Osoby pracujące wspólnie przy biurku z papierami, laptopem i tabletami.
LINKI AFILIACYJNE
Tech

Dane z PUE ZUS mogły trafić w niepowołane ręce. Zapytaliśmy urząd, czyja to wina

5 minut czytania
Komentarze

Do dość nieciekawej sytuacji doszło ostatnio w PUE ZUS (Platforma Usług Elektronicznych Zakładu Ubezpieczeń Społecznych), gdzie jeden z byłych pracowników BNP Paribas GSC mógł uzyskać dostęp do danych innych zatrudnionych. Na szczęście sytuację udało się opanować, ale sam incydent pokazuje, że w kwestii cyberbezpieczeństwa dalej wymagane są poprawki. Szczególnie po stronie pracodawców. Redakcja Android.com.pl zapytała w ZUS o metody stosowanych przez urząd zabezpieczeń i odezwaliśmy się także do BNP Paribas GSC.

Sprawdź jak lepiej możesz chronić swoje dane

Incydent w PUE ZUS z danymi BNP Paribas GSC

Osoba pisząca na klawiaturze laptopa ustawionego na drewnianym biurku.
Fot. VitalikRadko / Depositphotos

Opisywana tutaj sytuacja miała miejsce jeszcze w 2023 roku i dotyczy firmy BNP Paribas GSC, która zajmuje się m.in. wynajmowaniem różnego rodzaju sprzętów dla przedsiębiorców. Sprawa jest o tyle ciekawa, że dość rzadko słyszymy o możliwych wyciekach danych z ZUS, a już prędzej o oszustach podszywających się pod pracowników urzędu. Tutaj sam ZUS nie ma sobie nic do zarzucenia, a wina ma leżeć po stronie BNP Paribas GSC, gdzie zapomniano o uprawnieniach przyznanych pracownikowi.

Otóż jeden ze zwolnionych pracowników z BNP Paribas GSC, dalej miał przyznane w PUE ZUS uprawnienia firmowe. To pozwalało mu na to, by mieć dostęp do danych innych pracowników, ale i nawet ich rodzin, jeżeli korzystali z ubezpieczenia. Mowa tutaj nie tylko o imieniu czy nazwisku, ale także numerze PESEL. Zwolniona osoba z takimi uprawnieniami w PUE ZUS mogła mieć do nich dostęp przez kilka miesięcy. BNP Paribas GSC poinformowało swoich klientów o możliwym incydencie na początku 2024 roku, ale nie ma możliwości sprawdzenia, czy faktycznie doszło do kradzieży danych.

Otwartą kwestią pozostaje też to, ilu pracodawców zapomniało o tym, by cofnąć przyznane w PUE ZUS uprawnienia byłym pracownikom swoich firm. Trzeba mieć nadzieję, że jest ich niewielu, ale to coś, o czym niestety łatwo zapomnieć. Warto w takiej sytuacji sprawdzić to, jak sami chronimy naszą prywatność w sieci. Dobrze mieć zainstalowanego na urządzeniach antywirusa oraz korzystać z VPN-ów, by jak najmniej naszych danych krążyło po sieci.

Odpowiedź ZUS stawia sprawę jasno

Strona internetowa PUE ZUS z menu i opcjami logowania, na której znajduje się obraz przedstawiający uśmiechniętego mężczyznę i kobietę patrzących na ekran laptopa.
Fot. PUE ZUS, zrzut ekranu

Redakcja Android.com.pl zwróciła się bezpośrednio do ZUS-u z pytaniami o kwestie uprawnień oraz tego, czy urząd jest w stanie weryfikować tego typu zgłoszenia. Udzielona nam odpowiedź jednoznacznie pokazuje, że możliwości urzędu są mocno ograniczone.

Zgodnie z obowiązującymi przepisami uprawnienia do logowania się do PUE-ZUS dla pracownika nadawane są przez pracodawcę. Pracodawca może również cofnąć pełnomocnictwo byłemu pracownikowi wypełniając specjalny formularz. ZUS nie weryfikuje danych o zwolnieniu pracownika. Podkreślenia wymaga, że ZUS jest w stanie ustalić czy osoba loguje się na swoim koncie ubezpieczonego (co może być traktowane jako dostęp w celu prywatnym), a kiedy logowanie następuje na profilu pracodawcy, do którego obsługi posiada pełnomocnictwo (dostęp w celu służbowym).

Paweł Żebrowski, rzecznik prasowy ZUS dla Android.com.pl

Zapytaliśmy także o to, czy podobne sytuacje są w jakiś sposób monitorowane przez ZUS i pracowników odpowiedzialnych za system PUE ZUS.

To na pracodawcy jednak ciąży ciężar odwołania pełnomocnictwa i poinformowania o tym ZUS. W sytuacji zaniechania realizacji tego obowiązku przez pracodawcę nie można mówić o wycieku danych z ZUS. Możliwość nieuprawnionego dostępu do danych jest w takim przypadku wyłącznym efektem postępowania pracodawcy. Zakład Ubezpieczeń Społecznych będzie pracował z przedsiębiorcami, aby usprawnić proces administracji PUE-ZUS.

Paweł Żebrowski, rzecznik prasowy ZUS dla Android.com.pl

BNP Paribas GSC zareagowało szybko

Uśmiechnięty mężczyzna siedzi na szarej sofie i patrzy na smartfon, w tle logo 'BNP PARIBAS GSC (GROUP SERVICE CENTER)', a poniżej napis 'Wynajem - Korzystny dla Ciebie i innych'.
Fot. BNP Paribas GSC, zrzut ekranu

Zwróciliśmy się również do BNP Paribas GSC z pytaniami, kiedy zauważono problem oraz jak na niego zareagowano. Zapytaliśmy także o kroki, które zamierza podjąć firma, by w przyszłości uniknąć podobnych incydentów.

BNP Paribas GSC S.A. podjęła działania w sierpniu 2023 r. w reakcji na stwierdzenie nieskutecznego odwołania dostępu, o czym następnie poinformowała PUODO. W grudniu 2023 r. BNP Paribas GSC S.A. otrzymała odpowiedź z ZUS, w której informował o datach logowań byłego pracownika na jego profilu ZUS-PUE, jednak również o braku możliwości ustalenia, czy i jakie dane były przez niego przeglądane. Działając w interesie pracowników i realizując zasadę transparentności, BNP Paribas GSC S.A. podjęło decyzję o zawiadomieniu pracowników o zidentyfikowanym incydencie. W lutym BNP Paribas GSC S.A. otrzymała od PUODO pismo informujące, że w wyniku analizy zawiadomienia w ocenie PUODO BNP Paribas GSC S.A. wdrożyło adekwatne środki bezpieczeństwa i środki zaradcze oraz podjęła działania mające na celu zminimalizowanie negatywnych skutków naruszenia i ryzyka jego ponownego wystąpienia.

Maciej Kawecki, dyrektor finansowy w BNP Paribas GSC dla Android.com.pl
Sprawdź jak lepiej możesz chronić swoje dane

Źródło: opracowanie własne / Niebezpiecznik. Zdjęcie otwierające: Scott Graham / Unsplash

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Motyw