07.07.2026

CyberSec Update #27: Komunikator jako źródło kłopotów

Komunikator jako źródło kłopotów

Tak się złożyło, że w dość krótkim odstępie czasu dwa polskie organy zajęły stanowiska odnośnie korzystania z komunikatorów Signal i Whatsapp. Choć sprawy są od siebie niezależne i dotyczą różnych obszarów, łączy je wspólny mianownik – bezpieczeństwo posługiwania się komunikatorami.

Signal celem ataków grup APT

Wątpliwości dotyczące korzystania z komunikatora Signal wyraził Pełnomocnik Rządu ds. Cyberbezpieczeństwa. Informacje płynące ze strony krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) wskazują na rosnące ryzyko ataków wykorzystujących techniki socjotechniczne, w tym podszywanie się pod obsługę techniczną aplikacji.

Pełnomocnik Rządu ds. Cyberbezpieczeństwa w wydanych przez siebie rekomendacjach zwraca uwagę, że z komunikatora Signal korzystają także osoby zajmujące eksponowane stanowiska publiczne oraz pracownicy instytucji państwowych. W takich przypadkach przejęcie kontroli nad komunikacją może stanowić bezpośrednie zagrożenie dla bezpieczeństwa państwa oraz poufności przetwarzanych informacji.

Ponadto zwraca uwagę, że dla zapewnienia wysokiego poziomu bezpieczeństwa komunikacji służbowej Ministerstwo Cyfryzacji rekomenduje korzystanie z krajowych rozwiązań przeznaczonych dla administracji publicznej, takich jak komunikator mSzyfr zarządzany przez NASK-PIB oraz system SKR-Z, będący systemem łączności niejawnej.

WhatsApp jako przykład niewystarczających środków bezpieczeństwa

Prezes UODO z kolei nie tylko zajął stanowisko, ale również nałożył karę administracyjną na przedsiębiorcę będącego podmiotem przetwarzającym, którego pracownicy korzystali z aplikacji Whatsapp do komunikacji w toku danego projektu sprzedażowego.

W ramach prowadzonej komunikacji, oprócz poleceń służbowych, przesyłano również skany oraz zdjęcia umów zawieranych z klientami administratora. W konsekwencji na administratora oraz pozostałe podmioty przetwarzające nałożono dodatkowo upomnienia.

Źródłem naruszenia po stronie podmiotu przetwarzającego była świadoma decyzja o dopuszczeniu do korzystania z aplikacji WhatsApp przez pracowników, poza wiedzą i kontrolą administratora.

Z kolei nieprawidłowości po stronie administratora polegały na niedopełnieniu przez niego obowiązków w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych. Zdaniem Prezesa UODO administrator nie zweryfikował w sposób właściwy podmiotu przetwarzającego czy zapewnia on wystarczające gwarancje wdrożenia wskazanych środków. 

Decyzja Prezesa UODO w tej sprawie nie jest prawomocna.

Dwa komunikatory – różne wnioski

Choć obie sprawy dotyczą komunikacji prowadzonej za pomocą popularnych aplikacji, źródła zastrzeżeń organów są odmienne.

W przypadku Signal kluczowym zagrożeniem jest ukierunkowanie działań grup APT na konkretne osoby, w szczególności przedstawicieli administracji publicznej.

Z kolei w przypadku WhatsApp problem wynikał z przetwarzania danych osobowych z wykorzystaniem nieautoryzowanego narzędzia, nawet jeśli – jak wskazywał podmiot przetwarzający – miało ono pełnić jedynie funkcję pomocniczą przy realizacji umów.

Oba przypadki pokazują, że bezpieczeństwo komunikacji nie zależy wyłącznie od samej aplikacji, lecz przede wszystkim od sposobu jej wykorzystania oraz przyjętych zasad organizacyjnych.

1 2 3 55

Newsletter

Chcesz być na bieżąco?
Zapisz się do naszego newslettera

Wpisując powyżej swój adres e-mail i klikając „Subskrybuję!” oświadczasz, że zapoznałeś/aś się i akceptujesz Regulamin serwisu oraz zapisujesz się do newslettera, czyli informacji o tematyce prawniczej, w tym informacji o istotnych wydarzeniach z dziedziny prawa, zmian legislacyjnych oraz działalności, usługach i produktach Kancelarii, za pośrednictwem komunikacji e-mail.

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu realizacji usługi newslettera, a tym samym wysyłania na podany adres e-mail informacji handlowych i marketingowych, zgodnie z Polityką Prywatności oraz Regulaminem serwisu. Więcej informacji o zasadach przetwarzania danych osobowych, w tym prawach, jakie Ci przysługują, znajdziesz w Polityce Prywatności.

Please wait...

Dziękujemy za zapisanie się do naszego newslettera