Breșa de securitate în penitenciarele românești
Ministerul Justiției a oferit prima reacție după ce doi deținuți au reușit să pătrundă în serverele interne ale penitenciarului Târgu Jiu și să-și modifice propriile sentințe. Cei doi ar fi exploatat vulnerabilități din rețeaua instituției, ajungând să schimbe date legate de durata pedepselor, recompense și evidențe financiare.
Accesul ar fi fost posibil prin folosirea parolei neactualizate a unui polițist, ceea ce le-a permis să intre în aplicația internă folosită de angajați. Din interior, ar fi modificat mai multe câmpuri din baza de date, reducându-și perioada de detenție și adăugând recompense care nu existau în realitate.
„Comunicat de presă al Administrației Naționale a Penitenciarelor cu privire la vehicularea, în spațiul public, a unor informații privind o presupusă breșă de securitate în cadrul Penitenciarului Târgu Jiu. În urma semnalării unui posibil incident informatic în cadrul Penitenciarului Târgu Jiu, au fost dispuse și efectuate multiple verificări, din perspectivă tehnică, pentru izolarea și remedierea situației semnalate, prin grija direcției de specialitate, ținând cont de faptul că baza de date internă a sistemului penitenciar românesc este una la nivel național.
Totodată, au fost întreprinse verificări ample și de către Direcția Inspecție Penitenciară din cadrul Administrației Naționale a Penitenciarelor, în vederea identificării împrejurărilor care au condus la producerea acestui incident și a persoanelor care se fac responsabile de acesta. Concomitent, a fost dispusă sesizarea tuturor instituțiilor abilitate în vederea cercetării incidentului și a dispunerii măsurilor în consecință (IPJ Gorj, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, Directoratul Național pentru Securitate Cibernetică), precum și notificarea, pentru sprijin în colectarea și analiza datelor, a firmei dezvoltatoare a aplicației informatice în cauză.
Demersul instituțional a implicat multiple verificări, instituția penitenciară luând imediat măsurile necesare de izolare a incidentului și de remediere a situației. Precizăm că incidentul informatic în cauză nu reprezintă o spargere a bazelor de date, ci o afectare temporară a confidențialității și integrității unor seturi de date. Reiterăm faptul că la nivelul sistemului administrației penitenciare nu au mai fost înregistrate evenimente similare și asigurăm opinia publică de faptul că, la nivel tehnic, au fost implementate toate corecțiile necesare. De asemenea, instituția va informa publicul cu privire la concluziile anchetei și asigură opinia publică că ANP a luat măsuri prompte și eficace, iar persoanele responsabile vor fi trase la răspundere, în condițiile legii,” au scris aceștia.
Surse din anchetă spun că unul dintre deținuți s-ar fi lăudat în fața altor colegi de celulă cu accesul obținut, ceea ce a dus, în cele din urmă, la denunțarea sa. În urma verificărilor, Administrația Națională a Penitenciarelor (ANP) a confirmat existența unui incident informatic și a declanșat o anchetă internă, alături de specialiști în securitate cibernetică.
Deținutul considerat principalul autor s-a ales deja cu un nou dosar penal, pentru acces ilegal la un sistem informatic și alterarea de date oficiale, fapte care îi pot adăuga până la 7 ani suplimentari de închisoare. Nu este însă un caz izolat. Recent, și la Spitalul Penitenciarului Dej a avut loc un incident similar, în care un deținut a accesat baza de date a instituției de pe o tabletă, reușind să vizualizeze documente interne.
Reprezentanții Federației Sindicatelor din Administrația Națională a Penitenciarelor susțin că aceste breșe sunt consecința directă a unei aplicații informatice prost implementate în 2023.
Platforma ar fi fost introdusă în grabă, „ca să nu se piardă finanțarea”, fără audit de securitate și fără proceduri clare de utilizare.