Wyciek danych uczniów i narracja „nie trafiły do sieci”. Dlaczego to nie zamyka sprawy

w , ,

W ostatnich dniach opinię publiczną poruszyła informacja o naruszeniu ochrony danych osobowych uczniów w systemie obsługiwanym przez spółkę InnoBaltica. Zgodnie z komunikatami spółki, dane miały zostać skopiowane na prywatne urządzenie przez  byłego już pracownika, a nie „wyciec do internetu”. Jednocześnie podkreśla się, że nie ma informacji o dalszym rozpowszechnieniu danych, a sprawą zajmuje się prokuratura.

Ten przekaz brzmi uspokajająco, ale z punktu widzenia bezpieczeństwa informacji i ochrony danych osobowych nie rozwiązuje problemu.

„Nie wyciekło do sieci” nie znaczy „nie ma zagrożenia”.

W języku potocznym wyciek kojarzy się z publikacją danych w internecie. Tymczasem w praktyce bezpieczeństwa kluczowy moment to utrata kontroli nad danymi, czyli ich wyniesienie poza system, który miał je chronić. Skopiowanie danych na prywatne urządzenie jest już naruszeniem, niezależnie od tego, czy ktoś je opublikował, sprzedał czy użył. Co więcej nie ma 100% pewności co się działo od momentu skopiowania, do zgłoszenia sprawy – a jest to blisko miesiąc czasu.

Co więcej, brak informacji o wykorzystaniu danych nie jest dowodem, że do wykorzystania nie dojdzie. Dane mogą „czekać” tygodniami lub miesiącami i zostać użyte później  np. do prób oszustw, phishingu czy podszywania się pod szkoły lub instytucje.

 

Dlaczego ten incydent jest szczególnie wrażliwy

Mówimy o danych dzieci. Nawet jeśli zakres danych wydaje się ograniczony (np. dane do legitymacji szkolnych), to:

  • mogą one posłużyć do wiarygodnych prób wyłudzeń skierowanych do rodziców,
  • mogą zostać użyte w fałszywej komunikacji „od szkoły” lub „od systemu”,
  • niosą ryzyko długofalowe, bo dziecko nie ma realnej możliwości „zmiany danych”.

W takich przypadkach standardem powinno być maksymalne uprzedzanie i edukowanie, a nie tylko informowanie, że „na dziś nic się nie stało”.

 

Kluczowe pytanie: jak to było możliwe?

Jeśli były pracownik mógł skopiować dane na prywatne urządzenie, to problemem nie jest wyłącznie jego działanie. To również pytanie o mechanizmy zabezpieczeń w organizacji.

W dobrze zaprojektowanych systemach:

  • pracownik ma dostęp tylko do niezbędnego minimum danych,
  • próby masowego kopiowania lub eksportu danych są blokowane lub natychmiast sygnalizowane,
  • systemy rejestrują i analizują nietypowe zachowania,
  • po odejściu pracownika jego dostęp jest natychmiast i całkowicie odcinany.

Jeżeli w jednym obszarze te mechanizmy zawiodły, nie wolno zakładać, że w innym – ważniejszym – działają idealnie.

Dlaczego trzeba spojrzeć szerzej niż tylko na e-legitymacje

Spółka InnoBaltica odpowiada za znacznie większy i bardziej złożony system – FALA, który od miesięcy boryka się z problemami operacyjnymi i stabilnościowymi. Równolegle rozwijane są nowe funkcjonalności i zakresy działalności.

W cyberbezpieczeństwie obowiązuje prosta zasada: jeżeli zawodzi kontrola w mniejszym, dodatkowym module, trzeba zweryfikować zabezpieczenia w systemie głównym. Nie dlatego, że „na pewno jest źle”, ale dlatego, że ryzyko systemowe rośnie wraz ze złożonością i presją organizacyjną.

Odpowiedzialność spółki samorządowej

InnoBaltica to spółka samorządowa. To oznacza wyższy standard odpowiedzialności, nie tylko formalnej, ale społecznej. W takiej sytuacji minimum to:

  • jasna informacja, jakie dane i ilu osób dotyczy incydent,
  • czytelne wskazówki dla szkół i rodziców, jak się chronić przed potencjalnymi nadużyciami,
  • realne działania edukacyjne np. wsparcie szkół w zakresie cyberbezpieczeństwa i świadomości zagrożeń.

Obecnie mamy działania z obszaru PR, a kluczowy jest element minimalizacji skutków zdarzenia, szczególnie gdy poszkodowanymi mogą być dzieci.

Ten incydent nie powinien być ani bagatelizowany, ani wykorzystywany do sensacyjnych nagłówków. Powinien stać się bardzo ważnym sygnałem dla bieżącej działalności spółki. Tym zdarzeniem bardzo mocno nadszarpnięto zaufanie, a przez obniżanie rangi problemu można odnieść wrażenie, jakoby bezpieczeństwo kluczowych nie miało najwyższego priorytetu.

Najgorszym możliwym scenariuszem jest szybkie zamknięcie tematu hasłem „nie było wycieku do sieci” i powrót do codzienności bez poprawy mechanizmów, które pozwoliły na wyniesienie danych. W świecie cyfrowym zaufanie odbudowuje się nie słowami, ale standardami.

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”

w , ,

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”.

Z doniesień medialnych wynika, że w spółce InnoBaltica, odpowiedzialnej za System FALA, doszło do naruszenia ochrony danych osobowych uczniów. Według informacji przekazanych przez Radio Gdańsk, naruszenie miało polegać na skopiowaniu danych na prywatny adres IP byłego pracownika, co miało wykraczać poza udzielone upoważnienia; sprawa została zgłoszona do prokuratury, a administratorzy danych (dyrektorzy szkół) zostali powiadomieni. Nieoficjalnie mowa jest o kilkuset uczniach i bazie danych związanej z legitymacjami szkolnymi; spółka wskazuje jednocześnie, że środowisko, z którego skopiowano dane, ma być odseparowane od głównej bazy pasażerów.

To zdarzenie wymaga chłodnej analizy, bo dotyczy danych osób małoletnich oraz modelu, w którym szkoły (jako administratorzy) powierzają przetwarzanie danych podmiotowi zewnętrznemu. A tam, gdzie są dzieci i systemy masowe, poprzeczka bezpieczeństwa musi być ustawiona wyżej niż „standardowo”.

Co realnie oznacza „skopiowanie danych uczniów” i jakie są konsekwencje

W narracji publicznej często pojawia się pokusa bagatelizowania: „to tylko dane z legitymacji”. To błąd. Dane z legitymacji (typowo: imię, nazwisko, szkoła, identyfikator, czasem fotografia, numer dokumentu, data urodzenia, PESEL lub inne elementy) nie pozwolą na zaciągnięcie kredytu, ale wystarczają do:

  • phishingu ukierunkowanego na rodziców i szkoły („pilna dopłata”, „aktywuj dostęp”, „potwierdź dane dziecka”, „błąd w systemie”),
  • podszywania się w komunikacji szkolnej lub okołoszkolnej,
  • budowania wiarygodnych scenariuszy wyłudzeń („znam szkołę, klasę, dane ucznia”),
  • długofalowego ryzyka reputacyjnego i psychologicznego (poczucie braku kontroli nad danymi dziecka).

Kluczowe jest to, że w przypadku małoletnich ocena ryzyka w RODO praktycznie nigdy nie kończy się na zdaniu „nic się nie stanie”. Dla danych dzieci próg ostrożności powinien być wyższy.

Najważniejsze pytania: nie „czy doszło”, tylko „jak to było możliwe”

Jeżeli potwierdza się scenariusz „były pracownik skopiował dane na prywatny adres IP”, to mamy do czynienia nie tylko z czynem sprawcy, ale również z pytaniem o dojrzałość mechanizmów bezpieczeństwa.

W dobrze zaprojektowanym środowisku przetwarzania danych uczniów powinny zadziałać co najmniej cztery warstwy ochrony:

  1. Zasada najmniejszych uprawnień (least privilege)

Czy pracownik miał dostęp do danych w zakresie koniecznym do wykonywania zadań? Czy dostęp do całej bazy był rzeczywiście uzasadniony?

  1. Kontrola eksportu i zapobieganie eksfiltracji

Czy system pozwalał „wynieść” dane poza środowisko (na prywatny IP) bez alarmu? Dlaczego transfer nie został zablokowany albo oznaczony jako incydent wysokiego ryzyka?

  1. Monitoring i korelacja zdarzeń (SIEM / logi)

Czy zdarzenie wykryto automatycznie, czy „po fakcie”? Różnica jest fundamentalna: w cyberbezpieczeństwie liczą się godziny, nie tygodnie.

  1. Offboarding pracowniczy i kontrola kont uprzywilejowanych

Jeśli był to pracownik zwalniany dyscyplinarnie (taka informacja pojawia się w doniesieniach), tym bardziej powinna zadziałać procedura: natychmiastowe ograniczenie dostępu, przegląd aktywności, rotacja haseł/kluczy, weryfikacja uprawnień.

To nie są „fanaberie informatyków”, tylko standardy bezpieczeństwa wszędzie tam, gdzie przetwarza się dane wrażliwe w sensie społecznym (a dane dzieci takie są).

 Co dalej, jaki powód?

Ważna rzecz: „pismo do dyrektorów” to dopiero początek. Jeśli ryzyko dla rodziców i uczniów jest realne, informacja musi dotrzeć do zainteresowanych, w języku zrozumiałym, bez „bełkotu compliance”.

Najbardziej prawdopodobne błędy organizacyjne (i dlaczego są groźne)

W tego typu incydentach zwykle zawodzi nie jeden element, tylko cały „łańcuch”:

  • zbyt szerokie uprawnienia w systemie (kultura „daj dostęp, bo szybciej”),
  • brak realnych kontroli eksportu danych,
  • niedoszacowanie ryzyka insider threat (pracownik, były pracownik, podwykonawca),
  • zbyt późne wykrycie anomalii,
  • brak twardych procedur „po zwolnieniu” (offboarding),
  • niedojrzała komunikacja kryzysowa (co mówić, komu, kiedy, jak).

Jeżeli organizacja buduje system regionalny, obejmujący wiele instytucji i wiele szkół, to bezpieczeństwo musi być projektowane jak dla infrastruktury krytycznej: audyty, testy, kontrola dostawców, ciągły monitoring.

Co powinni zrobić dyrektorzy szkół i rodzice

Bez czekania na finał postępowania prokuratury, warto działać w logice minimalizacji ryzyka:

Dyrektorzy / administratorzy:

  • poprosić o konkretny zakres danych objętych incydentem i datę/okres zdarzenia,
  • poprosić o opis zastosowanych zabezpieczeń oraz działań naprawczych (co zmieniono),
  • ustalić, czy incydent został zgłoszony do PUODO, a jeśli tak – w jakim trybie,
  • przygotować jasny komunikat do rodziców (jeśli jest to uzasadnione ryzykiem).

Rodzice:

  • wzmożona czujność na SMS-y/maile „od szkoły”, „od systemu”, „od przewoźnika”,
  • uważność na próby wyłudzeń danych i linki „do potwierdzenia”,
  • zasada: szkoła nie prosi o wrażliwe dane „na szybko”.

Ten incydent nie jest tylko „wpadką jednej spółki”. To sygnał ostrzegawczy dla całego modelu cyfryzacji usług publicznych: jeśli budujemy rozwiązania dla mieszkańców, a szczególnie dla dzieci, to muszą one spełniać standardy „security by design” i „privacy by design” – nie na papierze, tylko w architekturze systemu, w procedurach i w kulturze zarządzania.

Dobrze, że według doniesień sprawa została zgłoszona do prokuratury i że podmiot potwierdził naruszenie oraz poinformował administratorów danych.

Największym błędem po incydencie jest… wrócić do „normalności” bez poprawy mechanizmów, które pozwoliły na wyniesienie danych.

Dokąd dryfujesz Gdynio? Rok stracony dla naszego miasta

w , ,

Dziś mija 12 miesięcy odkąd stery Gdyni przejęła nowa władza. Rok, który dla wielu gdynian przyniósł nadzieję na lepsze jutro, zakończył się głębokim rozczarowaniem. Całość można zawrzeć w kilku punktach:

  • Brak wizji – miasto od roku działa w trybie “na przetrwanie”. Decyzje są głównie kontynuacją wcześniejszych projektów. Brakuje kierunku i nowych pomysłów, które miałyby wyznaczyć drogę na przyszłość.
  • Wizerunek miasta – ostatnie dni i tygodnie to czas materiałów prasowych, w których Gdynia łączona jest ze skandalami, które są efektem politycznych decyzji.
  • Upartyjnienie – ruch społeczny, którego sloganem była bezpartyjność – po roku skierował liderów do partii politycznych. Sprawdzając nominacje na kierownicze stanowiska w jednostkach i wydziałach, również widać osoby angażujące się w różne partie.
  • Zastój inwestycyjny – trwające działania to realizacja rozpoczętych projektów z poprzedniej kadencji . Nowych inicjatyw praktycznie brak.
  • Odejścia i zwolnienia – miasto traci doświadczonych pracowników. Odejścia oraz polityka kadrowa mocno odbijają się na sprawności działania urzędu i jednostek miejskich. Negatywne skutki już widać, a będzie coraz gorzej – przełoży się to na jakość realizowanych usług dla mieszkańców.

W tym miejscu chciałbym podziękować wszystkim urzędnikom, którzy przez lata pracowali na rzecz miasta i jego mieszkańców, a przez wydarzenia ostatnich 12 miesięcy zrezygnowali z pracy w gdyńskich strukturach. Wiem, że są Państwa dziesiątki (setki). Wiem, że każdego dnia wykonaliście Państwo trudną pracę z ogromnym zaangażowaniem, choć nie było tego widać w blasku fleszy. Byliście fundamentem tego miasta, a na koniec swojej drogi często nie słyszeliście należytego słowa dziękuję. Wierzę, że Państwa potencjał będzie jeszcze wykorzystywany na rzecz rozwoju naszego miasta. 

Wielu z Państwa pozostało i pomimo trudności, braku jasnych kierunków, niepewności co do kolejnych miesięcy daje z siebie wszystko. To niezwykle ważne, ponieważ na końcu każdej sprawy urzędowej jest mieszkaniec naszego miasta. 

  • Doświadczenie – nie oceniając poglądów politycznych po raz pierwszy tak dużym miastem zaczęły zarządzać osoby bez przygotowania samorządowego. To tworzy ogromne ryzyka i zwiększa prawdopodobieństwo popełnienia kosztownych nawet nieodwracalnych błędów.
  • Dane nie kłamią – choć często pojawiały się głosy o katastrofalnym zadłużeniu miasta, fakty są inne. W zestawieniu 20 największych miast Polski Gdynia nie mieści się nawet w pierwszej dziesiątce najbardziej zadłużonych (w przeliczeniu na mieszkańca, jak i do dochodów). Kryzys finansowy to wygodny slogan, aby bronić się przed niemocą — prawdziwym problemem jest brak skutecznego zarządzania i wykorzystania potencjału. Przedstawiam zestawienie na koniec 2024 roku, 20 największych miast w Polsce – można zobaczyć zadłużenie w stosunku do liczby mieszkańców czy uzyskiwanych dochodów. Dla osób zainteresowanych zestawienie: https://docs.google.com/spreadsheets/d/e/2PACX-1vQOCFQKkneVM9u2IMxSBQEkmYxSk8w98Jeicecgek6xfJnBCGou3gyyxcBZbWtojh4X5-eQL7g337uz/pubhtml?gid=0&single=true

Po roku stagnacji coraz więcej gdynian zadaje pytania:

  • Dokąd zmierza Gdynia?
  • Czy możemy pozwolić sobie na kolejne lata dryfowania?
  • Gdzie odwaga i determinacja. Bycie wśród władz miasta to nie jest praca biurowa – to zaangażowanie przez 24h / 7 dni w tygodniu, poświęcając część własnego życia. 

Gdynia zasługuje na więcej – tak brzmiało hasło. Czyli na co? Dla mnie na miasto z wizją, energią i odważnym przywództwem. Rok stracony to wystarczająco dużo. Gdynia to nie jest kawałek toru, który można dzielić i rozdawać. Gdynia to mieszkańcy tworzący wyjątkową społeczność, która nie boi się wyzwań.

 

Tabela zadłużenia 20 największych miast w Polsce – Gdynia pod względem ilości mieszkańców jest na 12 miejscu, najliczniejszym nie będącym miastem wojewódzkim. 

Wniosek: Gdynia pomimo, że nie jest miastem wojewódzkim (ośrodki skupiające przedsiębiorczość) to w zestawieniu z największymi miastami w Polsce zarówno pod kątem zadłużenia przeliczanego na mieszkańca, jak również w stosunku do uzyskanych dochodów jest w gronie MNIEJ zadłużonych. Samorządy mierzą się z wieloma trudnościami, jednak od odwagi i determinacji zależy jak w niełatwym otoczeniu będzie sobie radzić.

Jak to jest z inwestycjami drogowymi i ich finansowaniem w 2025 roku? (komentarz)*

w , , , ,

W ostatnim czasie serwis Gdynia.pl opublikował artykuł, w którym ujęto plany działań inwestycyjnych (drogowych) na obecny rok. Widzę wiele nieścisłości – dlatego też pozwoliłem sobie zrecenzować ten materiał. Traktuję go, jako oficjalny komunikat miasta Gdyni. Istotną kwestią jest zabezpieczenie środków w budżecie – a w kilku przypadkach próżno ich szukać, a część wydatków to konieczne zapłaty z poprzedniego roku.   Czytaj dalej

Harmonogram odbioru odpadów / Dzielnice w Gdyni

w , ,

W związku z szeregiem pytań przedstawiam planowany harmonogram odbioru odpadów – od 1 stycznia 2025 roku. W przypadku braku zakresu dat od 1 października wynika to z faktu planowanego ogłoszenia przetargu na nową umowę odbioru.

 

 

 

Czytaj dalej