Hakerzy wykradli z serwerów bułgarskiej skarbówki dane o rozliczeniach podatkowych 5 mln osób. Zdaniem ekspertów ataki hakerskie mogą dotknąć każdej instytucji publicznej, w tym polskiego fiskusa
15 lipca br. w Bułgarii wykradziono ponad 21 gigabajtów informacji zawierających m.in. imiona, NIP-y, adresy i dane kontaktowe osób fizycznych. Ponadto na kilku forach internetowych hakerzy udostępnili dane Bułgarów z deklaracji podatkowych, deklaracji składek na ubezpieczenia społeczne i zdrowotne, informacje o karach administracyjnych czy też o kwotach zwrotu VAT bułgarskim przedsiębiorcom. Zainteresowani mogli też uzyskać informacje, które tamtejszy fiskus pozyskał od innych organów państwowych, np. urzędów zatrudnienia. Przy okazji tego ataku na jaw wyszedł też inny – z 2012 r. na serwery bułgarskiego fiskusa (wcześniej niewykryty).
– Przypadek Bułgarii jest o tyle ciekawy, że poza katastrofalną skalą ataku i kosztami poniesionymi na usunięcie jego skutków tamtejszy fiskus może zapłacić 20 mln euro kary za niewłaściwe zabezpieczenie danych osobowych obywateli, w świetle wymogów unijnego rozporządzenia RODO – mówi Renata Bilecka, starszy konsultant ds. bezpieczeństwa w Accenture.

Resort testuje zabezpieczenia

Czy podobny atak mógłby zdarzyć się w Polsce? Ministerstwo Finansów zapytane przez DGP wyjaśniło, że trwają testy bezpieczeństwa rozwiązań informatycznych zapobiegających atakom typu SQL Injection na konkretne aplikacje (taki miał miejsce w Bułgarii).
– W dzisiejszych czasach ryzyko związane z próbą kradzieży danych jest wysokie w każdej instytucji przetwarzającej wrażliwe dane. Ministerstwo Finansów stosuje zabezpieczenia dostosowane do klasyfikacji informacji przetwarzanych w systemach informatycznych – zapewnia resort. Dodaje, że stosowane polityki bezpieczeństwa, a także narzędzia ochrony danych są w ciągłym trybie aktualizowane pod kątem pojawiających się zagrożeń.
– Trudno zweryfikować, czy fiskus lub inne instytucje publiczne są faktycznie zabezpieczone przed atakami hakerskimi. Tak naprawdę można się o tym dowiedzieć dopiero, gdy próba takiego ataku zostaje podjęta – komentuje Marcin Madej, doradca podatkowy w NIP-inspektor.pl.

Obawy o JPK

Obawy o atak na infrastrukturę polskiego fiskusa szczególnie głośne były w 2016 r., gdy resort finansów zaczął wdrażanie jednolitego pliku kontrolnego. Na łamach DGP (Dane z JPK będą najpierw w chmurze – DGP nr 114/2016) MF wyjaśniało wówczas, że takie prawdopodobieństwo jest nikłe. Informacje o rozliczeniach polskich podatników trafiły bowiem na silnie strzeżoną platformę (chmurę) obliczeniową Microsoft Azure, z której korzysta m.in. także Komisja Europejska.
Michał Jaworski, członek zarządu ds. strategii technologicznej w Microsoft Polska wyjaśniał, że platforma Microsoft Azure jest zabezpieczona przed atakami hakerskimi w stopniu znacznie wyższym niż większość centrów danych w Polsce i na świecie. W oferowane usługi wbudowano mechanizm chroniący przed złośliwym kodem, a każdy przypadek przyznawania dostępu do danych klienta (personelowi Microsoft) jest rejestrowany i kontrolowany. Zainstalowano też systemy służące do wykrywania i zapobiegania włamaniom oraz atakom typu DDos.

Aplikacje podatne na atak

– Zabezpieczenia stosowane przez Microsoft faktycznie są dużą przeszkodą dla hakerów. Do tego w samym JPK trudno jest umieścić złośliwy program, bo struktura danych jest dość uboga, a same pola mają maksymalnie 256 znaków – mówi Marcin Madej.
Jego zdaniem o wiele bardziej podatne na potencjalny atak mogą być np. e-sprawozdania finansowe, w których znajduje się wiele pól opisowych z limitem 3 tys. znaków. – Do tego dochodzą załączniki, do których wprawny haker może wprowadzić zmiany jakie tylko zechce – przestrzega nasz rozmówca.
Według eksperta potencjalnym obiektem ataku może być też ciągle rozwijana usługa Twój e-PIT, w której fiskus przetwarza informacje o zeznaniach podatkowych większości Polaków.

Przykłady z przeszłości

Z takimi wnioskami zgadza się Renata Bilecka. Ekspertka przypomina też inne, ataki hakerskie.
– W 2017 r., w słynnym wycieku bazy amerykańskiego operatora kart kredytowych (Equifax) 140 mln Amerykanów utraciło kontrolę nad swoimi numerami social security. Rok później sieć Mariott przyznała, że dane 500 mln klientów, zawierające dane osobowe, adresy i szczegóły płatności, zostały wykradzione w wyniku ataku hakerskiego – wymienia Renata Bilecka.
Ekspertka Accenture nie ma wątpliwości, że czas pogodzić się z myślą, że ataki hakerskie na firmy i instytucje państwowe są w dzisiejszych czasach codziennością i jest ryzyko wystąpienia podobnych zdarzeń również w Polsce.
– Głównymi słabościami zwykle są dziurawe procedury, nieświadomi pracownicy, niespójna architektura systemów, brak kontroli nad dostępem użytkowników i brak aktualizacji oprogramowania. Nie da się w krótkim czasie wyeliminować każdego z tych zagrożeń, ale można zmniejszyć ich ryzyko – uważa Renata Bilecka. Przyznaje jednak, że żaden sposób ochrony nigdy nie będzie w 100 proc. skuteczny. Dlatego równie ważne jak właściwe procedury obronne jest choćby usuwanie z systemów niepotrzebnych już danych.