Sprawy generalne Rzecznika Praw Obywatelskich



Wystąpienie do Ministra Cyfryzacji w sprawie zabezpieczenia przed cyberatakiem danych dotyczących obywateli dostępnych w aplikacjach rządowych z dnia 2023-10-05.

Adresat:
Minister Cyfryzacji
Sygnatura:
VII.501.165.2023
Data sprawy:
2023-10-05
Rodzaj sprawy:
wystąpienie o charakterze generalnym (WG)
Nazwa zepołu:
Zespół Prawa Konstytucyjnego, Międzynarodowego i Europejskiego
Wynik sprawy:
pozytywnie ze względu na uwzględnienie wystąpienia RPO
Opis sprawy:

Wystąpienie do Ministra Cyfryzacji w sprawie zabezpieczenia przed cyberatakiem danych dotyczących obywateli dostępnych w aplikacjach rządowych.

Cyberataki są jednymi z największych zagrożeń XXI wieku i jako takie stanowią już dosyć powszechne zjawisko. Nowe metody tych ataków muszą być przedmiotem analizy i refleksji, a także reakcji ze strony właściwych organów. Cyberprzestępczość wpływa bowiem nie tylko na stabilność instytucji państwa, ale także na system polityczny i gospodarczy, bez względu na to wobec jakich podmiotów jest skierowana. Ochrona cyberprzestrzeni jest i niewątpliwie będzie jednym z najczęściej podejmowanych tematów dotyczących bezpieczeństwa.

Jedną z najbardziej znanych w Polsce definicji cyberprzestrzeni jest ta pochodząca z Doktryny Cyberbezpieczeństwa Rzeczypospolitej Polskiej z 2015 r. (dalej jako: Doktryna), określająca cyberprzestrzeń jako "przestrzeń przetwarzania i wymiany informacji tworzona przez systemy teleinformatyczne (zespoły współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniające przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego przeznaczonego do podłączenia bezpośrednio lub pośrednio do zakończeń sieci) wraz z powiązaniami między nimi oraz relacjami z użytkownikami". Jak wynika z Doktryny, działania na rzecz cyberbezpieczeństwa muszą być podejmowane z uwzględnieniem ochrony praw człowieka i obywatela, a także poszanowaniem prawa do wolności słowa oraz prywatności. Proporcjonalność środków bezpieczeństwa w stosunku do zagrożeń powinna być oparta na efektywnej i wiarygodnej analizie ryzyka.

Od pewnego czasu szeroko dyskutowanym problemem dotyczącym cyberprzestępczości jest tzw. juice jacking, czyli cyberatak wykorzystywany do atakowania urządzeń uniwersalną magistralą szeregową (USB). Atakowanymi urządzeniami są przede wszystkim telefony komórkowe, tablety i laptopy, zaś do ataku wykorzystuje się port ładowania danego urządzenia. Rozróżnia się dwa rodzaje ataków wykorzystujących metodę juice jacking - kradzież danych oraz instalację złośliwego oprogramowania. Ten rodzaj cyberataku w sposób niezwykle głęboki ingeruje w prywatność użytkowników sprzętów, które miały kontakt z zainfekowanym portem, wobec czego stał się przedmiotem zainteresowania Rzecznika Praw Obywatelskich.

Jakkolwiek trwają badania i prace nad ograniczeniem zagrożeń związanych ze zjawiskiem juice jacking, to jednak rozwój złośliwego oprogramowania, a także ostrzeżenia dla użytkowników publicznych portów USB wskazujące na unikanie ich stawia pytania o użyteczność i sens rozbudowywania takich publicznych sieci.

Mając na uwadze coraz liczniejsze ostrzeżenia przed taką formą cyberataku, Rzecznik zasygnalizował powyższy problem i jednocześnie zwrócił się z prośbą o informację na temat ewentualnych działań podejmowanych przez Ministerstwo Cyfryzacji i rząd w tej kwestii. Szczególną troską Rzecznika Praw Obywatelskich jest kwestia możliwości zainfekowania telefonu użytkownika publicznego portu USB, który w swoim urządzeniu mobilnym posiada rządowe aplikacje - przykładowo mObywatel. mObywatel 2.0 to aplikacja, którą od dnia 14 lipca bieżącego roku można bezpiecznie i bezpłatnie pobrać na swój smartfon ze sklepu Google Play i App Store. Nowa aplikacja to przede wszystkim asystent obywatela, dzięki któremu załatwianie spraw urzędowych ma być - jak wynika z informacji umieszczonej na stronie internetowej Ministerstwa Cyfryzacji- prostsze i wygodniejsze - bez wychodzenia z domu. Dzięki tej aplikacji możliwe jest korzystanie z dokumentów tożsamości i załatwianie spraw urzędowych. Należy także przypomnieć wcześniejsze informacje dotyczące preinstalacji rządowych aplikacji na wszystkich urządzeniach mobilnych przed ich zakupem w salonie. Wówczas nie tylko osoby, które same zainstalowały na swoich urządzeniach aplikacje rządowe, ale wszyscy użytkownicy mieliby na swoich urządzeniach dostęp do najwrażliwszych - i z punktu widzenia hakerów - najbardziej pożądanych danych wszystkich obywateli posiadających zarówno telefon, jak i dowód tożsamości.

Mając powyższe na uwadze Rzecznik zwrócił się do Ministra z prośbą o informację o sposobie zabezpieczenia danych dostępnych w aplikacjach rządowych przed nieuprawnionym dostępem i przejęciem w sposób wskazany na wstępie, a mianowicie poprzez atak typu juice jacking.

 
Wystąpienie dołączone do tego dokumentu:


Data odpowiedzi:
2024-01-31
Opis odpowiedzi:
Sekretarz Stanu w Ministerstwie Cyfryzacji w piśmie z 31 stycznia 2024 r. poinformował, że w ramach Ministerstwa Cyfryzacji zostały podjęte odpowiednie kroki w celu zwiększenia bezpieczeństwa cyfrowego obywateli. Projektując aplikację mObywatel uwzględniono zagrożenia związane z nieuprawnionym dostępem do urządzenia oraz możliwością uruchomienia złośliwego oprogramowania na urządzeniu. W tym celu zastosowano specjalne mechanizmy. Oprócz bieżących działań mających na celu poprawę bezpieczeństwa naszych systemów, Ministerstwo Cyfryzacji prowadzi również szereg inicjatyw edukacyjnych skierowanych do obywateli. Mają one na celu zwiększenie świadomości na temat zagrożeń cyfrowych i sposobów ich unikania. W kontekście profilaktyki i przeciwdziałania atakom typu „juice jacking”, Ministerstwo Cyfryzacji promuje praktyki związane z unikaniem publicznych ładowarek oraz zaleca obywatelom korzystanie z prywatnych źródeł zasilania, power-banków, używanie kabli tylko do ładowania (only charge) nieprzesyłających danych cyfrowych oraz systematyczne aktualizowanie systemów operacyjnych i aplikacji. Ponadto, prowadzone są kampanie informacyjne w mediach społecznościowych i tradycyjnych, aby dotrzeć do jak największej liczby obywateli. Materiały edukacyjne Ministerstwa Cyfryzacji są dostępne online i są regularnie aktualizowane, aby odzwierciedlać najnowsze zagrożenia i strategie obronne.