Poważne problemy z systemami ZUS-u. Chodzi o bezpieczeństwo danych
Odnalezione zostały ważne braki funkcjonalności systemu PUE-ZUS, które mogą stanowić problem w sytuacji, gdy dochodzi do naruszenia danych. Przykład jednej ze spółek grupy BNP Paribas pokazał, że z oprogramowania ZUS-u nie można uzyskać szczegółowych logów, kluczowych podczas ustalania, czy doszło do incydentu w bezpieczeństwie danych.
Niepowołany dostęp do PUE-ZUS
Niebezpiecznik informuje o przypadku firmy BNP Paribas Group Service Center, w której realizowana była popularna w Polsce praktyka – jeden z pracowników, mógł to być na przykład pracownik księgowości, miał dostęp do konta spółki w PUE-ZUS. Po zakończeniu z nim współpracy spółka nie usunęła dostępu, przez co w okresie od 1 stycznia do 25 sierpnia 2023 r. nadal mógł uzyskiwać dostęp do wrażliwych danych, mimo że nie pracował już dla BNP Paribas GSC.
Przez cały ten czas mógł zatem uzyskiwać dane na temat pracowników: imiona i nazwiska, adresy zamieszkania i zameldowania, numery PESEL, numery dokumentów, informacje o zwolnieniach lekarskich, a nawet informacje o członkach rodziny zgłoszonych do ubezpieczenia .
Brak dowodów na naruszenia
Firma poinformowała pracowników o incydencie na początku br., wcześniej ustalała ryzyko i zwróciła się do Zakładu Ubezpieczeń Społecznych z prośbą o informacje, czy były pracownik uzyskiwał dostęp do wrażliwych danych pracowników. Mógł przez ponad wiele miesięcy logować się do konta w PUE-ZUS i wykradać dane. BNP Paribas GSC przyjęła jednak stanowisko, że do incydentu nie doszło, gdyż nie ma podstaw twierdzić, że pobierane były jakieś dane.
Jak to możliwe? W grudniu minionego roku ZUS przekazał firmie informację, że co prawda może udostępnić wykaz logowania do PUE-ZUS przez daną osobę, niemniej nie prowadzi na tyle szczegółowych logów, aby możliwe było stwierdzenie naruszenia . Słowem – ZUS zapisuje tylko informacje o logowaniu, a nie o tym, jakich operacji dokonuje użytkownik podczas sesji.
Jak się chronić przez niepowołanym dostępem?
Pod względem bezpieczeństwa danych braki w systemie ZUS-u są druzgocące – pracownik mógł się logować do PUE-ZUS w dowolnej sprawie, a oprogramowanie nie zostało wyposażone w funkcje, dzięki której możliwe byłoby stwierdzenie naruszenia RODO. Ponadto ZUS potrzebował aż kilku miesięcy , by przedstawić choćby podstawowy rejestr logowań. W tej chwili jedynym rozwiązaniem problemu jest samodzielne prowadzenie skrzętnego rejestru pracowników z dostępem do PUE-ZUS oraz weryfikacja, czy dostęp został odebrany po zakończeniu współpracy.
Źródło: niebezpiecznik.pl