Newsy

Nowe systemy biletowe muszą lepiej chronić dane osobowe pasażerów. To cenny łup dla cyberprzestępców

2024-06-04  |  06:25

Kolejne miasta wdrażają lub opracowują nowe systemy płatności za komunikację miejską. Mają one przede wszystkim być proste i wygodne w obsłudze, ale przy pełnym bezpieczeństwie danych pasażerów. – Systemy biletowe muszą być skonstruowane w taki sposób, by nie naruszały prywatności pasażerów i właściwie chroniły ich dane osobowe. Mogą one być cennym łupem dla przestępców – podkreśla Konrad Komornicki, zastępca prezesa Urzędu Ochrony Danych Osobowych. To istotne zwłaszcza w kontekście wchodzącej w życie w październiku dyrektywy NIS2, która zaostrza unijne przepisy dotyczące cyberbezpieczeństwa.

W lutym 2023 roku z poważnym atakiem mierzył się system Śląskiej Karty Usług Publicznych, która była wówczas głównym nośnikiem biletów komunikacji miejskiej w Górnośląsko-Zagłębiowskiej Metropolii. Z kolei pod koniec czerwca ubiegłego roku atak hakerski sparaliżował działanie systemu w Olsztynie, przez co miasto uruchomiło czasową sprzedaż specjalnych biletów papierowych, również okresowych. Utrudnienia trwały kilka miesięcy.

– Mieliśmy w kraju przypadki dużych awarii systemów biletowych. Jedno z miast wojewódzkich prawie miesiąc podnosiło się po awarii, poniosło przy tym bardzo duże koszty nie tylko finansowe, ale i wizerunkowe – mówi agencji Newseria Biznes Konrad Komornicki. – Do tej pory w mojej ocenie systemy biletowe w komunikacji miejskiej działają sprawnie. Nie mamy zgłoszeń co do wycieku danych, awaryjności, bardziej jest to jakiś błąd ludzki, polegający na tym, że te dane nie tam zostały przesłane, gdzie trzeba, ale nie chodzi o cały system biletowy.

Nad nowym systemem biletowym pracuje m.in. Warszawa. Zgodnie z zapowiedziami władz miasta ma być gotowy za dwa–trzy lata. Umożliwi opłatę za przejazd za pomocą karty płatniczej, telefonu, smartwatcha i karty miejskiej, ale także zaplanowanie podróży. Nowy system biletowy jest wdrażany także na Pomorzu, z kolei mieszkańcy Wrocławia już płacą za przejazdy w nowoczesny sposób. Operatorzy systemów podkreślają, że bez względu na zastosowane w nich technologie muszą one być przede wszystkim wygodne i łatwe w obsłudze. Ważne jest jednak, by nie naruszały prywatności użytkowników i zapewniały skuteczną ochronę danych osobowych.

Ważne jest też prawidłowe przeprowadzenie oceny skutków dla ochrony danych przy wdrażaniu w komunikacji nowoczesnych rozwiązań, w których mają być przetwarzane dane pasażerów.

– Jest bardzo duża pokusa i to widać przy zastosowaniu nowych technologii, w dobie rozwijającej się sztucznej inteligencji, jak również w dobie dużej pokusy w przetwarzaniu naszych danych biometrycznych. Musimy reagować na bieżąco, prowadzić działalność edukacyjną, działalność wskazującą pewne ryzyka, jeśli chodzi o przetwarzanie danych. To administrator decyduje, jakie środki techniczno-organizacyjne i regulacyjne wprowadzi u siebie – przypomina ekspert UODO.

Podmioty projektujące i wdrażające nowoczesne systemy biletowe muszą się stosować do wskazanych w RODO zasad privacy by design i privacy by default. Dzięki temu już na etapie planowania zostanie uwzględniona ochrona danych przetwarzanych w ramach takich rozwiązań, co znacznie ułatwi zapewnienie odpowiedniego poziomu bezpieczeństwa.

– Administrator takiego systemu nie może przetwarzać danych bez wyraźnej zgody osoby, której te dane dotyczą. Innymi słowy, nie może podejmować operacji na tych danych, jeśli nie było wyraźnej zgody osoby, której te dane dotyczą – zauważa Konrad Komornicki. – Jeszcze 16 lat temu w jednym z dużych miast była funkcjonalność zbierania danych z kasownika, jeśli chodzi o wejścia, wyjścia, gdzie było to spersonalizowane. Ta funkcja decyzją Generalnego Inspektora Ochrony Danych Osobowych została wyłączona.

Przedstawiciel UODO przypomina, że wszyscy organizatorzy i operatorzy systemów biletowych muszą brać pod uwagę kwestie związane z ochroną danych osobowych. Administrator musi przeprowadzić ocenę skutków nowego systemu dla prywatności użytkowników, stwierdzić, czy pobierane dane są adekwatne, jakie są systemy zabezpieczeń, jak szacować ryzyka. Administratorzy muszą również uwzględnić, jakie prawa mają osoby, których dane będą przetwarzane. Jakakolwiek zmiana i operacja zmiany danych wymaga zgody użytkownika.

– Wszelkie regulaminy i instrukcje powinny być rzetelne, czyli powinny być pisane językiem zrozumiałym dla każdego pasażera, powinny być prawdziwe i aktualne. Dzięki temu odbiorca takiego systemu, pasażer, będzie miał łatwość i przyswajalność pewnych regulacji i jego praw, które wynikają z przetwarzania jego danych osobowych – ocenia zastępca prezesa UODO.

Przestrzeganie bezpieczeństwa danych jest istotne zwłaszcza w kontekście dyrektywy NIS2, która zaostrza unijne przepisy dotyczące cyberbezpieczeństwa. Wprowadza większe wymagania w zakresie zarządzania, ujawniania luk w zabezpieczeniach, testowania poziomu cyberbezpieczeństwa oraz wykorzystania szyfrowania. Dyrektywa weszła w życie w 2023 roku, a do 18 października 2024 roku wszystkie podmioty muszą się do niej dostosować.

– Jeśli chcesz mieć pokój, szykuj się do wojny, w tym przypadku, jak chcesz mieć bezpieczny system biletowy, szykuj się na atak hakerów. Dane przetwarzane przez jednostki samorządu terytorialnego, w tym przypadku mówimy o operatorze transportu, to dane, w których pozyskiwany jest PESEL do wyrobienia spersonalizowanej karty miejskiej, ale również inne dane wrażliwe. To bardzo cenny łup dla cyberprzestępców – podkreśla Konrad Komornicki.

Z jednej strony potrzebna jest taka budowa systemu, która będzie minimalizować ryzyka. Z drugiej strony – konieczna jest odpowiednia świadomość konsumentów. Jak wynika z badania „Wiedza na temat bezpieczeństwa ochrony danych osobowych w Polsce” przeprowadzonego na zlecenie ChronPESEL.pl i Krajowego Rejestru Długów, o tym, jakie działania należy podjąć w przypadku kradzieży danych osobowych, wie niespełna 56 proc. respondentów. W przypadku wycieku danych z serwisu lub aplikacji, w której ma się konto, tylko 45 proc. ich posiadaczy wiedziałoby, jak się zachować.

– Mieliśmy przykład dużej akcji w internecie, szczególnie na portalach społecznościowych, cyberprzestępców podszywających się między innymi przez jednego z operatorów transportu w celu wyłudzenia środków finansowych. Sprawna akcja samego operatora, jak również świadomość odbiorców aplikacji pokazała, że ta akcja na szczęście nie okazała się sukcesem cyberprzestępcy – mówi ekspert UODO.

Czytaj także

Kalendarium

Więcej ważnych informacji

Konkurs Polskie Branży PR

Jedynka Newserii

Jedynka Newserii

Handel

Branża tytoniowa alarmuje o drastycznych podwyżkach akcyzy. Są kilkukrotnie wyższe od zaplanowanych do 2027 roku

Ministerstwo Finansów chce wprowadzić drastyczne podwyżki akcyzy na wyroby tytoniowe. Ich skala ma być kilkukrotnie większa, niż zakładała obowiązująca od 2022 roku mapa akcyzowa, czyli porozumienie wypracowane po długich konsultacjach z rynkiem. Już w przyszłym roku akcyza na wyroby tytoniowe, zamiast o pierwotnie zakładane 10 proc. na wszystkie kategorie wyrobów, ma wzrosnąć: o 25 proc. na papierosy, o 38 proc. na tytoń do palenia oraz o 50 proc. na wkłady do podgrzewaczy tytoniu. Nowością jest objęcie podwyżkami również płynów do e-papierosów, na które w 2025 roku akcyza wzrośnie o 75 proc.

Bankowość

Większość małych i średnich firm przez całą swoją działalność nie zmienia banku. Wysoko oceniają dostępność do usług bankowych

Mikro-, małe i średnie firmy są surowymi recenzentami usług bankowych, ale mimo to ich ocena pozostaje dość wysoka – mówi Wojciech Terlikowski z CBM Indicator. Kredyt bankowy jest drugim – po środkach własnych – najpopularniejszym źródłem finansowania działalności MŚP, ale firmy chętnie korzystają również z kredytów inwestycyjnych czy kart kredytowych. Są zainteresowane także dodatkowymi usługami ze strony banków, np. doradztwem przy pozyskiwaniu środków UE. Ekspert wskazuje, że to przekłada się na lojalność klientów – przedsiębiorcy przywiązują się do banków i rzadko je zmieniają.

Przemysł

W Polsce rośnie tempo robotyzacji. Pod względem zaangażowania robotów w przemyśle przegrywa wyścig z innymi krajami regionu

Z niemal 18 tys. robotów zainstalowanych w sektorze przetwórstwa przemysłowego Polska znajduje się na szóstym miejscu w UE. Jednak na 10 tys. pracowników zatrudnionych w tej branży przypada 54,6 robota, znacznie mniej niż nie tylko na Zachodzie, ale i w krajach Grupy Wyszehradzkiej. Jednocześnie 76 proc. przedsiębiorców badanych przez Polski Instytut Ekonomiczny zgadza się, że robotyzacja i automatyzacja będzie coraz bardziej stanowiła o przewadze konkurencyjnej firm na rynku.

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.