jednocześnie o ich usunięcie do administratorów serwisów, które udostępniły skradzione dane.
