O breșă gravă de securitate a fost descoperită în sistemul informatic al Administrației Naționale a Penitenciarelor (ANP), după ce un deținut de la Penitenciarul Târgu Jiu a reușit să acceseze ilegal platforma internă și să modifice date esențiale despre pedepse, condiții de detenție și drepturile altor deținuți.
Potrivit Sindicatului Național al Polițiștilor de Penitenciare (SNPP), deținutul a fost logat în sistem peste 300 de ore, timp în care a alterat informații legate de 15 persoane aflate în custodia statului.
Vulnerabilitatea ar fi fost exploatată timp de trei luni
Cazul a ieșit la iveală abia în urmă cu o lună, însă ANP nu a comunicat public incidentul până acum. Breșa a fost semnalată de o funcționară din compartimentul de contabilitate, care a observat nereguli în sumele disponibile pentru cumpărături în sistemul intern al penitenciarului.
Investigația internă arată că deținutul fusese transferat la Târgu Jiu în luna iulie, de la Penitenciarul Timișoara.
Imediat după transfer, a reușit să se conecteze la terminalul Infochioșc - folosit de deținuți pentru diverse operațiuni administrative - folosind datele de autentificare ale unui angajat de la spitalul Penitenciarului Dej.
De atunci, a accesat zilnic sistemul, inițial pentru a efectua cumpărături fără să i se scadă banii din contul personal. "A efectuat cumpărături online de aproape 10.000 lei într-o singură lună utilizând sume obținute fraudulos prin alterarea datelor din fișele de evidență a situației financiare", se arată în raportul publicat de SNPP.
A „executat” virtual zile de pedeapsă
După primele tentative, deținutul a început să modifice date din evidențele de pedeapsă, trecând în sistem mai multe zile executate decât în realitate. Potrivit SNPP, acesta a reușit să-și reducă astfel durata detenției, iar ulterior a extins intervențiile și asupra altor persoane private de libertate.
Conform raportului sindical, 15 deținuți ar fi beneficiat de accesul ilegal la sistem: pedepse reduse, zile suplimentare de recurs compensatoriu, vizite intime nejustificate și sume de bani introduse în conturile lor fără acoperire.
Deținutul-hacker ar fi avut inclusiv acces la date sensibile de securitate, precum filmări ale intervențiilor echipelor speciale și planuri de pază. Sindicaliștii susțin că acesta intenționa să cloneze întreaga aplicație informatică a ANP.
Sindicatul Național al Polițiștilor de Penitenciare cere o anchetă urgentă și auditarea completă a sistemelor informatice din toate unitățile de detenție, avertizând că breșa de la Târgu Jiu ar putea fi doar vârful aisbergului.
ANP: „A fost o afectare temporară a confidențialității”
Administrația Națională a Penitenciarelor (ANP) susține că incidentul informatic de la Penitenciarul Târgu Jiu nu reprezintă o „spargere” a bazelor de date, ci o „afectare temporară a confidențialității și integrității unor seturi de date”.
Instituția afirmă că a luat toate măsurile necesare pentru izolarea breșei și remedierea situației, fiind în desfășurare verificări tehnice și administrative ample.
Potrivit unui comunicat oficial, după semnalarea incidentului au fost efectuate analize tehnice de specialitate pentru a stabiliza sistemul, având în vedere că baza de date informatică a penitenciarelor funcționează la nivel național. În paralel, Direcția Inspecție Penitenciară a demarat o anchetă internă pentru a identifica circumstanțele și persoanele responsabile.
ANP precizează că a notificat toate instituțiile cu atribuții în domeniu - Inspectoratul de Poliție Județean Gorj, Autoritatea pentru Protecția Datelor, Directoratul Național de Securitate Cibernetică - precum și firma care a dezvoltat aplicația informatică implicată, pentru sprijin în colectarea și analiza probelor digitale.
„Reiterăm că incidentul nu a afectat bazele de date ale sistemului, iar la nivel tehnic au fost implementate toate corecțiile necesare. Nu au existat evenimente similare anterior în cadrul sistemului penitenciar”, subliniază ANP, care dă asigurări că breșa a fost izolată, iar investigațiile continuă pentru stabilirea exactă a pagubelor și a responsabilităților.
Reacția ministrului Justiției: „Toleranță zero pentru nereguli”
Totodată, ministrul Justiției, Radu Marinescu, a anunțat că instituția pe care o conduce va lua „toate măsurile necesare” pentru a afla adevărul în cazul breșei informatice din sistemul penitenciar și pentru a sancționa persoanele responsabile. „Vom face tot ceea ce depinde de noi instituțional pentru a identifica vinovații și, mai ales, pentru a preveni pe viitor astfel de situații”, a declarat el la Digi24.
Marinescu a precizat că Administrația Națională a Penitenciarelor (ANP) este cea care gestionează direct verificările și că a fost deja izolată breșa de securitate. „S-au implementat peste 20 de măsuri, s-a lucrat cu toate structurile cu competențe în domeniul siguranței informației, cu parchetele, și este în curs o investigație care va conduce la aflarea deplină a adevărului”, a explicat ministrul.
El a adăugat că nu există indicii privind o mușamalizare a cazului și că măsurile de remediere au fost aplicate imediat după descoperirea incidentului. „Breșa a fost oprită, probele au fost culese, iar persoanele care pot avea responsabilitate sunt identificate”, a spus Marinescu, subliniind că procesul de tragere la răspundere se desfășoară în paralel cu măsuri tehnice de securizare a sistemului.
Potrivit acestuia, ancheta are un caracter penal și disciplinar, iar toate persoanele implicate vor fi verificate, inclusiv eventuali angajați ai penitenciarelor care ar fi putut sprijini deținutul. „Avem o toleranță zero pentru orice manifestare ilicită în cadrul penitenciarelor”, a punctat ministrul.
Radu Marinescu a respins ideea că vreun deținut ar fi fost eliberat în urma modificărilor din sistem și a făcut apel la sindicate și angajați să transmită toate informațiile deținute organelor de anchetă, pentru a nu compromite investigația. El a mai subliniat că este nevoie de investiții în digitalizare și modernizarea infrastructurii IT a penitenciarelor, pentru a preveni incidente similare în viitor.