fot. Pixabay
fot. Pixabay

Atak hakerski na KAS. Wyciekły numery PESEL i hasła tysięcy pracowników

Redakcja Redakcja Cyberbezpieczeństwo Obserwuj temat Obserwuj notkę 26
Atak cybernetyczny na EuroCert wywołał niepokój wśród pracowników Krajowej Administracji Skarbowej (KAS). W wyniku tego ataku mogło dojść do wycieku danych osobowych, w tym numerów PESEL, danych dowodów osobistych, adresów e-mail oraz haseł. Skala naruszenia danych budzi poważne obawy o ich potencjalne nieuprawnione wykorzystanie.

Skala wycieku i reakcje

Związek Zawodowy Związkowa Alternatywa w KAS alarmuje, że sytuacja dotyczy nie tylko pracowników administracji publicznej, ale może także podważać zaufanie do systemów bezpieczeństwa elektronicznego w Polsce. Według informacji przekazanych przez EuroCert, wśród wykradzionych danych znalazły się także wizerunki, daty urodzenia oraz nazwy użytkowników i hasła, co może umożliwić cyberprzestępcom przeprowadzanie dalszych ataków, takich jak phishing czy kradzież tożsamości.

W związku z incydentem, Związkowa Alternatywa w KAS wezwała ministra cyfryzacji do podjęcia pilnych działań mających na celu zabezpieczenie danych pracowników oraz wdrożenie mechanizmów, które zapobiegną podobnym sytuacjom w przyszłości. Jednym z postulatów jest usunięcie danych wrażliwych, takich jak numer PESEL czy dane dowodów osobistych, z kwalifikowanych podpisów elektronicznych, które obecnie nie są wymagane przez obowiązujące przepisy.


Rekomendacje Ministerstwa Cyfryzacji

Minister cyfryzacji, Krzysztof Gawkowski, po ataku na EuroCert wskazał na konieczność przeprowadzenia gruntownej analizy infrastruktury IT związanej z EuroCert. Wśród zaleceń znalazły się:

  • Zablokowanie zdalnego dostępu i odcięcie powiązań infrastruktury z EuroCert.
  • Zmiana poświadczeń logowania i wprowadzenie dwuskładnikowego uwierzytelniania dla kont zewnętrznych.
  • Przegląd logów systemowych od 1 listopada 2024 roku w celu wykrycia potencjalnych incydentów związanych z nieuprawnionym dostępem.
  • Wzmożona czujność wobec prób podszywania się pod EuroCert w celu wyłudzania informacji.
  • Ministerstwo zachęca także do zgłaszania wszelkich podejrzanych incydentów do odpowiednich instytucji, takich jak CSIRT NASK, oraz do korzystania z usług zastrzegania numeru PESEL, które można aktywować przez aplikację mObywatel.


Konsekwencje dla pracowników KAS

Pracownicy KAS, których dane mogły zostać naruszone, zastanawiają się nad konsekwencjami wycieku. Związkowa Alternatywa apeluje o jasne procedury informowania poszkodowanych o zagrożeniach oraz o podjęcie działań mających na celu minimalizację ryzyka. W piśmie do ministra cyfryzacji przewodnicząca Agata Jagodzińska pyta m.in., czy Ministerstwo Finansów planuje wystąpić z pozwem zbiorowym w imieniu poszkodowanych pracowników oraz jakie kroki podjęto w celu zmiany dostawcy usług elektronicznych na bardziej bezpiecznego i sprawdzonego.

Czy EuroCert poniesie odpowiedzialność?

Sprawa została zgłoszona do Urzędu Ochrony Danych Osobowych (PUODO), który prowadzi analizę naruszenia. Wskazano, że EuroCert jest zobowiązany do minimalizacji skutków ataku oraz wprowadzenia rozwiązań zapobiegających kolejnym incydentom.

Warto podkreślić, że EuroCert działa na rynku od 2012 roku i świadczy usługi m.in. podpisów kwalifikowanych, które posiadają moc prawną podpisu odręcznego. W gronie jego klientów znajdują się podmioty publiczne i prywatne, takie jak Polskie Koleje Państwowe, Poczta Polska czy Miasto Stołeczne Warszawa. Skala incydentu rzuca cień na bezpieczeństwo danych przechowywanych przez firmę.


Zaufanie do systemów elektronicznych pod znakiem zapytania

Wyciek danych osobowych z EuroCert pokazuje, jak ważne są skuteczne mechanizmy ochrony danych w czasach, gdy cyberprzestępczość staje się coraz bardziej zaawansowana. Incydent ten może skłonić instytucje publiczne i prywatne do ponownego przemyślenia swoich procedur bezpieczeństwa oraz wymagań wobec dostawców usług cyfrowych.

Przypadek EuroCert przypomina, że dane wrażliwe pracowników administracji publicznej muszą być szczególnie chronione, a każde zaniedbanie w tym obszarze może prowadzić do poważnych konsekwencji prawnych i finansowych. W obliczu takich zagrożeń konieczne jest nie tylko rozliczenie winnych, ale także wprowadzenie systemowych zmian, które pozwolą zapobiegać podobnym sytuacjom w przyszłości.

Podsumowanie:

W tekście przeczytałeś, że:

  • Wyciekły dane osobowe pracowników Krajowej Administracji Skarbowej, w tym numery PESEL, dane dowodów osobistych, adresy e-mail i hasła.
  • Związkowa Alternatywa alarmuje do ministra cyfryzacji o usunięcie danych wrażliwych z kwalifikowanych podpisów elektronicznych.
  • Rekomendacje Ministerstwa Cyfryzacji są następujące: zmiana poświadczeń logowania, zablokowanie zdalnego dostępu i analiza logów systemowych.
  • Wysokie ryzyko wykorzystania danych przez cyberprzestępców, m.in. do phishingu i kradzieży tożsamości.
  • Urząd Ochrony Danych Osobowych oczekuje zgłoszeń uzupełniających od EuroCert.
  • Atak podważa bezpieczeństwo danych i stawia pytania o odpowiedzialność dostawców usług cyfrowych.

red.

Zdjęcie ilustracyjne, fot. Pixabay




Autor: Redakcja
Udostępnij Udostępnij Lubię to! Skomentuj26 Obserwuj notkę

Komentarze

Pokaż komentarze (26)

Inne tematy w dziale Technologie