Archiwa tagu: incydent bezpieczeństwa

Kolejna kompromitacja Urzędu Miejskiego w Turku

Turek w dobrych rękach a może kolejna kompromitacja Urzędu?

W sierpniu 2017 opisywaliśmy nieudolność Burmistrza Miasta Turku, który przez kilka tygodni nie był w stanie przywrócić działania systemu informatycznego po ataku ransomware i zaszyfrowaniu danych: opis incydentu dostępny jest pod adresem: https://fundacjapb.pl/dane_osobowe_turek/

Każdy rozsądny człowiek wyciągnął by wnioski i zaczął respektować przepisy o ochronie danych osobowych i cyberbezpieczeństwie oraz by nie ponieść takich konsekwencji jak Burmistrz Aleksandrowa Kujawskiego, który został ukarany karą 40 tys. zł m.in. za publikacje w BIP oświadczeń majątkowych po upływie 6 lat obowiązkowego publikowania i brak właściwych umów z podmiotem świadczącym usługę BIP, https://uodo.gov.pl/pl/138/3013

 

26 lutego 2024 roku Delegatura w Białymstoku NIK wysłała pismo do wszystkich jednostek samorządu terytorialnego z informacją o nieprawidłowościach w tym dot. nieprawidłowości polegających na publikacji oświadczeń majątkowych po 6 letnim okresie.

Czy burmistrz Antosik zastosował się do zaleceń NIK i jak wygląda aktualny stan ochrony danych osobowych pracowników i radnych. Okazuje się, że jest nie jedna a kilka stron BIP Urzędu Miejskiego w Turku na których są publikowane oświadczenia majątkowe pracowników i radnych pomimo, że dalsze ich publikowanie po upływie 6 lat stanowi naruszenie przepisów o ochronie danych osobowych  i jest zagrożone karą od grzywny do pozbawieniem wolności do lat trzech. Niektóre strony BIP Urzędu Miejskiego w Turku pomimo upływu kilku lat od zaszyfrowania danych, do dziś nie zostały prawidłowo zabezpieczone.

http://www.bip2.miastoturek.pl/   http://bip.turek.mserwer.pl/dokumenty.php

Na stronie www.bip.miastoturek.pl  publikowane są bez podstawy prawnej oświadczenia majątkowe pracowników i radnych z lat 2013-2016 kilka przykładów poniżej:

https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/797/pawel-borowski-oswiadczenie-majatkowe-za-2016-r.pdf https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/795/roman-groblica-oswiadczenie-majatkowe-za-2016-r.pdf https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/799/mariola-paczesna-oswiadczenie-majatkowe-za-2016-r.pdf https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/398/maria-kukulska-oswiadczenie-majatkowe-za-2014-rok.PDF https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/399/maria-gajewska-oswiadczenie-majatkowe-za-2014-rok.PDF https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/359/magdalena-mrugas-oswiadczenie-majatkowe-za-2013-rok.PDF

 

Na stronie www.bip.turek.mserwer.pl/dokumenty.php  publikowane są do dziś wszystkie oświadczenia majątkowe pracowników i radnych z lat 2004-2012.

Każdy z poszkodowanych może złożyć skargę na burmistrza Antosika do Urzędu Ochrony Danych Osobowych https://uodo.gov.pl/pl/526/2464 a po zakończeniu postępowania przez UODO może wystąpić do sądu o odszkodowanie od Miasta Turek. Burmistrz Antosik lekceważeniem przepisów o ochronie danych osobowych nie tylko kompromituje Turek ale naraża budżet Miasta na kary administracyjne ale też na wypłatę odszkodowań osobom poszkodowanym. Tytułem przykładu za ujawnienie nazwiska w publikowanym wyroku NSA ma zapłacić odszkodowanie 20 tys. zł https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8676330,brak-anonimizacji-przez-nsa-odszkodowanie-naruszenie-dobr-osobistych.html.

Na szczególną uwagę zasługuje fakt, że burmistrz Antosik jak zrozumie i sobie uświadomi do jakich nieprawidłowości dopuścił to w terminie 72 godzin zobowiązany jest zawiadomić UODO o naruszeniu przepisów ochronie danych osobowych oraz zawiadomić wszystkie osoby poszkodowane, że naruszył ich ochronę danych osobowych i bez podstawy prawnej publikował ich oświadczenia majątkowe. Wynika to wprost z art. 33 ust. 1 i art. 34 ust. 1 RODO.

Jeśli w ciągu 72 godzin Antosik nie zgłosi naruszenia ochrony danych osobowych do Prezesa UODO i nie powiadomi poszkodowanych pracowników i radnych to naraża budżet Miasta na kolejne kary administracyjne.

Naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) w praktyce i potencjalne problemy z organem nadzorczym (Prezesem UODO).

Sytuacja niestety nadal dość częsta w realiach polskich małych, a nawet średnich przedsiębiorstw – nagle okazuje się, że pracownik zgłosił nam problem z komputerem – zaszyfrowany dysk, ewentualnie kradzież laptopa/tabletu/telefonu, względnie zagubienie laptopa/przenośnego nośnika danych z danymi firmowymi, ewentualnie dostajemy informację od kontrahenta, że dostał nie swoją fakturę/umowę/dokument  (ciekaw jest kto dostał jego dokumenty ☹) lub zaobserwował, że w mailu który od nas otrzymał widzi wszystkich innych adresatów tej seryjnej wiadomości lub doszło do udostępnienia w internecie naszych zasobów firmowych (np. katalogu z danymi), a więc mamy typowe  naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) i potencjalne problemy z Prezesem Urzędu Ochrony Danych Osobowych (choć zapewne nie tylko☹).

W praktyce w przypadkach wymienionych pierwszym, niejako naturalnym odruchem jest pomysł zbagatelizowania problemu i próba przeczekania – a nuż rozejdzie się po kościach. No może poza zaszyfrowaniem systemów bo wtedy nagle okazuje się, że np. firma nie może realizować podstawowej działalności biznesowej – owszem można przywrócić dane/systemy z kopii zapasowych, ale nie oszukujmy się – jak wielu małych przedsiębiorców faktycznie dba o odpowiednie/regularne wykonywanie i zabezpieczenie kopii – niestety niewielu. W skrajnych przypadkach nawet proste automatyczne systemy wykonywania kopii typu NAS na niewiele się zdadzą jeżeli również NAS został zaszyfrowany. Co ciekawe często w takiej sytuacji okazuje się, że nasz Pan/Pani informatyk to tak naprawdę jedynie hobbysta komputerowy posiadający średnią wiedzę informatyczną, ot taki „fachowiec”, który ogranicza się do instalacji systemu, antywirusa, zarządzania stroną www., ewentualnie wymianą zepsutego nośnika danych …

Oczywiście w takiej sytuacji wielu przedsiębiorców zaciska zęby i płaci okup za odszyfrowanie danych, niemniej jednak nie mogą mieć pewności co do tego czy dane zostaną faktycznie odszyfrowane oraz czy przestępcy nie wykonali ich kopii … Część zarządzających firmami po szybkim reaserchu internetowym, względnie konsultacji z prawnikami, zdaje sobie sprawę, że powyższe „przygody” na ogół stanowią jednak naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) i zaczynają zastanawiać co w tej sytuacji należałoby zrobić (szczególnie zaczynają się zastanawiać jak pracownicy/kontrahenci wyrażają niezadowolenie i obawy związane z zaistniałą sytuacją, a prawnicy określą potencjalne sankcje). Nagle zaczynają zdawać sobie sprawę, że jak sprawa dotrze do Prezesa Urzędu Ochrony Danych Osobowych (skarga) lub sądu (pozew), to zaniedbania w zakresie RODO w firmie mogą grozić nieciekawymi konsekwencjami, a jeżeli poważny kontrahent (np. większa firma) poweźmie wiadomość o nieodpowiednim poziomie zabezpieczeń powierzonych nam danych osobowych to może się skończyć utratą kontraktu (tak, znamy z praktyki takie sytuacje – to się naprawę zdarza – można stracić kontrakt przez niewdrożenie zasad określonych RODO w firmie).

No dobrze mleko się rozlało mamy problem, ale czy powinniśmy się poddać i czekać aż kat opuści topór ? Nie, zdecydowanie nie, szybka i fachowa ocena wagi naruszenia oraz  podjęcie działań naprawczych i wdrożeniowych pozwoli ograniczyć potencjalne ryzyka biznesowe, a w części przypadków nawet uniknąć ryzyka postępowań wyjaśniających/administracyjnych ze strony organu nadzorczego (Prezesa UODO) lub zakończyć postępowania na etapie udzielenia wyjaśnień. Trzeba jednak pamiętać aby działania te podjąć niezwłocznie, poczynając od analizy rodzaju naruszenia, jego skali i wagi oraz zidentyfikować przyczynę/źródło naruszenia – nie zawsze bowiem naruszenie miało miejsce bezpośrednio w naszej organizacji często zdarza się, że zawinił nasz podwykonawca (biuro księgowe, dostawca rozwiązań chmurowych, dostawca aplikacji, nasz informatyk na kontrakcie B2B itp.), co niestety nie wyłącza naszej odpowiedzialności. W takim przypadku okazuje się bardzo istotną kwestia dokonanej przez nas weryfikacji zgodności kontrahenta przed powierzeniem mu przetwarzania w naszym imieniu danych osobowych, jak również systematyczne weryfikowanie zgodności w toku realizacji usługi, a szczególnie możliwość udokumentowania dokonywania tych weryfikacji.  To z kolei pokazuje, że nie zawsze cena usługi powinna być podatkowym kryterium wyboru dostawcy/partnera, Co z tego że partner zaoferował usługę/aplikację, która posiada biznesowo wymagane funkcjonalności i ładnie wygląda, jest przyjazna w obsłudze, jeżeli dane wprowadzone do aplikacji są przechowywane np. poza EOG np. na Białorusi lub w Indiach bez odpowiednich zabezpieczeń i gwarancji formalnych, a za wybór właściwego dostawcy/partnera odpowiadamy przecież my …

Oczywiście, w sytuacji idealnej mamy wdrożone zasady RODO, procedury działają, pracownicy są przeszkoleni i nie otwierają podejrzanych wiadomości instalując jednocześnie szkodliwe oprogramowanie, a jak zdarzy się błąd ludzki typu pomyłka pola UDW i DW w mailu to nie chowają głowy w piasek tylko raportują to niezwłocznie przełożonym, a ci odpowiednio do wagi naruszenia w terminie do 72 godzin podejmują decyzję jak dalej postępować, ale czy w Twojej firmie tak właśnie jest ?  Jeżeli nie to najwyższy czas nadrobić zaległości, nawet jeżeli już masz do czynienia z naruszeniem to jest jeszcze czas na zminimalizowanie jego skutków i warto zwrócić się w tej kwestii do ekspertów mających długoletnie praktyczne doświadczenie, w tym nabyte podczas postępowań przed organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych, a wcześniej GIODO), na samodzielne wypracowanie rozwiązań/zarządzanie zaistniałym naruszeniem i jego odpowiednią obsługą może nie być już czasu, a niefachowe działanie zamiast zminimalizować skutki i konsekwencje naruszenia mogą je jeszcze zwiększyć ….

 

Andrzej Grzeszczuk

Inspektor ochrony danych

Ekspert akredytowany przez PARP – Phare 2002 Program: Dostęp do innowacyjnych usług doradczych, Działanie: Ochrona danych osobowych

Kontakt:

Tel. 509 720 666

a.grzeszczuk@polguard.pl