Primăria Sectorului 5 a încheiat, pe 14 februarie, un contract al cărui scop principal este de a sintetiza, într-un raport, impactul furtului datelor personale ale cetățenilor în urma incidentului de securitate din noiembrie 2024, când hackerii au sustras informații despre mai bine de 200.000 de bucureșteni.
Raportul, care va fi realizat în urma unei încredințări directe, a fost cerut la scurt timp după incident de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal(ANSPDCP), dar analiza ar depăși competențele angajaților primăriei conduse de Vlad Popescu Piedone.
Contractul a fost încheiat la doar trei zile după publicarea investigației Buletin de București și Snoop.ro, care a arătat cum auditul informatic din 2023 a fost încredințat firmei XKR Tools, care avea un singur angajat în ultimul bilanț, nu era pe lista principalilor auditori autorizați de statul român, iar acționari erau doi tineri cu adrese în imobile unde locuiau zeci de cetățeni din R. Moldova, Ucraina sau Belarus.
În plus, procedurile pentru achiziția întocmirii raportului cerut de ANSPDCP au fost demarate imediat după întrebările adresate în scris biroului de presă al Primăriei Sectorului 5, de către cele două redacții.
Cine va face analiza impactul furtului datelor personale asupra cetățenilor
Anunțul pe Sistemul Electronic de Achiziții Publice (SEAP), prin care primăria condusă de Piedone jr. își anunța intenția de a contracta „servicii de evaluare a impactului asupra Protecției Datelor”, a fost publicat luni 10 februarie.
Vineri, 7 februarie, cu două zile înainte de publicarea acestui anunț, Buletin de București și Snoop.ro au trimis mai multe întrebări primăriei condusă de Vlad Popescu Piedone despre contractul de audit informatic acordat unei firme cu un singur angajat și fără experiență în domeniu. Întrebările transmise biroului de presă au rămas fără răspuns inclusiv până la ora publicării acestui articol.
Întreaga afacere s-a finalizat pe 14 februarie, când firma Infoshare Consulting SRL a primit contractul de aproximativ 5.000 de euro prin încredințare directă.
Principalul scop al contractului îl reprezintă identificarea fluxurilor de date și a scopurilor prelucrării și stabilirea categoriilor de date personale implicate, în urma incidentului din noiembrie 2024, când datele personale a peste 200.000 de bucureșteni au fost furate de hackeri.
Specificații din contract (click pentru detalii)
- Analiza preliminară a proceselor de prelucrare implicate in incidentul din luna noiembrie 2024: o Identificarea fluxurilor de date și a scopurilor prelucrării. Stabilirea categoriilor de date personale implicate, inclusiv categorii speciale.
- Realizarea DPIA conform GDPR: o Identificarea riscurilor potențiale asupra drepturilor și libertăților persoanelor vizate. Evaluarea gradului de probabilitate și gravitate a riscurilor. Propunerea măsurilor de mitigare(n.r. – estompa) și recomandări pentru reducerea riscurilor.
- Consultare și implicare: Colectarea de informații de la factorii decizionali ai instituției. Consultarea autorității de supraveghere, dacă este cazul (în baza Articolului 36 GDPR).
- Livrare documentație DPIA: Raport detaliat DPIA. Plan de acțiune pentru implementarea măsurilor de conformitate.
- Sesiune de prezentare: Prezentarea concluziilor raportului către echipa Sectorului 5
Reporterii Buletin de București au discutat cu Adriana Ceaușescu, patroana Infoshare Consulting SRL despre contractul primit prin încredințare directă de la Primăria Sectorului 5.
Aceasta susține că responsabilul cu protecția datelor din instituție i-a solicitat ajutorul pentru realizarea evaluării care a fost cerută primăriei de către Autoritatea Națională pentru Protecția Datelor cu Caracter Personal (ANSPDCP).
„După incidentul acela, aveau nevoie să trimită un raport către Autoritatea pentru protecția datelor. Reprezentantul Sectorului 5 în acest domeniu, domnul Vârlan, mi-a solicitat ajutorul pentru că o asemenea evaluare necesită un grad de experiență și dânsul neavând experiența necesară a solicitat mai departe.
Scopul acestei analize este de a fi transmisă ANSPDCP-ului. Este obligatoriu să fie transmisă în cel mai scurt timp posibil”, a spus Adriana Ceaușescu pentru Buletin de București.
De asemenea, șefa Infoshare Consulting SRL a mai declarat și că în cadrul raportului pe care firma sa urmează să-l realizeze pentru Primăria Sectorului 5 vor fi analizate inclusiv capturile cu datele urcate de hackeri pe Dark Web.
„Se analizează, practic, ce impact au datele personale care au fost implicate în acea breșă. Ei au nevoie pentru acel DPIA, în termeni de specialitate, practic evaluarea asupra protecției datelor în situația de atac cibernetic.
Practic, noi evaluăm ce date au fost afectate, care este volumul, care sunt departamentele, cât de mult au fost afectate, unde au fost transmise. Vom analiza și acele capturi de pe Dark Web”, a mai spus Adriana Ceaușescu.
Într-un articol publicat de Buletin de București, expertul în cybersecurity Bogdan Albei avertiza că o mare parte a datelor personale furate ar putea fi folosite pentru a obține credite bancare de la IFN-uri în numele persoanelor afectate, lucru care s-a întâmplat, în trecut, în cazuri similare în România.
„Cu datele astea te poți duce la o instituție nebancară să obții un credit. Și sunt sute, mii, sau probabil zeci de mii de cetățeni care au pățit asta în România”, a mai afirmat specialistul.
Amendă simbolică plătită din bani publici sau avertisment?
Potrivit legii, ANSPDCP este autoritatea publică centrală autonomă cu competență generală în domeniul protecției datelor personale și reprezintă garantul respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale.
Printre cele mai recente sancțiuni impuse de reprezentanții instituției, se numără mai multe amenzi de circa 1.000 de euro fiecare. Potrivit comunicării publice, una dintre acestea a fost pentru operatorul regional al rețelelor electrice din București și Ilfov, din cauza unui mail transmis fără consimțământ către un client, și una pentru operator de ride sharing care nu a comunicat la cererea unui utilizator ce date personale deține despre acesta.
În luna noiembrie 2024, la aproape o lună de la breșa de securitate care a permis furtul datelor personale și după insistentele jurnaliștilor BdB, reprezentanții Autorității pentru Protecția Datelor (ANSPDCP) au transmis că, dacă se va descoperi în urma investigației o încălcare a regulilor privind protecția datelor cu caracter personal, va emite un avertisment și un plan de remediere pentru Primăria Sectorului 5, iar dacă acestea nu respectă măsurile impuse, riscă o amendă între 10.000 și 100.000 de lei, în funcție de gravitatea încălcării și de impactul asupra cetățenilor afectați.
Dacă amenda nu va fi contestată de autoritățile locale din Sectorul 5, aceasta ar urma să fie plătită din bani publici.
Firma „fantomă” care s-a ocupat de auditul informatic de la Sectorul 5
Redacțiile Buletin de București și Snoop.ro au publicat, pe 11 februarie, o investigație în care au arătat cum Cristian Popescu Piedone, pe vremea când era primar, a angajat o firmă fantomă, care vindea consumabile pentru strunguri, pentru securitatea IT a Primăriei Sector 5. Apoi hackerii au furat datele a 200.000 de bucureșteni.
Primăria Sector 5, condusă în 2023 de actualul șef ANPC, a atribuit direct contractul de audit informatic firmei XKR Tools, care avea un singur angajat în ultimul bilanț.
Firma n-avea contracte în SEAP și nu era pe lista principalilor auditori autorizați de statul român. Acționari erau doi tineri cu adrese în imobile unde locuiau zeci de cetățeni din R. Moldova, Ucraina sau Belarus.
Jurnaliștii Buletin de București au prezentat, în trei episoade, cum hackerii au scos la vânzare informațiile obținute în urma furtului datelor personale, cum s-au desfășurat negocierile și cum mentenanța site-urilor Primăriei era făcută de familia purtătoarei de cuvânt.
Editor: Cătălin Doscaș
CITEȘTE ȘI Cristian Popescu Piedone a transformat contul în care se promova politic pe TikTok în cont al ANPC. Și-a urat singur „La mulți ani”
