Ministerstwo Finansów zaspamowało adresy e-mail 360 000 podatników

Podnoszenie jakości usług świadczonych przez administrację publicznej jest dobre. Masowe rozsyłanie ankiet na adresy podatników kierujących na serwery firm prywatnych… niekoniecznie.

Podejrzany mailing od Ministerstwa Finansów
W ostatnich dniach bardzo dużo osób pisało do nas w sprawie e-maili z Ministerstwa Finansów, które zachęcały do wzięcia udziału w ankiecie dotyczącej systemu e-Deklaracje. Czytelnicy byli oburzeni, że ministerstwo bez pytania przesłało im niechcianą korespondencję, czyli zaspamowało ich skrzynki e-mail.

Co więcej, choć maile były rozsyłane z adresu ankietaPB@mf.gov.pl, przesyłana podatnikom ankieta została stworzona przez Politechnikę Białostocką i zachęcała do otworzenia linku kierującego do ankiety na stronie serwisu Interankiety.pl. Z tego powodu niektórzy z Czytelników, podejrzewali nawet, że e-mail jest próbą ataku phishing i ktoś, kto podszywa się pod Ministerstwo Finansów chce wyłudzać informacje.

Dla tych, którzy całkiem słusznie, obawiali się klikania w linki prowadzące do pozarządowych domen, pokazujemy co kryło się pod linkiem do Interankiety.pl, czyli serwisu prowadzonego przez działalność gospodarczą “sixpoints – Jędrzej Koronowicz”:

Ministerstwo Finansów nie zebrało odpowiedniej zgody

Zacznijmy od tego, że Ministerstwo Finansów nie powinno rozsyłać takiego mailingu. Owszem, miło jest pomagać naukowcom, ale instytucje publiczne działają na zasadach trochę innych niż firmy. Firmy najczęściej mogą robić to, co nie jest zabronione. Instytucje publiczne powinny robić tylko to, do czego zostały powołane i prawnie umocowane. Zauważcie, że w czasie rejestrowania konta na portalu podatkowym (to jedna z form składania e-deklaracji) wyświetlana jest poniższa informacja.

Portal podatkowy ma służyć do kontaktu, ale w celu załatwiania spraw urzędowych. Podatnik wyraża zgodę na otrzymywanie informacji dotyczących swojego profilu. Nie widzimy tutaj zgody na otrzymywanie innej korespondencji (np. związanej z badaniami naukowymi). Dlatego właśnie wielu naszych Czytelników nazwało tę korespondencję “zwykłym spamem” i trudno się z nimi nie zgodzić.

Co na to Ministerstwo Finansów?

Spytaliśmy o sprawę Ministerstwo Finansów. Odpisał nam “Wydział prasowy”. Chcieliśmy wiedzieć m.in. kto był inicjatorem badania i dowiedzieliśmy się, że “inicjatorem była Politechnika Białostocka“. To samo w sobie mogłoby być impulsem do dalszych pytań np. “co musiałbym zrobić, aby MF wypromowało moje badania?“. Wiemy, że różni ludzie na uczelniach robią bardzo ciekawe badania 😉

Zresztą, my też byśmy chcieli, tak jak Pani dr hab. Joanna Ejdys, prof. nzw.przeprowadzić badanie np. na temat świadomości użytkowników e-deklaracji w zakresie bezpieczeństwa IT ze szczególnym uwzględnieniem rozpoznawania phishingu wyłudzającego dane w imieniu instytucji rządowych. Czy Ministerstwo umożliwiłoby nam taki darmowy mailing? Mamy naprawdę świetny pomysł na akcję edukacyjną!

Z odpowiedzi Ministerstwa Finansów dowiedzieliśmy się także, że…

Rozesłano ok. 360 tys. wiadomości mailowych i na dzień 15 maja 2018 wpłynęły 1932 odpowiedzi. Ministerstwo nie planuje kontynuacji wysyłki mailowej do kolejnych podatników ze względu na osiągnięcie minimalnego progu zapewniającego reprezentatywność próby wypełnionych ankiet. [MF] nie planuje też podobnych akcji mailingowych w przyszłości. Badanie zaplanowano jako jednorazowe, (…) celem było zbadanie satysfakcji podatników z funkcjonalności systemu e-Deklaracje, a wyniki posłużą do udoskonalenia systemu.

Ministerstwo Finansów zastrzegło sobie dostęp do wyników w postaci wypełnionych ankiet oraz do “danych mailowych”, jednak wyniki zostaną przekazane Politechnice “tylko w postaci zagregowanej”. Firma “sixpoints – Jędrzej Koronowicz”, jako serwis Interankiety.pl, ma jednak do nich pełny dostęp.

Spytaliśmy też Ministerstwo, czy jego zdaniem bezpiecznie jest rozsyłać do wielu osób e-maile zachęcające do klikania w jakiś link.

Informacja o przeprowadzonym badaniu, jego terminie, nazwie skrzynki wyjściowej oraz zawartości rozsyłanych wiadomości została umieszczona na stronie Ministerstwa Finansów, zatem w przypadku pojawienia się jakichkolwiek wątpliwości po stronie odbiorcy wiarygodność otrzymanej wiadomości można zweryfikować.
https://www.e-deklaracje.gov.pl/web/bip/ministerstwo-finansow/wiadomosci/komunikaty/-/asset_publisher/6Wwm/content/podatnicy-otrzymaja-ankiete-dot-systemu-e-deklaracje?redirect=https%3A%2F%2Fwww.e-deklaracje.gov.pl%2Fweb%2Fbip%2Fministerstwo-finansow%2Fwiadomosci%2Fkomunikaty%3Fp_p_id%3D101_INSTANCE_6Wwm%26p_p_lifecycle%3D0%26p_p_state%3Dnormal%26p_p_mode%3Dview%26p_p_col_id%3Dcolumn-2%26p_p_col_count%3D1%26p_r_p_564233524_tag%3Dbud%2525C5%2525BCet#p_p_id_101_INSTANCE_6Wwm_

To bardzo dobry pomysł na “potwierdzenie” że rozsyłane e-maile są wiarygodne. Ale czy ktokolwiek z odbiorców o tym wiedział? Chyba nie, bo nasi Czytelnicy nie byli w 100% pewni, czy korespondencja pochodziła od ministerstwa i chyba większości z nim nie przyszło do głowy, żeby szukać powyższej notatki.

Co ciekawe, nawet w tym oficjalnym komunikacie — zapowiedzi badania — znalazło się zdanie, które sugeruje, że ministerstwo było świadome pewnego ryzyka:

Jednocześnie informujemy, że wiadomości nie będą zawierać żadnych wezwań do zapłaty podatku, ani załącznika w formie pliku.

Napiszemy tylko krótko, że administracja publiczna nie powinna świadczyć usług mailingu dla żadnego podmiotu, nawet przy badaniach naukowych czy akcjach charytatywnych. Jeśli jakiś urząd musi to robić (a uważamy, że każdy powinien sprawdzać “zaufanie do technologii informatycznych” i ulepszać swoje usługi, wsłuchując się w głos “petentów”), to powinien po prostu wcześniej uzyskać zgody obywateli. I najlepiej badanie przeprowadzić na swoich serwerach, a nie serwerach firmy trzeciej.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *