11:03
30/1/2019

Przedsiębiorcy dostawali w ostatnim czasie pisma z ZUS-u, które zachęcały do wysyłania danych pracowników e-mailem, w zwykłym pliku XLSX. Czy to bezpieczne? I czy pracodawcy naprawdę musieli odpowiedzieć na pisma?

“Kontrola prawidłowości”

Regularnie zgłaszacie nam praktyki, które okazują się zabiegami zamierzonymi lub zgodnymi z prawem, ale jeden z ostatnich przypadków jest szczególny. Przedsiębiorcy dostawali ostatnio od ZUS e-maile na temat “kontroli prawidłowości wykorzystywania zwolnień lekarskich od pracy”. Do e-maili były załączone 2 pliki – PDF z pismem oraz arkusz Excela.

Pismo z pliku PDF informowało, że ZUS kontroluje prawidłowość wykorzystywania zwolnień i w związku z tym pracodawcy są proszeni o…

przekazywanie do naszej jednostki ZUS informacji o przeprowadzonych kontrolach w okresach, za które wypłacają Państwo swoim pracownikom zasiłek chorobowy, zasiłek opiekuńczy lub świadczenie rehabilitacyjne.

Poniżej kopia dwóch strony pisma. W tym przypadku z Zabrza.

W przypisie na pierwszej stronie przywołano art. 68 Ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego. Można to śmiało uznać za prawniczą socjotechnikę bo choć wspomniany przepis uprawnia do kontrolowania to wcale do niego nie zobowiązuje, a już z pewnością nie wymaga by pracodawca przekazywał wyniki swoich kontroli do ZUS.

Imiona, nazwiska i PESEL-e zwykłym mailem

Jak widzicie, przekazanie danych miało się odbyć poprzez wysłanie wypełnionego formularza na adres e-mail kontrola_zla_[nazwa_oddzialu]@zus.pl. Formularzem był załączony plik XLSX, który wyglądał tak.

Formularz od ZUS

Formularz od ZUS

Powiedzmy sobie od razu, że wysyłanie nazwisk i PESEL-i zwykłym e-mailem na adres obsługiwany prawdopodobnie przez wiele osób to nie jest dobry pomysł. Dodajmy też, że w piśmie nie doradzano aby dokument choćby spakować z hasłem czy w inny sposób zabezpieczyć.

Przedsiębiorcy zgłaszający nam ten problem słusznie zauważyli, że w ten sposób ZUS promuje raczej niski standard w ochronie danych. Niektórzy przedsiębiorcy uznali wręcz, że to musi być próba wyłudzenia danych skoro tak potężna instytucja prosi o dane bez mocnej podstawy prawnej i chce ich przesłania w taki sposób.

Rzecznik ZUS: “Informacje powinny być zabezpieczone”

Spytaliśmy o sprawę rzecznika ZUS Wojciecha Andrusiewicza. Odpowiedź otrzymaliśmy na drugi dzień (pogrubienie nasze).

Zgodnie z opinią naszych specjalistów ds. bezpieczeństwa informacji i ochrony danych, dopuszczalne jest przesyłanie przez płatników składek miesięcznych informacji o przeprowadzonych kontrolach na skrzynki mailowe oddziału ZUS. Informacje powinny być przesyłane w formie pliku zabezpieczonego hasłem. Hasło powinno składać się z co najmniej 8 znaków, z czego muszą wystąpić małe i duże litery, cyfra lub znak specjalny. Hasło do zaszyfrowanych plików powinno być przekazywane inną drogą np. telefonicznie lub sms’em. Do szyfrowania pliku może być użyty bezpłatny program 7-zip.

Szkoda tylko, że tę poradę usłyszeliśmy my, a w pismach od ZUS-u takich porad nie było. To niestety oznacza, że Twój pracodawca mógł wysłać Twoje dane w dokumencie XLSX zwykłym e-mailem. Na marginesie Michał Stanek niedawno udowodnił, iż program do kompresji plików niekoniecznie jest dobrym narzędziem do szyfrowania.

W czynie społecznym!

Zachowanie ZUS-u z jednego jeszcze powodu przypominało działanie wyłudzacza. Szanujący się urząd powinien działać w zakresie wynikającym z prawa. Nie powinien “prosić”, a już w szczególności nie powinien być animatorem oddolnej działalności kontrolnej w czynie społecznym. Niestety ZUS właśnie tak się zachował. Potwierdziła to Konfederacja Lewiatan uzyskała od ZUS “zapewnienie”, że przekazywanie informacji o przeprowadzonych kontrolach ma charakter “dobrowolny”.

Czyn społeczny. Zdjęcie z domeny publicznej.

Co robić? Jak żyć?

Sytuacja nie wymaga chyba dodatkowych komentarzy, ale przypomnimy o jednej drobnej rzeczy. Jeśli urząd, prawnik albo ktokolwiek inny wysyła do Ciebie poważne pismo, zawsze sprawdź czy “wzywa” czy “prosi”. Jeśli “wzywa” to sprawdź podstawę prawną i upewnij się, że nazwy wskazanych instytucji czy ustaw są prawidłowe. Niestety w tym przypadku pismo ZUS wyglądało trochę jak działanie oszusta, ale tez urząd trochę wyszedł poza swoje faktyczne kompetencje. Owszem, ZUS ma prawo kontrolować ubezpieczonych w zakresie wykorzystywania zwolnień, ale nie powinien przerzucać na pracodawców swoich działań kontrolnych.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

44 komentarzy

Dodaj komentarz
  1. Tak trochę z innej beczki – Dlaczego tak ważna instytucja jaką jest ZUS nie zabezpiecza swojej strony certyfikatem SSL?

  2. Szkoda, że Pan rzecznik nie przekazał też w jaki sposób hasło ma zostać udostępnione pracownikowi ZUS, który będzie musiał wspomniane archiwum zip otworzyć. Aż jestem ciekaw.

  3. Czyli kompresowanie plików z hasłem przy użyciu RAR’a (WinRAR) również się nie sprawdzi? Muszę przyznać, ze jestem tym mocno zaskoczony…

    • Powinno się sprawdzić. Jeżeli dobrze rozumiem artykuł, jaki został zamieszczony w linku, to problem dotyczy tylko słabej losowości przy generowaniu haseł w programie 7zip (i chyba tylko dla plików .7z).

  4. Niby nic wielkiego i być może rzeczywiście ZUS powinien poinformować o konieczności szyfrowania, ale czy ma do tego obowiązek?
    Czy ciągle trzeba douczać o umyciu rąk po… albo spuszczeniu wody?
    Nie popadajmy w skrajności, bo niedługo wszystko będzie musiało być tłumaczone na lewo i prawo.
    Też dostaliśmy to pismo i dziewczyna odpowiedzialna za przygotowanie i wysłanie nawet nie zająknęła się o braku wyjaśnień tylko standardowo spakowała z hasłem i wysłała maila.
    Takie same praktyki są z ubezpieczycielami, firmą odbierającą śmieci innymi podmiotami, z którymi wymieniamy dane.

    Normalni ludzie już zaczynają ży…wymiotować debilnymi informacjami ze stron internetowych, że używają ciastek, że gromadzą dane, że blokujemy reklamy, że to, że tamto.
    Miło widzieć, że u Was nic nie wali po oczach na dzień dobry, a znaleźć informację i tak można bez problemu. Rozumiem i pochwalam to podejście, bo mam dzięki temu odczucie, że nie uważacie mnie za idiotę, który niczego nie znajdzie jak mu się tego w oko nie wsadzi. A ja i tak wiem, że nawet jak mi w oczy wsadzą zgody i całą resztę, to moje dane tak czy inaczej zagregują i albo się kiedyś o tym dowiem albo nie.

    No ale podsumowując…
    ZUS chce dane i daje formularz, nie musi tłumaczyć, że wysyłane dane należy zabezpieczyć. Chyba nie ma nic złego w tym, że liczy na inteligencję sprawozdawców.

    ps. Nie pracuję w ZUSie :)

    • niestety ale wciąż trzeba ludziom przypominać o spuszczaniu wody, o myciu rąk nie wspominając ( i nie to nie jest żadna przenośnia albo inna metafora )

    • Nie wiem jak w ZUSie, ale w US mają szkolenia na temat przesyłania danych e-mailem i “hasłowania” danych choćby PESELem. Co oczywiście nie przeszkadza od czasu do czasu popełnić błąd…

    • Piszesz, że dziewczyna odpowiedzialna za przygotowanie i wysłanie tego nawet nie zająknęła się o braku wyjaśnień tylko standardowo spakowała z hasłem i wysłała maila. To ja jestem ciekawy komu i w jakiej formie przekazała to hasło??? Skąd wiedziała komu w zus’ie ma to hasło przekazać telefonicznie, czy sms’em i czy ta rozmowa nie wyglądała może w taki sposób:
      =====
      – czego, grzecznie pytam?
      – dzień dobry, czy to zus?
      – no zus, a co ma być?
      – chciałam przekazać hasło do pliku, który wysłałam do Państwa w związku z pismem…
      – ale jakie hasło? o co chodzi? Do jakiego pliku? Którego? Kiedy? Ja nic nie wiem, ja tu mięso mam. Może niech zadzwoni do działu bla bla bla… tiiiit tiiiit tiiiit.
      ====
      Bo mnie się zdaje że tak to właśnie by wyglądało.

      Pozdrawiam!

      JD

    • Dodam, że to nie dotyczy tylko internetu. Na papierosach musi być napis “palenie zabija”. Każda reklama środków piorących tłumaczy, że należy trzymać z dala od dzieci albo, że przed użyciem należy przeczytać ulotkę lub skonsultować się z lekarzem.

      Czy paradoksalnie nie usypia to czujności? Bo skoro państwo myśli za nas, to my już nie musimy.

    • @Marcin

      1) A hasło wysłała mailem czy przetelefonowała do ZUSu ?
      2) Po to jest platforma e-płatnik i wszelkie e-puapy, by nie wysyłać danych do ZUSu mailem czy innymi niezabezpieczonymi kanałami.
      3) Po to jest prawo, by je stosować, a nie uprzejmie prosić o donos.

    • Nie powinni informować. Wszystko jest dobrowolne, ale POWINNI UDOSTĘPNIĆ PLATFORMĘ do takiej komunikacji. Zabezpieczonej, etc. Dzięki temu nie ma oceny iż mogło to być wyłudzenie, nie ma zagwozdek jak przekazać hasło do pliku (jeżeli w ogóle), jest mniejsze ryzyko, iż wiele osób ma do tego dostęp, itd.

    • @muchar
      No to przecież jest pue, jest epuap… :D
      Nie no dość żartów, powyższe “systemy” do niczego się nie nadają, ale mail jest w porządku, wystarczy myśleć.

    • Tak z ciekawości – w jaki sposób ta “dziewczyna odpowiedzialna za przygotowanie” przesyła ZUSowi hasło do zaszyfrowanego pliku? SMSem, telefonicznie czy może (chociaż mam nadzieję, że nie) mailem?
      Pytam bez złośliwości, po prostu jestem ciekaw jak to rozwiązaliśmy z konkretnie ZUSem? Macie tam jakąś osobę do kontaktu?

    • Ehh, ludzie.
      Naczytacie się nie wiadomo czego i macie mylne wyobrażenie później o tym, czego nie znacie.
      ZUSy mają oddziały, w oddziałąch pracują ludzie odpowiedzialni za dane rzeczy i nie jest problemem się z nimi skontaktować, a nawet oni potrafią się skontaktować z nami.
      No ale odpowiadając niektórym “pewniakom”, NIE hasło nie było dołączane do treści maila i nawet nie było przekazywane mailem :)
      Podobnie jest z US i innymi.

      To wszystko naprawdę nie jest trudne i przy odrobinie myślenia ludzie to ogarniają.
      Rzeczywistość jest zupełnie inna niż malowane przez media sytuacje, a już diametralnie inna niż wskazuje statystyka i politycy. Przy czym od razu zastrzegam, że rzeczywistość nie zawsze jest lepsza, bo znam przypadki, gdzie jest tak tragicznie, że aż strach bierze i za głowę się można złapać, ale takie jest życie.

    • @Marcin

      ZUS ma oddziały, w oddziałach pracują ludzie, i ludzie ci popełniają błędy. Nie piszę tego z teorii, a raczej wieloletniej praktyki. Jedną z możliwych przyczyn błędu na styku człowiek-system jest kreatywna próba obejścia procedury, której komuś nie udało się opanować. Stykam się z tym w zasadzie na codzień, to statystycznie najczęstsza przyczyna obsługiwanych przeze mnie incydentów bezpieczeństwa.

      Możemy założyć, że poradziliście sobie jako firma najlepiej jak się dało w obliczu tego, co przysłał Wam ZUS. OK. Tylko, że ZUS nie powinien był przysyłać Wam nieformalnej prośby o wykonanie czynności łamiącej wszelkie procedury przewidziane dla tej instytucji publicznej. I tak, uważam, że to jest problem. Bo niefrasobliwe tworzenie obejść i obejść do obejść i akceptowanie ich powoduje chaos formalny, powstawanie pseudodowodów (zwane też zbieraniem haków), przedłuża załatwianie spraw urzędowych o konieczność sprostowań i uzupełnień, utrudnia audytorom zidentyfikowanie niedziałającej procedury / oprogramowania, i “uczy” społeczeństwo, że “prawo to takie utrudnienie, które wszyscy musimy obchodzić” :(
      Od strony stricte informatycznej powstają np. dodatkowe nieujęte w procedurach zbiory danych, o których łatwo zapomnieć => przestać je zabezpieczać, aktualizować platformy, prawidłowo zarządzać uprawnieniami => zwiększenie możliwości wycieku.

      Procedury instytucji publicznej docelowo muszą działać tak, żeby mogła z nich bezpiecznie i skutecznie korzystać każda osoba. Nie tylko “wyjątkowo ogarnięta”. Godząc się na chwilowo skuteczne obejścia i prowizorkę odsuwamy tę perspektywę.

  5. Kontrola zła [nazwa oddziału]@zus.pl xD
    Przepraszam zaśmiałem się

    • Nie kontrola “zła” tylko kontrola ZLA. Czyli kontrola zwolnień lekarskich.
      Druk ZLA to jest druk zwolnienia.

    • Też tak przeczytałem za pierwszym razem :)

  6. serio? kontrola_ZŁA_…@zus.pl?

    • Nigdzie nie ma tam Ł, druk ZLA to dawne L4…

  7. Czytając To zadaję sobie tylko jedno pytanie: Dlaczego moja rodzina nie zwiała do Stanów zamiast męczyć się z tym obrzydliwym socjalizmem po dzień dzisiejszy?

    • No faktycznie w Stanach jest “lepiej” w tym względzie… nie ma płatnego chorobowego, więc zwolnienia są zbędne, więc nie ma czego kontrolować.

  8. Dzięki jak link do o 7z. Ciekawe ile takich podobnych kwiatków jest w innych programach chwalacych się super ekstra szyfrowanie opartym o najnowsze wynalazki a zapominających o takich podstawach jak PRNG, który nawet nie mieści sie we współczesnej definicji PRNG

  9. a jakim kanałem ma przedsiębiorca pzresłać hasło do pliku ? Bo jedyny numer telefonu to ten na ogólną centralę … :)

  10. Na podstawie przytoczonej, przez ZUS, podstawy prawnej pracodawca nie ma prawa wysłania takich informacji. Kwestii szyfrowania nie rozpatruje gdyż nie mogę wysłać (brak przesłanki na przetwarzanie (udostępnienie) danych i tyle. Wysyłając takie dane narażam się na naruszenie przepisów – udostępnienie danych bez podstawy prawnej.

    • Dokładnie tak

  11. Czy tylko mi się rzuciło w oczy kontrola_zla_x@zus.pl :) niefortunnie nazwali te skrzynkę haha

  12. A z ciekawości, jakim kanałem przekazać hasło do pliku? Może w pliku :)

  13. Przeciez od razu w nazwie maila informuja ze to “Zla Kontrola”

  14. No właśnie…….. zus nie musi informowac że należy zabezpieczyć dane. jak już tu ktoś wspomniał o przekazywaniu hasła które może najlepiej dołączyć do nazwy pliku albo podać w emailu. przecież to jest jakaś parodia. albo pani z firmy zadzwoni do zusu i powie przez telefon. powinna być jakaś platforma do wymiany danych poufnych w takich instytucjach/urzędach. Panie Boże widzisz i nie grzmisz. prawda jest taka że praktycznie wszyscy mają gdzieś to czy twoje dane się dostaną w niepowołane ręce czy nie. ty się martw.

  15. Jeszcze jeden drobiazg pracodawca zatrudniający mniej niz 20 pracowników NIE MA PRAWA KONTROLOWAĆ prawidłowości korzystania z L4

    więc pismo z zus nie tylko nakłania do złamania zasad ochrony danych ale wręcz do przestępstwa

  16. W jednym z artykułów niebezpiecznik pisze, że PESEL jest daną wrażliwą i trzeba go chronić. OK, ale co w przypadku, gdy mój PESEL jest już używany przez niecnych ludzi w celu wyłudzania pożyczek. Muszę zmienić płeć, aby otrzymać nowy numer? Jak żyć? Czemu w ogóle ma to być mój problem, jeśli wyciekły te dane do osób złośliwych, skoro na każdym kroku muszę te dane udostępniać, poczynając od kuriera np. przy umowie o kartę sim.

    • https://obywatel.gov.pl/dokumenty-i-dane-osobowe/zmien-numer-pesel

      Wygląda na to, że o ile nie udowodnisz, że urodziłeś się w innym dniu lub doszło do pomyłki przy nadaniu PESEL, to jedyna możliwość to zmiana płci…

      Może pora na zmianę przepisów dot. nadawania PESEL

    • Słusznie narzekasz. Miej pretensje do państwa, które Cię znakuje niezmienialnym, niepowtarzalnym kodem, by łatwo łączyć informacje z różnych baz o Tobie. Kodem stworzonym przez zbrodniarzy z SB w celu inwigilacji całego narodu.

      Jedyne rozwiązanie to bycie poza systemem – praca na czarno, bez konta w banku, do tego kryptowaluty i fizyczne złoto ukryte w bezpiecznym miejscu itd.

    • Tak było kiedyś. Teraz każdy (nawet obcokrajowiec) posiadający prawo stałego pobytu albo zamieszkujący w jednym miejscu na pobycie czasowym dłuższym niż 3 miesiące otrzymuje numer PESEL – obecnie gminy nie prowadzą już indywidualnych rejestrów mieszkańców. Analogicznie w USA dostając permanent residence i będąc objętym ich obowiązkiem podatkowym musisz wyrobić sobie SSN, bo w Stanach jest to identyfikator podatkowy tak samo, jak u nas NIPy i PESELe.

  17. No głupszej rzeczy dawno nie słyszałem. Niech teraz ktoś podszyje się za jakiegoś pracodawcę i wyśle “zawirusowany” (spreparowany przez siebie) plik. Antywirus nie koniecznie zadziała, zaś pracownik ZUS otworzy taki plik infekując swoją stację. Pewnie nie będzie to osoba z recepcji tylko z działu, który ma dostępy do wielu ważnych systemów. Zatem atakujący ma łatwą drogę do uzyskania dostępu do naszych danych. Ehhhh…..

  18. A nawiązując do rewelacji ogłoszonych przez Michała Stanka (wspominanych w artykule) – czy Niebezpiecznik podjął by się wyjaśnienia, czym skutkują odkryte niedoskonałości w implementacji szyfrowania w 7z? I o co tak naprawdę chodzi z tym IV? Tak, dla nie bardzo obeznanych z kryptografią. Ja bardzo proszę.

  19. A ja przyznaje, że po przeczytaniu pisma wrzuciłem je do niszczarki, bo uznałem za spam i próbę wyłudzenia właśnie. U mnie prosili o wysyłanie maila na adres ania@zus i jola@zus ale jak ja proszę o coś ZUS to on mi nie odpowiada, więc nie widzę powodu by odpowiadać na prośby ZUS :)

  20. Bo to zła_kontrola była!

  21. Pracownik ZUSu wysyłając coś na zewnątrz ma obowiązek szyfrować/ hasłować załączniki. Nie podawać w treści wiadomości danych osobowych, wystarczy krótka informacja, że przesyła się … A jak adresat ma poznać hasło? Wystarczy krótkie zdanie: Plik/załącznik ma hasło, proszę o kontakt telefoniczny.
    Dane pracownika z telefonem są w stopce wiadomości. Proste.
    Dziwię się, ZUS nie skorzystał z epuapu.

  22. A ja trochę nie na temat. Serio? Ale tak serio serio? W Zabrzu jest ulica Szczęść Boże???
    Myślałam, że to taka podpowiedź, że pismo jest fałszywe :D

    • Jest to pozdrowienie. Nad wejściem do kopalni często je widać.

Odpowiadasz na komentarz Krzysiek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: