Rzeczpospolita
Prawo

Po wycieku danych pracownicy KAS boją się składać podpisy elektroniczne

Związkowa Alternatywa informuje o przypadkach prób wzięcia pożyczek przy użyciu danych pracowników Krajowej Administracji Skarbowej. Jak pisaliśmy, problemu dałoby się uniknąć, gdyby do weryfikacji podpisu elektronicznego nie wymagano aż tylu danych.

Publikacja: 28.01.2025 10:11

Przewodnicząca Związku Zawodowego Związkowa Alternatywa w Krajowej Administracji Skarbowej Agata Jag

Przewodnicząca Związku Zawodowego Związkowa Alternatywa w Krajowej Administracji Skarbowej Agata Jagodzińska

Foto: mat.pras.

Szymon Cydzik

12 stycznia br. miał miejsce cyberatak na firmę EuroCert, która świadczy usługi certyfikacji podpisów elektronicznych, m.in. dla Krajowej Administracji Skarbowej. Teraz ze związku zawodowego Związkowa Alternatywa, zrzeszającego pracowników KAS, dochodzą sygnały o utracie zaufania do tego systemu i odmowach korzystania z tego rodzaju podpisów.

– Pracownicy KAS już od dawna krytykowali to, że w podpisie elektronicznym widoczny był PESEL wraz z numerem dowodu osobistego. Bo podawanie jednej z tych danych można przeboleć, ale przekazywanie obu rodzi znacznie większe obawy. Jednak po wycieku danych z EuroCert boją się jeszcze bardziej – tłumaczy Agata Jagodzińska, przewodnicząca Związkowej Alternatywy w KAS. – Niedługo kończy się umowa z EuroCert na udostępnianie podpisów elektronicznych. Pracownicy sprzeciwiają się pomysłom ponownego podpisania umowy z tą firmą, bo stracili do niej zaufanie. Do związku wpływają nawet pytania, czy mogą odmówić korzystania z podpisu elektronicznego – dodaje.

Czytaj więcej

Jest potwierdzenie potężnego ataku hakerskiego na polską firmę. Czy dane są bezpieczne?
IT
Jest potwierdzenie potężnego ataku hakerskiego na polską firmę. Czy dane są bezpieczne?

Wyciek danych z KAS – telefony od firm pożyczkowych, spamowanie skrzynek, żądanie okupu

Jak wskazuje Agata Jagodzińska, pracownicy zgłaszają związkowi, że otrzymują telefony z firm pożyczkowych z prośbą o „uzupełnienie wniosku”, choć żadnego wniosku o pożyczkę nie składali.

– Jesteśmy też spamowani mailami grożącymi ujawnieniem danych, jeśli pracownik nie zapłaci odpowiedniej kwoty w kryptowalutach – tłumaczy przewodnicząca związku w KAS.

Próby zaciągnięcia takich pożyczek zgłosiło na razie kilka osób, ale skala zjawiska jest większa – na wewnętrznych grupach organizacji zakładowej pojawiają się setki pytań i komentarzy. Ponadto kilkunastu urzędników napisało do Związkowej Alternatywy, że boją się teraz korzystać z podpisów elektronicznych. 

– Część z nich pisze w imieniu całych grup swoich koleżanek i kolegów. Po komentarzach w mediach społecznościowych szacuje, że boją się prawie wszyscy, którzy korzystają z podpisu. Otrzymaliśmy kilka zapytań, czy urzędnicy mogą odmówić korzystania z podpisu elektronicznego. W tej chwili nasz zespół prawny to analizuje – mówi Agata Jagodzińska.

Czytaj więcej

Sprawcy cyberataków wciąż bywają bezkarni
Dane osobowe
Sprawcy cyberataków wciąż bywają bezkarni

Sprawa wycieku danych pracowników skarbówki. Co na to szefostwo KAS?

Szef KAS Marcin Łoboda w odpowiedzi na pytanie „Rz” przyznał, że chodzi o największy wyciek danych pracowników tej instytucji.

– Naszym zadaniem było powiadomić każdego z tych pracowników i to zrobiliśmy, przede wszystkim w Ministerstwie Finansów, ale także w jednostkach administracji skarbowej. Uruchomiono też procedurę cyberbezpieczeństwa, za którą odpowiedzialne są przede wszystkim trzy instytucje – Agencja Bezpieczeństwa Wewnętrznego, Ministerstwo Cyfryzacji oraz NASK. Na bieżąco zadajemy pytania spółce EuroCert, a odpowiedzi przekazujemy naszym pracownikom, by „przejść” przez to, co się wydarzyło, nie z naszej winy, ale z winy firmy zabezpieczającej te usługi. Odpowiedzi są też publikowane na stronie spółki. Jesteśmy za naszymi pracownikami i chcemy im pomóc, by wyciek był dla nich jak najmniej angażujący i niebezpieczny – wskazuje Marcin Łoboda.

Jednak Agata Jagodzińska podkreśla, że pracownicy nie czują, aby szef KAS podjął odpowiednie działania.

– Był tylko jeden suchy komunikat w intranecie MF, kierujący głównie do komunikatów EuroCert. Każdego pracownika poinformowała ta firma, a nie szef KAS. Cały czas brakuje dialogu z pracownikami – mówi szefowa Związkowej Alternatywy w KAS.

I wskazuje, że związek apeluje do szefa KAS, by nakazał dyrektorom poinformowanie pracowników o wycieku oraz polecenie zastrzeżenia dowodów osobistych (wtedy można zrobić to w godzinach pracy jako wyjście służbowe). Większość już jednak te dokumenty zastrzegła.

Czytaj więcej

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski
Dane osobowe
Prezes UODO o wzroście kar, wyborach kopertowych i zbieraniu przez PiS PESEL

UODO od dawna wskazywał, że podawanie PESEL-u w certyfikatach podpisu elektronicznego jest niepotrzebne

Firma EuroCert już 15 stycznia opublikowała na swojej stronie szereg komunikatów o cyberataku, wskazujac m.in., jakie dane mogły wyciec, jakie niebezpieczeństwa grożą w związku z tym osobom, których one dotyczą, oraz jak można tym zagrożeniom przeciwdziałać. Wyciek, zgodnie z przepisami RODO, zgłoszono też do Urzędu Ochrony Danych Osobowych.

– Trudno jest przesądzać o tym, czy to naruszenie nakłoni resort cyfryzacji do zmiany przepisów w kwestii podpisów elektronicznych, o co organ nadzorczy zabiega od bardzo dawna – mówi Karol Witowski, rzecznik prasowy UODO. –Naruszenie to pokazuje, że zagrożenia, o których przestrzegał prezes UODO, są realne – dodaje.

Ostatni raz prezes UODO zwrócił uwagę na ten temat w listopadzie zeszłego roku, w wystąpieniu do ministra cyfryzacji. Wskazywał tam na potrzebę zmiany ustawy o usługach zaufania oraz identyfikacji elektronicznej tak, by w certyfikacie kwalifikowanego podpisu elektronicznego nie był upubliczniany numer PESELO sprawie pisaliśmy też wówczas na łamach „Rz”. Ministerstwo Cyfryzacji odpowiedziało wówczas, że nie widzi potrzeby zmiany przepisów, gdyż nie wymagają one, aby bezwzględnie podawać przy certyfikacji podpisów elektronicznych numer PESEL.

Teraz jednak, w odpowiedzi na apele związków zawodowych o zmianę przepisów, wiceminister cyfryzacji Michał Gramatyka przyznaje, że ich argumentacja jest racjonalna i „trzeba się temu przyjrzeć”, gdyż omawiane przepisy obowiązują już kilkanaście lat. Polska zaś musi do 2026 r. wdrożyć przepisy rozporządzenia e-IDAS, które wprowadza zupełnie nowe zasady weryfikacji tożsamości cyfrowej w UE.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Polityka Rząd Ministerstwo Cyfryzacji Dane Osobowe Krajowa Administracja Skarbowa cyberbezpieczeństwo Urząd Ochrony Danych Osobowych (UODO)
Adam Bodnar ogłosił, co dalej z neosędziami. Reforma już w październiku?
Sądy i trybunały
Adam Bodnar ogłosił, co dalej z neosędziami. Reforma już w październiku?
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Materiał Promocyjny
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Advertisement
Kontrowersyjna metoda leczenia boreliozy. Sąd: oświadczenia pacjentów to nie wiedza medyczna
Prawo dla Ciebie
Oświadczenia pacjentów to nie wiedza medyczna. Sąd o leczeniu boreliozy
Trybunał zdecydował w sprawie dożywotniego zakazu prowadzenia aut
Prawo drogowe
Trybunał zdecydował w sprawie dożywotniego zakazu prowadzenia aut
Ranking firm doradztwa podatkowego: Wróciły dobre czasy. Oto najsilniejsi
Zawody prawnicze
Ranking firm doradztwa podatkowego: Wróciły dobre czasy. Oto najsilniejsi
Škoda obniża ceny hybrydowych wersji Škody Superb i Škody Kodiaq
Materiał Promocyjny
Škoda obniża ceny hybrydowych wersji Škody Superb i Škody Kodiaq
Advertisement
Dziecko trojga rodziców przyszło na świat dzięki terapii MDF
Prawo rodzinne
Zmuszony do ojcostwa chce pozwać klinikę in vitro. Pierwsza sprawa w Polsce
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Materiał Promocyjny
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Advertisement
e-Wydanie