Najwyższa Izba Kontroli: ogromna skala nieprawidłowości w JST przy gromadzeniu danych osobowych

1 marca, 2024

NIK zapowiedziało kontrole w całej Polsce. Jak wynika z raportu Izby, wieloletnie zaniedbania: nieświadomość zagrożeń, brak jednoznacznych wytycznych, używanie domen publicznych bez stosownych umów gwarantujący bezpieczeństwo sprawiają, że podstawowe elementy systemu ochrony danych osobowych w jednostkach samorządowych były nieskuteczne. Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy instytucji.

Szczegółowa analiza wykazała, że w skrzynkach e-mailowych samorządowców niewłaściwie przetwarzano różne rodzaje danych jak: dane osobowe osób fizycznych (imiona, nazwiska, adresy, numery PESEL, numery telefonów), informacje o stanie zdrowia (m.in. wyniki badań lekarskich), dane o korzystaniu ze świadczeń opieki społecznej, zatrudnieniu i wynagrodzeniach oraz o sytuacji rodzinnej (m.in. opisy diagnoz wystawionych przez poradnie psychologiczno-pedagogiczne).

Kluczowym zadaniem dla JST wyłaniającym się z raportu jest zrozumienie ryzyka związanego z przetwarzaniem danych osobowych i podejmowanie odpowiednich działań zaradczych.

najwyższa izba kontroli nieprawidłowości

Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy instytucji publicznych oraz nawet kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych.

Z analizy wynika, że 43 proc. placówek oświatowych, 32 proc. publicznych zakładów opieki zdrowotnej oraz 28 proc. ośrodków pomocy społecznej wykorzystuje główne adresy mailowe w domenach komercyjnych.

nik bezpieczenstwo danych

NIK rozszerza postępowanie kontrolne na wszystkie samorządy w kraju

Niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych.

„Wskazuje to na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów, w sposób odpowiedni zabezpieczających dane osobowe obywateli” – ocenia NIK.

Trzeba pamiętać o odpowiedzialności

By skutecznie przeciwdziałać zagrożeniom cyfrowym kluczowe są odpowiednie rozwiązania techniczne. Samorządy powinny wzmacniać infrastrukturę IT o nowoczesne, certyfikowane i rekomendowane przez UE firewalle, rozwiązania DLP monitorujące dane, systemy ochrony stacji końcowych, jak EDR, stosować systemy monitorowania i informowania o incydentach typu SIEM, systemy do szyfrowania danych czy też podpisu elektronicznego wraz z infrastrukturą PKI.

Jednocześnie raport NIK uzmysławia jak istotne są działania miękkie, w tym edukacja pracowników. Brak mechanizmów nadzoru i kontroli, sprawia, że można stać się łatwym celem dla przestępców, a prawidłowe zabezpieczenie mejli jest jednym z fundamentów cyberbezpieczeństwa.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]