"Z doniesień medialnych wynika, że w spółce InnoBaltica, odpowiedzialnej za System FALA, doszło do naruszenia ochrony danych osobowych uczniów. Według informacji przekazanych przez Radio Gdańsk, naruszenie miało polegać na skopiowaniu danych na prywatny adres IP byłego pracownika, co miało wykraczać poza udzielone upoważnienia; sprawa została zgłoszona do prokuratury, a administratorzy danych (dyrektorzy szkół) zostali powiadomieni." - mówi Jakub Ubych, radny Gdyni.
Radny Ubych szczegółowo przeprowadził analizę zdarzenia i przedstawił konsekwencje oraz konieczne działania, które powinny być podjęte natychmiast. I nie chodzi tu o debatę nad potrzebą funkcjonowania systemu Fala, a o przestrzeganie zasad bezpieczeństwa naszych danych osobowych. Mowa bowiem o firmie, która obsługuje mieszkańców województwa pomorskiego na "zlecenie" Urzędu Marszałkowskiego i wielu samorządów, m.in. Gdyni, Gdańska, Słupska, Chojnic, Wejherowa, Lęborka...
"Nieoficjalnie mowa jest o kilkuset uczniach i bazie danych związanej z legitymacjami szkolnymi; spółka wskazuje jednocześnie, że środowisko, z którego skopiowano dane, ma być odseparowane od głównej bazy pasażerów.
To zdarzenie wymaga chłodnej analizy, bo dotyczy danych osób małoletnich oraz modelu, w którym szkoły (jako administratorzy) powierzają przetwarzanie danych podmiotowi zewnętrznemu. A tam, gdzie są dzieci i systemy masowe, poprzeczka bezpieczeństwa musi być ustawiona wyżej niż „standardowo”.
W narracji publicznej często pojawia się pokusa bagatelizowania: „to tylko dane z legitymacji”. To błąd. Dane z legitymacji (typowo: imię, nazwisko, szkoła, identyfikator, czasem fotografia, numer dokumentu, data urodzenia, PESEL lub inne elementy) nie pozwolą na zaciągnięcie kredytu, ale wystarczają do:
Kluczowe jest to, że w przypadku małoletnich ocena ryzyka w RODO praktycznie nigdy nie kończy się na zdaniu „nic się nie stanie”. Dla danych dzieci próg ostrożności powinien być wyższy.
Jeżeli potwierdza się scenariusz „były pracownik skopiował dane na prywatny adres IP”, to mamy do czynienia nie tylko z czynem sprawcy, ale również z pytaniem o dojrzałość mechanizmów bezpieczeństwa.
W dobrze zaprojektowanym środowisku przetwarzania danych uczniów powinny zadziałać co najmniej cztery warstwy ochrony:
1. Zasada najmniejszych uprawnień (least privilege)
Czy pracownik miał dostęp do danych w zakresie koniecznym do wykonywania zadań? Czy dostęp do całej bazy był rzeczywiście uzasadniony?
2. Kontrola eksportu i zapobieganie eksfiltracji
Czy system pozwalał „wynieść” dane poza środowisko (na prywatny IP) bez alarmu? Dlaczego transfer nie został zablokowany albo oznaczony jako incydent wysokiego ryzyka?
3. Monitoring i korelacja zdarzeń (SIEM / logi)
Czy zdarzenie wykryto automatycznie, czy „po fakcie”? Różnica jest fundamentalna: w cyberbezpieczeństwie liczą się godziny, nie tygodnie.
4. Offboarding pracowniczy i kontrola kont uprzywilejowanych
Jeśli był to pracownik zwalniany dyscyplinarnie (taka informacja pojawia się w doniesieniach), tym bardziej powinna zadziałać procedura: natychmiastowe ograniczenie dostępu, przegląd aktywności, rotacja haseł/kluczy, weryfikacja uprawnień.
To nie są „fanaberie informatyków”, tylko standardy bezpieczeństwa wszędzie tam, gdzie przetwarza się dane wrażliwe w sensie społecznym (a dane dzieci takie są).
Ważna rzecz: „pismo do dyrektorów” to dopiero początek. Jeśli ryzyko dla rodziców i uczniów jest realne, informacja musi dotrzeć do zainteresowanych, w języku zrozumiałym, bez „bełkotu compliance”.
Najbardziej prawdopodobne błędy organizacyjne (i dlaczego są groźne)
W tego typu incydentach zwykle zawodzi nie jeden element, tylko cały „łańcuch”:
Jeżeli organizacja buduje system regionalny, obejmujący wiele instytucji i wiele szkół, to bezpieczeństwo musi być projektowane jak dla infrastruktury krytycznej: audyty, testy, kontrola dostawców, ciągły monitoring.
Bez czekania na finał postępowania prokuratury, warto działać w logice minimalizacji ryzyka:
Ten incydent nie jest tylko „wpadką jednej spółki”. To sygnał ostrzegawczy dla całego modelu cyfryzacji usług publicznych: jeśli budujemy rozwiązania dla mieszkańców, a szczególnie dla dzieci, to muszą one spełniać standardy „security by design” i „privacy by design” – nie na papierze, tylko w architekturze systemu, w procedurach i w kulturze zarządzania.
Dobrze, że według doniesień sprawa została zgłoszona do prokuratury i że podmiot potwierdził naruszenie oraz poinformował administratorów danych.
Największym błędem po incydencie jest… wrócić do „normalności” bez poprawy mechanizmów, które pozwoliły na wyniesienie danych."
0
0
0
0
0
0
0 0
...to fakt, że takie dane można wykorzystać na niekorzyść posiadaczy.
Wynika to z pozbycia się odpowiedzialności instytucji za dane. Całe RODO to jedynie "listek figowy" dający hojnie zarobić rzeszom prawników, realnie właściciel musi sam chronić dane a w przypadku problemu, sam się bronić. Temu służy również "blokowanie" PESEL. Zawsze ofiara jest winna, bo nie zastosowała się do wszystkich "dzwonków i gwizdków" a instytucje mogą otrzepać "spracowane" ręce...
W Skandynawii dane osobowe dostępne sa publicznie. Możesz dowiedzieć się, kto jest twoim sąsiadem.
I co?
I nic...
Nie weźmiesz kredytu na tej podstawie...
Użytkowniku, pamiętaj, że w Internecie nie jesteś anonimowy. Ponosisz odpowiedzialność za treści zamieszczane na portalu dziendobrypomorze.pl. Dodanie opinii jest równoznaczne z akceptacją Regulaminu portalu. Jeśli zauważyłeś, że któraś opinia łamie prawo lub dobry obyczaj - powiadom nas [email protected] lub użyj przycisku Zgłoś komentarz