Blog Elements

Half Sized Blog Element (Single Author Style)

Half Sized Blog Element (Multi Author Style)

Wyciek danych uczniów i narracja „nie trafiły do sieci”. Dlaczego to nie zamyka sprawy

W ostatnich dniach opinię publiczną poruszyła informacja o naruszeniu ochrony danych osobowych uczniów w systemie obsługiwanym przez spółkę InnoBaltica. Zgodnie z komunikatami spółki, dane miały zostać skopiowane na prywatne urządzenie przez byłego już pracownika, a nie „wyciec do internetu”. Jednocześnie podkreśla się, że nie ma informacji o dalszym rozpowszechnieniu danych, a sprawą zajmuje się prokuratura. […]

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”

w Felietony, Ważne, Wiadomości

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”. Z doniesień medialnych wynika, że w spółce InnoBaltica, odpowiedzialnej za System FALA, doszło do naruszenia ochrony danych osobowych uczniów. Według informacji przekazanych przez Radio Gdańsk, naruszenie miało polegać na skopiowaniu danych na prywatny adres IP byłego pracownika, co miało wykraczać poza udzielone […]

Wyciek danych uczniów i narracja „nie trafiły do sieci”. Dlaczego to nie zamyka sprawy

w Felietony, Ważne, Wiadomości

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”

w Felietony, Ważne, Wiadomości

Full Sized Blog Element (Big Preview Pic)

Wyciek danych uczniów i narracja „nie trafiły do sieci”. Dlaczego to nie zamyka sprawy

w Felietony, Ważne, Wiadomości

W ostatnich dniach opinię publiczną poruszyła informacja o naruszeniu ochrony danych osobowych uczniów w systemie obsługiwanym przez spółkę InnoBaltica. Zgodnie z komunikatami spółki, dane miały zostać skopiowane na prywatne urządzenie przez byłego już pracownika, a nie „wyciec do internetu”. Jednocześnie podkreśla się, że nie ma informacji o dalszym rozpowszechnieniu danych, a sprawą zajmuje się prokuratura.

Ten przekaz brzmi uspokajająco, ale z punktu widzenia bezpieczeństwa informacji i ochrony danych osobowych nie rozwiązuje problemu.

„Nie wyciekło do sieci” nie znaczy „nie ma zagrożenia”.

W języku potocznym wyciek kojarzy się z publikacją danych w internecie. Tymczasem w praktyce bezpieczeństwa kluczowy moment to utrata kontroli nad danymi, czyli ich wyniesienie poza system, który miał je chronić. Skopiowanie danych na prywatne urządzenie jest już naruszeniem, niezależnie od tego, czy ktoś je opublikował, sprzedał czy użył. Co więcej nie ma 100% pewności co się działo od momentu skopiowania, do zgłoszenia sprawy – a jest to blisko miesiąc czasu.

Co więcej, brak informacji o wykorzystaniu danych nie jest dowodem, że do wykorzystania nie dojdzie. Dane mogą „czekać” tygodniami lub miesiącami i zostać użyte później np. do prób oszustw, phishingu czy podszywania się pod szkoły lub instytucje.

Dlaczego ten incydent jest szczególnie wrażliwy

Mówimy o danych dzieci. Nawet jeśli zakres danych wydaje się ograniczony (np. dane do legitymacji szkolnych), to:

mogą one posłużyć do wiarygodnych prób wyłudzeń skierowanych do rodziców,
mogą zostać użyte w fałszywej komunikacji „od szkoły” lub „od systemu”,
niosą ryzyko długofalowe, bo dziecko nie ma realnej możliwości „zmiany danych”.

W takich przypadkach standardem powinno być maksymalne uprzedzanie i edukowanie, a nie tylko informowanie, że „na dziś nic się nie stało”.

Kluczowe pytanie: jak to było możliwe?

Jeśli były pracownik mógł skopiować dane na prywatne urządzenie, to problemem nie jest wyłącznie jego działanie. To również pytanie o mechanizmy zabezpieczeń w organizacji.

W dobrze zaprojektowanych systemach:

pracownik ma dostęp tylko do niezbędnego minimum danych,
próby masowego kopiowania lub eksportu danych są blokowane lub natychmiast sygnalizowane,
systemy rejestrują i analizują nietypowe zachowania,
po odejściu pracownika jego dostęp jest natychmiast i całkowicie odcinany.

Jeżeli w jednym obszarze te mechanizmy zawiodły, nie wolno zakładać, że w innym – ważniejszym – działają idealnie.

Dlaczego trzeba spojrzeć szerzej niż tylko na e-legitymacje

Spółka InnoBaltica odpowiada za znacznie większy i bardziej złożony system – FALA, który od miesięcy boryka się z problemami operacyjnymi i stabilnościowymi. Równolegle rozwijane są nowe funkcjonalności i zakresy działalności.

W cyberbezpieczeństwie obowiązuje prosta zasada: jeżeli zawodzi kontrola w mniejszym, dodatkowym module, trzeba zweryfikować zabezpieczenia w systemie głównym. Nie dlatego, że „na pewno jest źle”, ale dlatego, że ryzyko systemowe rośnie wraz ze złożonością i presją organizacyjną.

Odpowiedzialność spółki samorządowej

InnoBaltica to spółka samorządowa. To oznacza wyższy standard odpowiedzialności, nie tylko formalnej, ale społecznej. W takiej sytuacji minimum to:

jasna informacja, jakie dane i ilu osób dotyczy incydent,
czytelne wskazówki dla szkół i rodziców, jak się chronić przed potencjalnymi nadużyciami,
realne działania edukacyjne np. wsparcie szkół w zakresie cyberbezpieczeństwa i świadomości zagrożeń.

Obecnie mamy działania z obszaru PR, a kluczowy jest element minimalizacji skutków zdarzenia, szczególnie gdy poszkodowanymi mogą być dzieci.

Ten incydent nie powinien być ani bagatelizowany, ani wykorzystywany do sensacyjnych nagłówków. Powinien stać się bardzo ważnym sygnałem dla bieżącej działalności spółki. Tym zdarzeniem bardzo mocno nadszarpnięto zaufanie, a przez obniżanie rangi problemu można odnieść wrażenie, jakoby bezpieczeństwo kluczowych nie miało najwyższego priorytetu.

Najgorszym możliwym scenariuszem jest szybkie zamknięcie tematu hasłem „nie było wycieku do sieci” i powrót do codzienności bez poprawy mechanizmów, które pozwoliły na wyniesienie danych. W świecie cyfrowym zaufanie odbudowuje się nie słowami, ale standardami.

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”

w Felietony, Ważne, Wiadomości

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”.

Z doniesień medialnych wynika, że w spółce InnoBaltica, odpowiedzialnej za System FALA, doszło do naruszenia ochrony danych osobowych uczniów. Według informacji przekazanych przez Radio Gdańsk, naruszenie miało polegać na skopiowaniu danych na prywatny adres IP byłego pracownika, co miało wykraczać poza udzielone upoważnienia; sprawa została zgłoszona do prokuratury, a administratorzy danych (dyrektorzy szkół) zostali powiadomieni. Nieoficjalnie mowa jest o kilkuset uczniach i bazie danych związanej z legitymacjami szkolnymi; spółka wskazuje jednocześnie, że środowisko, z którego skopiowano dane, ma być odseparowane od głównej bazy pasażerów.

To zdarzenie wymaga chłodnej analizy, bo dotyczy danych osób małoletnich oraz modelu, w którym szkoły (jako administratorzy) powierzają przetwarzanie danych podmiotowi zewnętrznemu. A tam, gdzie są dzieci i systemy masowe, poprzeczka bezpieczeństwa musi być ustawiona wyżej niż „standardowo”.

Co realnie oznacza „skopiowanie danych uczniów” i jakie są konsekwencje

W narracji publicznej często pojawia się pokusa bagatelizowania: „to tylko dane z legitymacji”. To błąd. Dane z legitymacji (typowo: imię, nazwisko, szkoła, identyfikator, czasem fotografia, numer dokumentu, data urodzenia, PESEL lub inne elementy) nie pozwolą na zaciągnięcie kredytu, ale wystarczają do:

phishingu ukierunkowanego na rodziców i szkoły („pilna dopłata”, „aktywuj dostęp”, „potwierdź dane dziecka”, „błąd w systemie”),
podszywania się w komunikacji szkolnej lub okołoszkolnej,
budowania wiarygodnych scenariuszy wyłudzeń („znam szkołę, klasę, dane ucznia”),
długofalowego ryzyka reputacyjnego i psychologicznego (poczucie braku kontroli nad danymi dziecka).

Kluczowe jest to, że w przypadku małoletnich ocena ryzyka w RODO praktycznie nigdy nie kończy się na zdaniu „nic się nie stanie”. Dla danych dzieci próg ostrożności powinien być wyższy.

Najważniejsze pytania: nie „czy doszło”, tylko „jak to było możliwe”

Jeżeli potwierdza się scenariusz „były pracownik skopiował dane na prywatny adres IP”, to mamy do czynienia nie tylko z czynem sprawcy, ale również z pytaniem o dojrzałość mechanizmów bezpieczeństwa.

W dobrze zaprojektowanym środowisku przetwarzania danych uczniów powinny zadziałać co najmniej cztery warstwy ochrony:

Zasada najmniejszych uprawnień (least privilege)

Czy pracownik miał dostęp do danych w zakresie koniecznym do wykonywania zadań? Czy dostęp do całej bazy był rzeczywiście uzasadniony?

Kontrola eksportu i zapobieganie eksfiltracji

Czy system pozwalał „wynieść” dane poza środowisko (na prywatny IP) bez alarmu? Dlaczego transfer nie został zablokowany albo oznaczony jako incydent wysokiego ryzyka?

Monitoring i korelacja zdarzeń (SIEM / logi)

Czy zdarzenie wykryto automatycznie, czy „po fakcie”? Różnica jest fundamentalna: w cyberbezpieczeństwie liczą się godziny, nie tygodnie.

Offboarding pracowniczy i kontrola kont uprzywilejowanych

Jeśli był to pracownik zwalniany dyscyplinarnie (taka informacja pojawia się w doniesieniach), tym bardziej powinna zadziałać procedura: natychmiastowe ograniczenie dostępu, przegląd aktywności, rotacja haseł/kluczy, weryfikacja uprawnień.

To nie są „fanaberie informatyków”, tylko standardy bezpieczeństwa wszędzie tam, gdzie przetwarza się dane wrażliwe w sensie społecznym (a dane dzieci takie są).

Co dalej, jaki powód?

Ważna rzecz: „pismo do dyrektorów” to dopiero początek. Jeśli ryzyko dla rodziców i uczniów jest realne, informacja musi dotrzeć do zainteresowanych, w języku zrozumiałym, bez „bełkotu compliance”.

Najbardziej prawdopodobne błędy organizacyjne (i dlaczego są groźne)

W tego typu incydentach zwykle zawodzi nie jeden element, tylko cały „łańcuch”:

zbyt szerokie uprawnienia w systemie (kultura „daj dostęp, bo szybciej”),
brak realnych kontroli eksportu danych,
niedoszacowanie ryzyka insider threat (pracownik, były pracownik, podwykonawca),
zbyt późne wykrycie anomalii,
brak twardych procedur „po zwolnieniu” (offboarding),
niedojrzała komunikacja kryzysowa (co mówić, komu, kiedy, jak).

Jeżeli organizacja buduje system regionalny, obejmujący wiele instytucji i wiele szkół, to bezpieczeństwo musi być projektowane jak dla infrastruktury krytycznej: audyty, testy, kontrola dostawców, ciągły monitoring.

Co powinni zrobić dyrektorzy szkół i rodzice

Bez czekania na finał postępowania prokuratury, warto działać w logice minimalizacji ryzyka:

Dyrektorzy / administratorzy:

poprosić o konkretny zakres danych objętych incydentem i datę/okres zdarzenia,
poprosić o opis zastosowanych zabezpieczeń oraz działań naprawczych (co zmieniono),
ustalić, czy incydent został zgłoszony do PUODO, a jeśli tak – w jakim trybie,
przygotować jasny komunikat do rodziców (jeśli jest to uzasadnione ryzykiem).

Rodzice:

wzmożona czujność na SMS-y/maile „od szkoły”, „od systemu”, „od przewoźnika”,
uważność na próby wyłudzeń danych i linki „do potwierdzenia”,
zasada: szkoła nie prosi o wrażliwe dane „na szybko”.

Ten incydent nie jest tylko „wpadką jednej spółki”. To sygnał ostrzegawczy dla całego modelu cyfryzacji usług publicznych: jeśli budujemy rozwiązania dla mieszkańców, a szczególnie dla dzieci, to muszą one spełniać standardy „security by design” i „privacy by design” – nie na papierze, tylko w architekturze systemu, w procedurach i w kulturze zarządzania.

Dobrze, że według doniesień sprawa została zgłoszona do prokuratury i że podmiot potwierdził naruszenie oraz poinformował administratorów danych.

Największym błędem po incydencie jest… wrócić do „normalności” bez poprawy mechanizmów, które pozwoliły na wyniesienie danych.

Half Sized Blog Element (Single Author Style)

Half Sized Blog Element (Multi Author Style)

Wyciek danych uczniów i narracja „nie trafiły do sieci”. Dlaczego to nie zamyka sprawy

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”

Wyciek danych uczniów i narracja „nie trafiły do sieci”. Dlaczego to nie zamyka sprawy

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”

Full Sized Blog Element (Big Preview Pic)

Wyciek danych uczniów i narracja „nie trafiły do sieci”. Dlaczego to nie zamyka sprawy

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”

Obserwuj na Facebooku!

Instagram

Kategorie

Bezpośredni kontakt