Wątpliwości dotyczące bezpieczeństwa danych przetwarzanych w różnych urzędach. NIK zapowiada kontrole we wszystkich jednostkach samorządu terytorialnego

Nawet kilkadziesiÄ…t tysiÄ™cy adresów mailowych wykorzystywanych w polskich samorzÄ…dach przy wymianie danych osobowych może być zlokalizowanych na publicznych, niezarejestrowanych domenach – szacuje Najwyższa Izba Kontroli, opierajÄ…c siÄ™ na wynikach kontroli przeprowadzonej w województwie podlaskim. UrzÄ™dnicy posÅ‚ugiwali siÄ™ adresami na publicznych domenach m.in. przy przesyÅ‚aniu informacji takich jak numer PESEL, stan zdrowia czy dochody petentów. Okazuje siÄ™, że problem istnieje również w  w sÄ…downictwie czy oÅ›wiacie. Eksperci przekonujÄ…, że inwestycje w zabezpieczenia na poziomie informatycznym to jedno, ale wciąż kluczowÄ… rolÄ™ w bezpieczeÅ„stwie danych odgrywa czÅ‚owiek. To zarazem najsÅ‚absze ogniwo systemu.

– Nasze dane, które sÄ… przechowywane i przetwarzane w samorzÄ…dach, nie sÄ… bezpieczne. MówiÄ…c bardziej precyzyjnie, nie jest zachowany odpowiedni poziom bezpieczeÅ„stwa tych danych – mówi agencji Newseria Innowacje PaweÅ‚ Åšmigielski, country manager w Stormshield, komentujÄ…c raport Najwyższej Izby Kontroli, dotyczÄ…cy bezpieczeÅ„stwa danych osobowych w jednostkach samorzÄ…dowych w formie elektronicznej.

Jak wykazaÅ‚a przeprowadzona w 12 jednostkach samorzÄ…du terytorialnego w województwie podlaskim kontrola NIK, dochodziÅ‚o w nich do wieloletnich zaniedbaÅ„ zwiÄ…zanych z ochronÄ… danych osobowych. Najbardziej jaskrawym przykÅ‚adem byÅ‚o wykorzystywanie komercyjnych domen do prowadzenia komunikacji mailowej. O skali zjawiska najlepiej może Å›wiadczyć to, że po kontroli zrezygnowano z używania w ten sposób 250 takich adresów mailowych.

– Powinno to budzić zdziwienie. Kilka lat temu mieliÅ›my do czynienia z tak zwanÄ… aferÄ… mailowÄ…, która dotyczyÅ‚a szefa Kancelarii Premiera. Mówimy, że powinniÅ›my uczyć siÄ™ na bÅ‚Ä™dach, a najlepiej wyciÄ…gać lekcje w oparciu o bÅ‚Ä™dy, które zdarzyÅ‚y siÄ™ u innych. Wykorzystywanie poczty prywatnej czy wÅ‚aÅ›ciwie takiej pseudosÅ‚użbowej, bo to byÅ‚y skrzynki urzÄ™dników prowadzone na ogólnodostÄ™pnych platformach, to jest absolutne minimum, które powinno być wykluczone. Problemem nie byÅ‚a niska Å›wiadomość urzÄ™dników w kontrolowanych jednostkach. W samych raportach jest informacja, że urzÄ™dnicy wymieniali korespondencjÄ™ z urzÄ™dami szczebla wojewódzkiego bÄ…dź centralnego. Pojawia siÄ™ informacja o UrzÄ™dzie Wojewódzkim, Ministerstwie Edukacji Narodowej, GÅ‚ównym UrzÄ™dzie Statystycznym. To zdumiewajÄ…ce, że pracownikom tych urzÄ™dów nie zapaliÅ‚a siÄ™ czerwona lampka, że wymieniajÄ… korespondencjÄ™ z osobami, które korzystajÄ… z prywatnych skrzynek pocztowych – mówi PaweÅ‚ Åšmigielski.

Być może wÅ‚aÅ›nie to byÅ‚o jednym z czynników, które skÅ‚oniÅ‚y kontrolerów NIK do przeprowadzenia analizy tego problemu. OkazaÅ‚o siÄ™, że ryzyko wystÄ…pienia analogicznych nieprawidÅ‚owoÅ›ci w caÅ‚ym kraju jest bardzo wysokie. Z analizy wynika, że 43 proc. placówek oÅ›wiatowych, 32 proc. publicznych zakÅ‚adów opieki zdrowotnej oraz 28 proc. oÅ›rodków pomocy spoÅ‚ecznej na co dzieÅ„ wykorzystuje gÅ‚ówne adresy mailowe w domenach komercyjnych, np. wp.pl, poczta.onet.pl, gmail.com.

– WÅ‚odarze zostali zapytani, dlaczego nie dochowano należytej starannoÅ›ci w kwestii zabezpieczania danych. ZostaÅ‚y wymienione m.in. takie powody jak brak wiedzy, brak Å›wiadomoÅ›ci wÅ›ród pracowników. ByÅ‚y także wymieniane przyzwyczajenia tych pracowników. Jest mowa m.in. o tym, że niektóre z tych kont pocztowych zostaÅ‚y zaÅ‚ożone w 2004 roku i możemy sobie wyobrazić, że 20 lat temu Å›wiadomość ochrony danych byÅ‚a zupeÅ‚nie inna niż w dzisiejszych czasach. Nie mieliÅ›my jeszcze wtedy do czynienia z rozporzÄ…dzeniem o ochronie danych osobowych, ale 20 lat później te kwestie już powinny być doskonale znane – zauważa ekspert Stormshield.

Z szacunków NIK wynika, że skala nieprawidÅ‚owoÅ›ci może dotyczyć kilkunastu tysiÄ™cy publicznych instytucji oraz kilkudziesiÄ™ciu tysiÄ™cy adresów mailowych, które nie powinny być wykorzystywane do celów sÅ‚użbowych. PostÄ™powanie ma zostać rozszerzone na wszystkie jednostki samorzÄ…dowe w kraju, ale i na inne jednostki administracji publicznej. Z danych uzyskanych przez NIK z dziewiÄ™ciu sÄ…dów apelacyjnych wynika, że podobny problem może wystÄ™pować w przypadku 88 proc. tÅ‚umaczy, 83 proc. biegÅ‚ych, 80 proc. Å‚awników, 73 proc. mediatorów i 5 proc. komorników. Tym, co budzi szczególny niepokój, jest nie tylko sam fakt wymiany danych osobowych za poÅ›rednictwem niezabezpieczonych kont, ale i to, jakiego rodzaju byÅ‚y to informacje.

– W raportach otrzymaliÅ›my informacje, że urzÄ™dnicy w tej korespondencji wymieniali m.in. imiona, nazwiska, numery PESEL, informacje o stanie zdrowia obywateli, a także w oÅ›rodkach pomocy spoÅ‚ecznej byÅ‚a mowa o wynagrodzeniach czy dochodach poszczególnych rodzin. Czyli wÅ‚aÅ›ciwie można powiedzieć, mieliÅ›my tam do czynienia z wieloma danymi wrażliwymi, których bezpieczeÅ„stwo, szczególnie poufność, nie zostaÅ‚y zachowane – wskazuje PaweÅ‚ Åšmigielski.

Jak podkreÅ›la NIK, komunikacja sÅ‚użbowa powinna siÄ™ odbywać za pomocÄ… dedykowanej do tego skrzynki mailowej, a korzystanie z prywatnej skrzynki pocztowej w celach sÅ‚użbowych nie należy do dobrych praktyk bezpieczeÅ„stwa. Warto też brać przykÅ‚ad z zagranicy. W Austrii wszystkie jednostki samorzÄ…dowe korzystajÄ… z domeny gv.at. Z kolei w Czechach i Portugalii instytucje publiczne majÄ… obowiÄ…zek korzystania z wÅ‚asnych wykupionych domen.

– Aby uniknąć tego typu incydentów, konieczne jest oparcie siÄ™ na trzech filarach: ludzie, procedury i technologie. Te trzy filary powinny funkcjonować jako jeden, wzajemnie siÄ™ uzupeÅ‚niajÄ…cy ekosystem. PowinniÅ›my szkolić naszych pracowników, szczególnie tych nietechnicznych, szczególnie tych, którzy na co dzieÅ„ nie majÄ… do czynienia z informatykÄ…. Bardzo popularne sÄ… aktualnie szkolenia z zakresu security awareness, które majÄ… podnosić Å›wiadomość pracowników na temat aktualnych zagrożeÅ„ i ryzyk dotyczÄ…cych przetwarzanych danych. Można to jeszcze uzupeÅ‚nić o dodatkowe mechanizmy, które powinny siÄ™ odbywać regularnie, cyklicznie, możemy także dokonywać kontrolowanych ataków – wymienia country manager w Stormshield.

W odpowiedzi na wyzwania zwiÄ…zane z bezpieczeÅ„stwem danych w jednostkach samorzÄ…du terytorialnego powstaÅ‚ rzÄ…dowy program Cyberbezpieczny SamorzÄ…d. Zostanie nim objÄ™tych ponad 2,8 tys. jednostek w caÅ‚ym kraju. Jego celem jest zwiÄ™kszenie poziomu bezpieczeÅ„stwa informacji JST poprzez wzmacnianie odpornoÅ›ci oraz zdolnoÅ›ci do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych.

– Bardzo istotnym aspektem jest to, że sam program kÅ‚adzie bardzo duży nacisk na część szkoleniowÄ… i audytowÄ…, czyli nie same rozwiÄ…zania, nawet najbardziej zaawansowane technologie bÄ™dÄ… podnosić poziom bezpieczeÅ„stwa danych, które sÄ… przechowywane i przetwarzane w urzÄ™dzie, ale kluczowym elementem jest czÅ‚owiek. ZresztÄ… od wielu lat mówimy w cyberbezpieczeÅ„stwie, że to czÅ‚owiek jest najsÅ‚abszym ogniwem i na nim powinniÅ›my skupić nasze wysiÅ‚ki zwiÄ…zane z podnoszeniem Å›wiadomoÅ›ci, kompetencji i poziomu wiedzy – ocenia PaweÅ‚ Åšmigielski.

Jednostki samorzÄ…du terytorialnego sÄ… regularnie atakowane przez cyberprzestÄ™pców. Liczba ataków na JST w latach 2020–2022 zwiÄ™kszyÅ‚a siÄ™ o 100 proc., a jak wskazujÄ… eksperci, rok wyborczy sprzyja aktywnoÅ›ci przestÄ™pców. Brak rozwiÄ…zaÅ„ technicznych (np. firewalle nastÄ™pnej generacji, systemy ochrony stacji koÅ„cowych EDR), a także mechanizmów monitorowania i informowania o incydentach sprawia, że można siÄ™ stać Å‚atwym celem. Dlatego – zdaniem ekspertów Stormshield – tego typu programy to krok w dobrÄ… stronÄ™. Tym bardziej że wÅ‚odarzom miast czy gmin zwykle Å‚atwiej jest zaplanować wydatki na inwestycje przekÅ‚adajÄ…ce siÄ™ na korzyść dla mieszkaÅ„ców, takie jak infrastruktura, a nie na cyberzabezpieczenia w samorzÄ…dzie.

To istotne również w kontekÅ›cie koniecznoÅ›ci wdrożenia dyrektywy NIS2. NakÅ‚ada ona szereg obowiÄ…zków na podmioty, takie jak operatorzy infrastruktury krytycznej, np. wodociÄ…gowej czy ciepÅ‚owniczej. Ma to być m.in. raportowanie incydentów, zarzÄ…dzanie ryzykiem i stosowanie rozwiÄ…zaÅ„ technicznych adekwatnych poziomu tego ryzyka. Okazuje siÄ™, że niegotowych do wdrożenia tej dyrektywy może być, zdaniem ekspertów, nawet 60 proc. jednostek, których bÄ™dzie ona dotyczyÅ‚a.