Archiwa tagu: NIK

Jakie mogą być konsekwencje lekceważenia zasad ochrony danych osobowych.

Atak hakerski na Urząd Miejski w Turku?

“Od piątku,18 sierpnia do dzisiaj (24 sierpnia) nie działał system komputerowy w Urzędzie Miejskim w Turku. Nieoficjalnie wiemy, że to atak hakerów, którzy za odblokowanie systemu i przywrócenie danych, a tym samym pracy urzędu zażądali okupu – w kwocie o wysokości 13 tys. zł. Fachowcy od ochrony danych osobowych informują, że takie sytuacje się zdarzają i jednocześnie zapewniają, że w urzędzie nie były przestrzegane odpowiednie procedury, które pozwoliłby na przywrócenie systemu w ciągu jednego dnia. Tymczasem system nie działał 6 dni, w konsekwencji czego wstrzymane zostały wypłaty świadczeń oraz zagrożone na czas wypłaty pensji dla urzędników.”
Źródło:  iTurek.net Turecki Portal Regionalny

Relacja TVP3 POZNAŃ 24 sierpnia 2017r.

urząd miasta sparaliżowany

25 sierpnia br., Radio Poznań  “Zamiast komputerów kartki i długopisy – tak pracowali przez ostatni tydzień urzędnicy z turkowskiego magistratu.”  http://radiopoznan.fm/informacje/pozostale/hakerzy-zaatakowali-turek

27 sierpnia br., temat problemów w Urzędzie Miejskim w Turku podjął niebezpiecznik.pl: https://niebezpiecznik.pl/post/urzad-miasta-w-turku-zainfekowany/ 

28 sierpnia br.,  WP tech napisał: System w Urzędzie Miejskim w Turku zaatakowany. “Zagrożenie do tej pory nieznane” https://tech.wp.pl/system-w-urzedzie-miejskim-w-turku-zaatakowany-zagrozenie-do-tej-pory-nieznane-6160093287835777a

28 sierpnia br., Radio Poznań  wyemitowało audycję:  “Przez 6 dni w Turku w Urzędzie Miasta nie działał system informatyczny. ” http://radiopoznan.fm/informacje/pozostale/czy-hakerzy-przypuscili-atak-na-turek

4 września br., Portal Turek24.pl napisał “Czy burmistrz Antosik nie dopełnił obowiązków ochrony danych osobowych? http://turek24.com.pl/burmistrz-antosik-ochrona-danych-osobowych-turek/

cd. Źródło:  iTurek.net Turecki Portal Regionalny
“… 18 sierpnia nastąpił do dziś nie wiadomo czy atak hakerski czy infekcja  (Burmistrz jak informują media o innych przyczynach poinformował prokuraturę a o innych informuje w komunikatach) dziś  8 września Burmistrz Romuald Antosik informuje;

2017_08_31 Komunkat UM Turek utrudnienia

Sprawą zajmuje się turkowska prokuratura oraz policja, a w miniony weekend zainfekowany system sprawdzali cyberpolicjanci z Komendy Wojewódzkiej w Poznaniu.

Nieoficjalnie wiadomo, że wirus dostał się do systemu prawdopodobnie poprzez niefortunne kliknięcie zainfekowanej strony, otworzenie zainfekowanego mejla lub poprzez użycie zawirusowanego nośnika zewnętrznego. Hakerzy w ten sposób zablokowali system w urzędzie, a wirus sprawiał, że dokumenty zamieniały się w pliki muzyczne. Praca stanęła w najbardziej strategicznych wydziałach. Za odblokowanie systemu hakerzy zażądali okupu.

Takie sytuacje się zdarzają, nie da się w stu procentach zabezpieczyć przed atakiem, mieliśmy już takie doświadczenia wśród naszych klientów – mówi Robert Gadzinowski, prezes firmy PolGuard Consulting Sp. z o.o., zajmującej się ochroną danych osobowych – Firmy i urzędy, które przestrzegają wymaganych procedur nie mają jednak większych problemów z zabezpieczeniem danych, a system może wrócić do pracy co najwyżej po upływie jednego dnia. Należy wykonywać back up danych oraz systemu i w krótkim czasie wszystko wraca do normy. Urząd Miejski w Turku posiadał procedury opracowane po zmianie przepisów w 2015r., przez naszą firmę. Jeśli nie zostały zmodyfikowane i były by respektowane nie miało prawa dojść do takiej sytuacji. U innych naszych klientów w takich sytuacjach maksymalnie po kilku godzinach wznawiano ciągłość działania systemu informatycznego.

Na systemie informatycznym Urzędu Miejskiego pracują także firmy znajdujące się w Turkowskim Inkubatorze Przedsiębiorczości. Tymczasem żadna z firm nie otrzymała z urzędu informacji o ewentualnym zagrożeniu.

– O awarii wiedziały firmy, które są naszymi klientami, bo oprócz procedur, jakie posiadają poinformowaliśmy ich o możliwości ewentualnego zagrożenia – wyjaśnia Robert Gadzinowski – Jeszcze w poniedziałek (21 sierpnia – przyp. red.) kiedy zauważyliśmy nieprawidłowości w sieci w Tureckim Inkubatorze Przedsiębiorczości zarekomendowaliśmy czujność i wykonanie dodatkowych kopii danych. Otrzymaliśmy telefon od aroganckiej pracownicy urzędu, która udzielała nieprawdziwych informacji twierdząc, że system działa bez zarzutu i wręcz bezpodstawnie zażądała od nas byśmy nie informowali przedsiębiorców o istniejącym zagrożeniu. Jestem ciekaw, czy po opublikowaniu oświadczenia Pana Burmistrza doczekamy się przeprosin.

Tymczasem w Urzędzie Miejskim informatycy cały czas pracują nad przewróceniem systemu. Burmistrz Romuald Antosik  w środę, 23 sierpnia wydał komunikat, informując o awarii systemu informatycznego oraz utrudnieniach m.in. w wypłatach świadczeń. Pod dużym znakiem zapytania stoją także wypłaty dla urzędników, które przewidziane są na piątek, 25 sierpnia.

Sprawą „zmasowanego ataku na urządzenia informatyczne w Urzędzie Miejskim w Turku” zajmuje się prokuratura oraz policja, które wskazują, że sprawa jest rozwojowa. Niewykluczone, że problemem zainteresuje się Wojewoda Wielkopolski.

Ataki hakerskie rosną w siłę. Tylko na przestrzeni jednego roku odnotowano rekordowy ich wzrost: z 4 milionów ataków w roku 2015 do 638 milionów na koniec roku 2016. Wstrzymanie pracy urzędników na czas sześciu dni wstecz spowoduje, że najprawdopodobniej będą musieli przyjść do pracy w najbliższy weekend.

O tym, co tak naprawdę było przyczyną wstrzymania pracy urządzeń informatycznych w Urzędzie Miejskim w Turku dowiemy się, kiedy prace zakończą policja i prokuratura. Wówczas obowiązkiem burmistrza będzie poinformowanie mieszkańców Turku o tym, że ich dane osobowe nie są zagrożone oraz co było przyczyną awarii systemu informatycznego, czy też ataku hakerów, kto zawinił i jakie poniesie konsekwencje.”

Jak długo to jeszcze będzie trwało? …

11 września br.  Burmistrz Romuald Antosik przestał informować :

2017_08_31 Komunkat UM Turek utrudnienia

W kontekście dyskusji jaka rozgorzała w lokalnych mediach na temat “specjalistów” i “prawdziwych specjalistów” najlepszym podsumowaniem dyskusji jest  materiał opublikowany 25 września 2017r., na portalu www.chip.pl cyt.  “…Okazuje się, że najlepszym zabezpieczeniem przed szyfrowaniem danych jest dobra strategia tworzenia kopii zapasowych. 97 procent firm, które tworzyły kopie bezpieczeństwa z użyciem serwerów NAS albo rozwiązań w chmurze, uniknęło przykrych konsekwencji działania złośliwego oprogramowania szyfrującego dane.”,

źródło: http://www.chip.pl/2017/09/hakerzy-zarobili-ponad-miliard-zlotych-ransomware/

Zmanipulowana informacja GIODO przedrukowana przez PAP.

24.04.2017r. w kilku serwisach ukazał się  przedruk materiału opublikowanego o godz. 15.41 w aktualnościach GIODO pt. “GIODO ZALECA ZACHOWANIE OSTROŻNOŚCI W KONTAKTACH Z FUNDACJĄ PROMOCJI BEZPIECZEŃSTWA”.

Dziękujemy za zainteresowanie tematem, który poruszyliśmy 14 kwietnia br. Uważamy, że od GIODO  mamy prawo oczekiwać więcej rzetelności i profesjonalizmu a nie tylko poszukiwania niezdrowej sensacji, manipulowania informacjami i wprowadzania czytelników w błąd.

Dziękujemy Rzeczpospolitej za opublikowanie stanowiska naszej Fundacji: http://www.rp.pl/Zadania/304259933-Fundacja-Promocji-Bezpieczenstwa-szkoly-nie-wiedza-jak-sprostac-GIODO.html#ap-1

GIODO  nie pisze o źródle i przyczynach naszej akcji mającej na celu ostrzeżenie Prezydentów, Burmistrzów i Wójtów oraz dyrektorów szkół przed naruszeniem przepisów wynikających ze sprzecznych zaleceń Najwyższej Izby Kontroli oraz GIODO.

Jednocześnie GIODO kolejny raz “zapomniał”, że wcześniej informował cyt. “…Informujemy również, że do właściwości GIODO nie należą: – odpowiadanie na pytania dotyczące wniosków o dostęp do informacji publicznej skierowanych do podmiotów zobowiązanych do jej udzielenia. O udostępnieniu żądanych informacji lub o odmowie ich udostępnienia w określonym stanie faktycznym i prawnym, rozstrzyga podmiot, do którego o informacje te się zwrócono, a następnie rozstrzygnięcie to podlega weryfikacji przez sąd administracyjny;”  źródło: http://web.archive.org/web/20150316093016/www.giodo.gov.pl/1520226/j/pl/

W ostatnim czasie miało miejsce co najmniej kilka jeśli nie kilkanaście akcji wysyłania wniosków z dostępu do informacji publicznej przez fikcyjne podmioty lub wniosków anonimowych wymagających udzielenia informacji przetworzonej oraz skonstruowanych tak, żeby wyłudzić informacje podlegające ochronie. W sprawie tego typu wniosków GIODO zgodnie z powyższym stanowiskiem nie udzielał pomocy adresatom i nie zajął stanowiska a nasz wniosek skonstruowany zgodnie z przepisami o dostępie do informacji publicznej, którego się nie wstydzimy i pod którym się podpisujemy został wykorzystany przez GIODO do bezpodstawnego dyskredytowania naszej Fundacji.

Jesteśmy jedyną organizacją, która kolejny raz miała odwagę zasygnalizować sprzeczne zalecenia „organów” w tym wypadku NIK i GIODO. W tym momencie to nie jest istotne, ale wcześniej informowaliśmy już o sprzecznych stanowiskach GIODO i Ministerstwa Rozwoju czy GIODO i Ministerstwa Rodziny, Pracy i Polityki Społecznej, mamy świadomość że nie zjednuje to sympatii „organów’ do naszej Fundacji.
np. już w styczniu 2015 r., w trakcie prac nad projektem rozporządzenia MAiC w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych jako jedyni zwróciliśmy uwagę, że Rejestr Zbiorów Danych Osobowych prowadzony przez GIODO nie spełnia wymagań ustawy o ochronie danych osobowych: https://legislacja.rcl.gov.pl/docs//519/263123/263125/263128/dokument147111.pdf

Ale może po kolei.

14 marca br. Prezes Najwyższej Izby Kontroli zaczął rozsyłać maile do wszystkich Prezydentów, Burmistrzów i Wójtów z informacja o wynikach kontroli wykorzystania monitoringu wizyjnego w szkołach. Kopia maila dostępna pod adresem: https://fundacjapb.pl/nik_zaleca_kontrole_szkol_urzedom/

W piśmie tym Prezes NIK “gorąco zachęca” Prezydentów, Burmistrzów i Wójtów do sprawdzenia czy dyrektorzy szkół zgłosili do GIODO zbiór monitoring i czy wdrożyli odpowiednią dokumentację.

Jako, że jednym z obszarów zainteresowania naszej fundacji jest ochrona danych osobowych, 16 marca br. opublikowaliśmy na swojej stronie ostrzeżenie https://fundacjapb.pl/nik_zaleca_kontrole_szkol_urzedom/  dla adresatów pisma Prezesa NIK i przywołaliśmy stanowisko GIODO z 12.05.2016r.,  kiedy to GIODO po uzyskaniu informacji, że Urzędy przeprowadzały kontrolę przetwarzania danych osobowych w jednostkach wydał komunikat “Tylko GIODO ocenia zgodność dokumentacji przetwarzania danych osobowych z przepisami”. GIODO zakwestionował podstawy prawne powyższego działania urzędów i uznał, że jest jedynym podmiotem właściwym w powyższym zakresie. Na uwagę zasługuje fakt, że od 24.08.2016r. GIODO do dziś przygotowuje zmodyfikowana wersję tego komunikatu.

Faktycznie w materiale na swojej stronie https://fundacjapb.pl/nik_zaleca_kontrole_szkol_urzedom/ i w mailach poinformowaliśmy, że opracowaliśmy minimalny zestaw dokumentacji, tzw. “Pakiet bezpieczeństwa danych osobowych” który pozwala na uniknięcie problemów związanych z rejestracją zbioru monitoring i wskazaliśmy adres gdzie są szczegółowe informacje.   Pakiet oferowany przez Fundację to rozwiązanie minimalistyczne dedykowane wyłącznie dla nielicznych placówek, które nie powołały tzw. ABI oraz chcą chronić dane osobowe przy jak najmniejszej ilości biurokratycznych obowiązków. Łączenie go z wysyłanymi przez Fundacje wnioskami z dostępu do informacji publicznej jest bezpodstawne.

Z naszą fundacją skontaktowali się zarówno pracownicy urzędów informując, że po “gorącym zaleceniu” Prezesa NIK otrzymali zadania skontrolowania szkół i wiedząc, że GIODO uznał, że nie mają ku temu podstaw prawnych muszą wykonać polecenia przełożonych. Podobnie skontaktowali się z nami dyrektorzy szkół pytając co mają zrobić bo pracownicy urzędów żądają od nich ujawnienia dokumentacji, której zgodnie ze stanowiskiem GIODO nie mogą ujawniać bez podstawy prawnej.

Czy ktoś podejmie właściwy temat?
Jak Prezydenci, Burmistrzowie i Wójtowie mają wykonać zalecenie Prezesa NIK i skontrolować szkoły żeby nie narazić się GIODO?
Czyżby Prezes NIK powierzał Prezydentom, Burmistrzom i Wójtom zadania GIODO?

Dyrektorzy szkół, którzy kontaktowali się z nami informowali nas, że wielokrotnie byli wprowadzani w błąd na różnych szkoleniach i w kontakcie z pseudo “ekspertami” (niektóre komunikaty GIODO też postawiają wiele do życzenia i trzeba się dobrze wysilić żeby zrozumieć “co autor miał na myśli”) np.

  • szkoła nie musi zgłaszać żadnych zbiorów do GIODO;
  • dyrektor ma obowiązek wyznaczyć ABI;
  • mając ABI w szkole nie musi być procedur ochrony danych osobowych;
  • ABI w szkole nie musi prowadzić rejestru zbiorów;
  • ABI w szkole nie musi opracowywać planów sprawdzeń;
  • jeśli dyrektor wyznaczył ABI to za nic już nie odpowiada.

Kontrola NIK słusznie wykazała, że stan ochrony danych osobowych w szkołach pozostawia wiele do życzenia. Jeśli sprawdzimy w rejestrze eGIODO ile szkół ma zarejestrowany zbiór “Monitoring” i zobaczymy, że zaledwie dla 27 szkół GIODO zarejestrował taki zbiór to o czym to świadczy?

Niemożliwe? A jednak.

Postanowiliśmy zgodnie z przepisami o dostępie do informacji publicznej przygotować zestaw kilku pytań, który przy minimalnym nakładzie pracy ze strony szkoły pozwoli nam uzyskać informację o faktycznym stanie ochrony danych osobowych a Dyrektorowi pozwoli zweryfikować rzetelność informacji jakie wcześniej uzyskiwał. W większości przypadków udzielenie odpowiedzi na wniosek nie zajmuje więcej niż kilkanaście minut. Oczywiście również w tym wypadku mamy świadomość, że podobnie jak przy wcześniejszych innych akcjach ta skierowana do dyrektorów szkół również nie zjedna nam sympatii części z nich ale nie o zjednywanie sympatii w tej akcji chodzi.

W zdecydowanej większości odpowiedzi wyglądają jak poniższe:

Odpowiedź na wniosek

Odpowiedź na wniosek2

W związku z zaleceniem  GIODO zachowania ostrożności w kontaktach z Fundacją Promocji Bezpieczeństwa, z którym możemy się zgodzić w poniższych fragmentach:

cyt. “Szkołom radzi, by przed udzieleniem odpowiedzi, zapoznały się z dostępnymi na stronie www.giodo.gov.pl materiałami, które mogą pomóc w przygotowaniu właściwej odpowiedzi”

cyt. “Nie negując prawa fundacji do skorzystania z ustawowego uprawnienia dostępu do informacji publicznej,”

cyt. “W związku z wyżej opisanymi działaniami oraz licznymi sygnałami ze strony szkół, GIODO rekomenduje zachowanie ostrożności w kontaktach z Fundacją Promocji Bezpieczeństwa. Radzi, by przed udzieleniem odpowiedzi przeanalizować wszystkie przepisy dotyczące zarówno dostępu do informacji publicznej, jak i ochrony danych osobowych. Ponadto zachęca do zapoznania się z poniższymi, dostępnymi na stronie www.giodo.gov.pl, materiałami, które mogą pomóc w przygotowaniu właściwej odpowiedzi.”

Informujemy, że w dniu dzisiejszym wysłaliśmy taki sam wniosek do GIODO, zobaczymy jak długo GIODO będzie analizował ww. “wszystkie przepisy”.

 2017_04_25 Wniosek do GIODO

O uzyskaniu odpowiedzi z GIODO niezwłocznie Państwa poinformujemy.

Prezentujemy odpowiedź jaką uzyskaliśmy:

2017_05_09 odpowiedź GIODO

Wnioski każdy sam może wyciągnąć.

NIK gorąco zachęca do sprawdzania szkół

Jak Prezydenci, Burmistrzowie i Wójtowie mają wykonać zalecenie Prezesa NIK i skontrolować szkoły żeby nie narazić się GIODO?

Czyżby Prezes NIK powierzał Prezydentom, Burmistrzom i Wójtom zadania GIODO?

Jeśli dyrektorzy szkół skorzystają z naszego “Pakietu dla szkół” to Prezydenci, Burmistrzowie i Wójtowie nie będą mieli problemu.
zobacz pakiet: http://www.sklep.fundacjapb.pl/produkty/3/Dokumentacja_ODO.html

Szanowni Państwo od 14 marca 2017 r. Prezes Najwyższej Izby Kontroli przesyła poniższe pismo do Prezydentów, Burmistrzów i Wójtów w którym cyt.

“… gorąco zachęcam Państwa do sprawdzenia, czy dyrektorzy podlegających Państwu szkół, w których prowadzony jest szkolny system monitoringu wypełnili obowiązki nałożone przez ustawę o ochronie danych osobowych, szczególnie w zakresie zgłoszenia do rejestracji GIODO zbioru danych osobowych z monitoringu4 oraz zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych, zgodnie z art. 36 i 40 ustawy o ochronie danych osobowych.”

Kontrole w szkołach

Kiedy w ubiegłym roku Generalny Inspektor Ochrony Danych Osobowych pozyskał informację o tym, że urzędy przeprowadzają kontrole w zakresie przetwarzania danych osobowych to wydał komunikat i poinformował, że kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych należy do zdań Generalnego Inspektora Ochrony Danych Osobowych.

Co wolno audytorom

Link do wersji pierwotnej komunikatu: www.giodo.gov.pl/plik/id_p/10603/j/pl/

Wersja aktualna (od sześciu miesięcy czekamy na zmodyfikowaną wersję): http://www.giodo.gov.pl/560/id_art/9292/j/pl/