1 dzień temu
12.1.2025 r. miał miejsce cyberatak na firmę EuroCert, która świadczy usługi certyfikacji podpisów elektronicznych, m.in. dla Krajowej Administracji Skarbowej. Teraz ze związku zawodowego Związkowa Alternatywa, zrzeszającego pracowników KAS, dochodzą sygnały o utracie zaufania do tego systemu i odmowach korzystania z tego rodzaju podpisów.
Wyciek danych, żądania okupu
– Pracownicy KAS już od dawna krytykowali to, iż w podpisie elektronicznym widoczny był PESEL wraz z numerem dowodu osobistego. Bo podawanie jednej z tych danych można przeboleć, ale przekazywanie obu rodzi znacznie większe obawy. Jednak po wycieku danych z EuroCert boją się jeszcze bardziej – tłumaczy Agata Jagodzińska, przewodnicząca Związkowej Alternatywy w KAS. – Niedługo kończy się umowa z EuroCertT na udostępnianie podpisów elektronicznych. Pracownicy sprzeciwiają się pomysłom ponownego podpisania umowy z tą firmą, bo stracili do niej zaufanie. Do związku wpływają choćby pytania, czy mogą odmówić korzystania z podpisu elektronicznego – dodaje.
Jak wskazuje Agata Jagodzińska, pracownicy zgłaszają związkowi, iż otrzymują telefony z firm pożyczkowych z prośbą o „uzupełnienie wniosku”, choć żadnego wniosku o pożyczkę nie składali.
– Jesteśmy też spamowani mailami grożącymi ujawnieniem danych, jeżeli pracownik nie zapłaci odpowiedniej kwoty w kryptowalutach – tłumaczy przewodnicząca związku w KAS.
Próby zaciągnięcia takich pożyczek zgłosiło na razie kilka osób, ale skala zjawiska jest większa – na wewnętrznych grupach organizacji zakładowej pojawiają się setki pytań i komentarzy. Ponadto kilkunastu urzędników napisało do Związkowej Alternatywy, iż boją się teraz korzystać z podpisów elektronicznych.
– Część z nich pisze w imieniu całych grup swoich koleżanek i kolegów. Po komentarzach w mediach społecznościowych szacuję, iż boją się prawie wszyscy, którzy korzystają z podpisu. Otrzymaliśmy kilka zapytań, czy urzędnicy mogą odmówić korzystania z podpisu elektronicznego. W tej chwili nasz zespół prawny to analizuje – mówi Agata Jagodzińska.
Co na to szefostwo KAS?
Szef KAS Marcin Łoboda w odpowiedzi na pytanie „Rz” przyznał, iż chodzi o największy wyciek danych pracowników tej instytucji.
– Naszym zadaniem było powiadomić każdego z tych pracowników i to zrobiliśmy, przede wszystkim w Ministerstwie Finansów, ale także w jednostkach administracji skarbowej. Uruchomiono też procedurę cyberbezpieczeństwa, za którą odpowiedzialne są przede wszystkim trzy instytucje – Agencja Bezpieczeństwa Wewnętrznego, Ministerstwo Cyfryzacji oraz NASK. Na bieżąco zadajemy pytania spółce EuroCert, a odpowiedzi przekazujemy naszym pracownikom, by „przejść” przez to, co się wydarzyło, nie z naszej winy, ale z winy firmy zabezpieczającej te usługi. Odpowiedzi są też publikowane na stronie spółki. Jesteśmy za naszymi pracownikami i chcemy im pomóc, by wyciek był dla nich jak najmniej angażujący i niebezpieczny – wskazuje Marcin Łoboda.
Jednak Agata Jagodzińska podkreśla, iż pracownicy nie czują, aby szef KAS podjął odpowiednie działania.
– Był tylko jeden suchy komunikat w intranecie MF, kierujący głównie do komunikatów EuroCert. Każdego pracownika poinformowała ta firma, a nie szef KAS. Cały czas brakuje dialogu z pracownikami – mówi szefowa Związkowej Alternatywy w KAS.
I wskazuje, iż związek apeluje do szefa KAS, by nakazał dyrektorom poinformowanie pracowników o wycieku oraz polecenie zastrzeżenia dowodów osobistych (wtedy można zrobić to w godzinach pracy jako wyjście służbowe). Większość już jednak te dokumenty zastrzegła.
UODO ostrzegał
Firma EuroCert już 15 stycznia opublikowała na swojej stronie szereg komunikatów o cyberataku, wskazując m.in., jakie dane mogły wyciec, jakie niebezpieczeństwa grożą w związku z tym osobom, których one dotyczą, oraz jak można tym zagrożeniom przeciwdziałać. Wyciek, zgodnie z przepisami RODO, zgłoszono też do Urzędu Ochrony Danych Osobowych.
– Trudno jest przesądzać o tym, czy to naruszenie nakłoni resort cyfryzacji do zmiany przepisów w kwestii podpisów elektronicznych, o co organ nadzorczy zabiega od bardzo dawna – mówi Karol Witowski, rzecznik prasowy UODO. –Naruszenie to pokazuje, iż zagrożenia, o których przestrzegał prezes UODO, są realne – dodaje.
Ostatni raz prezes UODO zwrócił uwagę na ten temat w listopadzie zeszłego roku, w wystąpieniu do ministra cyfryzacji. Wskazywał tam na potrzebę zmiany ustawy o usługach zaufania oraz identyfikacji elektronicznej tak, by w certyfikacie kwalifikowanego podpisu elektronicznego nie był upubliczniany numer PESEL. O sprawie pisaliśmy też wówczas na łamach „Rz”. Ministerstwo Cyfryzacji odpowiedziało wówczas, iż nie widzi potrzeby zmiany przepisów, gdyż nie wymagają one, aby bezwzględnie podawać przy certyfikacji podpisów elektronicznych numer PESEL.
Teraz jednak, w odpowiedzi na apele związków zawodowych o zmianę przepisów, wiceminister cyfryzacji Michał Gramatyka przyznaje, iż ich argumentacja jest racjonalna i „trzeba się temu przyjrzeć”, gdyż omawiane przepisy obowiązują już kilkanaście lat. Polska zaś musi do 2026 r. wdrożyć przepisy rozporządzenia e-IDAS, które wprowadza zupełnie nowe zasady weryfikacji tożsamości cyfrowej w UE.
![E-doręczenia 2025. Baza adresów elektronicznych [Pytania i odpowiedzi]](https://g.infor.pl/p/_files/38397000/edoreczenia-2025-bae-baza-adresow-elektronicznych-wniosek-skrzynka-konto-38397333.jpg)
