Wyciek danych policji i służb z RCB: niefrasobliwość czy atak?

Przypomnijmy: portal niebezpiecznik.pl ujawnił we wtorek sprawę wycieku z Rządowego Centrum Bezpieczeństwa danych osobowych 20 tys. osób. Były to informacje wrażliwe, zawierające m.in. prywatne numery telefonów, adresy i numery PESEL. Sprawa została objęta kontrolą.

Czy była to niefrasobliwość człowieka, który przez pomyłkę udostępnił dane, czy większa operacja? Może chodziło o wyciągnięcie danych dużej grupy ludzi? Odpowiedź na to pytanie nie jest oczywista.

Czytaj też: Olbrzymi wyciek danych z RCB. Gen. Polko: absolutny skandal i dziadostwo

Najważniejsze jest w tej historii to, że do internetu wypłynęły wrażliwe dane osób odpowiadających za bezpieczeństwo państwa. Dane adresowe policjantów czy ich prywatne numery telefonów mogły wpaść np. w ręce bandytów, których jeszcze niedawno ścigali.

Próbowaliśmy skontaktować się z RCB w tej sprawie. Osoba odpowiedzialna za komunikację z mediami "była na spotkaniu" i miała się z nami skontaktować po jego zakończeniu. Do moment publikacji materiału tak się jednak nie stało. RCB ograniczyło się tylko do wtorkowego komunikatu.

Myślę, że nie wiemy wszystkiego o tej konkretnej sytuacji. Trzeba ją rozpatrywać dwutorowo. Oczywiście, dysponując pewną bazą danych funkcjonariuszy i chcąc ją wyprowadzić z instytucji można ją po prostu "wrzucić do internetu". Ale druga opcja – ku której się skłaniam - to taka, że ktoś to zrobił nieświadomie, bez wiedzy o konsekwencjach - mówi o2.pl były oficer jednej ze służb specjalnych, zajmujący się zagadnieniami cyberbezpieczeństwa.

Czytaj też: Uwaga na fałszywe SMS-y. To groźna pułapka

Dodaje, że w jego ocenie trudno mówić o wrogim działaniu, raczej mamy do czynienia ze zwykłą niedojrzałością procesów zarządzania i kierowania instytucją. I mimo, że w jego ocenie nie mamy tu do czynienia z cyberatakiem, to działanie to z pewnością z pewnością ułatwiło wrogim państwom i służbom pracę.

To będzie dobra lekcja kultury organizacyjnej dla instytucji. Myślenia o tym, jak w organizacji zarządza się danymi wrażliwymi. Mam nadzieję, że osoba odpowiedzialna za to wyciągnie z tego zdarzenia wnioski - mówi dalej.

Dodaje, że to zdarzenie jest konsekwencją braku wiedzy i szkoleń ale także zatrudniania ludzi o niewystarczających kompetencjach.

Ostrzej na ten temat wypowiadają się np. policjanci.

Czytaj też: Cyberataki na Australię. Są wyrafinowane. "Musi stać za nimi państwo"

Efekt niekompetencji i zatrudniania tumanów do pracy, do której się nie nadają. Raczej nie sabotaż, chociaż jeśli ktoś miał skorzystać, to skorzystał i zrobi użytek. Między innymi dlatego odszedłem z pracy - mówi z kolei policjant Centralnego Biura Śledczego, od kilku miesięcy poza służbą.

Dodaje, że kwestie cyberbezpieczeństwa w policji nie są, łagodnie rzecz ujmując, traktowane z najwyższą starannością.

Na bezpieczeństwo danych narzeka także inny funkcjonariusz, wciąż w czynnej służbie. Choć jako przykład podaje policję, to nie szczędzi gorzkich słów całej administracji państwowej.

Możemy się logować do naszych systemów z urządzeń, które certyfikatów policyjnych nie mają. Zdarzały się przypadki włamań na nasze służbowe konta i skrzynki mailowe - mówi w rozmowie z o2.pl.

I dodaje, że problem ten dotyczy wielu organów państwowych. Przekonuje, że komputery w wielu państwowych urzędach nie są dostatecznie zabezpieczone, a używane na nich oprogramowanie często jest "dziurawe" i podatne na ataki hakerskie.