Twarda wpadka

 

Jeśli otrzymujesz benefity na dzieci, lepiej miej się na baczności. Brytyjski urząd skarbowy zgubił dyski twarde z danymi osobowymi 25 milionów mieszkańców Wysp.

 

Problem dotyczy około 40 tysięcy polskich rodzin w Wielkiej Brytanii. Dyski zaginęły w połowie października, ale afera wyszła na jaw dopiero w ubiegłym tygodniu. Dane osobowe dotyczyły osób pobierających tzw. child benefit, czyli zasiłki dla rodzin wychowujących dzieci. Oprócz imion, nazwisk, adresów i numerów National Insurance, zawierały one daty urodzenia dzieci i numery kont bankowych. Informacje o aferze ujawnił w ubiegły wtorek minister finansów Alstair Darling. Premier Gordon Brown wyrażał ubolewanie i przepraszał osoby, które mogły zostać dotknięte zaniedbaniem urzędników. Przyznał, że ani policja, ani Scotland Yard nie odnalazły do tej pory zaginionych nośników. Zapewniał, że dane były zabezpieczone podwójnym hasłem i mieszkańcy UK mogą być spokojni. Wypowiedź ta wywołała uśmiech na twarzach informatyków.

 

Pomylił się

Wszystko zaczęło się w urzędzie skarbowym (HMRC) w miejscowości Newcastle. 23-letni pracownik działu informatycznego wymontował z serwera dwa twarde dyski ze szczegółową bazą danych 25 milionów mieszkańców Wielkiej Brytanii. Wysłał je do siedziby narodowego urzędu audytorskiego (NAO) w Londynie zwykłą przesyłką kurierską. Paczka nie została oznaczona jako polecona lub wartościowa, do adresata nigdy nie dotarła. Rząd próbował zbagatelizować sprawę i winą obarczył niskiego rangą urzędnika podatkowego. Dopiero pod naciskiem opozycji, która nazwała aferę dyskową „katastrofalnym fiaskiem” do dymisji podał się szef HMRC Paul Gray. Przedstawiciel rządu ds. danych osobowych Richard Thomas posunął się do stwierdzenia, że urząd podatkowy złamał ustawę o ochronie danych osobowych. Po ujawnieniu afery dyskowej brytyjskie banki odbierały tysiące telefonów od przerażonych klientów. Chcieli upewnić się, że ich pieniądze są bezpieczne. Niektórzy prosili o zmianę pinów i haseł do kont internetowych, z obawy o bezpieczeństwo swoich pieniędzy. Nie dowierzają elektronicznym zabezpieczeniom.

 

Okiem fachowca

Dotarliśmy do polskiego informatyka, który na co dzień współpracuje z najpoważniejszymi brytyjskimi instytucjami finansowymi oraz z samym HMRC. Twierdzi, że zaniedbania jakich dopuścili się szefowie urzędu podatkowego, są skandaliczne. Odpowiedzialnością obarcza nie młodego informatyka, lecz szefów instytucji. – Nikt o zdrowych zmysłach nie zatrudni do tak odpowiedzialnego zajęcia początkującego fachowca – twierdzi Janusz. Tłumaczy, że w profesjonalnie funkcjonującej instytucji stosuje się wielostopniowe zabezpieczenia, między innymi fizyczną ochronę serwerów. – Po prostu dostęp do nich ma tylko kilka wybranych osób, sprawdzanych i prześwietlanych pod każdym względem. W głowie nie mieści mi się, by ktoś tak po prostu zapakował dysk w kopertę i wysłał pocztą – ujawnia. Okazuje się, że mimo haseł założonych na twarde dyski, średnio zaawansowany informatyk powinien sobie poradzić z dotarciem do danych. Nie były w żaden sposób zaszyfrowane. Na czarnym rynku każdy rekord jest wart nawet sto funtów. Przy 25 milionach rekordów urzędnicy zrobili potencjalnym przestępcom nie lada gratkę.

 

Szok i niedowierzanie

– Nie miałam pojęcia, że ktoś mógł przechwycić moje dane – mówi Danuta Wazydrąg z Londynu, matka dwójki dzieci. O sprawie dowiedziała się od nas.
Choć HMRC zapewniał, że przeprosi listownie potencjalnych pokrzywdzonych, do Danuty żadne pismo jeszcze nie doszło. Informatycy ostrzegają, że powinniśmy zachować ostrożność.
– W kraju, gdzie nie ma dowodów osobistych, a tożsamość identyfikuje się na podstawie rachunku za gaz, taki zestaw danych to idealny prezent dla złodziei – tłumaczy nasz rozmówca. – Jeśli mamy czyjś adres, datę urodzenia, numer national insurance, a nawet konto bankowe, możemy bez problemów wyłudzić zakupy na raty, wziąć kredyt – uważa.

 

Zmień PIN

Powody do zmartwień mogą mieć posiadacze internetowych kont bankowych. Choć dostęp do nich chroniony jest numerem pin, hasło może okazać się banalne do złamania. Szacuje się, że co trzeci użytkownik konta wybiera jako pin na przykład datę urodzin swojego dziecka. A taki komplet danych można znaleźć na dyskach pochodzących z urzędu podatkowego. – Skandalem jest, że przesłano do NAO wszystkie możliwe dane, skoro instytucja prosiła tylko o część z nich – uważa polski informatyk. – Usunięcie niepotrzebnych tabel powinno zająć nie więcej niż 15 minut – dodaje. Brytyjski HMRC ograniczył się do oficjalnego oświadczenia zamieszczonego na stronie internetowej. Przeprasza w nim pokrzywdzone rodziny i zapewnia, że sprawa zostanie dokładnie wyjaśniona. 

 

Tomasz Ziemba