Wyciek danych uczniów i narracja „nie trafiły do sieci”. Dlaczego to nie zamyka sprawy

w , ,

W ostatnich dniach opinię publiczną poruszyła informacja o naruszeniu ochrony danych osobowych uczniów w systemie obsługiwanym przez spółkę InnoBaltica. Zgodnie z komunikatami spółki, dane miały zostać skopiowane na prywatne urządzenie przez  byłego już pracownika, a nie „wyciec do internetu”. Jednocześnie podkreśla się, że nie ma informacji o dalszym rozpowszechnieniu danych, a sprawą zajmuje się prokuratura.

Ten przekaz brzmi uspokajająco, ale z punktu widzenia bezpieczeństwa informacji i ochrony danych osobowych nie rozwiązuje problemu.

„Nie wyciekło do sieci” nie znaczy „nie ma zagrożenia”.

W języku potocznym wyciek kojarzy się z publikacją danych w internecie. Tymczasem w praktyce bezpieczeństwa kluczowy moment to utrata kontroli nad danymi, czyli ich wyniesienie poza system, który miał je chronić. Skopiowanie danych na prywatne urządzenie jest już naruszeniem, niezależnie od tego, czy ktoś je opublikował, sprzedał czy użył. Co więcej nie ma 100% pewności co się działo od momentu skopiowania, do zgłoszenia sprawy – a jest to blisko miesiąc czasu.

Co więcej, brak informacji o wykorzystaniu danych nie jest dowodem, że do wykorzystania nie dojdzie. Dane mogą „czekać” tygodniami lub miesiącami i zostać użyte później  np. do prób oszustw, phishingu czy podszywania się pod szkoły lub instytucje.

 

Dlaczego ten incydent jest szczególnie wrażliwy

Mówimy o danych dzieci. Nawet jeśli zakres danych wydaje się ograniczony (np. dane do legitymacji szkolnych), to:

  • mogą one posłużyć do wiarygodnych prób wyłudzeń skierowanych do rodziców,
  • mogą zostać użyte w fałszywej komunikacji „od szkoły” lub „od systemu”,
  • niosą ryzyko długofalowe, bo dziecko nie ma realnej możliwości „zmiany danych”.

W takich przypadkach standardem powinno być maksymalne uprzedzanie i edukowanie, a nie tylko informowanie, że „na dziś nic się nie stało”.

 

Kluczowe pytanie: jak to było możliwe?

Jeśli były pracownik mógł skopiować dane na prywatne urządzenie, to problemem nie jest wyłącznie jego działanie. To również pytanie o mechanizmy zabezpieczeń w organizacji.

W dobrze zaprojektowanych systemach:

  • pracownik ma dostęp tylko do niezbędnego minimum danych,
  • próby masowego kopiowania lub eksportu danych są blokowane lub natychmiast sygnalizowane,
  • systemy rejestrują i analizują nietypowe zachowania,
  • po odejściu pracownika jego dostęp jest natychmiast i całkowicie odcinany.

Jeżeli w jednym obszarze te mechanizmy zawiodły, nie wolno zakładać, że w innym – ważniejszym – działają idealnie.

Dlaczego trzeba spojrzeć szerzej niż tylko na e-legitymacje

Spółka InnoBaltica odpowiada za znacznie większy i bardziej złożony system – FALA, który od miesięcy boryka się z problemami operacyjnymi i stabilnościowymi. Równolegle rozwijane są nowe funkcjonalności i zakresy działalności.

W cyberbezpieczeństwie obowiązuje prosta zasada: jeżeli zawodzi kontrola w mniejszym, dodatkowym module, trzeba zweryfikować zabezpieczenia w systemie głównym. Nie dlatego, że „na pewno jest źle”, ale dlatego, że ryzyko systemowe rośnie wraz ze złożonością i presją organizacyjną.

Odpowiedzialność spółki samorządowej

InnoBaltica to spółka samorządowa. To oznacza wyższy standard odpowiedzialności, nie tylko formalnej, ale społecznej. W takiej sytuacji minimum to:

  • jasna informacja, jakie dane i ilu osób dotyczy incydent,
  • czytelne wskazówki dla szkół i rodziców, jak się chronić przed potencjalnymi nadużyciami,
  • realne działania edukacyjne np. wsparcie szkół w zakresie cyberbezpieczeństwa i świadomości zagrożeń.

Obecnie mamy działania z obszaru PR, a kluczowy jest element minimalizacji skutków zdarzenia, szczególnie gdy poszkodowanymi mogą być dzieci.

Ten incydent nie powinien być ani bagatelizowany, ani wykorzystywany do sensacyjnych nagłówków. Powinien stać się bardzo ważnym sygnałem dla bieżącej działalności spółki. Tym zdarzeniem bardzo mocno nadszarpnięto zaufanie, a przez obniżanie rangi problemu można odnieść wrażenie, jakoby bezpieczeństwo kluczowych nie miało najwyższego priorytetu.

Najgorszym możliwym scenariuszem jest szybkie zamknięcie tematu hasłem „nie było wycieku do sieci” i powrót do codzienności bez poprawy mechanizmów, które pozwoliły na wyniesienie danych. W świecie cyfrowym zaufanie odbudowuje się nie słowami, ale standardami.