Wyciek danych wyszedł na jaw w ubiegłym tygodniu. Dwa serwisy zajmujące się cyberbezpieczeństwem: Niebezpiecznik oraz Zaufana Trzecia Strona poinformowały, że do internetu trafił plik z danymi 5 tys. studentów i pracowników Politechniki Warszawskiej. Dane pochodzą z bazy Ośrodka Kształcenia na Odległość (OKNO). Co gorsza, chodzi o bardzo szczegółowe informacje – łącznie z numerami dowodów osobistych i PESEL, adresami i numerami telefonów.

– Skutki tego wycieku będą nas prześladowały przez całe nasze życie. Nazwiska panieńskiego matki, numeru PESEL czy imion rodziców nie jesteśmy w stanie już nigdy zmienić – zwraca uwagę jedna ze studentek PW (prosi o zachowanie anonimowości).

Podstawowa ochrona

Czym grozi taki wyciek? Niestety umożliwia on podszycie się pod osobę, której dane ujawniono. Dysponując numerem dowodu osobistego, PESEL i adresem, oszuści mogą choćby bezprawnie uzyskać pożyczkę, skorzystać z wykupionych usług (np. prywatnej służby zdrowia) czy wyłudzić ubezpieczenie.

Częściowo przed tymi zagrożeniami można się zabezpieczyć, zastrzegając swe dane w specjalnie utworzonych w tych celach serwisach. W piątek PW poinformowała studentów, że pokryje koszty związane z podstawową ochroną.

– Wszystkie osoby, których sytuacja dotyczy, będą mogły ubiegać się o zwrot podstawowych kosztów poniesionych na zabezpieczenie swoich danych osobowych. Refundacja obejmować będzie koszt jednorazowej usługi zabezpieczającej w standardowym zakresie na okres jednego roku. Podstawą zwrotu będzie potwierdzenie statusu osoby, której dane osobowe zostały ujawnione, wniosek oraz załączona do wniosku faktura – wyjaśnia Izabela Koptoń-Ryniec, kierownik sekcji ds. komunikacji społecznej i mediów PW.

Refundowana ma być jedna usługa – Alerty BIK. Akurat Biuro Informacji Kredytowej aktywowało akcję społeczną, która pozwoli przez trzy miesiące korzystać z niej za darmo. Później podstawowa ochrona kosztuje 24 zł za rok (pakiet rozszerzony 99 zł). Inny serwis do zabezpieczenia danych – ChronPESEL.pl oferuje pakiety w cenach 149 zł oraz 360 zł za rok. Z kolei Bezpieczny PESEL to usługa w pełni bezpłatna. Łącznie jednak studenci, którzy chcieliby mieć większą ochronę, musieliby liczyć się z wydatkami rzędu nawet kilkuset złotych.

– Nie rozumiem, dlaczego zwrot kosztów dotyczyć ma jednego tylko roku. Przecież przy tych informacjach, które wyciekły, będę musiała utrzymywać zastrzeżenie w zasadzie do końca życia – mówi studentka PW i zauważa, że w skali życia są to koszty liczone w tysiącach złotych.

Politechnika, nie czekając na roszczenia studentów, zdecydowała o zwrocie kosztów za podstawową ochronę. Studenci i absolwenci Szkoły Głównej Gospodarstwa Wiejskiego, których dane znajdowały się na laptopie skradzionym pracownikowi uczelni, również domagają się rekompensaty (o sprawie pisaliśmy m.in. w tekście „Uczelni grozi pozew za kradzież laptopa jednego z jej pracowników”, DGP 223/2019). Na razie jednak bezskutecznie.

– Szkoła odmówiła jakichkolwiek rozmów z poszkodowanymi studentami. Obecnie analizowane są opcje dalszego działania, z uwzględnieniem przyłączenia się do postępowania prowadzonego przez UODO i żądania maksymalnej możliwej kary dla SGGW – mówi dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński, która reprezentuje poszkodowane osoby.

W przypadku PW studenci również zastanawiają się nad żądaniem odszkodowań. Ich przedstawiciele, którzy skontaktowali się z DGP, mówią nie tylko o rekompensacie za stracony czas, nerwy oraz pokryciu kosztów zabezpieczenia danych przez co najmniej 10 lat, ale także o zapewnieniu wsparcia w przypadku ewentualnych spraw sądowych, jeśli ktoś zaciągnie pożyczki, korzystając z ujawnionych danych.

Rozwiązania systemowe

Wycieki z PW i SGGW nie są jedynymi incydentami. O włamaniu do swoich systemów (choć bez wykradzenia danych) informowało też poznańskie Collegium Da Vinci oraz warszawski Uniwersytet SWPS.

– Musimy mieć świadomość, że wycieki i kradzieże danych mogą być coraz częstsze. Niestety nie ma dziś instytucji, która oferowałaby kompleksowe wsparcie dla osób zagrożonych i z problemem kradzieży tożsamości ostatecznie pozostajemy sami – zauważa Tomasz Borys, konsultant ochrony danych osobowych.

– Dla bezpieczeństwa każdego z nas widziałbym konieczność uruchomienia serwisu, funkcjonującego nieco podobnie jak biała lista podatnika, który ostrzegałby, że mamy do czynienia z danymi (np. numer dowodu, PESEL), które zostały zastrzeżone czy zgłoszone jako wykradzione. Umieszczenie informacji w systemie powinno być automatyczne w momencie zgłoszenia kradzieży tożsamości na policji czy we właściwym urzędzie – postuluje.

Podobnego zdania jest dr Paweł Litwiński.

– Od dawna dostrzegam potrzebę wprowadzenia instytucjonalnych rozwiązań chroniących osoby, których dane dotyczą. To samo sygnalizuje zresztą Komisja Europejska od 2011 r., postulując wprowadzenia tzw. one-stop-shop dla przestępstw związanych z kradzieżą tożsamości, tak aby poszkodowany był obsłużony w sposób kompleksowy, a jedno zgłoszenie pozwoliło załatwić wszystkie formalności i wdrożyć wszystkie dostępne działania ochronne – mówi adwokat.

– W szczególności widzę potrzebę wprowadzenia przez państwo jakiegoś rodzaju bezpłatnej usługi dla osób poszkodowanych, która będzie je chronić przed skutkami – głównie finansowymi – kradzieży tożsamości – dodaje.

Na tę chwilę ofiary wycieków są pozbawione pomocy ze strony państwa i muszą same troszczyć się o bezpieczeństwo. Tu zaś liczy się często każda godzina. Studenci uważają, że zostali zbyt późno powiadomieni o wycieku. PW nie ma sobie jednak niczego do zarzucenia.

– Działania informacyjne uczelni zostały podjęte natychmiast i w jak najszerszym zakresie, z użyciem wszelkich dostępnych zasobów – w tym ludzkich, tj. władz i pracowników. Za pośrednictwem poczty e-mail studenci otrzymują na swoje skrzynki niezbędną pomoc i wskazówki. Został także utworzony specjalny formularz umożliwiający potencjalnym poszkodowanym natychmiastowe sprawdzenie, czy ich numer dowodu osobistego został ujawniony – wskazuje Izabela Koptoń-Ryniec. 

>>> Czytaj też: Polscy żacy z saksów wrócą do Polski. Deklaruje się 66 proc. studentów