Błąd, ale nie przestępstwo – finał śledztwa o wyciek danych 20 tys. funkcjonariuszy

Chodzi o wypływ do sieci personaliów funkcjonariuszy kluczowych w kraju służb w kwietniu ubiegłego roku. Poinformował o tym portal Niebezpiecznik.pl, podając, że plik z danymi umieścił w internecie pracownik Rządowego Centrum Bezpieczeństwa. Zaraz potem ruszyło śledztwo. Teraz – jak dowiedziała się „Rzeczpospolita” – zostało umorzone.

– Potwierdzam, że zapadła decyzja o umorzeniu postępowania w oparciu o różne przesłanki – odpowiada nam prok. Aleksandra Skrzyniarz, rzeczniczka Prokuratury Okręgowej w Warszawie.

Czytaj więcej

Służby

ABW sprawdza, kto zhakował konto szefa Kancelarii Premiera

ABW analizuje, czy stoi za tym ta sama grupa, która od ubiegłego roku włamuje się do kont polityk...

Według naszych informacji śledczy uznali, że wyciek nastąpił przez błąd pracowników RCB, ale niecelowy, którego nie można „podciągnąć” pod przestępstwo. A kluczowe było to, że nie doszło do ataku hakerskiego ani do wykorzystania danych funkcjonariuszy w celach przestępczych przez osoby nieuprawnione.

Plik RCB, który trafił do internetu, zawierał dane 22 tys. osób, w tym policjantów, strażaków, pograniczników, celników oraz pracowników SOP, ITD i Służby Więziennej – ich imiona i nazwiska, PESEL-e, jednostki, w których pracują, telefony i maile. Byli to wszyscy, którzy od 12 do 20 kwietnia ub.r. zapisali się na szczepienia poprzez stworzony przez RCB portal.

Prokuratura badała wyciek pod kątem m.in. bezprawnego uzyskania „dostępu do systemu informatycznego” z danymi funkcjonariuszy (czyli z art. 267 k.k.).

Umorzenie zawiera pięć punktów, i w każdym podstawą są różne przesłanki. W przypadku art. 267 k.k. powodem jest brak przestępstwa – bo nie doszło do ataku hakerskiego i do działania osób trzecich – uznali śledczy. Gdzie indziej jest mowa o „braku znamion czynu zabronionego”, bo np. nie doszło do przetwarzania danych, które wyciekły. Niebezpiecznik.pl (który zawiadomił o incydencie) ściągnął je jednorazowo – nikt tych danych nie przechwycił, nie rozpowszechnił i nie wykorzystał – twierdzi prokuratura.

„Ustalono w sposób niebudzący wątpliwości, że dane funkcjonariuszy zapisane w feralnym pliku nie dostały się w posiadanie osób trzecich, co do których zachodziłoby uzasadnione podejrzenie, że mogą wykorzystać przedmiotowe dane w celu niezgodnym z prawem” – wynika z uzasadnienia umorzenia.

Kluczowe dla takiego finału sprawy było to, że nie doszło do szkody, bo nikt z funkcjonariuszy nie ucierpiał. Jednak zagrożenie wydawało się realne – tuż po incydencie komendant główny polecił wykupić policjantom dostęp do alertu BIK, by mogli sprawdzić, czy ktoś na ich „konto” np. mógł wziąć kredyt.

„Upiecze” się pracownikowi RCB, który nie miał doświadczenia oraz kompetencji i bezpośrednio odpowiada za błąd, a także nadzorującemu go szefowi Wydziału Oceny Ryzyka i Planowania RCB, który był koordynatorem systemu informatycznego z danymi funkcjonariuszy do szczepień przeciwko Covid-19 – w wątku „niedopełnienia obowiązków” śledztwo umorzono, nie dopatrując się „znamion czynu zabronionego”.

Dlaczego RCB, którego domeną jest zarządzanie kryzysowe i ochrona przed terroryzmem, gromadziło dane chętnych do szczepień? Tym śledczy się nie zajmowali.