Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”

w , ,

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”.

Z doniesień medialnych wynika, że w spółce InnoBaltica, odpowiedzialnej za System FALA, doszło do naruszenia ochrony danych osobowych uczniów. Według informacji przekazanych przez Radio Gdańsk, naruszenie miało polegać na skopiowaniu danych na prywatny adres IP byłego pracownika, co miało wykraczać poza udzielone upoważnienia; sprawa została zgłoszona do prokuratury, a administratorzy danych (dyrektorzy szkół) zostali powiadomieni. Nieoficjalnie mowa jest o kilkuset uczniach i bazie danych związanej z legitymacjami szkolnymi; spółka wskazuje jednocześnie, że środowisko, z którego skopiowano dane, ma być odseparowane od głównej bazy pasażerów.

To zdarzenie wymaga chłodnej analizy, bo dotyczy danych osób małoletnich oraz modelu, w którym szkoły (jako administratorzy) powierzają przetwarzanie danych podmiotowi zewnętrznemu. A tam, gdzie są dzieci i systemy masowe, poprzeczka bezpieczeństwa musi być ustawiona wyżej niż „standardowo”.

Co realnie oznacza „skopiowanie danych uczniów” i jakie są konsekwencje

W narracji publicznej często pojawia się pokusa bagatelizowania: „to tylko dane z legitymacji”. To błąd. Dane z legitymacji (typowo: imię, nazwisko, szkoła, identyfikator, czasem fotografia, numer dokumentu, data urodzenia, PESEL lub inne elementy) nie pozwolą na zaciągnięcie kredytu, ale wystarczają do:

  • phishingu ukierunkowanego na rodziców i szkoły („pilna dopłata”, „aktywuj dostęp”, „potwierdź dane dziecka”, „błąd w systemie”),
  • podszywania się w komunikacji szkolnej lub okołoszkolnej,
  • budowania wiarygodnych scenariuszy wyłudzeń („znam szkołę, klasę, dane ucznia”),
  • długofalowego ryzyka reputacyjnego i psychologicznego (poczucie braku kontroli nad danymi dziecka).

Kluczowe jest to, że w przypadku małoletnich ocena ryzyka w RODO praktycznie nigdy nie kończy się na zdaniu „nic się nie stanie”. Dla danych dzieci próg ostrożności powinien być wyższy.

Najważniejsze pytania: nie „czy doszło”, tylko „jak to było możliwe”

Jeżeli potwierdza się scenariusz „były pracownik skopiował dane na prywatny adres IP”, to mamy do czynienia nie tylko z czynem sprawcy, ale również z pytaniem o dojrzałość mechanizmów bezpieczeństwa.

W dobrze zaprojektowanym środowisku przetwarzania danych uczniów powinny zadziałać co najmniej cztery warstwy ochrony:

  1. Zasada najmniejszych uprawnień (least privilege)

Czy pracownik miał dostęp do danych w zakresie koniecznym do wykonywania zadań? Czy dostęp do całej bazy był rzeczywiście uzasadniony?

  1. Kontrola eksportu i zapobieganie eksfiltracji

Czy system pozwalał „wynieść” dane poza środowisko (na prywatny IP) bez alarmu? Dlaczego transfer nie został zablokowany albo oznaczony jako incydent wysokiego ryzyka?

  1. Monitoring i korelacja zdarzeń (SIEM / logi)

Czy zdarzenie wykryto automatycznie, czy „po fakcie”? Różnica jest fundamentalna: w cyberbezpieczeństwie liczą się godziny, nie tygodnie.

  1. Offboarding pracowniczy i kontrola kont uprzywilejowanych

Jeśli był to pracownik zwalniany dyscyplinarnie (taka informacja pojawia się w doniesieniach), tym bardziej powinna zadziałać procedura: natychmiastowe ograniczenie dostępu, przegląd aktywności, rotacja haseł/kluczy, weryfikacja uprawnień.

To nie są „fanaberie informatyków”, tylko standardy bezpieczeństwa wszędzie tam, gdzie przetwarza się dane wrażliwe w sensie społecznym (a dane dzieci takie są).

 Co dalej, jaki powód?

Ważna rzecz: „pismo do dyrektorów” to dopiero początek. Jeśli ryzyko dla rodziców i uczniów jest realne, informacja musi dotrzeć do zainteresowanych, w języku zrozumiałym, bez „bełkotu compliance”.

Najbardziej prawdopodobne błędy organizacyjne (i dlaczego są groźne)

W tego typu incydentach zwykle zawodzi nie jeden element, tylko cały „łańcuch”:

  • zbyt szerokie uprawnienia w systemie (kultura „daj dostęp, bo szybciej”),
  • brak realnych kontroli eksportu danych,
  • niedoszacowanie ryzyka insider threat (pracownik, były pracownik, podwykonawca),
  • zbyt późne wykrycie anomalii,
  • brak twardych procedur „po zwolnieniu” (offboarding),
  • niedojrzała komunikacja kryzysowa (co mówić, komu, kiedy, jak).

Jeżeli organizacja buduje system regionalny, obejmujący wiele instytucji i wiele szkół, to bezpieczeństwo musi być projektowane jak dla infrastruktury krytycznej: audyty, testy, kontrola dostawców, ciągły monitoring.

Co powinni zrobić dyrektorzy szkół i rodzice

Bez czekania na finał postępowania prokuratury, warto działać w logice minimalizacji ryzyka:

Dyrektorzy / administratorzy:

  • poprosić o konkretny zakres danych objętych incydentem i datę/okres zdarzenia,
  • poprosić o opis zastosowanych zabezpieczeń oraz działań naprawczych (co zmieniono),
  • ustalić, czy incydent został zgłoszony do PUODO, a jeśli tak – w jakim trybie,
  • przygotować jasny komunikat do rodziców (jeśli jest to uzasadnione ryzykiem).

Rodzice:

  • wzmożona czujność na SMS-y/maile „od szkoły”, „od systemu”, „od przewoźnika”,
  • uważność na próby wyłudzeń danych i linki „do potwierdzenia”,
  • zasada: szkoła nie prosi o wrażliwe dane „na szybko”.

Ten incydent nie jest tylko „wpadką jednej spółki”. To sygnał ostrzegawczy dla całego modelu cyfryzacji usług publicznych: jeśli budujemy rozwiązania dla mieszkańców, a szczególnie dla dzieci, to muszą one spełniać standardy „security by design” i „privacy by design” – nie na papierze, tylko w architekturze systemu, w procedurach i w kulturze zarządzania.

Dobrze, że według doniesień sprawa została zgłoszona do prokuratury i że podmiot potwierdził naruszenie oraz poinformował administratorów danych.

Największym błędem po incydencie jest… wrócić do „normalności” bez poprawy mechanizmów, które pozwoliły na wyniesienie danych.