W środę na wniosek prokuratury została zatrzymana osoba podejrzewana o spowodowanie wycieku danych z Krajowej Szkoły Sądownictwa i Prokuratury (KSSP). Według ustaleń „PB” podejrzanym o spowodowanie wycieku jest 29-letni pracownik warszawskiej spółki Etop, która pod koniec ubiegłego roku wygrała przetarg publiczny na hosting czterech serwerów dedykowanych KSSP. Prokuratura Krajowa odmówiła komentarza w sprawie naszych ustaleń.
Firma z doświadczeniem
Według ustaleń prokuratury, Krzysztof J. w trakcie testowego migrowania danych szkoły na nowo utworzoną platformę utworzył katalog, do którego przeniósł dane osobowe pracowników wymiaru sprawiedliwości, zapisane w systemie informatycznym KSSP. Dane: imię, nazwisko, adres mailowy i numer telefonu, były przekazywane KSSP w celu uzyskania możliwości dostępu do internetowej platformy szkoleniowej prowadzonej przez uczelnię. Następnie Krzysztof J. miał katalogowi nadać uprawnienia publiczne, umożliwiając w ten sposób pobranie danych z katalogu dowolnej osobie z dostępem do internetu. Później dane sędziów i prokuratorów trafiły do obiegu w internecie. Według serwisu sekurak.pl, mogło to być około 50 tys. rekordów, ale nie wszystkie zawierały taki sam zestaw danych.
Podejrzanemu ma zostać postawiony zarzut udostępnienia danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym KSSP, za co grozi do pięciu lat pozbawienia wolności.
Spółka nie komentuje sytuacji i okoliczności zdarzenia.
- Mogę tylko powiedzieć, że współpracujemy z prokuraturą, sprawa jest świeża, jest przedmiotem śledztwa i nie możemy udzielać innych informacji - mówi Konrad Olszewski, prezes Etopu.
Etop to działająca od ponad 20 lat firma IT. Specjalizuje się w konsultingu teleinformatycznym, budowie i eksploatacji sieci światłowodowych, centrach danych, usługach hostingowych czy rozwiązaniach chmurowych. Wśród swoich klientów wymienia T-Mobile, Polkomtela, TVN, KIA Motors, Przedsiębiorstwo Państwowe Porty Lotnicze, Ministerstwo Sprawiedliwości czy Ministerstwo Środowiska.
Rozwojowe śledztwo
W czwartek po południu Prokuratura Regionalna w Lublinie informowała, że nadal trwają czynności procesowe i nie zapadła decyzja, o jakie środki zapobiegawcze wystąpi prokurator. Według śledczych sprawa jest rozwojowa i nie wykluczają zatrzymania kolejnych podejrzanych.
Czy incydent z wyciekiem danych mógł być efektem błędu ludzkiego? Według specjalistów teoretycznie mógł to być wynik pomyłki lub niechlujności. Na podstawie dostępnych publicznie informacji nie można jednak jednoznacznie stwierdzić, co się stało.
- Tu jednak dane pobrano, a zatem ktoś musiał w jakiś sposób dowiedzieć się o tym, gdzie one się znajdują. Najwyraźniej musiały być też dostępne publicznie przez jakiś czas. Na podstawie dostępnych informacji nie wiemy, czy nadanie uprawnień publicznych było działaniem świadomym i celowym, z tego jak sformułowano komunikat wynika jednak, że trzeba było w tym celu podjąć jakieś działania, więc nie można tego wykluczyć – uważa Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa i prywatności.
Przezorny ale niezabezpieczony
Dyrektor KSSP Małgorzata Manowska podkreśla, że wykonawca hostingu serwerów został wybrany w przetargu publicznym zgodnie z najlepszą wiedzą szkoły.
„Podmiot ten legitymował się najwyższymi certyfikatami bezpieczeństwa i został poddany audytowi zewnętrznemu przed powierzeniem mu świadczenia usług” – napisała w środowym komentarzu.
KSSP jesienią ubiegłego roku zleciła wrocławskiej spółce Test Army Group audyt bezpieczeństwa systemu informatycznego oraz bezpieczeństwa informacji. Audyt, który kosztował 30 tys. zł miał na celu wykrycie potencjalnych zagrożeń i nieprawidłowości oraz ocenę bezpieczeństwa przetwarzania danych i zgodności z aktualnie obowiązującymi aktami prawnymi.
- Potwierdzamy, że robiliśmy audyty bezpieczeństwa dla KSSIP, ale w zupełnie innym obszarze niż migracja. Nie zajmowaliśmy się migracją, dlatego nie możemy komentować tej sytuacji – informuje biuro prasowe Test Army Group.
KSSP 7 kwietnia złożyła zawiadomienie do prokuratury w sprawie wycieku danych, a tydzień później poinformowała o tym publicznie. Podała wówczas, że do wycieku doszło najprawdopodobniej na skutek zaniedbania jednej z zewnętrznych firm. Sprawa wywołała oburzenie m.in. środowisk sędziowskich. Stowarzyszenie Sędziów Polskich „Iustitia” domagało się dymisji dyrektor KSSP i Ministra Sprawiedliwości Zbigniewa Ziobry.