O problemie z dostępem do bazy danych Słupskiego Centrum Usług Wspólnych (SCUW), które rozlicza pracowników słupskiej oświaty, wiadomo od tygodnia. Ale dopiero w miniony czwartek oficjalnie powiadomiono o tym nauczycieli.
- Nie wiemy, czy podczas ataku dane zostały pobrane. Raczej jest to próba wyłudzenia okupu. I taki komunikat pojawił się na komputerach w SCUW, że jeśli skontaktujemy się z hakerami, to po ustaleniu kwoty w bitcoinach może odzyskamy dane. Wiemy, że tego typu ataki miały miejsce w Słupsku w innych instytucjach i firmach, i wiemy, że ktoś próbował zapłacić i nic to nie dało - tłumaczy Marta Makuch, wiceprezydent Słupska odpowiedzialna za oświatę. - Absolutnie nie możemy ulec takiemu szantażowi. A dane mamy w szkołach i je sami odzyskamy. Chcę podkreślić, że to nie jest kradzież danych, ale ich zaszyfrowanie. Dotyczy to tylko danych pracowników szkół i przedszkoli, a nie uczniów.
W zaszyfrowanej bazie były dane pracowników szkół i przedszkoli w Słupsku. Miasto zatrudnia 1200 takich osób. W ocenie władz miasta w bazie mogły być dane około 1,5-1,7 tys. osób, bo dochodzą np. zatrudnieni w oparciu o umowę o dzieło.
- Od razu zgłosiliśmy zdarzenie do odpowiednich organów, na policję czy do polskiego oddziału CERT [instytucja nadzorująca bezpieczeństwo w internecie - dop. red.]. Sam CERT potwierdza, iż nie zna przypadków upublicznienia baz danych, które zostały zaszyfrowane. Bo celem atakujących jest wyłudzenie pieniędzy, a nie kradzież danych - tłumaczy Monika Rapacewicz, rzeczniczka prasowa Urzędu Miejskiego w Słupsku.
Władze miasta uspokajają, że ta sytuacja nie wpłynie na terminy wypłat pensji pedagogów. Dane są w formie papierowej w placówkach.
Ale jest inny problem, na który zwróciły uwagę nauczycielki jednej ze słupskich szkół podstawowych. - Co mamy teraz robić, skoro tam były wszystkie nasze dane, od peselu, po adres i numer konta? - pytają.
Na to pytanie nie ma jednoznacznej odpowiedzi. Niektórzy z pedagogów nawet chcieli blokować swoje prywatne konta bankowe. Inni chcą zmieniać dowody osobiste. Władze miasta tego wprost nie narzucają.
Pytany przez nas Jan Leonczuk, powiatowy rzecznik praw konsumenta w Słupsku, mówi, że w swojej praktyce nie spotkał się z takim przypadkiem, iż ktoś wyłudził kredyt, mając dane innej osoby. - Ale nie o jednej takiej sprawie czytałem. Wiem, jak trudne jest odkręcenia takiej sytuacji prawnie. Dlatego dane osobowe trzeba chronić - uważa pan Leonczuk.
W Polsce jest instytucja, która się tym zajmuje. To Urząd Ochrony Danych Osobowych. Zapytaliśmy tę instytucję, czy osoby, których dane mogły wyciec, powinny się jakoś zabezpieczyć, np. zmieniając dowód osobisty. Czy w ogóle ktoś może, posiadając dane innej osoby - pesel, nazwisko rodowe, datę urodzenia, numer konta - sprowadzić na nią kłopoty finansowe? Na odpowiedź czekamy.
Podpowiadamy, że jest opcja, ale płatna w jednej z firm, by w razie próby wzięcia kredytu na nasze dane pojawiał się w naszym telefonie stosowny alert.
- Jako miasto dodatkowo - prewencyjnie, a nie reakcyjnie - będziemy przekazywać też pracownikom SCUW i nauczycielom instrukcje zabezpieczenia się przed ewentualną kradzieżą tożsamości. Powtarzam, to jest tylko działanie profilaktyczne, pomimo że uważamy, iż nie ma takiego zagrożenia, ale chcemy, by nasi pracownicy byli spokojni - odpowiada pani rzecznik.
Co do samych zabezpieczeń komputerowych w SCUW, to jak informuje słupski ratusz, były one zgodne z obowiązującymi normami. Były zapory, programy antywirusowe czy obowiązek stosowania odpowiednich haseł oraz ich zmiana według konkretnego harmonogramu.
