Raport NIK rzuca światło na systemowe nieprawidłowości w ochronie danych w JST

W najnowszym rozdziale sagi dotyczącej bezpieczeństwa danych osobowych w Polsce, media obiegła informacja, która może wywołać dreszcze na plecach każdego, kto myślał, że jego dane są bezpieczne. Tym razem na celowniku znalazł się Zakład Ubezpieczeń Społecznych (ZUS), skąd wyciekły dane prawie 300 płatników. Co więcej, za ten wyciek odpowiada pracownik ZUS, który, postanowił wysłać je drogą mailową na prywatny adres mailowy wiceprzewodniczącego związku zawodowego. Czy to zwykła nieuwaga, czy może celowe działanie? Jakie będą konsekwencje tego wycieku dla zaufania obywateli do instytucji państwowych?

Wydawałoby się, że w epoce post-Snowdena i ciągłych doniesień o wyciekach danych, świadomość zagrożeń cybernetycznych powinna być na porządku dziennym. Jednak najnowszy raport Najwyższej Izby Kontroli (NIK) ukazuje zatrważający obraz systemowych nieprawidłowości w dziedzinie ochrony i przetwarzania danych w polskich jednostkach samorządowych.

NIK, odkrywa wieloletnie zaniedbania: od braku świadomości zagrożeń, przez niejednoznaczne wytyczne, aż po używanie domen publicznych bez odpowiednich umów zabezpieczających. To wszystko składa się na obraz nieskutecznej ochrony danych osobowych, która, jak szacuje Izba, może dotyczyć kilkunastu tysięcy instytucji publicznych.

Aleksander Kostuch, inżynier z europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT, Stormshield, podkreśla, że prawidłowe zabezpieczenie e-maili jest jednym z fundamentów cyberbezpieczeństwa. Tymczasem szczegółowa analiza NIK pokazuje, że w skrzynkach e-mailowych samorządowców niewłaściwie przetwarzane są dane osobowe, informacje o stanie zdrowia, dane o korzystaniu ze świadczeń opieki społecznej, zatrudnieniu, wynagrodzeniach oraz sytuacji rodzinnej.

Skala tego zjawiska i charakter przekazywanych informacji stwarzają obraz „tykającej bomby”, która nie tylko ułatwia życie przestępcom, ale też pokazuje zupełny brak świadomości zagrożenia wśród samorządów. „Niestety, 'afera mejlowa’, najwyraźniej niewiele nas nauczyła,” komentuje Kostuch.

Dawid Dziobek z Safetica i DAGMA Bezpieczeństwo IT zauważa, że do największych wycieków danych dochodzi głównie przez błąd ludzki lub niewiedzę pracowników. Podkreśla potrzebę nie tylko odpowiednich polityk bezpieczeństwa, ale przede wszystkim systemów klasyfikujących i zabezpieczających przetwarzane dokumenty.

Raport NIK rzuca światło nie tylko na problemy, ale także wskazuje kierunki działań. Zabezpieczenie dostępu do poczty poprzez dwuskładnikowe logowanie (2FA), szyfrowanie danych wewnątrz maila, podpis elektroniczny czy wykorzystanie infrastruktury PKI to tylko niektóre z rekomendowanych praktyk.

Jak jednak podkreślają eksperci, technologia to jedno, a świadomość i odpowiedzialność to drugie. Kluczowe staje się zatem zrozumienie ryzyka związanego z przetwarzaniem danych osobowych i podejmowanie odpowiednich działań zaradczych. W kontekście tych wyzwań, NIK rozszerza postępowanie kontrolne na wszystkie samorządy w Polsce, co może być pierwszym krokiem do zwiększenia cyberbezpieczeństwa w sektorze publicznym.

Odpowiedzialność za ochronę danych to jednak zadanie, które nie może spoczywać wyłącznie na barkach jednostek samorządowych. Jak pokazuje raport NIK, potrzebne są zdecydowane działania na szerszą skalę, łączące technologię, edukację i prawo. Może to być tylko początek drogi do stworzenia bezpieczniejszego cyfrowego świata dla nas wszystkich.

W dobie cyfrowej transformacji, gdzie każdy fragment naszego życia jest przechowywany w formie cyfrowej, konieczność ochrony danych osobowych staje się priorytetem. Czy jednak instytucje, które powinny być bastionami bezpieczeństwa, są w stanie sprostać temu wyzwaniu?