Oszuści mogą wykorzystać dane mieszkańców

Urząd miasta informuje, że mimo zabezpieczeń padł ofiarą ataku hakerskiego. W połowie października cyberprzestępcy zaatakowali miejski system info Groszek, utrudniając pracę przy obsłudze mieszkańców, m.in. w zakresie wydawania Biletów Metropolitalnych, Kart Dużej Rodziny, Kart Rodzina 3+, uiszczania opłat za gospodarowanie odpadami czy załatwiania spraw podatkowych. „Linia” już kilka tygodni temu ostrzegała mieszkańców, że ich dane mogły wyciec i zostać wykorzystane przez przestępców np. do zaciągnięcia kredytów, pożyczek czy wyłudzenia odszkodowań. Otwocki ratusz dopiero miesiąc po ataku hakerskim poinformował mieszkańców o zagrożeniach

AGNIESZKA JASKULSKA

Pod koniec października „Linia” pisała o ataku hakerskim na miejskie serwery, do którego doszło w nocy z piątku na sobotę (z 15 na 16 października). Dopiero po weekendzie urzędnicy odkryli, że coś jest nie tak z miejskim systemem info Groszek.

– Atak hakerski typu ransomware na serwery urzędu utrudnił pracę przy obsłudze mieszkańców, m.in. w zakresie wydawania Biletów Metropolitalnych, Kart Dużej Rodziny, Kart Rodzina 3+, uiszczania opłat za gospodarowanie odpadami czy załatwiania spraw podatkowych – tłumaczyli w październiku otwoccy urzędnicy. Wtedy jednak nikt nie ostrzegał mieszkańców przed skutkami cyberataku na miejskie serwery, na których znajdują się różne wrażliwe dane. To „Linia” ostrzegała czytelników, że konsekwencje ataku mogą być znacznie poważniejsze, niż wydaje się urzędnikom. Zapytaliśmy wtedy o to śledczych z Prokuratury Okręgowej Warszawa–Praga, która bada sprawę ataku hakerskiego. – Nie wiadomo, jakie dane mogły wyciec, ale mieszkańcy powinni sprawdzać, czy ktoś nie zaciągnął na ich dane lewego kredytu lub innych pożyczek, zwracać uwagę na to, czy nie wydzwaniają do nich jakieś podejrzane osoby, a także ostrożnie sprawdzać korespondencję pocztową i elektroniczną – ostrzegali pod koniec października w rozmowie z „Linią” śledczy z prokuratury okręgowej.

Na jakim etapie jest obecnie sprawa? – Postępowanie Prokuratury Rejonowej w Otwocku jest związane m.in. z kradzieżą i zaszyfrowaniem danych z systemu info Groszek. Dotyczą one obsługi mieszkańców, umów, faktur, podatków. Obecnie są analizowane informacje na temat użytego do ataku oprogramowania, trwają też czynności zmierzające do ustalenia adresów IP, z których logowano się do serwerów Urzędu Miasta w Otwocku – mówi Katarzyna Skrzeczkowska, rzeczniczka Prokuratury Okręgowej Warszawa-Praga. I dodaje, że do prokuratury dotychczas nie wpłynęła informacja o podobnych atakach hakerskich na inne urzędy w powiecie otwockim. W myśl przepisów kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej czy samorządu albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie bądź przekazywanie takich danych, podlega karze pozbawienia wolności do ośmiu lat.

W połowie listopada otwocki urząd uderzył się w pierś i zaczął ostrzegać mieszkańców przed skutkami włamania na miejskie serwery. Kilka razy zapytaliśmy biuro prasowe o to, w jaki sposób magistrat zabezpieczył dane przed kolejnym ewentualnym atakiem hakerskim. Od dwóch tygodni biuro prasowe milczy w tej sprawie i udziela wymijającej odpowiedzi: – Zawiadomienie w sprawie ochrony danych osobowych ukazało się na stronie internetowej Urzędu Miasta Otwocka 18 listopada. Codziennie jest ono „podbijane” na stronie, aby ukazywało się jako pierwsza wiadomość – zapewnia Aleksandra Czajkowska z biura prasowego otwockiego ratusza. I dodaje, że niedługo mieszkańcy zaczną masowo otrzymywać „zawiadomienie ws. ochrony danych osobowych wysyłane za pośrednictwem poczty polskiej. Treść zawiadomienia będzie taka, jak na stronie internetowej urzędu”.

A co jest w komunikacie opublikowanym na stronie? Urząd tłumaczy w nim, że otwocki ratusz nie jest jedyną placówką, którą zaatakowali cyberprzestępcy. Zgodnie z przepisami urząd ma jednak poinformować mieszkańców o tym, że zaatakowano miejskie serwery, więc miesiąc od ataku hakerskiego wywiązuje się z obowiązku i informuje o tym, co stało się w połowie października. „W konsekwencji tego zdarzenia istnieje możliwość nieuprawnionego pozyskania danych przez osoby trzecie. Atakujący mogli uzyskać nieuprawniony dostęp do danych wykorzystywanych przez urząd, takich jak: imię, nazwisko, adres zamieszkania, numer PESEL, NIP, seria i numer dowodu osobistego lub paszportu, data i miejsce urodzenia, numer telefonu, wykonywany zawód, wysokość wynagrodzenia, wizerunek, stan cywilny, obywatelstwo, stan zdrowia, wykształcenie, karalność, adres e-mail, numer konta bankowego” – wylicza naczelnik działu informatycznego otwockiego urzędu. I podkreśla w piśmie, że obecnie nie ma potwierdzenia wycieku takich danych.

Od października dopytywaliśmy biuro prasowe, jakie działania podjął urząd miasta w celu zabezpieczenia wrażliwych danych, ale nie doczekaliśmy się odpowiedzi. Zamiast tego ratusz zawarł te informacje w oficjalnym komunikacie opublikowanym na stronie internetowej w połowie listopada. W piśmie czytamy: „Dla zapewnienia najwyższego standardu bezpieczeństwa danych osobowych w urzędzie miasta został powołany specjalny zespół, który podjął natychmiastowe czynności: zabezpieczono dostęp do baz danych w systemie informatycznym i obszary informatyczne zawierające dowody przestępstwa, w dniu 18 października poinformowaliśmy publicznie o zdarzeniu za pośrednictwem strony internetowej, zarządzono audyt bezpieczeństwa systemów informatycznych przez firmę zewnętrzną, powiadomiono osoby, których dotyczy naruszenie ochrony danych, poprzez wysłanie niniejszego pisma, zainicjowano proces odtworzenia systemów informatycznych z kopii zapasowych”.

Co urząd zrobił w kwestii zwiększenia bezpieczeństwa informacji? „Odcięty został dostęp do zainfekowanych systemów, rozpoczęto analizę logów w podanym okresie, analizę komputerów, urządzeń informatycznych oraz przeprowadziliśmy wywiad z pracownikami urzędu w poszukiwaniu wszystkich metod uzyskania dostępów, jakie mogli wykorzystać przestępcy. Urząd podjął radykalną decyzję o reinstalacji wszystkich stacji roboczych w celu wyeliminowania i zabezpieczenia systemów informatycznych. Wzmocniono politykę haseł i wymuszono zmianę haseł personelu do wszystkich systemów, w tym również nieobjętych incydentem, a także udzielono pracownikom dodatkowe instrukcje i ostrzeżenia dotyczące ochrony danych osobowych oraz cyberbezpieczeństwa”.

W dalszej części pisma ratusz ostrzega, że przestępcy mogą wykorzystać dane mieszkańców, próbując zaciągnąć w instytucjach pozabankowych pożyczki czy kredyty przez internet lub za pośrednictwem telefonu, a także wyłudzić np. spore odszkodowanie czy podpisać w ich imieniu niekorzystną umowę cywilnoprawną. Cyberprzestępcy mogą również wykorzystać dane do założenia konta, profilu w internecie, mediach społecznościowych, kradnąc tożsamość i wykorzystując dane personalne do różnych przestępstw, takich jak oszustwa, wyłudzanie pieniędzy czy dokonywanie zakupów w sklepach internetowych. Na tym nie koniec. Otwocki ratusz ostrzega też, że dane, które znajdują się na miejskich serwerach, mogą zostać wykorzystane nie tylko do uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych przypisanych konkretnej osobie, lecz także aby wziąć udział w internetowym głosowaniu, np. na budżet obywatelski.

Otwocki ratusz apeluje do mieszkańców, by zachowali ostrożność i sprawdzali, np. w Biurze Informacji Kredytowej, czy ktoś nie zaciągnął na ich dane pożyczki lub kredytu. Warto zastrzec swój dowód osobisty w różnych bankach, a także zmienić wszystkie hasła (jeśli jest taka możliwość, to także login lub nazwę użytkownika) oraz zwracać uwagę na korespondencję zarówno tradycyjną, jak i elektroniczną, w tym różne linki lub faktury, które mogły być przesłane przez przestępców chcących wyłudzić pieniądze. „Jeśli ktoś podejrzewa, że padł ofiarą przestępstwa, należy powiadomić o tym policję” – radzi otwocki urząd.

2 komentarze do “Oszuści mogą wykorzystać dane mieszkańców

  • 30 listopada 2021 o 08:28
    Permalink

    poinformować policję i co dalej?
    informacja z Biurze Informacji Kredytowej koszt zapytania 50zł, jak często mam pytać? kto mi za to zwróci?
    zastrzec dowód, cały Otwock ma to zrobić?
    te rady i całe to RODO są siebie warte.

    Odpowiedz
  • 3 stycznia 2022 o 21:48
    Permalink

    Dziś czyli po ponad dwóch miesiącach otrzymałem list z Urzędu Miasta o zdarzeniu – co mi teraz da zastrzeżenie dowodu osobistego!? Czy świta odpowiedzialna za stan Urzędu już wymieniła dowody?

    Odpowiedz

Zostaw komentarz

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.