Sindicatul Național al Polițiștilor de Penitenciare (SNPP) a făcut dezvăluiri extrem de grave cu privire la o uriașă breșă de securitate produsă în sistemul Administrației Naționale a Penitenciarelor. Un deținut de la Penitenciarul Târgu Jiu a reușit să aibă acces la sistemul informatic după ce a folosit sistemul informatic de la un infochioșc pe care persoanele încarcerate au dreptul să îl folosească oricând.
Deținutul în cauză era unul cu regim deschis de executare a pedepsei, el fiind în spatele gratiilor tocmai pentru fraude informatice. Acum a putut să își exercite din plin aptitudinile și a generat probleme pe care cei de la ANP nu le-au anticipat și, mai grav, chiar au încercat să le mușamalizeze.
„Acest deținut a venit din Penitenciarul Timișoara în luna august, având un cont și o parolă obținută de pe la Penitenciarul Spital Dej. A făcut tot felul de tatonări pe infochioșcul unității ca să se acomodeze. Cert este că a spart aplicația și a intrat în ea cu drepturi depline asupra întregului sistem. Nu era vorba de a modifica în aplicație ceva legat doar de Târgu Jiu, contul îi permitea acces în tot sistemul la toți deținuții din sistem. S-a orientat cum funcționează treaba și a început să facă modificări în aplicație. Modifica sume de bani intrate sau ieșite de la deținuți, modifica cumpărăturile făcute de deținuți, în sensul că ștergea activitatea de cumpărare a unor bunuri și acei bani le reveneau înapoi în cont. La un moment dat, pe fondul introducerii unor sume de bani în conturile a 15 deținuți, a încercat, din tastatură, să bată 5 milioane de lei noi, adică 1 milion de euro. Și-a dat seama că e o sumă care nu e în regulă și sare în ochi și a revenit, trecând doar 5000 de lei. A făcut lucrul acesta și pentru deținuți din alte penitenciare, Pelendava și Timișoara. Din Târgu Jiu introducea sume și la conturile deținuților din alte penitenciare. Avea acces deplin în sistem pentru că avea cont de administrator, care nu fusese retras de structura centrală a ANP. Eu m-am și mirat că a fost posibil să umble cineva pe calculatorul directorului și nimeni să nu vadă. Treaba a durat vreo lună în perioada august – septembrie. Un agent de la Financiar, mai chichiricioasă, a văzut că îi dă cu minus cu sumele de bani ale deținuților și a raportat evenimentul la ANP. ANP a încercat să ascundă gunoiul sub preș și, imediat după, într-un consiliu de conducere, eu am anunțat directorul general cu privire la cele întâmplate, cerând măsuri și controale. S-a mușamalizat toată povestea până prin 6 octombrie. Nu a fost anunțat niciun penitenciar cu privire la acest aspect”, a declarat liderul sindical Florin Șchiopu.
Acesta spune că și la penitenciarul de la Dej un alt deținut a accesat sistemul informatic, reușind de pe o tabletă, de exemplu, să programeze imprimantele din secretariat să funcționeze în limba portugheză. „Am întrebat și la Dej, după ce un deținut de acolo s-a lăudat că ce a făcut deținutul de la Târgu Jiu e chiar nimic, în sensul că aici s-a folosit de tastatura pe care o avea la dispoziție. Deținutul era în regim deschis și de aceea avea acces permanent la infochioșc. Cel de la Dej era din organizația Anonymous și doar cu mouse-ul le-a demonstrat că poate să intre în aplicație, având acces total asupra sistemului. Atunci s-au retras parolele, dar între timp cel de la Târgu Jiu își crease vreo 5 parole de acces ca administrator la nivel general. Am raportat directorului general și de situația de la Dej și au lăsat-o așa. Prin octombrie povestea a fost comunicată unităților din teritoriu, timp în care deținutul putea să acceseze absolut tot. A intervenit pe recurs compensatoriu și a dat zile câștig pe condițiile de detenție, ceea ce e foarte grav. La Târgu Jiu a venit o doamnă al cărei soț trebuia să se elibereze, le-a spus, unitatea a raportat Bucureștiului, au venit unii de la DIP, au vorbit doar cu cei de la IT, în condițiile în care cu 2-3 săptămâni înainte supraveghetorii și o șefă de tură raportaseră povestea asta. Deținutul, fiind în regim deschis, avea libertatea să stea. Nu avea restricții la infochioșc. La regimul deschis nu închizi ușile nici măcar pe timpul nopții. Baia e pe hol în apropiere, avea acces. Conducerea ANP, directorul general Bogdan Burcu, putea să ia măsuri, știa de poveste. A ales să ascundă povestea sub preș. Penitenciarul Târgu Jiu și-a luat măsuri după ce a aflat despre situație, a comparat toate informațiile cu ceea ce exista în aplicație, dar nu știm ce a fost în țară atâta timp cât deținutul avea acces la întregul sistem”, a mai precizat liderul sindical.
Ce măsuri a luat ANP
Administrația Națională a Penitenciarelor a reacționat la situația respectivă, menționând că a luat măsuri pentru a preveni o breșă de securitate, contrar celor menționate de liderul sindical. „În urma semnalării unui posibil incident informatic în cadrul Penitenciarul Tg. Jiu, au fost dispuse și efectuate multiple verificări, din perspectivă tehnică, pentru izolarea și remedierea situației semnalate, prin grija direcției de specialitate, ținând cont de faptul că baza de date internă a sistemului penitenciar românesc este una la nivel național. Totodată, au fost întreprinse verificări ample și de către Direcția Inspecție Penitenciară din cadrul Administrației Naționale a Penitenciarelor, în vederea identificării împrejurărilor care au condus la producerea acestui incident și a persoanelor care se fac responsabile de acesta. Concomitent, a fost dispusă sesizarea tuturor instituțiilor abilitate în vederea cercetării incidentului și a dispunerii măsurilor în consecință (IPJ Gorj, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, Directoratul Național pentru Securitate Cibernetică), precum și notificarea, pentru sprijin în colectarea și analiza datelor, a firmei dezvoltatoare a aplicației informatice în cauză. Demersul instituțional a implicat multiple verificări, instituția penitenciară luând imediat măsurile necesare de izolare a incidentului și de remediere a situației. Precizăm că incidentul informatic în cauză nu reprezintă o spargere a bazelor de date, ci o afectare temporară a confidențialității și integrității unor seturi de date. Reiterăm faptul că la nivelul sistemului administrației penitenciare nu au mai fost înregistrate evenimente similare și asigurăm opinia publică de faptul că, la nivel tehnic, au fost implementate toate corecțiile necesare. De asemenea, instituția va informa publicul cu privire la concluziile anchetei și asigură opinia publică ca ANP a luat măsuri prompte și eficace, iar persoanele responsabile vor fi trase la răspundere, în condițiile legii”, a transmis ANP.
Gelu Ionescu
SNPP acuză conducerea ANP: „Pasivitate și acoperire”
SNPP nu se limitează la faptele de natură tehnică, ci lansează acuzații dure la adresa directorului general al ANP, comisarul-șef Geo Bogdan Burcu. Acesta este acuzat de incompetență, pasivitate și chiar tentative de mușamalizare. „Directorul General ANP a manifestat o relaxare și pasivitate incredibile sau, mai degrabă, a încercat să pună batista pe țambal și să țină situația la sertar”, afirmă sindicatul. Mai mult, SNPP susține că semnale neoficiale privind activități suspecte fuseseră transmise de angajați cu săptămâni înainte de descoperirea oficială, dar au fost ignorate.
Incidentul de la Penitenciarul Târgu Jiu pune sub semnul întrebării securitatea întregului sistem penitenciar românesc. Un hacker experimentat, aflat în detenție, a demonstrat cât de ușor pot fi manipulate date critice din interior, fără o infrastructură IT sigură și fără o conducere vigilentă. „Poliția Penitenciară este un sistem complex, în general bine organizat, dar și total vulnerabil în fața hackerilor”, avertizează SNPP. Pe lângă ancheta penală în curs, sindicatul solicită măsuri urgente de securizare a infrastructurii informatice, instruirea personalului și demiterea conducerii actuale a ANP, responsabilă – în opinia lor – de cel mai grav incident informatic cunoscut vreodată în sistemul penitenciar din România.
Reacția ministrului Justiției
Radu Marinescu, ministrul Justiției, a declarat că în prezent se fac verificări amănunțite după cazul descoperit la Penitenciarul Târgu Jiu. Acesta a respins categoric ideea că s-ar încerca ascunderea situației.
„În momentul în care au fost descoperite aceste fenomene, s-a intervenit imediat de către Administrația Națională a Penitenciarilor, din informațiile pe care le-am primit s-au luat măsuri care vizează multe coordonate, au fost implementate un număr de peste 20 de măsuri, s-a luat legătura cu toate structurile care au competențe în domeniul siguranței informației din sistemul penitenciar și este în curs o investigație care va conduce la aflarea deplină a adevărului și tragerea la răspunderea tuturor celor vinovați. (…) Deja au fost luate măsuri, breșa de securitate a fost imediat oprită, a fost izolată, au fost culese probele necesare, identificate persoanele care ar putea să aibă responsabilitate. Este un proces de tragere la răspundere în momentul de față, paralel cu securizarea informatică și luarea măsurilor necesare pentru ca pe viitor astfel de lucruri să nu se mai întâmple”, a declarat ministrul Justiției.
Izabella Molnar
Ce mai discutam atăt , conducerea Penitenciarulu Targu Jiu trebuie demisă urgent pentru incompetenta si gasiti oameni capabili care sunt corecti sț nu corupti ca actualii. Simplu!