W połowie września serwisy internetowe poinformowały o poważnej luce w Platformie Usług Elektronicznych ZUS. Błąd w systemie ZUS pozwalał na założenie konta na internetowej platformie ZUS-u dowolnej osobie, jeśli tylko znane było jej imię, nazwisko i PESEL. Wśród informacji do których dostęp mogła mieć nieuprawniona osoba znajdowały się także dane wrażliwe. Taka luka w platformie internetowej ZUS stanowi nieprawidłowe wykonanie obowiązku zabezpieczenia danych osobowych. Z tego obowiązku administrator danych nie może się zwolnić nawet w razie outsourcowania utrzymania systemu informatycznego.

****

Na czym polegała luka w Platformie Usług Elektronicznych ZUS?

Dostęp do Platformy Usług Elektronicznych ZUS był możliwy po założeniu ubezpieczonemu konta na ePUAP (Elektronicznej Platformie Usług Administracji Publicznej) i wysłaniu zaproszenia do administrowania nowo utworzonym kontem na inne konto ePUAP posiadające Profil Zaufany. Późniejsze utworzenie konta w Platformie Usług Elektronicznych ZUS można było potwierdzić kontem powiązanym ePUAP posiadającym Profil Zaufany. Oznacza to że, aby uzyskać dostęp do czyiś danych osobowych w platformie ZUS trzeba było posiadać jedynie imię, nazwisko i numer PESEL. Jeżeli osoba, na którą miał być przeprowadzony atak, miała już konto na ePUAP lub Platformie Usług Elektronicznych ZUS to uzyskanie dostępu jej danych nie było możliwe. Niemniej jednak, zdecydowana większość ubezpieczonych nie posiada żadnego z powyższych kont, dlatego też błąd w systemie stanowił poważne zagrożenie dla danych ubezpieczonych.1

Platforma Usług Elektronicznych ZUS pozwala użytkownikowi na sprawdzenie danych zapisanych na indywidualnym koncie w ZUS, stanu spraw, ustawienia otrzymywania powiadomień e-mail lub SMS i zarezerwowanie wizyty w jednostce ZUS. Ponadto, ubezpieczeni mogą sprawdzić stan konta ubezpieczonego, podstawy wymiaru składek, czy przyznanych i wypłaconych świadczeń (emerytur, rent i zasiłków). Po nieuprawnionym zalogowaniu się na konto ubezpieczonego osoba trzecia mogła uzyskać dostęp do m.in. danych adresowych, numeru dowodu osobistego, daty urodzenia, miejsca pracy, informacji o składkach (czyli o wynagrodzeniu za pracę), wybranym OFE, zaświadczeniach lekarskich (czyli danych o stanie zdrowia), przyznanych rentach i pobieranych zasiłkach. Konto mogło być także używane do kontaktu z ZUS, co oznacza że osoba trzecia mogła zmienić sposób wypłacania świadczeń (i w ten sposób uzyskać świadczenie pieniężne). Błąd w systemie internetowym ZUS został naprawiony po informacji przekazanej do ZUS przez serwis internetowy niebezpiecznik.pl. Niemniej jednak, naprawa błędu najprawdopodobniej nie usunęła kont założonych w sposób nieautoryzowany (przy pomocy istniejącej wcześniej luki).

Obowiązek zabezpieczenia danych

Należy zauważyć, że tego typu luki w systemach (jak ta w platformie internetowej ZUS) mogą oznaczać nieprawidłowe wykonanie obowiązku zabezpieczenia danych osobowych: art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej jako u.o.d.o.). Zgodnie bowiem z ust. 1 komentowanego przepisu administrator danych jest obowiązany zastosować środki zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. ZUS powinien stosować takie środki ochrony danych, które są proporcjonalne do zagrożeń i kategorii przetwarzanych danych osobowych. W literaturze przyjmuje się, że administrator podejmując decyzje w zakresie stosowanych środków zabezpieczenia danych, powinien dokonać analizy ryzyka wiążącego się z przetwarzaniem danych osobowych, uwzględniając przy tym czynniki o charakterze wewnętrznym oraz zewnętrznym, kształtujące poziom ryzyka związanego z przetwarzaniem danych (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis 2005, s. 240). Po drugie, należy uwzględnić, jakie kategorie danych osobowych będą przetwarzane – w tym kontekście, za okoliczność uzasadniającą podjęcie zwiększonych środków zabezpieczenia danych uważa się przetwarzanie tzw. danych wrażliwych (P. Barta, P. Litwiński, Komentarz do art. 36. ustawy o ochronie danych osobowych. System informacji prawnej Legalis).

Przetwarzanie przez ZUS danych wrażliwych stanowi przesłankę do zastosowania szczególnych środków bezpieczeństwa (w myśl zasady proporcjonalności). Co więcej, zwiększone ryzyko dla bezpieczeństwa danych spowodował ujawniony także w tym czasie inny wyciek danych tj. nieuprawnione wykorzystanie danych z systemu PESEL przez komorników sądowych. Zgodnie z informacjami Prokuratury Okręgowej w Warszawie komornicy pobierali od kilkudziesięciu do kilkuset tysięcy rekordów z bazy PESEL miesięcznie. Przeprowadzona analiza połączeń z systemem PESEL – w tym czas ich trwania, częstotliwość zapytań, realizacja w porze nocnej oraz schemat pracy stacji roboczych – wskazywała na zastosowanie złośliwego oprogramowania bądź skryptów służących do automatycznego generowania zapytań. Prokuratura Okręgowa w Warszawie wszczęła postępowanie karne w sprawie uzyskania przez osoby nieuprawnione dostępu do danych osobowych zawartych w rejestrze PESEL2. Występujące zagrożenie dla bezpieczeństwa numerów PESEL było wystarczającym uzasadnieniem dla dokonania weryfikacji własnych systemów (w tym wypadku Platformy Usług Elektronicznych ZUS wraz z ePUAP), zwłaszcza, że dostęp do nich jest możliwy właśnie przez podanie numeru PESEL.

Odpowiedzialność administratora i dostawcy systemu IT

Obowiązek zabezpieczenia danych określony przez art. 36 u.o.d.o. jest skonkretyzowany w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych dalej jako rozporządzenie techniczne. Zaistnienie wyżej opisanej luki w systemie informatycznym może stanowić naruszenie pkt XII Załącznika do rozporządzenia technicznego tj. obowiązku ochrony przed zagrożeniami pochodzącymi z sieci publicznej. Jeżeli tego typu luka w systemie spowodowana została przez zewnętrznego dostawcę, który jest odpowiedzialny za utrzymanie platformy internetowej, czy systemu informatycznego (outsourcing), administrator nie może zwolnić się z odpowiedzialności. Za wykonanie obowiązku zabezpieczenia danych osobowych będzie odpowiadał zarówno administrator danych, jak i procesor (dostawca systemu).

Wymóg wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku pozostanie aktualny po rozpoczęciu stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), którego termin rozpoczęcia stosowania przypada na dzień 25 maja 2018 roku). Obowiązkiem administratora wciąż będzie monitorowanie i ocenianie zmieniających się zagrożeń związanych z przetwarzaniem danych osobowych i odpowiednie dostosowywanie środków zabezpieczenia danych. Wydaje się, że luka w Platformie Usług Elektronicznych ZUS stanowiła zaniedbanie tego obowiązku.


1 Artykuł dostępny pod adresem: https://niebezpiecznik.pl/post/jak-mozna-bylo-poznac-wysokosc-zarobkow-milionow-polakow-przez-luke-w-internetowej-platformie-zus-u/ Ostatni dostęp 21.09.2016

2 Informacja prasowa Prokuratury Okręgowej w Warszawie dostępna pod adresem: http://www.warszawa.po.gov.pl/pl/main/komunikat/id/402/alias/sledztwo_w_sprawie_nieuprawnionego_wykorzystywania_danych_z_systemu_pesel_przez_komornikow_sadowych.html. Ostatni dostęp 21.09.2016