susține
Investigații

Breșă de securitate la Ministerul de Interne. Datele personale ale cetățenilor care au scris petiții au fost trimise către alți utilizatori

Mihai Voinea
Andreea Pocotilă
Cristian Delcea

Mai mulți cetățeni care au trimis petiții pe site-ul Ministerului de Interne au constatat că sistemul informatic al instituției funcționează atât de bine încât le trimite înapoi datele personale ale altor petiționari. O breșă de securitate extrem de gravă, la care se adaugă faptul că, pe lângă datele personale, Ministerul a dezvăluit și conținutul sesizărilor. Practic, Ministerul de Interne nu este capabil să păstreze confidențialitatea petițiilor trimise de cetățeni și nici să le protejeze datele personale.

Aceasta breșă ne-a fost semnalată chiar de către cititorii Recorder. Aceștia au trimis petiții către Minister după publicarea investigației „Puterea din umbră”, solicitând explicații cu privire la activitatea DGPI, serviciul secret al Internelor. Însă, în mesajul automat prin care ministerul le confirma înregistrarea petiției, unii dintre ei au primit și alte informații. Mai exact: nume, prenume, adrese de domiciliu, numere de telefon și adrese de email ale altor cetățeni care trimiseseră petiții similare. Acest lucru reiese din faptul că în mailuri se regăsea și conținutul sesizărilor trimise de oamenii cărora li se divulgaseră datele personale.

În prima parte a mesajului, petiționarul era anunțat că MAI i-a înregistrat sesizarea, iar în a doua parte erau inserate datele altui petiționar, urmate de conținutul petiției trimise de acesta

Doi cititori ne-au semnalat această situație și fiecare dintre ei primise datele personale ale altor doi petiționari. Erau, deci, cel puțin patru persoane ale căror date fuseseră diseminate fără acordul lor. Am sesizat Ministerul de Interne, care ne-a răspuns că va face verificări.

Ulterior, un al treilea cititor ne-a semnalat că a primit datele personale ale altor doi cetățeni. Așadar, în total, era vorba de cel puțin șase persoane ale căror date fuseseră divulgate.

Pe 20 ianuarie, adică la câteva zile după ce a fost înștiințat cu privire la scurgerea de informații, Ministerul de Interne a luat o primă măsură: le-a dat un email celor care primiseră datele personale ale altora, adresându-le „respectuoasa rugăminte de a șterge datele în cauză”. Mesajul era semnat de comisar-șef de poliție Ionuț Savu, care se recomandă „responsabil cu protecția datelor în MAI”.

Mesajul pe care MAI l-a trimis cetățenilor cărora li s-au diseminat accidental date personale

Recorder a trimis către Ministerul de Interne mai multe întrebări cu privire la această breșă de securitate. În urma răspunsurilor primite ieri, se impun câteva concluzii:

  • Conform propriilor afirmații, una dintre măsurile dispuse de cei din Ministerul de Interne a fost anunțarea persoanelor afectate și punerea la dispoziția acestora a unui număr de telefon, în cazul în care au nevoie de informații suplimentare. Altfel spus: nu doar că recunoaștem diseminarea datelor dumneavoastră către alți cetățeni, dar vă putem oferi și informații suplimentare despre această gafă.
  • Ministerul se laudă și cu alte măsuri: i-a anunțat pe cei care au primit din greșeală date personale, a îmbunătățit suportul tehnic și a resetat sistemul la forma inițială. Nu se vorbește despre nicio sancțiune suportată de vreun angajat al MAI în urma acestei breșe de securitate. Aceiași oameni rămân în continuare responsabili cu protecția datelor, deși tocmai s-a constatat că protecția n-a funcționat.
  • Indiferența celor din MAI are o explicație. Conform Legii nr. 190/2018, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, instituția care reglementează la nivel național astfel de breșe, poate, cel mult, să trimită un avertisment și un plan de remediere către MAI. Autoritatea nu poate să amendeze sau să ia alte măsuri punitive, întrucât legea prevede că acestea se pot aplica numai instituțiilor private, nu și celor de stat.
  • În același răspuns, Ministerul încearcă să minimalizeze gravitatea situației precizând că în toate mailurile trimise către cetățeni există un „text informativ” care pune în vedere că mesajul este confidențial și că, dacă a fost primit dintr-o eroare, ei trebuie să anunțe imediat Ministerul. Pe lângă ridicolul acestei scuze, constatăm cu regret că cetățenii n-au dat doi bani pe respectivul „text informativ” și că niciunul dintre ei n-a considerat oportun să anunțe ministerul de Interne. Știm acest lucru pentru că însuși ministerul ne-a comunicat că, în afara sesizării Recorder, nu a existat nicio altă sesizare cu privire la diseminarea accidentală a unor date personale. Cu alte cuvinte, cetățenii au preferat să anunțe o redacție de presă în loc să anunțe o instituție a statului român.
  • Ministerul de Interne a refuzat să ne comunice câte persoane, în afara celor șase descoperite de noi, au fost afectate de această breșă de securitate. Ne-a transmis, însă, că în săptămâna în care Recorder a publicat investigația „Puterea din umbră” au fost înregistrate 197 de petiții pe site-ul instituției. Ministerul se laudă că le-a răspuns tuturor în termenul prevăzut de lege.
  • Câțiva cititori ne-au trimis conținutul răspunsurilor primite în urma petiției adresate Ministerului de Interne. Toate sunt identice și ne permit să tragem o concluzie de final. După ce le-a diseminat datele personale și conținutul petiției prin care cereau explicații în urma unei investigații de presă, Ministerul de Interne le-a adresat acestor cetățeni un ultim gest de sfidare: în loc de explicații, le-a transmis că DGPI derulează activități în zona securității naționale, iar aceste activități sunt secrete. Apoi le-a recomandat să intre pe site-ul DGPI și să studieze comunicatul în care serviciul secret al Ministerului de Interne afirmă că, prin tratarea superficială a activității instituției, investigația Recorder le-a afectat misiunile și reputația.
Cele mai recente