Godzinnik.pl Biznes Wątpliwości dotyczące bezpieczeństwa danych przetwarzanych w różnych urzędach. NIK zapowiada kontrole we...

Wątpliwości dotyczące bezpieczeństwa danych przetwarzanych w różnych urzędach. NIK zapowiada kontrole we wszystkich jednostkach samorządu terytorialnego

Nawet kilkadziesiąt tysięcy adresów mailowych wykorzystywanych w polskich samorządach przy wymianie danych osobowych może być zlokalizowanych na publicznych, niezarejestrowanych domenach – szacuje Najwyższa Izba Kontroli, opierając się na wynikach kontroli przeprowadzonej w województwie podlaskim. Urzędnicy posługiwali się adresami na publicznych domenach m.in. przy przesyłaniu informacji takich jak numer PESEL, stan zdrowia czy dochody petentów. Okazuje się, że problem istnieje również w  w sądownictwie czy oświacie. Eksperci przekonują, że inwestycje w zabezpieczenia na poziomie informatycznym to jedno, ale wciąż kluczową rolę w bezpieczeństwie danych odgrywa człowiek. To zarazem najsłabsze ogniwo systemu.

 Nasze dane, które są przechowywane i przetwarzane w samorządach, nie są bezpieczne. Mówiąc bardziej precyzyjnie, nie jest zachowany odpowiedni poziom bezpieczeństwa tych danych – mówi agencji Newseria Innowacje Paweł Śmigielski, country manager w Stormshield, komentując raport Najwyższej Izby Kontroli, dotyczący bezpieczeństwa danych osobowych w jednostkach samorządowych w formie elektronicznej.

Jak wykazała przeprowadzona w 12 jednostkach samorządu terytorialnego w województwie podlaskim kontrola NIK, dochodziło w nich do wieloletnich zaniedbań związanych z ochroną danych osobowych. Najbardziej jaskrawym przykładem było wykorzystywanie komercyjnych domen do prowadzenia komunikacji mailowej. O skali zjawiska najlepiej może świadczyć to, że po kontroli zrezygnowano z używania w ten sposób 250 takich adresów mailowych.

– Powinno to budzić zdziwienie. Kilka lat temu mieliśmy do czynienia z tak zwaną aferą mailową, która dotyczyła szefa Kancelarii Premiera. Mówimy, że powinniśmy uczyć się na błędach, a najlepiej wyciągać lekcje w oparciu o błędy, które zdarzyły się u innych. Wykorzystywanie poczty prywatnej czy właściwie takiej pseudosłużbowej, bo to były skrzynki urzędników prowadzone na ogólnodostępnych platformach, to jest absolutne minimum, które powinno być wykluczone. Problemem nie była niska świadomość urzędników w kontrolowanych jednostkach. W samych raportach jest informacja, że urzędnicy wymieniali korespondencję z urzędami szczebla wojewódzkiego bądź centralnego. Pojawia się informacja o Urzędzie Wojewódzkim, Ministerstwie Edukacji Narodowej, Głównym Urzędzie Statystycznym. To zdumiewające, że pracownikom tych urzędów nie zapaliła się czerwona lampka, że wymieniają korespondencję z osobami, które korzystają z prywatnych skrzynek pocztowych – mówi Paweł Śmigielski.

Być może właśnie to było jednym z czynników, które skłoniły kontrolerów NIK do przeprowadzenia analizy tego problemu. Okazało się, że ryzyko wystąpienia analogicznych nieprawidłowości w całym kraju jest bardzo wysokie. Z analizy wynika, że 43 proc. placówek oświatowych, 32 proc. publicznych zakładów opieki zdrowotnej oraz 28 proc. ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy mailowe w domenach komercyjnych, np. wp.pl, poczta.onet.pl, gmail.com.

– Włodarze zostali zapytani, dlaczego nie dochowano należytej staranności w kwestii zabezpieczania danych. Zostały wymienione m.in. takie powody jak brak wiedzy, brak świadomości wśród pracowników. Były także wymieniane przyzwyczajenia tych pracowników. Jest mowa m.in. o tym, że niektóre z tych kont pocztowych zostały założone w 2004 roku i możemy sobie wyobrazić, że 20 lat temu świadomość ochrony danych była zupełnie inna niż w dzisiejszych czasach. Nie mieliśmy jeszcze wtedy do czynienia z rozporządzeniem o ochronie danych osobowych, ale 20 lat później te kwestie już powinny być doskonale znane – zauważa ekspert Stormshield.

Z szacunków NIK wynika, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Postępowanie ma zostać rozszerzone na wszystkie jednostki samorządowe w kraju, ale i na inne jednostki administracji publicznej. Z danych uzyskanych przez NIK z dziewięciu sądów apelacyjnych wynika, że podobny problem może występować w przypadku 88 proc. tłumaczy, 83 proc. biegłych, 80 proc. ławników, 73 proc. mediatorów i 5 proc. komorników. Tym, co budzi szczególny niepokój, jest nie tylko sam fakt wymiany danych osobowych za pośrednictwem niezabezpieczonych kont, ale i to, jakiego rodzaju były to informacje.

– W raportach otrzymaliśmy informacje, że urzędnicy w tej korespondencji wymieniali m.in. imiona, nazwiska, numery PESEL, informacje o stanie zdrowia obywateli, a także w ośrodkach pomocy społecznej była mowa o wynagrodzeniach czy dochodach poszczególnych rodzin. Czyli właściwie można powiedzieć, mieliśmy tam do czynienia z wieloma danymi wrażliwymi, których bezpieczeństwo, szczególnie poufność, nie zostały zachowane – wskazuje Paweł Śmigielski.

Jak podkreśla NIK, komunikacja służbowa powinna się odbywać za pomocą dedykowanej do tego skrzynki mailowej, a korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa. Warto też brać przykład z zagranicy. W Austrii wszystkie jednostki samorządowe korzystają z domeny gv.at. Z kolei w Czechach i Portugalii instytucje publiczne mają obowiązek korzystania z własnych wykupionych domen.

– Aby uniknąć tego typu incydentów, konieczne jest oparcie się na trzech filarach: ludzie, procedury i technologie. Te trzy filary powinny funkcjonować jako jeden, wzajemnie się uzupełniający ekosystem. Powinniśmy szkolić naszych pracowników, szczególnie tych nietechnicznych, szczególnie tych, którzy na co dzień nie mają do czynienia z informatyką. Bardzo popularne są aktualnie szkolenia z zakresu security awareness, które mają podnosić świadomość pracowników na temat aktualnych zagrożeń i ryzyk dotyczących przetwarzanych danych. Można to jeszcze uzupełnić o dodatkowe mechanizmy, które powinny się odbywać regularnie, cyklicznie, możemy także dokonywać kontrolowanych ataków – wymienia country manager w Stormshield.

W odpowiedzi na wyzwania związane z bezpieczeństwem danych w jednostkach samorządu terytorialnego powstał rządowy program Cyberbezpieczny Samorząd. Zostanie nim objętych ponad 2,8 tys. jednostek w całym kraju. Jego celem jest zwiększenie poziomu bezpieczeństwa informacji JST poprzez wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych.

– Bardzo istotnym aspektem jest to, że sam program kładzie bardzo duży nacisk na część szkoleniową i audytową, czyli nie same rozwiązania, nawet najbardziej zaawansowane technologie będą podnosić poziom bezpieczeństwa danych, które są przechowywane i przetwarzane w urzędzie, ale kluczowym elementem jest człowiek. Zresztą od wielu lat mówimy w cyberbezpieczeństwie, że to człowiek jest najsłabszym ogniwem i na nim powinniśmy skupić nasze wysiłki związane z podnoszeniem świadomości, kompetencji i poziomu wiedzy – ocenia Paweł Śmigielski.

Jednostki samorządu terytorialnego są regularnie atakowane przez cyberprzestępców. Liczba ataków na JST w latach 2020–2022 zwiększyła się o 100 proc., a jak wskazują eksperci, rok wyborczy sprzyja aktywności przestępców. Brak rozwiązań technicznych (np. firewalle następnej generacji, systemy ochrony stacji końcowych EDR), a także mechanizmów monitorowania i informowania o incydentach sprawia, że można się stać łatwym celem. Dlatego – zdaniem ekspertów Stormshield – tego typu programy to krok w dobrą stronę. Tym bardziej że włodarzom miast czy gmin zwykle łatwiej jest zaplanować wydatki na inwestycje przekładające się na korzyść dla mieszkańców, takie jak infrastruktura, a nie na cyberzabezpieczenia w samorządzie.

To istotne również w kontekście konieczności wdrożenia dyrektywy NIS2. Nakłada ona szereg obowiązków na podmioty, takie jak operatorzy infrastruktury krytycznej, np. wodociągowej czy ciepłowniczej. Ma to być m.in. raportowanie incydentów, zarządzanie ryzykiem i stosowanie rozwiązań technicznych adekwatnych poziomu tego ryzyka. Okazuje się, że niegotowych do wdrożenia tej dyrektywy może być, zdaniem ekspertów, nawet 60 proc. jednostek, których będzie ona dotyczyła.

Źródło: Newseria

NAJNOWSZE INFORMACJE

J. Lewandowski: Polityka UE potrzebuje deregulacji. Bez tego tracimy w wyścigu z USA i Chinami

Unia Europejska potrzebuje o wiele bardziej skoordynowanej polityki przemysłowej, szybszych decyzji i ogromnych inwestycji, jeśli chce dotrzymać kroku gospodarczo Stanom Zjednoczonym i Chinom – wynika z raportu Mario...

Stypendia socjalne i zapomogi dla studentów dotkniętych powodzią. MNiSW apeluje do uczelni o priorytetowe rozpatrywanie wniosków

Uczelnie w całym kraju deklarują pomoc dla studentów dotkniętych skutkami powodzi, jaka ma miejsce w południowo-zachodniej części Polski. Minister nauki i szkolnictwa wyższego Dariusz Wieczorek zaapelował o udzielanie...

W Polsce rodzi się coraz mniej dzieci. Zdrowiu reprodukcyjnemu wciąż poświęca się za mało uwagi w debacie o dzietności i polityce rodzinnej

W 2023 roku urodziło się 272 tys. dzieci, czyli najmniej od II wojny światowej. Tegoroczne dane są jeszcze gorsze. W pierwszej połowie 2024...

Wejście Ukrainy do UE może zająć jeszcze długie lata. Miałoby ono duży wpływ na polskie rolnictwo i rynek pracy

Akcesja Ukrainy do UE będzie oznaczać duże zmiany dla polskiego rolnictwa i potencjalne problemy na rynku pracy. Z drugiej strony to też szansa dla polskich przedsiębiorców,...

Nowe trendy w digital marketingu. Innowacje rewolucjonizują działania agencji i klientów

Digital marketing rośnie w siłę, a w branży widać w tej chwili kilka mocnych trendów, które mają potencjał do rewolucjonizowania sposobu działania agencji i ich klientów. Najważniejszym...

Miliard euro ze środków unijnych na rozwój technologii kosmicznych. Z programu Cassini skorzystało już ponad 600 europejskich firm

Rośnie potencjał branży kosmicznej, a w jego zagospodarowaniu pomaga uruchomiony trzy lata temu przez Komisję Europejską program Cassini. To inicjatywa, która ma wspierać przedsiębiorstwa z branży...

Muzycy zespołu Enej: Technika i budżety od wielkiej powodzi sprzed 27 lat poszły w górę. A jednak nadal nie jesteśmy w stanie sobie poradzić...

Muzycy zespołu Enej do końca nie chcieli wierzyć, że powtórzy się czarny scenariusz sprzed 27 lat i na południu Polski dojdzie do powodzi na południu...

Gabi Drzewiecka i Jagna Niedzielska: Filipińczycy są ludźmi otwartymi i im mniej mają, tym więcej chcą ci dać. To jest wzruszające i na pewno...

Uczestniczki programu „Azja Express” nie ukrywają, że na początku trudno im było przełamać barierę wstydu, zapukać do cudzego domu i poprosić o nocleg. Zadania nie ułatwiała obecność...

Ewa Pachulska – wiek, waga, mąż, dziecko. Kim jest Ewa Pachulska?

Ewa Pachulska, uznana polska tancerka i twórczyni treści cyfrowych, wyróżnia się swoją aktywnością w mediach społecznościowych, zwłaszcza na platformach Instagram i YouTube.

Wylesianie jedną z głównych przyczyn zmian klimatu. Coraz więcej podmiotów angażuje się w ich ochronę

Ze względu na różnorodną i szczególnie istotną rolę, jaką pełnią lasy, coraz więcej mówi się o potrzebie wzmocnienia ich ochrony. Wylesianie i degradacja lasów są bowiem...

Właściciele mieszkań obawiają się nierzetelnych najemców. Rynek najmu profesjonalizuje się bardzo powoli

Po dwucyfrowych wzrostach stawek najmu w dużych miastach z okresu dużego napływu uchodźców z Ukrainy rynek wpadł w stagnację. W I kwartale 2024 roku średnie ceny transakcyjne...

Część kosmetyków może być groźna dla kobiet w ciąży. Zwiększają ryzyko nadciśnienia

Fenole i parabeny, obecne powszechnie w mydłach, emulsjach, produktach do makijażu, filtrach ochronnych czy produktach higieny osobistej, podnoszą ryzyko nadciśnienia u kobiet w ciąży – alarmują naukowcy...

O TYM SIĘ MÓWI

Inez Lis – wiek, waga, wzrost. Kim jest Inez Lis?

Inez Lis to popularna polska influencerka, członkini grupy Dresscode, która zdobyła znaczną rozpoznawalność dzięki swojej aktywności w mediach społecznościowych, zwłaszcza na Instagramie....

Roxyxo – wiek, życie prywatne i działalność zawodowa. Kim jest Roksana Kwiatkowska?

Roksana Kwiatkowska, znana w mediach społecznościowych jako roxyxo, to wpływowa postać na polskiej scenie mody i muzyki. Jej działalność nie tylko kształtuje...

Gdzie mieszka Wojciech Cejrowski?

Mało jest osób tak kontrowersyjnych, a jednocześnie cieszących się tak licznym gronem fanów w Polsce, jak słynny...

Ewa Pachulska – wiek, waga, mąż, dziecko. Kim jest Ewa Pachulska?

Ewa Pachulska, uznana polska tancerka i twórczyni treści cyfrowych, wyróżnia się swoją aktywnością w mediach społecznościowych, zwłaszcza na platformach Instagram i YouTube.

Agasava – wiek, mąż, życie prywatne. Kim jest Agata Sawicka?

Agata Sawicka, znana w mediach społecznościowych jako @agasava, to influencerka, blogerka i entuzjastka zdrowego stylu życia. Jej profil na Instagramie koncentruje się...

Monika Miller: Zastanawiam się, czy chcę ślubu tradycyjnego, czy na przykład na plaży w Macedonii. Myślę też, czy zaprosić gości i czy chcę rodzinę

Aktorka podkreśla, że jest szczęśliwie zakochana i wraz ze swoim chłopakiem tworzą niezwykle udaną parę. Przekonuje też, że nigdy nawet się nie pokłócili, bo szanują siebie nawzajem,...