Na podstawie danych z bazy PESEL można spreparować dokumenty, np. dowód osobisty. I z takim dowodem może pan pójść do jakiegoś oddziału banku i spróbować uzyskać kredyt – przyznaje w rozmowie z RMF FM Michał Grzybowski z Fundacji Bezpieczna Cyberprzestrzeń, były główny specjalista w Rządowym Centrum Bezpieczeństwa. W czwartek pierwsi informowaliśmy, że resort cyfryzacji ustalił, iż pięć kancelarii komorniczych pobierało wyjątkowo dużo danych z bazy PESEL.

Czy rzeczywiście poufne informacje, które mogły zostać przechwycone, mogą posłużyć do kradzieży tożsamości, czyli wykorzystania personaliów wbrew woli ich właściciela? Czy na ich podstawie można np. zaciągnąć kredyt? Posłuchaj rozmowy.

Marcin Zaborski: ABW sprawdza, jak doszło do gigantycznego wycieku danych z bazy PESEL. Wygląda na to, że wyciek może dotyczyć niemal połowy dorosłych Polaków. W takim razie albo pana, albo moje dane prawdopodobnie wyciekły. To możliwe?

Michał Grzybowski: Mam nadzieję, że pana dane.

Ja mam trochę inną nadzieję... Czy w historii polskiej cyberprzestępczości było takie wydarzenie, które możemy porównać do tego, co się stało teraz?

Były podobne, ale nie było chyba dotykającego aż tak kluczowych danych, które mogą w jednoznaczny sposób ustalić tożsamość osoby.

Czego można się o nas dowiedzieć zaglądając do bazy PESEL?

Imion, nazwiska, danych pana rodziców, miejsca urodzenia, miejsca pana zamieszkania, PESEL-u pana i pańskiej małżonki, danych o paszporcie.

I co z tym wszystkim można zrobić? Jak może wyglądać kradzież tożsamości na podstawie tego wszystkiego, co jest w bazie PESEL?

Można spreparować dokumenty, np. dowód osobisty. Odnalezienie pana zdjęcia na Facebooku może nie będzie tak trudne i w związku z tym uzyskanie bardzo podobnego dokumentu, jak dowód tożsamości będzie całkiem łatwe.

I co można potem z nim zrobić? W jaki sposób mi zaszkodzić?

Z takim dowodem może pan pójść do jakiegoś oddziału banku i spróbować uzyskać kredyt. Pozostaje pytanie, w jaki sposób jest weryfikowana autentyczność takiego dokumentu w instytucjach kredytowych, bankowych i podobnych.

To zaciągnięcie kredytu jest najczęściej przywoływanym przykładem. Co jeszcze wydarzyć się może? Oby się oczywiście nie wydarzyło.

Z tego względu, że to jest tak duża liczba ujawnień danych, moglibyśmy założyć, iż wśród tych osób, których PESELE i dane gdzieś wyciekły, są osoby ważne, prominenci. A to można wykorzystywać na bardziej wysublimowany sposób.

Możemy się bronić w tym momencie, w którym jesteśmy?

Trudno powiedzieć. Jeżeli wiemy, że już ten proceder w jakiś sposób jest monitorowany, został zablokowany, możemy wymienić dowód tożsamości.

Każdy może w tym momencie pójść do urzędu i poprosić o wymianę dowodu właśnie z tego powodu?

Każdy może to zrobić, niezależnie od powodu. Problem jest taki, że bardzo trudno będzie zmienić panu imię, nazwisko, datę urodzenia, czy inne dane. Miejsce zamieszkania też niekoniecznie chciałby pan zmieniać tylko ze względu na to zdarzenie. Dlatego trzeba zabezpieczać te informacje, które jeszcze możemy i je po prostu zmienić.

Mogę zgłosić się do Biura Informacji Kredytowej, żeby założyć alert i ten sposób się zabezpieczyć przed tym, aby stać się dłużnikiem, nic o tym nie wiedząc?

To jest dobra praktyka. Do tej pory chyba te alerty były płatne, a dzisiejsze informacje mówią o tym, że przez rok takie alerty będą bezpłatne.

Dane z systemu PESEL są, a może raczej powinny być, osłaniane przez państwo. Trudno w takiej sytuacji, słysząc to wszystko, mieć pełne zaufanie do urzędników.

Tylko proszę zwrócić uwagę, że tutaj nie było włamania do samego systemu. Wszystko wskazuje na to, że zostało to architektonicznie dobrze zaprojektowane i dobrze skonfigurowane. Problemem był ten końcowy użytkownik, były te urzędy komornicze. Natomiast państwo prowadzi swoje działania w zakresie ochrony najważniejszych systemów i baz danych w tym kraju.

Ale jeśli wszystko działa, nie ma teoretycznie żadnego nielegalnego działania, a dane i tak wyciekają, to tym bardziej mogę się czuć zaniepokojony.

Ciągle nie wiemy, w jaki sposób były te dane wykorzystywane. Trzeba będzie poczekać na to, co ustali Agencja Bezpieczeństwa Wewnętrznego. Nie wiemy, czy one były tylko pozyskane i zostały w tych urzędach, czy zostały przekazane dalej. Jest jeszcze szereg niewiadomych.

Ale wiemy, że one nie wyciekły w jednym momencie, jednego dnia, tylko wyciekały tygodniami, miesiącami. Jak to możliwe, że po miesiącach dopiero ktoś zauważa nienaturalny ruch w bazie PESEL?

To jest pytanie o to, czy te systemy były na bieżąco monitorowane.

Były?

Tego nie wiemy.

Jak pan myśli?

Myślę, że mogły być w sposób niedostateczny.

W cyberprzestrzeni wciąż trwa walka między tymi, którzy chcą ochronić nasze dane osobowe a tymi, którzy chcą je wyciągnąć na światło dzienne i wykorzystać. Kiedy pan patrzy z perspektywy człowieka, który np. obserwował to w Rządowym Centrum Bezpieczeństwa, to myśli pan, że po tej administracyjnej stronie żołnierze są dobrze przygotowani do tej wojny?

Jest wielu bardzo dobrze wyszkolonych ekspertów administracji publicznej zajmujących się ochroną kluczowych zasobów.

Równie dobrze, jak ci po drugiej stronie?

To jest pytanie, kto jest po drugiej stronie.

A kto jest po drugiej stronie?

Tego się nie da ustalić, ale jest co najmniej 5 typów naszych adwersarzy. Od jakiś ekstremistów, którzy swoje działania opierają tylko i wyłącznie na pobudkach religijnych aż do rządów państw.

Kiedy Pan myśli o tym konkretnym przypadku o bazie PESEL, gdzie szukałby Pan tych, którzy mogliby być zainteresowani takimi danymi?

To tak samo. Mogły to być zarówno rządy jakiś państw, które chciałyby przeprowadzać jakieś skomplikowane kampanie phishingowe, jak i zwykli cyberprzestępcy, którzy chcieliby ze zwykłych pobudek finansowych wykorzystać te dane.

Przed rokiem Najwyższa Izba Kontroli alarmowała, że bezpieczeństwo w cyberprzestrzeni jest w Polsce nie do końca dobrze chronione, że brakuje spójnego, systemowego działania, brakuje jednego ośrodka decyzyjnego i koordynującego to wszystko. Czy po roku, myśli Pan, że jesteśmy w innym miejscu niż wtedy?

Trwają prace nad koordynacją takiego systemu. Ministerstwo cyfryzacji wiedzie prym i próbuje stworzyć taki system, który będzie w jakiś sposób zabezpieczał.

Te prace trwają od lat. Słyszymy, że powstają nowe specjalne programy, raporty itd.

Eksperci zgadzają się, że te prace mogłyby być dużo szybsze.

A czego przede wszystkim potrzebujemy, żeby czuć się bezpieczniej?

Z punktu widzenia państwa brakuje odpowiedniego dofinansowania do tych wszystkich inicjatyw. To jest pierwsza rzecz. Każdy kraj na Zachodzie wydaje ogromne sumy pieniędzy idące w setki milionów euro, a u nas te nakłady są dużo mniejsze. A bez tych nakładów finansowych niestety nie uda nam się sprawnie nas zabezpieczyć.

Pieniądze i pewnie człowiek, to ta druga strona, która jest potrzebna?

Tak, ale akurat polscy eksperci są jednymi z najlepszych na świecie i ich odpowiednie zagospodarowanie i wykorzystanie, zatrzymanie w kraju to jest to na czym powinno zależeć administracji publicznej.

Pan już wymienił dowód czy za chwilę zamierza to zrobić?

Ja jeszcze poczekam co ustali prokuratura, a potem będę się zastanawiał.

Czyli najpierw złoży pan wniosek o status pokrzywdzonego? Bo to też można zrobić.

Tak. Ewentualnie zastanowię się nad wymianą numeru PESEL.

*** 

Śledztwo w tej sprawie na zlecenie prokuratury prowadzi Agencja Bezpieczeństwa Wewnętrznego. Ministerstwo Sprawiedliwości ruszyło natomiast z kontrolą w kancelariach komorniczych, w których miało dojść do wycieku naszych danych z bazy PESEL.

W bazie PESEL znajdują się wszystkie najważniejsze dotyczące nas dane: Imiona i nazwiska, dane małżonków. Do tego dochodzą: data i miejsce urodzenia, adresy, imiona i nazwiska rodziców, ale także serie i numer dowodów osobistych oraz paszportów.