Mówi: | Konrad Komornicki |
Funkcja: | zastępca prezesa |
Firma: | Urząd Ochrony Danych Osobowych |
Nowe systemy biletowe muszą lepiej chronić dane osobowe pasażerów. To cenny łup dla cyberprzestępców
Kolejne miasta wdrażają lub opracowują nowe systemy płatności za komunikację miejską. Mają one przede wszystkim być proste i wygodne w obsłudze, ale przy pełnym bezpieczeństwie danych pasażerów. – Systemy biletowe muszą być skonstruowane w taki sposób, by nie naruszały prywatności pasażerów i właściwie chroniły ich dane osobowe. Mogą one być cennym łupem dla przestępców – podkreśla Konrad Komornicki, zastępca prezesa Urzędu Ochrony Danych Osobowych. To istotne zwłaszcza w kontekście wchodzącej w życie w październiku dyrektywy NIS2, która zaostrza unijne przepisy dotyczące cyberbezpieczeństwa.
W lutym 2023 roku z poważnym atakiem mierzył się system Śląskiej Karty Usług Publicznych, która była wówczas głównym nośnikiem biletów komunikacji miejskiej w Górnośląsko-Zagłębiowskiej Metropolii. Z kolei pod koniec czerwca ubiegłego roku atak hakerski sparaliżował działanie systemu w Olsztynie, przez co miasto uruchomiło czasową sprzedaż specjalnych biletów papierowych, również okresowych. Utrudnienia trwały kilka miesięcy.
– Mieliśmy w kraju przypadki dużych awarii systemów biletowych. Jedno z miast wojewódzkich prawie miesiąc podnosiło się po awarii, poniosło przy tym bardzo duże koszty nie tylko finansowe, ale i wizerunkowe – mówi agencji Newseria Biznes Konrad Komornicki. – Do tej pory w mojej ocenie systemy biletowe w komunikacji miejskiej działają sprawnie. Nie mamy zgłoszeń co do wycieku danych, awaryjności, bardziej jest to jakiś błąd ludzki, polegający na tym, że te dane nie tam zostały przesłane, gdzie trzeba, ale nie chodzi o cały system biletowy.
Nad nowym systemem biletowym pracuje m.in. Warszawa. Zgodnie z zapowiedziami władz miasta ma być gotowy za dwa–trzy lata. Umożliwi opłatę za przejazd za pomocą karty płatniczej, telefonu, smartwatcha i karty miejskiej, ale także zaplanowanie podróży. Nowy system biletowy jest wdrażany także na Pomorzu, z kolei mieszkańcy Wrocławia już płacą za przejazdy w nowoczesny sposób. Operatorzy systemów podkreślają, że bez względu na zastosowane w nich technologie muszą one być przede wszystkim wygodne i łatwe w obsłudze. Ważne jest jednak, by nie naruszały prywatności użytkowników i zapewniały skuteczną ochronę danych osobowych.
Ważne jest też prawidłowe przeprowadzenie oceny skutków dla ochrony danych przy wdrażaniu w komunikacji nowoczesnych rozwiązań, w których mają być przetwarzane dane pasażerów.
– Jest bardzo duża pokusa i to widać przy zastosowaniu nowych technologii, w dobie rozwijającej się sztucznej inteligencji, jak również w dobie dużej pokusy w przetwarzaniu naszych danych biometrycznych. Musimy reagować na bieżąco, prowadzić działalność edukacyjną, działalność wskazującą pewne ryzyka, jeśli chodzi o przetwarzanie danych. To administrator decyduje, jakie środki techniczno-organizacyjne i regulacyjne wprowadzi u siebie – przypomina ekspert UODO.
Podmioty projektujące i wdrażające nowoczesne systemy biletowe muszą się stosować do wskazanych w RODO zasad privacy by design i privacy by default. Dzięki temu już na etapie planowania zostanie uwzględniona ochrona danych przetwarzanych w ramach takich rozwiązań, co znacznie ułatwi zapewnienie odpowiedniego poziomu bezpieczeństwa.
– Administrator takiego systemu nie może przetwarzać danych bez wyraźnej zgody osoby, której te dane dotyczą. Innymi słowy, nie może podejmować operacji na tych danych, jeśli nie było wyraźnej zgody osoby, której te dane dotyczą – zauważa Konrad Komornicki. – Jeszcze 16 lat temu w jednym z dużych miast była funkcjonalność zbierania danych z kasownika, jeśli chodzi o wejścia, wyjścia, gdzie było to spersonalizowane. Ta funkcja decyzją Generalnego Inspektora Ochrony Danych Osobowych została wyłączona.
Przedstawiciel UODO przypomina, że wszyscy organizatorzy i operatorzy systemów biletowych muszą brać pod uwagę kwestie związane z ochroną danych osobowych. Administrator musi przeprowadzić ocenę skutków nowego systemu dla prywatności użytkowników, stwierdzić, czy pobierane dane są adekwatne, jakie są systemy zabezpieczeń, jak szacować ryzyka. Administratorzy muszą również uwzględnić, jakie prawa mają osoby, których dane będą przetwarzane. Jakakolwiek zmiana i operacja zmiany danych wymaga zgody użytkownika.
– Wszelkie regulaminy i instrukcje powinny być rzetelne, czyli powinny być pisane językiem zrozumiałym dla każdego pasażera, powinny być prawdziwe i aktualne. Dzięki temu odbiorca takiego systemu, pasażer, będzie miał łatwość i przyswajalność pewnych regulacji i jego praw, które wynikają z przetwarzania jego danych osobowych – ocenia zastępca prezesa UODO.
Przestrzeganie bezpieczeństwa danych jest istotne zwłaszcza w kontekście dyrektywy NIS2, która zaostrza unijne przepisy dotyczące cyberbezpieczeństwa. Wprowadza większe wymagania w zakresie zarządzania, ujawniania luk w zabezpieczeniach, testowania poziomu cyberbezpieczeństwa oraz wykorzystania szyfrowania. Dyrektywa weszła w życie w 2023 roku, a do 18 października 2024 roku wszystkie podmioty muszą się do niej dostosować.
– Jeśli chcesz mieć pokój, szykuj się do wojny, w tym przypadku, jak chcesz mieć bezpieczny system biletowy, szykuj się na atak hakerów. Dane przetwarzane przez jednostki samorządu terytorialnego, w tym przypadku mówimy o operatorze transportu, to dane, w których pozyskiwany jest PESEL do wyrobienia spersonalizowanej karty miejskiej, ale również inne dane wrażliwe. To bardzo cenny łup dla cyberprzestępców – podkreśla Konrad Komornicki.
Z jednej strony potrzebna jest taka budowa systemu, która będzie minimalizować ryzyka. Z drugiej strony – konieczna jest odpowiednia świadomość konsumentów. Jak wynika z badania „Wiedza na temat bezpieczeństwa ochrony danych osobowych w Polsce” przeprowadzonego na zlecenie ChronPESEL.pl i Krajowego Rejestru Długów, o tym, jakie działania należy podjąć w przypadku kradzieży danych osobowych, wie niespełna 56 proc. respondentów. W przypadku wycieku danych z serwisu lub aplikacji, w której ma się konto, tylko 45 proc. ich posiadaczy wiedziałoby, jak się zachować.
– Mieliśmy przykład dużej akcji w internecie, szczególnie na portalach społecznościowych, cyberprzestępców podszywających się między innymi przez jednego z operatorów transportu w celu wyłudzenia środków finansowych. Sprawna akcja samego operatora, jak również świadomość odbiorców aplikacji pokazała, że ta akcja na szczęście nie okazała się sukcesem cyberprzestępcy – mówi ekspert UODO.
Czytaj także
- 2024-11-05: Wyniki wyborów w USA kluczowe dla przyszłości NATO i Ukrainy. Ewentualna wygrana Donalda Trumpa będzie bardziej nieprzewidywalna
- 2024-10-30: Kompetencje społeczne są kluczowe w świecie pełnym ekranów. Można je rozwijać już u przedszkolaków
- 2024-10-31: Policja zachęca do kontroli świateł w autach przed zimą. Nieprawidłowe ustawienie grozi wypadkiem i mandatem
- 2024-11-07: Ostatni moment na przygotowanie samochodu do zimy. Wśród zaleceń nie tylko wymiana opon, ale i sprawdzenie oświetlenia
- 2024-11-06: 4 mld zł z KPO na e-zdrowie. Trafią m.in. na ucyfrowienie dokumentacji medycznej oraz narzędzia przyspieszające diagnostykę
- 2024-11-07: Ekstremalne zjawiska pogodowe w Polsce to kilka miliardów strat rocznie. To duże wyzwanie dla branży ubezpieczeniowej
- 2024-10-10: Decyzja Niemiec o wprowadzeniu kontroli granicznej w ogniu krytyki. Polscy europosłowie mówią o kryzysie strefy Schengen
- 2024-10-18: Nowe technologie zmieniają pracę statystyków. Mogą poddawać szybkiej analizie duże zasoby informacji
- 2024-10-10: Już sześciolatki korzystają z bankowości elektronicznej. Często nie są świadome cyberzagrożeń
- 2024-11-13: Polska ochrona zdrowia niegotowa na kolejny kryzys. Eksperci: nie wyciągnęliśmy lekcji z pandemii
Kalendarium
Więcej ważnych informacji
Jedynka Newserii
Jedynka Newserii
Ochrona środowiska
Polskę czeka boom w magazynach energii. Rząd pracuje nad nowymi przepisami
Brak magazynów energii to jedna z największych barier w rozwoju energetyki odnawialnej. Stopniowo zyskują one jednak zainteresowanie zarówno spółek energetycznych, jak i inwestorów indywidualnych. Nowe przepisy, które zapowiada rząd, mają pobudzić inwestycje w ten obszar, który może się okazać istotny także dla polskiego przemysłu.
Finanse
Ekstremalne zjawiska pogodowe będą coraz częstsze. To może pociągnąć za sobą problemy z dostępnością ubezpieczeń
Częstotliwość ekstremalnych zjawisk – takich jak powodzie, podtopienia, huragany, gradobicia, pożary, susze i fale upałów – nasila się wraz ze zmianami klimatycznymi. Rosną też spowodowane nimi straty finansowe: według danych PIU w krajach UE w ostatnich 40 latach wyniosły one 487 mld euro, a w przypadku Polski – 16 mld euro. Dla ubezpieczycieli oznacza to konieczność modyfikacji podejścia do wyceny ryzyka i uwzględnienia tej tendencji w wycenie zdarzeń ubezpieczeniowych. Z czasem może to też oznaczać spadek dostępności ochrony ubezpieczeniowej.
IT i technologie
Świadoma sztuczna inteligencja może powstać jeszcze w tej dekadzie. Tego dotyczy dzisiejszy wyścig zbrojeń
Entuzjaści idei AGI, czyli ogólnej sztucznej inteligencji, która będzie mieć atrybuty umysłu ludzkiego, przekonują, że powstanie ona już w ciągu najbliższych 5–10 lat. – Ten, kto tego dokona, przejmie władzę nad całym światem – ocenia Edi Pyrek, założyciel Global Artificial Intelligence Alliance. Siła wynikająca z połączenia dostępu do zasobu wszystkich globalnych informacji, gigantycznej mocy obliczeniowej i pewnego stanu świadomości nie będzie w stanie równać się z żadnym znanym ludziom rodzajem broni.
Partner serwisu
Szkolenia
Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.