Po kontroli NIK. Ogromne zaniedbania samorządów związane z ochroną danych. NIK przeprowadzi kontrole w całym kraju

• Nieprawidłowości przy ochronie danych osobowych
• Będzie kontrola NIK w całym kraju
• Jak chronić dane
• Cyberbezpieczny Samorząd

Nieprawidłowości przy ochronie danych osobowych

Kontrola NIK przeprowadzona w 12 jednostkach samorządu terytorialnego w województwie podlaskim wykazała, że dochodziło w nich do wieloletnich zaniedbań związanych z ochroną danych osobowych. Najbardziej jaskrawym przykładem było wykorzystywanie komercyjnych domen do prowadzenia komunikacji mailowej. 

– Nasze dane, które są przechowywane i przetwarzane w samorządach, nie są bezpieczne. Mówiąc bardziej precyzyjnie, nie jest zachowany odpowiedni poziom bezpieczeństwa tych danych – komentuje raport NIK Paweł Śmigielski, country manager w Stormshield.

Analiza przeprowadzona przez kontrolerów NIK wykazała, że ryzyko wystąpienia analogicznych nieprawidłowości w całym kraju jest bardzo wysokie. Okazało się, że 43 proc. placówek oświatowych, 32 proc. publicznych zakładów opieki zdrowotnej oraz 28 proc. ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy mailowe w domenach komercyjnych.

– Włodarze zostali zapytani, dlaczego nie dochowano należytej staranności w kwestii zabezpieczania danych. Zostały wymienione m.in. takie powody jak brak wiedzy, brak świadomości wśród pracowników. Były także wymieniane przyzwyczajenia tych pracowników. Jest mowa m.in. o tym, że niektóre z tych kont pocztowych zostały założone w 2004 roku i możemy sobie wyobrazić, że 20 lat temu świadomość ochrony danych była zupełnie inna niż w dzisiejszych czasach. Nie mieliśmy jeszcze wtedy do czynienia z rozporządzeniem o ochronie danych osobowych, ale 20 lat później te kwestie już powinny być doskonale znane – zauważa ekspert Stormshield.

Będzie kontrola NIK w całym kraju

NIK szacuje, że nieprawidłowości mogą dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Kontrola ma być rozszerzona nie tylko na wszystkie jednostki samorządowe w kraju, ale także na inne jednostki administracji publicznej. 

Tym, co budzi szczególny niepokój, jest nie tylko sam fakt wymiany danych osobowych za pośrednictwem niezabezpieczonych kont, ale i to, jakiego rodzaju były to informacje. – W raportach otrzymaliśmy informacje, że urzędnicy w tej korespondencji wymieniali m.in. imiona, nazwiska, numery PESEL, informacje o stanie zdrowia obywateli, a także w ośrodkach pomocy społecznej była mowa o wynagrodzeniach czy dochodach poszczególnych rodzin. Czyli właściwie można powiedzieć, mieliśmy tam do czynienia z wieloma danymi wrażliwymi, których bezpieczeństwo, szczególnie poufność, nie zostały zachowane – wskazuje Paweł Śmigielski.

Jak chronić dane

NIK podkreśla, że komunikacja służbowa powinna się odbywać za pomocą dedykowanej do tego skrzynki mailowej, a korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa. 

– Aby uniknąć tego typu incydentów, konieczne jest oparcie się na trzech filarach: ludzie, procedury i technologie. Te trzy filary powinny funkcjonować jako jeden, wzajemnie się uzupełniający ekosystem. Powinniśmy szkolić naszych pracowników, szczególnie tych nietechnicznych, szczególnie tych, którzy na co dzień nie mają do czynienia z informatyką. Bardzo popularne są aktualnie szkolenia z zakresu security awareness, które mają podnosić świadomość pracowników na temat aktualnych zagrożeń i ryzyk dotyczących przetwarzanych danych – mówi country manager w Stormshield.

Cyberbezpieczny Samorząd

Jednostki samorządu terytorialnego są regularnie atakowane przez cyberprzestępców. Liczba ataków w latach 2020–2022 zwiększyła się o 100 proc. Brak rozwiązań technicznych, a także mechanizmów monitorowania i informowania o incydentach sprawia, że można się stać łatwym celem.

W odpowiedzi na wyzwania związane z bezpieczeństwem danych w jednostkach samorządu terytorialnego powstał rządowy program Cyberbezpieczny Samorząd. Zostanie nim objętych ponad 2,8 tys. jednostek w całym kraju. Jego celem jest zwiększenie poziomu bezpieczeństwa informacji jednostek samorządu terytorialnego poprzez wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych.