Mówi: | Paweł Śmigielski |
Funkcja: | country manager |
Firma: | Stormshield |
Wątpliwości dotyczące bezpieczeństwa danych przetwarzanych w różnych urzędach. NIK zapowiada kontrole we wszystkich jednostkach samorządu terytorialnego
Nawet kilkadziesiąt tysięcy adresów mailowych wykorzystywanych w polskich samorządach przy wymianie danych osobowych może być zlokalizowanych na publicznych, niezarejestrowanych domenach – szacuje Najwyższa Izba Kontroli, opierając się na wynikach kontroli przeprowadzonej w województwie podlaskim. Urzędnicy posługiwali się adresami na publicznych domenach m.in. przy przesyłaniu informacji takich jak numer PESEL, stan zdrowia czy dochody petentów. Okazuje się, że problem istnieje również w w sądownictwie czy oświacie. Eksperci przekonują, że inwestycje w zabezpieczenia na poziomie informatycznym to jedno, ale wciąż kluczową rolę w bezpieczeństwie danych odgrywa człowiek. To zarazem najsłabsze ogniwo systemu.
– Nasze dane, które są przechowywane i przetwarzane w samorządach, nie są bezpieczne. Mówiąc bardziej precyzyjnie, nie jest zachowany odpowiedni poziom bezpieczeństwa tych danych – mówi agencji Newseria Innowacje Paweł Śmigielski, country manager w Stormshield, komentując raport Najwyższej Izby Kontroli, dotyczący bezpieczeństwa danych osobowych w jednostkach samorządowych w formie elektronicznej.
Jak wykazała przeprowadzona w 12 jednostkach samorządu terytorialnego w województwie podlaskim kontrola NIK, dochodziło w nich do wieloletnich zaniedbań związanych z ochroną danych osobowych. Najbardziej jaskrawym przykładem było wykorzystywanie komercyjnych domen do prowadzenia komunikacji mailowej. O skali zjawiska najlepiej może świadczyć to, że po kontroli zrezygnowano z używania w ten sposób 250 takich adresów mailowych.
– Powinno to budzić zdziwienie. Kilka lat temu mieliśmy do czynienia z tak zwaną aferą mailową, która dotyczyła szefa Kancelarii Premiera. Mówimy, że powinniśmy uczyć się na błędach, a najlepiej wyciągać lekcje w oparciu o błędy, które zdarzyły się u innych. Wykorzystywanie poczty prywatnej czy właściwie takiej pseudosłużbowej, bo to były skrzynki urzędników prowadzone na ogólnodostępnych platformach, to jest absolutne minimum, które powinno być wykluczone. Problemem nie była niska świadomość urzędników w kontrolowanych jednostkach. W samych raportach jest informacja, że urzędnicy wymieniali korespondencję z urzędami szczebla wojewódzkiego bądź centralnego. Pojawia się informacja o Urzędzie Wojewódzkim, Ministerstwie Edukacji Narodowej, Głównym Urzędzie Statystycznym. To zdumiewające, że pracownikom tych urzędów nie zapaliła się czerwona lampka, że wymieniają korespondencję z osobami, które korzystają z prywatnych skrzynek pocztowych – mówi Paweł Śmigielski.
Być może właśnie to było jednym z czynników, które skłoniły kontrolerów NIK do przeprowadzenia analizy tego problemu. Okazało się, że ryzyko wystąpienia analogicznych nieprawidłowości w całym kraju jest bardzo wysokie. Z analizy wynika, że 43 proc. placówek oświatowych, 32 proc. publicznych zakładów opieki zdrowotnej oraz 28 proc. ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy mailowe w domenach komercyjnych, np. wp.pl, poczta.onet.pl, gmail.com.
– Włodarze zostali zapytani, dlaczego nie dochowano należytej staranności w kwestii zabezpieczania danych. Zostały wymienione m.in. takie powody jak brak wiedzy, brak świadomości wśród pracowników. Były także wymieniane przyzwyczajenia tych pracowników. Jest mowa m.in. o tym, że niektóre z tych kont pocztowych zostały założone w 2004 roku i możemy sobie wyobrazić, że 20 lat temu świadomość ochrony danych była zupełnie inna niż w dzisiejszych czasach. Nie mieliśmy jeszcze wtedy do czynienia z rozporządzeniem o ochronie danych osobowych, ale 20 lat później te kwestie już powinny być doskonale znane – zauważa ekspert Stormshield.
Z szacunków NIK wynika, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Postępowanie ma zostać rozszerzone na wszystkie jednostki samorządowe w kraju, ale i na inne jednostki administracji publicznej. Z danych uzyskanych przez NIK z dziewięciu sądów apelacyjnych wynika, że podobny problem może występować w przypadku 88 proc. tłumaczy, 83 proc. biegłych, 80 proc. ławników, 73 proc. mediatorów i 5 proc. komorników. Tym, co budzi szczególny niepokój, jest nie tylko sam fakt wymiany danych osobowych za pośrednictwem niezabezpieczonych kont, ale i to, jakiego rodzaju były to informacje.
– W raportach otrzymaliśmy informacje, że urzędnicy w tej korespondencji wymieniali m.in. imiona, nazwiska, numery PESEL, informacje o stanie zdrowia obywateli, a także w ośrodkach pomocy społecznej była mowa o wynagrodzeniach czy dochodach poszczególnych rodzin. Czyli właściwie można powiedzieć, mieliśmy tam do czynienia z wieloma danymi wrażliwymi, których bezpieczeństwo, szczególnie poufność, nie zostały zachowane – wskazuje Paweł Śmigielski.
Jak podkreśla NIK, komunikacja służbowa powinna się odbywać za pomocą dedykowanej do tego skrzynki mailowej, a korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa. Warto też brać przykład z zagranicy. W Austrii wszystkie jednostki samorządowe korzystają z domeny gv.at. Z kolei w Czechach i Portugalii instytucje publiczne mają obowiązek korzystania z własnych wykupionych domen.
– Aby uniknąć tego typu incydentów, konieczne jest oparcie się na trzech filarach: ludzie, procedury i technologie. Te trzy filary powinny funkcjonować jako jeden, wzajemnie się uzupełniający ekosystem. Powinniśmy szkolić naszych pracowników, szczególnie tych nietechnicznych, szczególnie tych, którzy na co dzień nie mają do czynienia z informatyką. Bardzo popularne są aktualnie szkolenia z zakresu security awareness, które mają podnosić świadomość pracowników na temat aktualnych zagrożeń i ryzyk dotyczących przetwarzanych danych. Można to jeszcze uzupełnić o dodatkowe mechanizmy, które powinny się odbywać regularnie, cyklicznie, możemy także dokonywać kontrolowanych ataków – wymienia country manager w Stormshield.
W odpowiedzi na wyzwania związane z bezpieczeństwem danych w jednostkach samorządu terytorialnego powstał rządowy program Cyberbezpieczny Samorząd. Zostanie nim objętych ponad 2,8 tys. jednostek w całym kraju. Jego celem jest zwiększenie poziomu bezpieczeństwa informacji JST poprzez wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych.
– Bardzo istotnym aspektem jest to, że sam program kładzie bardzo duży nacisk na część szkoleniową i audytową, czyli nie same rozwiązania, nawet najbardziej zaawansowane technologie będą podnosić poziom bezpieczeństwa danych, które są przechowywane i przetwarzane w urzędzie, ale kluczowym elementem jest człowiek. Zresztą od wielu lat mówimy w cyberbezpieczeństwie, że to człowiek jest najsłabszym ogniwem i na nim powinniśmy skupić nasze wysiłki związane z podnoszeniem świadomości, kompetencji i poziomu wiedzy – ocenia Paweł Śmigielski.
Jednostki samorządu terytorialnego są regularnie atakowane przez cyberprzestępców. Liczba ataków na JST w latach 2020–2022 zwiększyła się o 100 proc., a jak wskazują eksperci, rok wyborczy sprzyja aktywności przestępców. Brak rozwiązań technicznych (np. firewalle następnej generacji, systemy ochrony stacji końcowych EDR), a także mechanizmów monitorowania i informowania o incydentach sprawia, że można się stać łatwym celem. Dlatego – zdaniem ekspertów Stormshield – tego typu programy to krok w dobrą stronę. Tym bardziej że włodarzom miast czy gmin zwykle łatwiej jest zaplanować wydatki na inwestycje przekładające się na korzyść dla mieszkańców, takie jak infrastruktura, a nie na cyberzabezpieczenia w samorządzie.
To istotne również w kontekście konieczności wdrożenia dyrektywy NIS2. Nakłada ona szereg obowiązków na podmioty, takie jak operatorzy infrastruktury krytycznej, np. wodociągowej czy ciepłowniczej. Ma to być m.in. raportowanie incydentów, zarządzanie ryzykiem i stosowanie rozwiązań technicznych adekwatnych poziomu tego ryzyka. Okazuje się, że niegotowych do wdrożenia tej dyrektywy może być, zdaniem ekspertów, nawet 60 proc. jednostek, których będzie ona dotyczyła.
Czytaj także
- 2024-12-18: Inżynierowie z Warszawy pracują nad innowacjami dla całej Grupy Orange. Ich specjalności to AI i cyberbezpieczeństwo
- 2024-12-10: Polska spółka stworzyła innowacyjny system poprawiający bezpieczeństwo pożarowe w kopalniach. Właśnie wchodzi z nim na globalny rynek
- 2024-12-12: Nowe obowiązki dla e-sklepów. Wchodzi w życie rozporządzenie o bezpieczeństwie produktów
- 2024-12-10: Europosłowie PiS: Europa traci na konkurencyjności. Potrzeba redefinicji polityki klimatycznej
- 2024-12-09: Zaangażowanie północnokoreańskich żołnierzy eskaluje konflikt w Ukrainie. Europosłowie wzywają do większej współpracy obronnej w UE
- 2024-11-18: Polscy producenci żywności obawiają się utraty unijnych rynków zbytu. Wszystko przez umowę z krajami Ameryki Południowej
- 2024-11-25: Dane satelitarne w użyciu urbanistów i samorządowców. Mogą im służyć do przygotowania na zmiany klimatu
- 2024-11-22: Dane satelitarne będą częściej pomagać w walce z żywiołami w Polsce. Nowy system testowany był w czasie wrześniowej powodzi
- 2024-11-14: Dane satelitarne wspomagają leśników. Pomagają przeciwdziałać pożarom oraz kradzieżom drewna
- 2024-11-19: Dane satelitarne wykorzystywane w ochronie granic zewnętrznych UE. Służą do wykrywania przestępczości transgranicznej i nielegalnej migracji
Kalendarium
Więcej ważnych informacji
Jedynka Newserii
Jedynka Newserii
Infrastruktura
Rekordowy przelew dla Polski z KPO. Część pieniędzy trafi na termomodernizację domów i mieszkań
Przed świętami Bożego Narodzenia do Polski wpłynął największy jak dotąd przelew unijnych pieniędzy – nieco ponad 40 mld zł z Krajowego Planu Odbudowy. Zgodnie z celami UE ponad 44 proc. tych środków zostanie przeznaczona na transformację energetyczną, w tym m.in. termomodernizację domów i mieszkań czy wymianę źródeł ciepła. Od początku tego roku na ten cel trafiło 3,75 mld zł z KPO, które sfinansowały program Czyste Powietrze.
Prawo
W lutym zmiana na stanowisku Europejskiego Rzecznika Praw Obywatelskich. Co roku trafia do niego kilka tysięcy spraw związanych z instytucjami unijnymi
W ubiegłym tygodniu Parlament Europejski wybrał Portugalkę Teresę Anjinho na stanowisko Europejskiego Rzecznika Praw Obywatelskich. Ombudsman przyjmuje i rozpatruje skargi dotyczące przypadków niewłaściwego administrowania przez instytucje unijne lub inne organy UE. Tylko w 2023 roku pomógł ponad 17,5 tys. osobom i rozpatrzył niemal 2,4 tys. skarg.
Problemy społeczne
Przeciętny Polak spędza w sieci ponad trzy godziny dziennie. Tylko 11 proc. podejmuje próby ograniczenia tego czasu
Polacy średnio spędzają w internecie ponad trzy godziny dziennie. Jednocześnie, według badania na temat higieny cyfrowej, jedynie 14 proc. respondentów kontroluje swój czas ekranowy, a co piąty ogranicza liczbę powiadomień w telefonie czy komputerze. Nadmierne korzystanie z ekranów może wpływać na zaniedbywanie obowiązków i relacji z innymi, a także obniżenie nastroju i samooceny. Kampania Fundacji Orange „Nie przescrolluj życia” zwraca uwagę na potrzebę dbania o higienę cyfrową. Szczególnie okres świątecznego wypoczynku sprzyja takiej refleksji.
Partner serwisu
Szkolenia
Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.