Mówi: | Paweł Śmigielski |
Funkcja: | country manager |
Firma: | Stormshield |
Wątpliwości dotyczące bezpieczeństwa danych przetwarzanych w różnych urzędach. NIK zapowiada kontrole we wszystkich jednostkach samorządu terytorialnego
Nawet kilkadziesiąt tysięcy adresów mailowych wykorzystywanych w polskich samorządach przy wymianie danych osobowych może być zlokalizowanych na publicznych, niezarejestrowanych domenach – szacuje Najwyższa Izba Kontroli, opierając się na wynikach kontroli przeprowadzonej w województwie podlaskim. Urzędnicy posługiwali się adresami na publicznych domenach m.in. przy przesyłaniu informacji takich jak numer PESEL, stan zdrowia czy dochody petentów. Okazuje się, że problem istnieje również w w sądownictwie czy oświacie. Eksperci przekonują, że inwestycje w zabezpieczenia na poziomie informatycznym to jedno, ale wciąż kluczową rolę w bezpieczeństwie danych odgrywa człowiek. To zarazem najsłabsze ogniwo systemu.
– Nasze dane, które są przechowywane i przetwarzane w samorządach, nie są bezpieczne. Mówiąc bardziej precyzyjnie, nie jest zachowany odpowiedni poziom bezpieczeństwa tych danych – mówi agencji Newseria Innowacje Paweł Śmigielski, country manager w Stormshield, komentując raport Najwyższej Izby Kontroli, dotyczący bezpieczeństwa danych osobowych w jednostkach samorządowych w formie elektronicznej.
Jak wykazała przeprowadzona w 12 jednostkach samorządu terytorialnego w województwie podlaskim kontrola NIK, dochodziło w nich do wieloletnich zaniedbań związanych z ochroną danych osobowych. Najbardziej jaskrawym przykładem było wykorzystywanie komercyjnych domen do prowadzenia komunikacji mailowej. O skali zjawiska najlepiej może świadczyć to, że po kontroli zrezygnowano z używania w ten sposób 250 takich adresów mailowych.
– Powinno to budzić zdziwienie. Kilka lat temu mieliśmy do czynienia z tak zwaną aferą mailową, która dotyczyła szefa Kancelarii Premiera. Mówimy, że powinniśmy uczyć się na błędach, a najlepiej wyciągać lekcje w oparciu o błędy, które zdarzyły się u innych. Wykorzystywanie poczty prywatnej czy właściwie takiej pseudosłużbowej, bo to były skrzynki urzędników prowadzone na ogólnodostępnych platformach, to jest absolutne minimum, które powinno być wykluczone. Problemem nie była niska świadomość urzędników w kontrolowanych jednostkach. W samych raportach jest informacja, że urzędnicy wymieniali korespondencję z urzędami szczebla wojewódzkiego bądź centralnego. Pojawia się informacja o Urzędzie Wojewódzkim, Ministerstwie Edukacji Narodowej, Głównym Urzędzie Statystycznym. To zdumiewające, że pracownikom tych urzędów nie zapaliła się czerwona lampka, że wymieniają korespondencję z osobami, które korzystają z prywatnych skrzynek pocztowych – mówi Paweł Śmigielski.
Być może właśnie to było jednym z czynników, które skłoniły kontrolerów NIK do przeprowadzenia analizy tego problemu. Okazało się, że ryzyko wystąpienia analogicznych nieprawidłowości w całym kraju jest bardzo wysokie. Z analizy wynika, że 43 proc. placówek oświatowych, 32 proc. publicznych zakładów opieki zdrowotnej oraz 28 proc. ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy mailowe w domenach komercyjnych, np. wp.pl, poczta.onet.pl, gmail.com.
– Włodarze zostali zapytani, dlaczego nie dochowano należytej staranności w kwestii zabezpieczania danych. Zostały wymienione m.in. takie powody jak brak wiedzy, brak świadomości wśród pracowników. Były także wymieniane przyzwyczajenia tych pracowników. Jest mowa m.in. o tym, że niektóre z tych kont pocztowych zostały założone w 2004 roku i możemy sobie wyobrazić, że 20 lat temu świadomość ochrony danych była zupełnie inna niż w dzisiejszych czasach. Nie mieliśmy jeszcze wtedy do czynienia z rozporządzeniem o ochronie danych osobowych, ale 20 lat później te kwestie już powinny być doskonale znane – zauważa ekspert Stormshield.
Z szacunków NIK wynika, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Postępowanie ma zostać rozszerzone na wszystkie jednostki samorządowe w kraju, ale i na inne jednostki administracji publicznej. Z danych uzyskanych przez NIK z dziewięciu sądów apelacyjnych wynika, że podobny problem może występować w przypadku 88 proc. tłumaczy, 83 proc. biegłych, 80 proc. ławników, 73 proc. mediatorów i 5 proc. komorników. Tym, co budzi szczególny niepokój, jest nie tylko sam fakt wymiany danych osobowych za pośrednictwem niezabezpieczonych kont, ale i to, jakiego rodzaju były to informacje.
– W raportach otrzymaliśmy informacje, że urzędnicy w tej korespondencji wymieniali m.in. imiona, nazwiska, numery PESEL, informacje o stanie zdrowia obywateli, a także w ośrodkach pomocy społecznej była mowa o wynagrodzeniach czy dochodach poszczególnych rodzin. Czyli właściwie można powiedzieć, mieliśmy tam do czynienia z wieloma danymi wrażliwymi, których bezpieczeństwo, szczególnie poufność, nie zostały zachowane – wskazuje Paweł Śmigielski.
Jak podkreśla NIK, komunikacja służbowa powinna się odbywać za pomocą dedykowanej do tego skrzynki mailowej, a korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa. Warto też brać przykład z zagranicy. W Austrii wszystkie jednostki samorządowe korzystają z domeny gv.at. Z kolei w Czechach i Portugalii instytucje publiczne mają obowiązek korzystania z własnych wykupionych domen.
– Aby uniknąć tego typu incydentów, konieczne jest oparcie się na trzech filarach: ludzie, procedury i technologie. Te trzy filary powinny funkcjonować jako jeden, wzajemnie się uzupełniający ekosystem. Powinniśmy szkolić naszych pracowników, szczególnie tych nietechnicznych, szczególnie tych, którzy na co dzień nie mają do czynienia z informatyką. Bardzo popularne są aktualnie szkolenia z zakresu security awareness, które mają podnosić świadomość pracowników na temat aktualnych zagrożeń i ryzyk dotyczących przetwarzanych danych. Można to jeszcze uzupełnić o dodatkowe mechanizmy, które powinny się odbywać regularnie, cyklicznie, możemy także dokonywać kontrolowanych ataków – wymienia country manager w Stormshield.
W odpowiedzi na wyzwania związane z bezpieczeństwem danych w jednostkach samorządu terytorialnego powstał rządowy program Cyberbezpieczny Samorząd. Zostanie nim objętych ponad 2,8 tys. jednostek w całym kraju. Jego celem jest zwiększenie poziomu bezpieczeństwa informacji JST poprzez wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych.
– Bardzo istotnym aspektem jest to, że sam program kładzie bardzo duży nacisk na część szkoleniową i audytową, czyli nie same rozwiązania, nawet najbardziej zaawansowane technologie będą podnosić poziom bezpieczeństwa danych, które są przechowywane i przetwarzane w urzędzie, ale kluczowym elementem jest człowiek. Zresztą od wielu lat mówimy w cyberbezpieczeństwie, że to człowiek jest najsłabszym ogniwem i na nim powinniśmy skupić nasze wysiłki związane z podnoszeniem świadomości, kompetencji i poziomu wiedzy – ocenia Paweł Śmigielski.
Jednostki samorządu terytorialnego są regularnie atakowane przez cyberprzestępców. Liczba ataków na JST w latach 2020–2022 zwiększyła się o 100 proc., a jak wskazują eksperci, rok wyborczy sprzyja aktywności przestępców. Brak rozwiązań technicznych (np. firewalle następnej generacji, systemy ochrony stacji końcowych EDR), a także mechanizmów monitorowania i informowania o incydentach sprawia, że można się stać łatwym celem. Dlatego – zdaniem ekspertów Stormshield – tego typu programy to krok w dobrą stronę. Tym bardziej że włodarzom miast czy gmin zwykle łatwiej jest zaplanować wydatki na inwestycje przekładające się na korzyść dla mieszkańców, takie jak infrastruktura, a nie na cyberzabezpieczenia w samorządzie.
To istotne również w kontekście konieczności wdrożenia dyrektywy NIS2. Nakłada ona szereg obowiązków na podmioty, takie jak operatorzy infrastruktury krytycznej, np. wodociągowej czy ciepłowniczej. Ma to być m.in. raportowanie incydentów, zarządzanie ryzykiem i stosowanie rozwiązań technicznych adekwatnych poziomu tego ryzyka. Okazuje się, że niegotowych do wdrożenia tej dyrektywy może być, zdaniem ekspertów, nawet 60 proc. jednostek, których będzie ona dotyczyła.
Czytaj także
- 2024-11-05: Wyniki wyborów w USA kluczowe dla przyszłości NATO i Ukrainy. Ewentualna wygrana Donalda Trumpa będzie bardziej nieprzewidywalna
- 2024-10-30: Kompetencje społeczne są kluczowe w świecie pełnym ekranów. Można je rozwijać już u przedszkolaków
- 2024-10-31: Policja zachęca do kontroli świateł w autach przed zimą. Nieprawidłowe ustawienie grozi wypadkiem i mandatem
- 2024-11-07: Ostatni moment na przygotowanie samochodu do zimy. Wśród zaleceń nie tylko wymiana opon, ale i sprawdzenie oświetlenia
- 2024-10-10: Decyzja Niemiec o wprowadzeniu kontroli granicznej w ogniu krytyki. Polscy europosłowie mówią o kryzysie strefy Schengen
- 2024-10-18: Nowe technologie zmieniają pracę statystyków. Mogą poddawać szybkiej analizie duże zasoby informacji
- 2024-10-10: Już sześciolatki korzystają z bankowości elektronicznej. Często nie są świadome cyberzagrożeń
- 2024-09-17: Opóźnianie wejścia Ukrainy do NATO zwiększy zagrożenie ze strony Rosji dla członków sojuszu. Trwają dyskusje o możliwych warunkach akcesji
- 2024-09-26: Sejm pracuje nad nowelizacją ustawy o przetwarzaniu danych pasażera. Linie lotnicze liczą na uniknięcie miliardowych kar
- 2024-09-16: Duoport Lotniczy w Białymstoku ma być szansą na rozwój ściany wschodniej. Inicjatorzy rozmawiają z potencjalnymi inwestorami zagranicznymi
Kalendarium
Więcej ważnych informacji
Jedynka Newserii
Jedynka Newserii
Ochrona środowiska
Polskę czeka boom w magazynach energii. Rząd pracuje nad nowymi przepisami
Brak magazynów energii to jedna z największych barier w rozwoju energetyki odnawialnej. Stopniowo zyskują one jednak zainteresowanie zarówno spółek energetycznych, jak i inwestorów indywidualnych. Nowe przepisy, które zapowiada rząd, mają pobudzić inwestycje w ten obszar, który może się okazać istotny także dla polskiego przemysłu.
Finanse
Ekstremalne zjawiska pogodowe będą coraz częstsze. To może pociągnąć za sobą problemy z dostępnością ubezpieczeń
Częstotliwość ekstremalnych zjawisk – takich jak powodzie, podtopienia, huragany, gradobicia, pożary, susze i fale upałów – nasila się wraz ze zmianami klimatycznymi. Rosną też spowodowane nimi straty finansowe: według danych PIU w krajach UE w ostatnich 40 latach wyniosły one 487 mld euro, a w przypadku Polski – 16 mld euro. Dla ubezpieczycieli oznacza to konieczność modyfikacji podejścia do wyceny ryzyka i uwzględnienia tej tendencji w wycenie zdarzeń ubezpieczeniowych. Z czasem może to też oznaczać spadek dostępności ochrony ubezpieczeniowej.
IT i technologie
Świadoma sztuczna inteligencja może powstać jeszcze w tej dekadzie. Tego dotyczy dzisiejszy wyścig zbrojeń
Entuzjaści idei AGI, czyli ogólnej sztucznej inteligencji, która będzie mieć atrybuty umysłu ludzkiego, przekonują, że powstanie ona już w ciągu najbliższych 5–10 lat. – Ten, kto tego dokona, przejmie władzę nad całym światem – ocenia Edi Pyrek, założyciel Global Artificial Intelligence Alliance. Siła wynikająca z połączenia dostępu do zasobu wszystkich globalnych informacji, gigantycznej mocy obliczeniowej i pewnego stanu świadomości nie będzie w stanie równać się z żadnym znanym ludziom rodzajem broni.
Partner serwisu
Szkolenia
Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.