Godzinnik.pl Biznes Wątpliwości dotyczące bezpieczeństwa danych przetwarzanych w różnych urzędach. NIK zapowiada kontrole we...

Wątpliwości dotyczące bezpieczeństwa danych przetwarzanych w różnych urzędach. NIK zapowiada kontrole we wszystkich jednostkach samorządu terytorialnego

Nawet kilkadziesiąt tysięcy adresów mailowych wykorzystywanych w polskich samorządach przy wymianie danych osobowych może być zlokalizowanych na publicznych, niezarejestrowanych domenach – szacuje Najwyższa Izba Kontroli, opierając się na wynikach kontroli przeprowadzonej w województwie podlaskim. Urzędnicy posługiwali się adresami na publicznych domenach m.in. przy przesyłaniu informacji takich jak numer PESEL, stan zdrowia czy dochody petentów. Okazuje się, że problem istnieje również w  w sądownictwie czy oświacie. Eksperci przekonują, że inwestycje w zabezpieczenia na poziomie informatycznym to jedno, ale wciąż kluczową rolę w bezpieczeństwie danych odgrywa człowiek. To zarazem najsłabsze ogniwo systemu.

 Nasze dane, które są przechowywane i przetwarzane w samorządach, nie są bezpieczne. Mówiąc bardziej precyzyjnie, nie jest zachowany odpowiedni poziom bezpieczeństwa tych danych – mówi agencji Newseria Innowacje Paweł Śmigielski, country manager w Stormshield, komentując raport Najwyższej Izby Kontroli, dotyczący bezpieczeństwa danych osobowych w jednostkach samorządowych w formie elektronicznej.

Jak wykazała przeprowadzona w 12 jednostkach samorządu terytorialnego w województwie podlaskim kontrola NIK, dochodziło w nich do wieloletnich zaniedbań związanych z ochroną danych osobowych. Najbardziej jaskrawym przykładem było wykorzystywanie komercyjnych domen do prowadzenia komunikacji mailowej. O skali zjawiska najlepiej może świadczyć to, że po kontroli zrezygnowano z używania w ten sposób 250 takich adresów mailowych.

– Powinno to budzić zdziwienie. Kilka lat temu mieliśmy do czynienia z tak zwaną aferą mailową, która dotyczyła szefa Kancelarii Premiera. Mówimy, że powinniśmy uczyć się na błędach, a najlepiej wyciągać lekcje w oparciu o błędy, które zdarzyły się u innych. Wykorzystywanie poczty prywatnej czy właściwie takiej pseudosłużbowej, bo to były skrzynki urzędników prowadzone na ogólnodostępnych platformach, to jest absolutne minimum, które powinno być wykluczone. Problemem nie była niska świadomość urzędników w kontrolowanych jednostkach. W samych raportach jest informacja, że urzędnicy wymieniali korespondencję z urzędami szczebla wojewódzkiego bądź centralnego. Pojawia się informacja o Urzędzie Wojewódzkim, Ministerstwie Edukacji Narodowej, Głównym Urzędzie Statystycznym. To zdumiewające, że pracownikom tych urzędów nie zapaliła się czerwona lampka, że wymieniają korespondencję z osobami, które korzystają z prywatnych skrzynek pocztowych – mówi Paweł Śmigielski.

Być może właśnie to było jednym z czynników, które skłoniły kontrolerów NIK do przeprowadzenia analizy tego problemu. Okazało się, że ryzyko wystąpienia analogicznych nieprawidłowości w całym kraju jest bardzo wysokie. Z analizy wynika, że 43 proc. placówek oświatowych, 32 proc. publicznych zakładów opieki zdrowotnej oraz 28 proc. ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy mailowe w domenach komercyjnych, np. wp.pl, poczta.onet.pl, gmail.com.

– Włodarze zostali zapytani, dlaczego nie dochowano należytej staranności w kwestii zabezpieczania danych. Zostały wymienione m.in. takie powody jak brak wiedzy, brak świadomości wśród pracowników. Były także wymieniane przyzwyczajenia tych pracowników. Jest mowa m.in. o tym, że niektóre z tych kont pocztowych zostały założone w 2004 roku i możemy sobie wyobrazić, że 20 lat temu świadomość ochrony danych była zupełnie inna niż w dzisiejszych czasach. Nie mieliśmy jeszcze wtedy do czynienia z rozporządzeniem o ochronie danych osobowych, ale 20 lat później te kwestie już powinny być doskonale znane – zauważa ekspert Stormshield.

Z szacunków NIK wynika, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Postępowanie ma zostać rozszerzone na wszystkie jednostki samorządowe w kraju, ale i na inne jednostki administracji publicznej. Z danych uzyskanych przez NIK z dziewięciu sądów apelacyjnych wynika, że podobny problem może występować w przypadku 88 proc. tłumaczy, 83 proc. biegłych, 80 proc. ławników, 73 proc. mediatorów i 5 proc. komorników. Tym, co budzi szczególny niepokój, jest nie tylko sam fakt wymiany danych osobowych za pośrednictwem niezabezpieczonych kont, ale i to, jakiego rodzaju były to informacje.

– W raportach otrzymaliśmy informacje, że urzędnicy w tej korespondencji wymieniali m.in. imiona, nazwiska, numery PESEL, informacje o stanie zdrowia obywateli, a także w ośrodkach pomocy społecznej była mowa o wynagrodzeniach czy dochodach poszczególnych rodzin. Czyli właściwie można powiedzieć, mieliśmy tam do czynienia z wieloma danymi wrażliwymi, których bezpieczeństwo, szczególnie poufność, nie zostały zachowane – wskazuje Paweł Śmigielski.

Jak podkreśla NIK, komunikacja służbowa powinna się odbywać za pomocą dedykowanej do tego skrzynki mailowej, a korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa. Warto też brać przykład z zagranicy. W Austrii wszystkie jednostki samorządowe korzystają z domeny gv.at. Z kolei w Czechach i Portugalii instytucje publiczne mają obowiązek korzystania z własnych wykupionych domen.

– Aby uniknąć tego typu incydentów, konieczne jest oparcie się na trzech filarach: ludzie, procedury i technologie. Te trzy filary powinny funkcjonować jako jeden, wzajemnie się uzupełniający ekosystem. Powinniśmy szkolić naszych pracowników, szczególnie tych nietechnicznych, szczególnie tych, którzy na co dzień nie mają do czynienia z informatyką. Bardzo popularne są aktualnie szkolenia z zakresu security awareness, które mają podnosić świadomość pracowników na temat aktualnych zagrożeń i ryzyk dotyczących przetwarzanych danych. Można to jeszcze uzupełnić o dodatkowe mechanizmy, które powinny się odbywać regularnie, cyklicznie, możemy także dokonywać kontrolowanych ataków – wymienia country manager w Stormshield.

W odpowiedzi na wyzwania związane z bezpieczeństwem danych w jednostkach samorządu terytorialnego powstał rządowy program Cyberbezpieczny Samorząd. Zostanie nim objętych ponad 2,8 tys. jednostek w całym kraju. Jego celem jest zwiększenie poziomu bezpieczeństwa informacji JST poprzez wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych.

– Bardzo istotnym aspektem jest to, że sam program kładzie bardzo duży nacisk na część szkoleniową i audytową, czyli nie same rozwiązania, nawet najbardziej zaawansowane technologie będą podnosić poziom bezpieczeństwa danych, które są przechowywane i przetwarzane w urzędzie, ale kluczowym elementem jest człowiek. Zresztą od wielu lat mówimy w cyberbezpieczeństwie, że to człowiek jest najsłabszym ogniwem i na nim powinniśmy skupić nasze wysiłki związane z podnoszeniem świadomości, kompetencji i poziomu wiedzy – ocenia Paweł Śmigielski.

Jednostki samorządu terytorialnego są regularnie atakowane przez cyberprzestępców. Liczba ataków na JST w latach 2020–2022 zwiększyła się o 100 proc., a jak wskazują eksperci, rok wyborczy sprzyja aktywności przestępców. Brak rozwiązań technicznych (np. firewalle następnej generacji, systemy ochrony stacji końcowych EDR), a także mechanizmów monitorowania i informowania o incydentach sprawia, że można się stać łatwym celem. Dlatego – zdaniem ekspertów Stormshield – tego typu programy to krok w dobrą stronę. Tym bardziej że włodarzom miast czy gmin zwykle łatwiej jest zaplanować wydatki na inwestycje przekładające się na korzyść dla mieszkańców, takie jak infrastruktura, a nie na cyberzabezpieczenia w samorządzie.

To istotne również w kontekście konieczności wdrożenia dyrektywy NIS2. Nakłada ona szereg obowiązków na podmioty, takie jak operatorzy infrastruktury krytycznej, np. wodociągowej czy ciepłowniczej. Ma to być m.in. raportowanie incydentów, zarządzanie ryzykiem i stosowanie rozwiązań technicznych adekwatnych poziomu tego ryzyka. Okazuje się, że niegotowych do wdrożenia tej dyrektywy może być, zdaniem ekspertów, nawet 60 proc. jednostek, których będzie ona dotyczyła.

Źródło: Newseria

NAJNOWSZE INFORMACJE

Co kupić na Walentynki? Jest badanie, co dostajemy, a co chcemy dostać

Media Markt Experts w najnowszym badaniu przedstawia, ile wynosi średni budżet walentynkowy oraz wskazuje jakie są wymarzone prezenty na tę okazję.

Czego oczekują Zetki? Jeden benefit jest dla nich szczególnie ważny

Pracownicy pokolenia Z zwracają uwagę na potrzeby, które wcześniej bywały marginalizowane. Najnowsze badanie Pracuj.pl wskazuje, który benefit jest najbardziej pożądany przez młodych pracowników.

Powstała alternatywa dla TikToka. Na WikiTok można scrollować artykuły z Wikipedii

W środę Isaac Gemal udostępnił stronę WikiTok, która umożliwia przeglądanie artykułów z Wikipedii w podobny sposób, jak scrollowanie treści na TikToku.

Wałbrzych zakupił autobusy elektryczne. Jest tylko jeden problem

Wałbrzych zakupił 20 autobusów elektrycznych napędzanych wodorem. We wrześniu do miasta trafiło 14 z nich. Miasto rozpoczęło wówczas szkolenia kierowców, mechaników, serwisantów oraz rozpoczęto budowę stacji tankowania wodoru.

Wybrano najlepszą pizzerię neapolitańską na świecie. Znajduje się w Polsce

Pizzeria Zielona Górka z Pabianic została uznana za odpowiednią pizzerię neapolitańską na świecie w prestiżowym rankingu, utworzonym przez właścicieli określonych lokali z różnych kontynentów. Właściciel restauracji cieszy się z wyróżnienia, choć jest nim bardzo zaskoczony.

Polscy europosłowie chcą rewizji zakazu sprzedaży aut spalinowych od 2035 roku. Liczą na zdecydowane poparcie w europarlamencie

– Będę proponować, żeby w marcu na sesji plenarnej w Strasburgu odbyła się debata i żebyśmy przyjęli rezolucję w sprawie rewizji zakazu sprzedaży aut spalinowych od 2035...

Finansowanie, technologia i wola polityczna sprzyjają walce o klimat. Dołączają do niej także konsumenci

Eksperci apelują o intensyfikację wysiłków na rzecz ochrony klimatu. Tym bardziej że teraz są ku temu sprzyjające warunki: finansowanie, wola polityczna i zaawansowane technologie. Coraz...

Sieć MOYA planuje otwierać kilkadziesiąt nowych stacji paliw rocznie. Właśnie otworzyła 500. punkt

– Mamy zbudowany portfel lokalizacji pod budowę na następne dwa–trzy lata – zapowiada Paweł Grzywaczewski z Anwim, właściciela sieci stacji paliw MOYA. Ta polska,...

Dwie trzecie polskich przedsiębiorców znalazło się na celowniku cyberoszustów. Niewielki odsetek zgłasza to do odpowiednich służb

Próby cyberataków to codzienność większości polskich firm. Największym zagrożeniem jest phishing, czyli maile czy SMS-y podszywające się pod różne instytucje mające na celu...

16-latka kupiła alkohol posługując się fałszywym mObywatelem. Grożą jej poważne konsekwencje

16-latka posłużyła się sfałszowanym mObywatelem, aby kupić alkohol dla siebie i swoich kolegów, poinformowała policja w Bytowie. Nastolatkowie będą odpowiadać przed Sądem Rodzinnym i Nieletnich.

Gdzie wrzucać torebki po herbacie? Wiele osób popełnia ten błąd

Codziennie ludzie na całym świecie zaparzają herbatę, ale czy zastanawialiście się, gdzie wyrzucać zużyte torebki? Ludzie często popełniają błędy, wrzucając je do pojemnika na odpady. Sprawdź, jak prawidłowo segregować torebki po herbacie i dlaczego to takie ważne!

Wielkie zmiany w urzędach pracy. Rząd planuje reformy

Szykują się zmiany w urzędach pracy. Projekt ustawy o rynku pracy i służbach zatrudnienia ma zastąpić dotychczas obowiązującą ustawę o promocji zatrudnienia i instytucjach rynku pracy. Jakie zmiany przewiduje?

O TYM SIĘ MÓWI

Wojek – wiek, kariera, współpraca z Książulem, dziewczyna

Wojek, znany również jako Maciej Wojas, to jedna z popularniejszych postaci w polskim internecie. Zyskał dużą popularność dzięki swojemu kanałowi na YouTube...

Inez Lis – wiek, waga, wzrost. Kim jest Inez Lis?

Inez Lis to popularna polska influencerka, członkini grupy Dresscode, która zdobyła znaczną rozpoznawalność dzięki swojej aktywności w mediach społecznościowych, zwłaszcza na Instagramie....

Laura Zawadzka – wzrost, waga, dziecko, partner. Kim jest Laura Zawadzka?

Laura Zawadzka zasłynęła dzięki występowi w czwartej edycji popularnego reality show "Love Island". Po programie, jej życie nabrało tempa, gdy zaszła w...

Książulo – wiek, praca, dziewczyna, miejsce zamieszkania

Szymon Nyczke, znany w internecie jako Książulo, to popularny twórca internetowy, który zdobył szerokie uznanie na platformie YouTube. Jego twórczość i życie...

Cmentarz dla zwierząt w Gliwicach za 120 tys. zł. Mieszkańcy oburzeni

W Gliwicach powstanie cmentarz dla zwierząt. Budowa ma się rozpocząć już w tym roku. Pomysł budzi jednak skrajne emocje.

Kim jest Paweł Svinarski? Wiek, dziewczyna, dziecko, praca

Paweł Svinarski to jedna z najbardziej rozpoznawalnych postaci w polskim internecie, szczególnie w obszarze biznesu i finansów. Jego działalność w mediach społecznościowych...