NIK zapowiedziało kontrole w całej Polsce. Jak wynika z raportu Izby, wieloletnie zaniedbania: nieświadomość zagrożeń, brak jednoznacznych wytycznych, używanie domen publicznych bez stosownych umów gwarantujący bezpieczeństwo sprawiają, że podstawowe elementy systemu ochrony danych osobowych w jednostkach samorządowych były nieskuteczne. Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy instytucji.
Szczegółowa analiza wykazała, że w skrzynkach e-mailowych samorządowców niewłaściwie przetwarzano różne rodzaje danych jak: dane osobowe osób fizycznych (imiona, nazwiska, adresy, numery PESEL, numery telefonów), informacje o stanie zdrowia (m.in. wyniki badań lekarskich), dane o korzystaniu ze świadczeń opieki społecznej, zatrudnieniu i wynagrodzeniach oraz o sytuacji rodzinnej (m.in. opisy diagnoz wystawionych przez poradnie psychologiczno-pedagogiczne).
Kluczowym zadaniem dla JST wyłaniającym się z raportu jest zrozumienie ryzyka związanego z przetwarzaniem danych osobowych i podejmowanie odpowiednich działań zaradczych.
Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy instytucji publicznych oraz nawet kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych.
Z analizy wynika, że 43 proc. placówek oświatowych, 32 proc. publicznych zakładów opieki zdrowotnej oraz 28 proc. ośrodków pomocy społecznej wykorzystuje główne adresy mailowe w domenach komercyjnych.
Do największych wycieków danych dochodzi głównie ze względu na błąd ludzki lub niewiedzę pracowników. Samorządy potrzebują nie tylko odpowiednich polityk bezpieczeństwa, ale przede wszystkim systemów, które będą klasyfikować pliki oraz przetwarzane dokumenty w zależności od ich poufności i zawartości, a także zabezpieczać przed sytuacjami, w których pracownik, celowo lub nieświadomie, doprowadzi do wycieku danych.
Samorządy są dysponentem danych niezwykle cennych z perspektywy przestępców, przy czym to właśnie informacje są istotą ich zainteresowania. Stwierdzone przez NIK złe praktyki, są dowodem nie tyle na niedbałość, co zupełny brak świadomości zagrożenia, że system cyberodporności budujemy po to by chronić zgromadzone informacje.
NIK rozszerza postępowanie kontrolne na wszystkie samorządy w kraju
Niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych.
„Wskazuje to na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów, w sposób odpowiedni zabezpieczających dane osobowe obywateli” – ocenia NIK.
Trzeba pamiętać o odpowiedzialności
By skutecznie przeciwdziałać zagrożeniom cyfrowym kluczowe są odpowiednie rozwiązania techniczne. Samorządy powinny wzmacniać infrastrukturę IT o nowoczesne, certyfikowane i rekomendowane przez UE firewalle, rozwiązania DLP monitorujące dane, systemy ochrony stacji końcowych, jak EDR, stosować systemy monitorowania i informowania o incydentach typu SIEM, systemy do szyfrowania danych czy też podpisu elektronicznego wraz z infrastrukturą PKI.
Jednocześnie raport NIK uzmysławia jak istotne są działania miękkie, w tym edukacja pracowników. Brak mechanizmów nadzoru i kontroli, sprawia, że można stać się łatwym celem dla przestępców, a prawidłowe zabezpieczenie mejli jest jednym z fundamentów cyberbezpieczeństwa.
