{"id":4022,"date":"2026-01-24T13:43:24","date_gmt":"2026-01-24T12:43:24","guid":{"rendered":"https:\/\/ubych.pl\/?p=4022"},"modified":"2026-01-24T14:25:47","modified_gmt":"2026-01-24T13:25:47","slug":"wyciek-danych-uczniow-w-systemie-fala-dlaczego-to-nie-jest-incydent-jak-kazdy","status":"publish","type":"post","link":"https:\/\/ubych.pl\/index.php\/wyciek-danych-uczniow-w-systemie-fala-dlaczego-to-nie-jest-incydent-jak-kazdy\/","title":{"rendered":"Wyciek danych uczni\u00f3w w &#8222;Systemie FALA&#8221;. Dlaczego to nie jest &#8222;incydent jak ka\u017cdy&#8221;"},"content":{"rendered":"<p style=\"font-weight: 400;\"><strong>Wyciek danych uczni\u00f3w w \u201eSystemie FALA\u201d. Dlaczego to nie jest \u201eincydent jak ka\u017cdy\u201d.<\/strong><\/p>\n<p style=\"font-weight: 400;\">Z doniesie\u0144 medialnych wynika, \u017ce w sp\u00f3\u0142ce InnoBaltica, odpowiedzialnej za System FALA, dosz\u0142o do naruszenia ochrony danych osobowych uczni\u00f3w. Wed\u0142ug informacji przekazanych przez Radio Gda\u0144sk, naruszenie mia\u0142o polega\u0107 na <strong>skopiowaniu danych na prywatny adres IP by\u0142ego pracownika<\/strong>, co mia\u0142o wykracza\u0107 poza udzielone upowa\u017cnienia; sprawa zosta\u0142a zg\u0142oszona do prokuratury, a administratorzy danych (dyrektorzy szk\u00f3\u0142) zostali powiadomieni. Nieoficjalnie mowa jest o <strong>kilkuset uczniach<\/strong> i bazie danych zwi\u0105zanej z legitymacjami szkolnymi; sp\u00f3\u0142ka wskazuje jednocze\u015bnie, \u017ce \u015brodowisko, z kt\u00f3rego skopiowano dane, ma by\u0107 odseparowane od g\u0142\u00f3wnej bazy pasa\u017cer\u00f3w.<\/p>\n<p style=\"font-weight: 400;\">To zdarzenie wymaga ch\u0142odnej analizy, bo dotyczy <strong>danych os\u00f3b ma\u0142oletnich<\/strong> oraz modelu, w kt\u00f3rym szko\u0142y (jako administratorzy) powierzaj\u0105 przetwarzanie danych podmiotowi zewn\u0119trznemu. A tam, gdzie s\u0105 dzieci i systemy masowe, poprzeczka bezpiecze\u0144stwa musi by\u0107 ustawiona wy\u017cej ni\u017c \u201estandardowo\u201d.<\/p>\n<p style=\"font-weight: 400;\"><strong>Co realnie oznacza \u201eskopiowanie danych uczni\u00f3w\u201d i jakie s\u0105 konsekwencje<\/strong><\/p>\n<p style=\"font-weight: 400;\">W narracji publicznej cz\u0119sto pojawia si\u0119 pokusa bagatelizowania: \u201eto tylko dane z legitymacji\u201d. To b\u0142\u0105d. Dane z legitymacji (typowo: imi\u0119, nazwisko, szko\u0142a, identyfikator, czasem fotografia, numer dokumentu, data urodzenia, PESEL lub inne elementy) nie pozwol\u0105 na zaci\u0105gni\u0119cie kredytu, ale wystarczaj\u0105 do:<\/p>\n<ul style=\"font-weight: 400;\">\n<li><strong>phishingu ukierunkowanego na rodzic\u00f3w i szko\u0142y<\/strong> (\u201epilna dop\u0142ata\u201d, \u201eaktywuj dost\u0119p\u201d, \u201epotwierd\u017a dane dziecka\u201d, \u201eb\u0142\u0105d w systemie\u201d),<\/li>\n<li><strong>podszywania si\u0119<\/strong> w komunikacji szkolnej lub oko\u0142oszkolnej,<\/li>\n<li>budowania wiarygodnych scenariuszy wy\u0142udze\u0144 (\u201eznam szko\u0142\u0119, klas\u0119, dane ucznia\u201d),<\/li>\n<li>d\u0142ugofalowego ryzyka reputacyjnego i psychologicznego (poczucie braku kontroli nad danymi dziecka).<\/li>\n<\/ul>\n<p style=\"font-weight: 400;\">Kluczowe jest to, \u017ce w przypadku ma\u0142oletnich ocena ryzyka w RODO praktycznie nigdy nie ko\u0144czy si\u0119 na zdaniu \u201enic si\u0119 nie stanie\u201d. Dla danych dzieci pr\u00f3g ostro\u017cno\u015bci powinien by\u0107 wy\u017cszy.<\/p>\n<p style=\"font-weight: 400;\"><strong>Najwa\u017cniejsze pytania: nie \u201eczy dosz\u0142o\u201d, tylko \u201ejak to by\u0142o mo\u017cliwe\u201d<\/strong><\/p>\n<p style=\"font-weight: 400;\">Je\u017celi potwierdza si\u0119 scenariusz \u201eby\u0142y pracownik skopiowa\u0142 dane na prywatny adres IP\u201d, to mamy do czynienia nie tylko z czynem sprawcy, ale r\u00f3wnie\u017c z pytaniem o <strong>dojrza\u0142o\u015b\u0107 mechanizm\u00f3w bezpiecze\u0144stwa<\/strong>.<\/p>\n<p style=\"font-weight: 400;\">W dobrze zaprojektowanym \u015brodowisku przetwarzania danych uczni\u00f3w powinny zadzia\u0142a\u0107 co najmniej cztery warstwy ochrony:<\/p>\n<ol>\n<li style=\"font-weight: 400;\"><strong> Zasada najmniejszych uprawnie\u0144 (least privilege)<\/strong><\/li>\n<\/ol>\n<p style=\"font-weight: 400;\">Czy pracownik mia\u0142 dost\u0119p do danych w zakresie koniecznym do wykonywania zada\u0144? Czy dost\u0119p do ca\u0142ej bazy by\u0142 rzeczywi\u015bcie uzasadniony?<\/p>\n<ol>\n<li style=\"font-weight: 400;\"><strong> Kontrola eksportu i zapobieganie eksfiltracji <\/strong><\/li>\n<\/ol>\n<p style=\"font-weight: 400;\">Czy system pozwala\u0142 \u201ewynie\u015b\u0107\u201d dane poza \u015brodowisko (na prywatny IP) bez alarmu? Dlaczego transfer nie zosta\u0142 zablokowany albo oznaczony jako incydent wysokiego ryzyka?<\/p>\n<ol>\n<li style=\"font-weight: 400;\"><strong> Monitoring i korelacja zdarze\u0144 (SIEM \/ logi)<\/strong><\/li>\n<\/ol>\n<p style=\"font-weight: 400;\">Czy zdarzenie wykryto automatycznie, czy \u201epo fakcie\u201d? R\u00f3\u017cnica jest fundamentalna: w cyberbezpiecze\u0144stwie licz\u0105 si\u0119 godziny, nie tygodnie.<\/p>\n<ol>\n<li style=\"font-weight: 400;\"><strong> Offboarding pracowniczy i kontrola kont uprzywilejowanych<\/strong><\/li>\n<\/ol>\n<p style=\"font-weight: 400;\">Je\u015bli by\u0142 to pracownik zwalniany dyscyplinarnie (taka informacja pojawia si\u0119 w doniesieniach), tym bardziej powinna zadzia\u0142a\u0107 procedura: natychmiastowe ograniczenie dost\u0119pu, przegl\u0105d aktywno\u015bci, rotacja hase\u0142\/kluczy, weryfikacja uprawnie\u0144.<\/p>\n<p style=\"font-weight: 400;\">To nie s\u0105 \u201efanaberie informatyk\u00f3w\u201d, tylko standardy bezpiecze\u0144stwa wsz\u0119dzie tam, gdzie przetwarza si\u0119 dane wra\u017cliwe w sensie spo\u0142ecznym (a dane dzieci takie s\u0105).<\/p>\n<p style=\"font-weight: 400;\"><strong>\u00a0Co dalej, jaki pow\u00f3d?<\/strong><\/p>\n<p style=\"font-weight: 400;\">Wa\u017cna rzecz: \u201epismo do dyrektor\u00f3w\u201d to dopiero pocz\u0105tek. Je\u015bli ryzyko dla rodzic\u00f3w i uczni\u00f3w jest realne, informacja musi dotrze\u0107 do zainteresowanych, w j\u0119zyku zrozumia\u0142ym, bez \u201ebe\u0142kotu compliance\u201d.<\/p>\n<p style=\"font-weight: 400;\"><strong>Najbardziej prawdopodobne b\u0142\u0119dy organizacyjne (i dlaczego s\u0105 gro\u017ane)<\/strong><\/p>\n<p style=\"font-weight: 400;\">W tego typu incydentach zwykle zawodzi nie jeden element, tylko ca\u0142y \u201e\u0142a\u0144cuch\u201d:<\/p>\n<ul style=\"font-weight: 400;\">\n<li><strong>zbyt szerokie uprawnienia<\/strong> w systemie (kultura \u201edaj dost\u0119p, bo szybciej\u201d),<\/li>\n<li>brak realnych kontroli eksportu danych,<\/li>\n<li>niedoszacowanie ryzyka insider threat (pracownik, by\u0142y pracownik, podwykonawca),<\/li>\n<li>zbyt p\u00f3\u017ane wykrycie anomalii,<\/li>\n<li>brak twardych procedur \u201epo zwolnieniu\u201d (offboarding),<\/li>\n<li>niedojrza\u0142a komunikacja kryzysowa (co m\u00f3wi\u0107, komu, kiedy, jak).<\/li>\n<\/ul>\n<p style=\"font-weight: 400;\">Je\u017celi organizacja buduje system regionalny, obejmuj\u0105cy wiele instytucji i wiele szk\u00f3\u0142, to bezpiecze\u0144stwo musi by\u0107 projektowane jak dla infrastruktury krytycznej: audyty, testy, kontrola dostawc\u00f3w, ci\u0105g\u0142y monitoring.<\/p>\n<p style=\"font-weight: 400;\"><strong>Co powinni zrobi\u0107 dyrektorzy szk\u00f3\u0142 i rodzice<\/strong><\/p>\n<p style=\"font-weight: 400;\">Bez czekania na fina\u0142 post\u0119powania prokuratury, warto dzia\u0142a\u0107 w logice minimalizacji ryzyka:<\/p>\n<p style=\"font-weight: 400;\"><strong>Dyrektorzy \/ administratorzy:<\/strong><\/p>\n<ul style=\"font-weight: 400;\">\n<li>poprosi\u0107 o <strong>konkretny zakres danych<\/strong> obj\u0119tych incydentem i dat\u0119\/okres zdarzenia,<\/li>\n<li>poprosi\u0107 o <strong>opis zastosowanych zabezpiecze\u0144<\/strong> oraz dzia\u0142a\u0144 naprawczych (co zmieniono),<\/li>\n<li>ustali\u0107, czy incydent zosta\u0142 zg\u0142oszony do PUODO, a je\u015bli tak &#8211; w jakim trybie,<\/li>\n<li>przygotowa\u0107 jasny komunikat do rodzic\u00f3w (je\u015bli jest to uzasadnione ryzykiem).<\/li>\n<\/ul>\n<p style=\"font-weight: 400;\"><strong>Rodzice:<\/strong><\/p>\n<ul style=\"font-weight: 400;\">\n<li>wzmo\u017cona czujno\u015b\u0107 na SMS-y\/maile \u201eod szko\u0142y\u201d, \u201eod systemu\u201d, \u201eod przewo\u017anika\u201d,<\/li>\n<li>uwa\u017cno\u015b\u0107 na pr\u00f3by wy\u0142udze\u0144 danych i linki \u201edo potwierdzenia\u201d,<\/li>\n<li>zasada: szko\u0142a nie prosi o wra\u017cliwe dane \u201ena szybko\u201d.<\/li>\n<\/ul>\n<p style=\"font-weight: 400;\">Ten incydent nie jest tylko \u201ewpadk\u0105 jednej sp\u00f3\u0142ki\u201d. To sygna\u0142 ostrzegawczy dla ca\u0142ego modelu cyfryzacji us\u0142ug publicznych: je\u015bli budujemy rozwi\u0105zania dla mieszka\u0144c\u00f3w, a szczeg\u00f3lnie dla dzieci, to musz\u0105 one spe\u0142nia\u0107 standardy \u201esecurity by design\u201d i \u201eprivacy by design\u201d &#8211; nie na papierze, tylko w architekturze systemu, w procedurach i w kulturze zarz\u0105dzania.<\/p>\n<p style=\"font-weight: 400;\">Dobrze, \u017ce wed\u0142ug doniesie\u0144 sprawa zosta\u0142a zg\u0142oszona do prokuratury i \u017ce podmiot potwierdzi\u0142 naruszenie oraz poinformowa\u0142 administrator\u00f3w danych.<\/p>\n<p style=\"font-weight: 400;\">Najwi\u0119kszym b\u0142\u0119dem po incydencie jest\u2026 wr\u00f3ci\u0107 do \u201enormalno\u015bci\u201d bez poprawy mechanizm\u00f3w, kt\u00f3re pozwoli\u0142y na wyniesienie danych.<\/p>\n<p style=\"font-weight: 400;\">\n","protected":false},"excerpt":{"rendered":"<p>Wyciek danych uczni\u00f3w w \u201eSystemie FALA\u201d. Dlaczego to nie jest \u201eincydent jak ka\u017cdy\u201d. Z doniesie\u0144 medialnych wynika, \u017ce w sp\u00f3\u0142ce InnoBaltica, odpowiedzialnej za System FALA, dosz\u0142o do naruszenia ochrony danych osobowych uczni\u00f3w. Wed\u0142ug informacji przekazanych przez Radio Gda\u0144sk, naruszenie mia\u0142o polega\u0107 na skopiowaniu danych na prywatny adres IP by\u0142ego pracownika, co mia\u0142o wykracza\u0107 poza udzielone [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":4023,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35,36,1],"tags":[],"class_list":["post-4022","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-felietony","category-wazne","category-wiadomosci"],"_links":{"self":[{"href":"https:\/\/ubych.pl\/index.php\/wp-json\/wp\/v2\/posts\/4022","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ubych.pl\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ubych.pl\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ubych.pl\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ubych.pl\/index.php\/wp-json\/wp\/v2\/comments?post=4022"}],"version-history":[{"count":2,"href":"https:\/\/ubych.pl\/index.php\/wp-json\/wp\/v2\/posts\/4022\/revisions"}],"predecessor-version":[{"id":4025,"href":"https:\/\/ubych.pl\/index.php\/wp-json\/wp\/v2\/posts\/4022\/revisions\/4025"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ubych.pl\/index.php\/wp-json\/wp\/v2\/media\/4023"}],"wp:attachment":[{"href":"https:\/\/ubych.pl\/index.php\/wp-json\/wp\/v2\/media?parent=4022"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ubych.pl\/index.php\/wp-json\/wp\/v2\/categories?post=4022"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ubych.pl\/index.php\/wp-json\/wp\/v2\/tags?post=4022"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}