Mówi: | Paweł Śmigielski |
Funkcja: | country manager |
Firma: | Stormshield |
Wątpliwości dotyczące bezpieczeństwa danych przetwarzanych w różnych urzędach. NIK zapowiada kontrole we wszystkich jednostkach samorządu terytorialnego
Nawet kilkadziesiąt tysięcy adresów mailowych wykorzystywanych w polskich samorządach przy wymianie danych osobowych może być zlokalizowanych na publicznych, niezarejestrowanych domenach – szacuje Najwyższa Izba Kontroli, opierając się na wynikach kontroli przeprowadzonej w województwie podlaskim. Urzędnicy posługiwali się adresami na publicznych domenach m.in. przy przesyłaniu informacji takich jak numer PESEL, stan zdrowia czy dochody petentów. Okazuje się, że problem istnieje również w w sądownictwie czy oświacie. Eksperci przekonują, że inwestycje w zabezpieczenia na poziomie informatycznym to jedno, ale wciąż kluczową rolę w bezpieczeństwie danych odgrywa człowiek. To zarazem najsłabsze ogniwo systemu.
– Nasze dane, które są przechowywane i przetwarzane w samorządach, nie są bezpieczne. Mówiąc bardziej precyzyjnie, nie jest zachowany odpowiedni poziom bezpieczeństwa tych danych – mówi agencji Newseria Innowacje Paweł Śmigielski, country manager w Stormshield, komentując raport Najwyższej Izby Kontroli, dotyczący bezpieczeństwa danych osobowych w jednostkach samorządowych w formie elektronicznej.
Jak wykazała przeprowadzona w 12 jednostkach samorządu terytorialnego w województwie podlaskim kontrola NIK, dochodziło w nich do wieloletnich zaniedbań związanych z ochroną danych osobowych. Najbardziej jaskrawym przykładem było wykorzystywanie komercyjnych domen do prowadzenia komunikacji mailowej. O skali zjawiska najlepiej może świadczyć to, że po kontroli zrezygnowano z używania w ten sposób 250 takich adresów mailowych.
– Powinno to budzić zdziwienie. Kilka lat temu mieliśmy do czynienia z tak zwaną aferą mailową, która dotyczyła szefa Kancelarii Premiera. Mówimy, że powinniśmy uczyć się na błędach, a najlepiej wyciągać lekcje w oparciu o błędy, które zdarzyły się u innych. Wykorzystywanie poczty prywatnej czy właściwie takiej pseudosłużbowej, bo to były skrzynki urzędników prowadzone na ogólnodostępnych platformach, to jest absolutne minimum, które powinno być wykluczone. Problemem nie była niska świadomość urzędników w kontrolowanych jednostkach. W samych raportach jest informacja, że urzędnicy wymieniali korespondencję z urzędami szczebla wojewódzkiego bądź centralnego. Pojawia się informacja o Urzędzie Wojewódzkim, Ministerstwie Edukacji Narodowej, Głównym Urzędzie Statystycznym. To zdumiewające, że pracownikom tych urzędów nie zapaliła się czerwona lampka, że wymieniają korespondencję z osobami, które korzystają z prywatnych skrzynek pocztowych – mówi Paweł Śmigielski.
Być może właśnie to było jednym z czynników, które skłoniły kontrolerów NIK do przeprowadzenia analizy tego problemu. Okazało się, że ryzyko wystąpienia analogicznych nieprawidłowości w całym kraju jest bardzo wysokie. Z analizy wynika, że 43 proc. placówek oświatowych, 32 proc. publicznych zakładów opieki zdrowotnej oraz 28 proc. ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy mailowe w domenach komercyjnych, np. wp.pl, poczta.onet.pl, gmail.com.
– Włodarze zostali zapytani, dlaczego nie dochowano należytej staranności w kwestii zabezpieczania danych. Zostały wymienione m.in. takie powody jak brak wiedzy, brak świadomości wśród pracowników. Były także wymieniane przyzwyczajenia tych pracowników. Jest mowa m.in. o tym, że niektóre z tych kont pocztowych zostały założone w 2004 roku i możemy sobie wyobrazić, że 20 lat temu świadomość ochrony danych była zupełnie inna niż w dzisiejszych czasach. Nie mieliśmy jeszcze wtedy do czynienia z rozporządzeniem o ochronie danych osobowych, ale 20 lat później te kwestie już powinny być doskonale znane – zauważa ekspert Stormshield.
Z szacunków NIK wynika, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Postępowanie ma zostać rozszerzone na wszystkie jednostki samorządowe w kraju, ale i na inne jednostki administracji publicznej. Z danych uzyskanych przez NIK z dziewięciu sądów apelacyjnych wynika, że podobny problem może występować w przypadku 88 proc. tłumaczy, 83 proc. biegłych, 80 proc. ławników, 73 proc. mediatorów i 5 proc. komorników. Tym, co budzi szczególny niepokój, jest nie tylko sam fakt wymiany danych osobowych za pośrednictwem niezabezpieczonych kont, ale i to, jakiego rodzaju były to informacje.
– W raportach otrzymaliśmy informacje, że urzędnicy w tej korespondencji wymieniali m.in. imiona, nazwiska, numery PESEL, informacje o stanie zdrowia obywateli, a także w ośrodkach pomocy społecznej była mowa o wynagrodzeniach czy dochodach poszczególnych rodzin. Czyli właściwie można powiedzieć, mieliśmy tam do czynienia z wieloma danymi wrażliwymi, których bezpieczeństwo, szczególnie poufność, nie zostały zachowane – wskazuje Paweł Śmigielski.
Jak podkreśla NIK, komunikacja służbowa powinna się odbywać za pomocą dedykowanej do tego skrzynki mailowej, a korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa. Warto też brać przykład z zagranicy. W Austrii wszystkie jednostki samorządowe korzystają z domeny gv.at. Z kolei w Czechach i Portugalii instytucje publiczne mają obowiązek korzystania z własnych wykupionych domen.
– Aby uniknąć tego typu incydentów, konieczne jest oparcie się na trzech filarach: ludzie, procedury i technologie. Te trzy filary powinny funkcjonować jako jeden, wzajemnie się uzupełniający ekosystem. Powinniśmy szkolić naszych pracowników, szczególnie tych nietechnicznych, szczególnie tych, którzy na co dzień nie mają do czynienia z informatyką. Bardzo popularne są aktualnie szkolenia z zakresu security awareness, które mają podnosić świadomość pracowników na temat aktualnych zagrożeń i ryzyk dotyczących przetwarzanych danych. Można to jeszcze uzupełnić o dodatkowe mechanizmy, które powinny się odbywać regularnie, cyklicznie, możemy także dokonywać kontrolowanych ataków – wymienia country manager w Stormshield.
W odpowiedzi na wyzwania związane z bezpieczeństwem danych w jednostkach samorządu terytorialnego powstał rządowy program Cyberbezpieczny Samorząd. Zostanie nim objętych ponad 2,8 tys. jednostek w całym kraju. Jego celem jest zwiększenie poziomu bezpieczeństwa informacji JST poprzez wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych.
– Bardzo istotnym aspektem jest to, że sam program kładzie bardzo duży nacisk na część szkoleniową i audytową, czyli nie same rozwiązania, nawet najbardziej zaawansowane technologie będą podnosić poziom bezpieczeństwa danych, które są przechowywane i przetwarzane w urzędzie, ale kluczowym elementem jest człowiek. Zresztą od wielu lat mówimy w cyberbezpieczeństwie, że to człowiek jest najsłabszym ogniwem i na nim powinniśmy skupić nasze wysiłki związane z podnoszeniem świadomości, kompetencji i poziomu wiedzy – ocenia Paweł Śmigielski.
Jednostki samorządu terytorialnego są regularnie atakowane przez cyberprzestępców. Liczba ataków na JST w latach 2020–2022 zwiększyła się o 100 proc., a jak wskazują eksperci, rok wyborczy sprzyja aktywności przestępców. Brak rozwiązań technicznych (np. firewalle następnej generacji, systemy ochrony stacji końcowych EDR), a także mechanizmów monitorowania i informowania o incydentach sprawia, że można się stać łatwym celem. Dlatego – zdaniem ekspertów Stormshield – tego typu programy to krok w dobrą stronę. Tym bardziej że włodarzom miast czy gmin zwykle łatwiej jest zaplanować wydatki na inwestycje przekładające się na korzyść dla mieszkańców, takie jak infrastruktura, a nie na cyberzabezpieczenia w samorządzie.
To istotne również w kontekście konieczności wdrożenia dyrektywy NIS2. Nakłada ona szereg obowiązków na podmioty, takie jak operatorzy infrastruktury krytycznej, np. wodociągowej czy ciepłowniczej. Ma to być m.in. raportowanie incydentów, zarządzanie ryzykiem i stosowanie rozwiązań technicznych adekwatnych poziomu tego ryzyka. Okazuje się, że niegotowych do wdrożenia tej dyrektywy może być, zdaniem ekspertów, nawet 60 proc. jednostek, których będzie ona dotyczyła.
Czytaj także
- 2024-11-18: Polscy producenci żywności obawiają się utraty unijnych rynków zbytu. Wszystko przez umowę z krajami Ameryki Południowej
- 2024-11-22: Dane satelitarne będą częściej pomagać w walce z żywiołami w Polsce. Nowy system testowany był w czasie wrześniowej powodzi
- 2024-11-14: Dane satelitarne wspomagają leśników. Pomagają przeciwdziałać pożarom oraz kradzieżom drewna
- 2024-11-19: Dane satelitarne wykorzystywane w ochronie granic zewnętrznych UE. Służą do wykrywania przestępczości transgranicznej i nielegalnej migracji
- 2024-11-05: Wyniki wyborów w USA kluczowe dla przyszłości NATO i Ukrainy. Ewentualna wygrana Donalda Trumpa będzie bardziej nieprzewidywalna
- 2024-10-30: Kompetencje społeczne są kluczowe w świecie pełnym ekranów. Można je rozwijać już u przedszkolaków
- 2024-10-31: Policja zachęca do kontroli świateł w autach przed zimą. Nieprawidłowe ustawienie grozi wypadkiem i mandatem
- 2024-11-07: Ostatni moment na przygotowanie samochodu do zimy. Wśród zaleceń nie tylko wymiana opon, ale i sprawdzenie oświetlenia
- 2024-11-20: Bezpieczeństwo żywnościowe 10 mld ludzi wymaga zmian w rolnictwie. Za tym pójdą też zmiany w diecie
- 2024-10-10: Decyzja Niemiec o wprowadzeniu kontroli granicznej w ogniu krytyki. Polscy europosłowie mówią o kryzysie strefy Schengen
Kalendarium
Więcej ważnych informacji
Jedynka Newserii
Jedynka Newserii
Prawo
Trwają prace nad ostatecznym kształtem ustawy o związkach partnerskich. Kluczowe są kwestie tzw. małej pieczy
– Trwają rozmowy nad wypracowaniem konsensusu, który pozwoli na poparcie ustawy o związkach partnerskich przez większość sejmową – mówi ministra ds. równości Katarzyna Kotula. Jak podkreśla, rządowy projekt jest minimum, ale dlatego trzeba go wykorzystać do maksimum, by zabezpieczyć partnerów i dzieci wychowujące się w takich rodzinach. Szczególnie ważna jest kwestia tzw. małej pieczy. W toku konsultacji publicznych i międzyresortowych wpłynęło kilkaset stron uwag i kilka tysięcy maili.
Handel
Lekarze apelują o uregulowanie rynku saszetek z nikotyną. Na ich szkodliwe działanie narażona jest głównie młodzież
Saszetki z nikotyną są dostępne na rynku od kilku lat, ale nadal nie ma żadnych unijnych ani krajowych regulacji dotyczących ich oznakowania, reklamy czy sprzedaży. To powoduje, że tzw. pouches są bardzo łatwo dostępne, bez większych problemów można je kupić nawet przez internet, co przekłada się na ich rosnącą popularność, także wśród dzieci i młodzieży. Eksperci apelują o pilne uregulowanie tego rynku.
Problemy społeczne
Dane satelitarne będą częściej pomagać w walce z żywiołami w Polsce. Nowy system testowany był w czasie wrześniowej powodzi
Światowa Organizacja Meteorologiczna podaje, że w ciągu ostatnich 50 lat pięciokrotnie zwiększyła się liczba katastrof naturalnych na świecie. Jednocześnie nowe możliwości w zakresie wczesnego ostrzegania i zarządzania kryzysowego pozwoliły ograniczyć liczbę ofiar trzykrotnie. Coraz częściej pomagają w tym dane satelitarne, czego przykładem było wykorzystanie nowego systemu Poland’s Civil Security Hub w trakcie wrześniowej powodzi na południowym zachodzie kraju.
Partner serwisu
Szkolenia
Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.