10:07
18/5/2018

Podnoszenie jakości usług świadczonych przez administrację publicznej jest dobre. Masowe rozsyłanie ankiet na adresy podatników kierujących na serwery firm prywatnych… niekoniecznie.

Podejrzany mailing od Ministerstwa Finansów

W ostatnich dniach bardzo dużo osób pisało do nas w sprawie e-maili z Ministerstwa Finansów, które zachęcały do wzięcia udziału w ankiecie dotyczącej systemu e-Deklaracje. Czytelnicy byli oburzeni, że ministerstwo bez pytania przesłało im niechcianą korespondencję, czyli zaspamowało ich skrzynki e-mail.

E-mail rozsyłany przez Ministerstwo Finansów

Co więcej, choć maile były rozsyłane z adresu ankietaPB@mf.gov.pl, przesyłana podatnikom ankieta została stworzona przez Politechnikę Białostocką i zachęcała do otworzenia linku kierującego do ankiety na stronie serwisu Interankiety.pl. Z tego powodu niektórzy z Czytelników, podejrzewali nawet, że e-mail jest próbą ataku phishing i ktoś, kto podszywa się pod Ministerstwo Finansów chce wyłudzać informacje.

Dla tych, którzy całkiem słusznie, obawiali się klikania w linki prowadzące do pozarządowych domen, pokazujemy co kryło się pod linkiem do Interankiety.pl, czyli serwisu prowadzonego przez działalność gospodarczą “sixpoints – Jędrzej Koronowicz”:

Ministerstwo Finansów nie zebrało odpowiedniej zgody

Zacznijmy od tego, że Ministerstwo Finansów nie powinno rozsyłać takiego mailingu. Owszem, miło jest pomagać naukowcom, ale instytucje publiczne działają na zasadach trochę innych niż firmy. Firmy najczęściej mogą robić to, co nie jest zabronione. Instytucje publiczne powinny robić tylko to, do czego zostały powołane i prawnie umocowane. Zauważcie, że w czasie rejestrowania konta na portalu podatkowym (to jedna z form składania e-deklaracji) wyświetlana jest poniższa informacja.

Portal podatkowy ma służyć do kontaktu, ale w celu załatwiania spraw urzędowych. Podatnik wyraża zgodę na otrzymywanie informacji dotyczących swojego profilu. Nie widzimy tutaj zgody na otrzymywanie innej korespondencji (np. związanej z badaniami naukowymi). Dlatego właśnie wielu naszych Czytelników nazwało tę korespondencję “zwykłym spamem” i trudno się z nimi nie zgodzić.

Co na to Ministerstwo Finansów?

Spytaliśmy o sprawę Ministerstwo Finansów. Odpisał nam “Wydział prasowy”. Chcieliśmy wiedzieć m.in. kto był inicjatorem badania i dowiedzieliśmy się, że “inicjatorem była Politechnika Białostocka“. To samo w sobie mogłoby być impulsem do dalszych pytań np. “co musiałbym zrobić, aby MF wypromowało moje badania?“. Wiemy, że różni ludzie na uczelniach robią bardzo ciekawe badania ;-)

Zresztą, my też byśmy chcieli, tak jak Pani dr hab. Joanna Ejdys, prof. nzw. przeprowadzić badanie np. na temat świadomości użytkowników e-deklaracji w zakresie bezpieczeństwa IT ze szczególnym uwzględnieniem rozpoznawania phishingu wyłudzającego dane w imieniu instytucji rządowych. Czy Ministerstwo umożliwiłoby nam taki darmowy mailing? Mamy naprawdę świetny pomysł na akcję edukacyjną!

Z odpowiedzi Ministerstwa Finansów dowiedzieliśmy się także, że…

Rozesłano ok. 360 tys. wiadomości mailowych i na dzień 15 maja 2018 wpłynęły 1932 odpowiedzi. Ministerstwo nie planuje kontynuacji wysyłki mailowej do kolejnych podatników ze względu na osiągnięcie minimalnego progu zapewniającego reprezentatywność próby wypełnionych ankiet. [MF] nie planuje też podobnych akcji mailingowych w przyszłości. Badanie zaplanowano jako jednorazowe, (…) celem było zbadanie satysfakcji podatników z funkcjonalności systemu e-Deklaracje, a wyniki posłużą do udoskonalenia systemu.

Ministerstwo Finansów zastrzegło sobie dostęp do wyników w postaci wypełnionych ankiet oraz do “danych mailowych”, jednak wyniki zostaną przekazane Politechnice “tylko w postaci zagregowanej”. Firma “sixpoints – Jędrzej Koronowicz”, jako serwis Interankiety.pl, ma jednak do nich pełny dostęp.

Spytaliśmy też Ministerstwo, czy jego zdaniem bezpiecznie jest rozsyłać do wielu osób e-maile zachęcające do klikania w jakiś link.

Informacja o przeprowadzonym badaniu, jego terminie, nazwie skrzynki wyjściowej oraz zawartości rozsyłanych wiadomości została umieszczona na stronie Ministerstwa Finansów, zatem w przypadku pojawienia się jakichkolwiek wątpliwości po stronie odbiorcy wiarygodność otrzymanej wiadomości można zweryfikować.
https://www.e-deklaracje.gov.pl/web/bip/ministerstwo-finansow/wiadomosci/komunikaty/-/asset_publisher/6Wwm/content/podatnicy-otrzymaja-ankiete-dot-systemu-e-deklaracje?redirect=https%3A%2F%2Fwww.e-deklaracje.gov.pl%2Fweb%2Fbip%2Fministerstwo-finansow%2Fwiadomosci%2Fkomunikaty%3Fp_p_id%3D101_INSTANCE_6Wwm%26p_p_lifecycle%3D0%26p_p_state%3Dnormal%26p_p_mode%3Dview%26p_p_col_id%3Dcolumn-2%26p_p_col_count%3D1%26p_r_p_564233524_tag%3Dbud%2525C5%2525BCet#p_p_id_101_INSTANCE_6Wwm_

To bardzo dobry pomysł na “potwierdzenie” że rozsyłane e-maile są wiarygodne. Ale czy ktokolwiek z odbiorców o tym wiedział? Chyba nie, bo nasi Czytelnicy nie byli w 100% pewni, czy korespondencja pochodziła od ministerstwa i chyba większości z nim nie przyszło do głowy, żeby szukać powyższej notatki.

Co ciekawe, nawet w tym oficjalnym komunikacie — zapowiedzi badania — znalazło się zdanie, które sugeruje, że ministerstwo było świadome pewnego ryzyka:

Jednocześnie informujemy, że wiadomości nie będą zawierać żadnych wezwań do zapłaty podatku, ani załącznika w formie pliku.

Napiszemy tylko krótko, że administracja publiczna nie powinna świadczyć usług mailingu dla żadnego podmiotu, nawet przy badaniach naukowych czy akcjach charytatywnych. Jeśli jakiś urząd musi to robić (a uważamy, że każdy powinien sprawdzać “zaufanie do technologii informatycznych” i ulepszać swoje usługi, wsłuchując się w głos “petentów”), to powinien po prostu wcześniej uzyskać zgody obywateli. I najlepiej badanie przeprowadzić na swoich serwerach, a nie serwerach firmy trzeciej.

Przeczytaj także:

17 komentarzy

Dodaj komentarz
  1. A pytaliście się co na to GIODO?

    • GIODO umiera. Zostało mu 5 dni życia.

  2. Przecież to jest ewidentny wyciek danych osobowych. Przekazywanie danych bez zgody

    • Wyciek nie, wszak tu nikt niczego nie “ukradł”. Raczej nie do końca legalne udostępnienie.

  3. Pracownicy muszą sobie dorobić, bo rektor znowu obniżył pensję pracownikom.

  4. czekam na pozew

  5. RODO nakłada na instytucje publiczne maksymalną karę 100 000 zł za niezgodne przetwarzanie danych osobowych. Na firmy 20mln euro lub 4% przychodu (co większe!).
    Więc wychodzi na to że będą notorycznie łamać przepisy a co najwyżej zapłacą sobie sami (z resortu do resortu) 100 000 zł (na waciki!).

    Polskie RODO w Pańdstwie prawa! Wszyscy jesteśmy przecież równi.

    BTW GIODO będzie dostawać 1% prowizji z nałożonych kar, żeby mieć motywację do skuteczności. Kolejny dyskusyjny etycznie zapis, niespotykany chyba w innych krajach UE.

    • Z hajs podatnika baluj ;)
      Co do tego procenta bym polemizował, czy to jest aż takie złe, bo faktycznie jest to słuszny czynnik motywujący. Z drugiej strony jest to furtka do nadużyć. Jak to wygląda prawnie? Będzie można się odwołać w razie czego?

    • A z czego to wynika? Ustawa mówi tylko, że kary stanowią dochód budżetu państwa. Więc gdzie ten 1% dla GIODO. Z ciekawości pytam.

    • 1%? A z czego to wynika? Ustawa mówi o tym, że kary stanowią dochód budżetu państwa a nie GIODO.

  6. e-Deklaracje desktop – mistrzostwo świata w programowaniu.

    • Klient JPK bije e-Deklaracje na głowę. I technicznie i wizualnie :(

  7. Posiadam konto na Portalu Podatkowym, ale opisanej korespondencji nie dostalam.
    E-deklaracje to chyba nie jest to samo co Portal Podatkowy…

  8. tak mnie ciekawiło jak się ma Rodo w przypadku 0day exploits? Przed atakiem 0day – praktycznie nie da się uchronić, więc dojdzie do wycieku i wtedy kara? np. Zostanie wykorzystany nowy exploit na routery których używa 20% polskich firm – wyciekną z firm dane pracowników, wszystkie te firmy zostaną ukarane?

    • Ukarany powinien zostać ten, kto posłużył się exploitem do popełnienia przestępstwa. 0day nie jest czymś, przed czym można “zachować należytą staranność”, jeżeli nie wymaga lokalnego dostępu tudzież insidera w firmie.

  9. Jeśli to “nie do końca legalne udostępnienie” danych osobowych może należałoby przesłać do prokuratury zawiadomienie o podejrzeniu popełnienia przestępstwa? ;-D

  10. w pewnym 100 tysiecznym na dolnym Śląsku pani Dorota Cz. senator RP rodem z PIS`u zlamala prawo poniewaz wykorzystala KRUS do rozsylania bezprawnego swoich uslug mammograficznych.POLSKA to dziwny kraj nawet Pani Dorota Cz.senator RP łamie przepisy prawa ! Tacy nas reprezentuja ludzie !

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.