Po raporcie NIK będą kontrole samorządów w całej Polsce

Jak wynika z raportu Izby, wieloletnie zaniedbania - nieświadomość zagrożeń, brak jednoznacznych wytycznych, używanie domen publicznych bez stosownych umów gwarantujących bezpieczeństwo sprawiają, że podstawowe elementy systemu ochrony danych osobowych w jednostkach samorządowych były nieskuteczne. Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy instytucji. Jak wskazują eksperci Stormshield i Safetica prawidłowe zabezpieczenie e-maili oraz danych przed wyciekiem jest jednym z fundamentów cyberbezpieczeństwa.

Szczegółowa analiza wykazała, że w skrzynkach e-mailowych samorządowców niewłaściwie przetwarzano różne rodzaje danych jak: dane osobowe osób fizycznych (imiona, nazwiska, adresy, numery PESEL, numery telefonów), informacje o stanie zdrowia (m.in. wyniki badań lekarskich), dane o korzystaniu ze świadczeń opieki społecznej, zatrudnieniu i wynagrodzeniach oraz o sytuacji rodzinnej (m.in. opisy diagnoz wystawionych przez poradnie psychologiczno-pedagogiczne).

Skala zjawiska i charakter informacji, które przekazywane są w nieprawidłowy sposób to tykająca bomba. Samorządy są dysponentem danych niezwykle cennych z perspektywy przestępców, przy czym to właśnie informacje są istotą ich zainteresowania. Stwierdzone przez NIK złe praktyki, są dowodem nie tyle na niedbałość, co zupełny brak świadomości zagrożenia, że system cyberodporności budujemy po to by chronić zgromadzone informacje. Ta sytuacja, trzeba to jasno powiedzieć, mocno sprzyja przestępcom. Niestety „afera mejlowa”, najwyraźniej niewiele nas nauczyła

Aleksander Kostuch,

inżynier Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT

Kluczowym zadaniem dla JST wyłaniającym się z raportu jest zrozumienie ryzyka związanego z przetwarzaniem danych osobowych i podejmowanie odpowiednich działań zaradczych.

Do największych wycieków danych dochodzi głównie ze względu na błąd ludzki lub niewiedzę pracowników. Samorządy potrzebują nie tylko odpowiednich polityk bezpieczeństwa, ale przede wszystkim systemów DLP, które będą klasyfikować pliki oraz przetwarzane dokumenty w zależności od ich poufności i zawartości, a także zabezpieczać przed sytuacjami, w których pracownik, celowo lub nieświadomie, doprowadzi do wycieku danych

Dawid Dziobek,

junior product manager Safetica w DAGMA Bezpieczeństwo IT

„NIK rozszerza postępowanie kontrolne na wszystkie samorządy w kraju i dokonuje rozpoznania w innych sferach działalności publicznej”

Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy instytucji publicznych oraz nawet kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Z jej analizy wynika, że 43 proc. placówek oświatowych, 32 proc. publicznych zakładów opieki zdrowotnej oraz 28 proc. ośrodków pomocy społecznej wykorzystuje główne adresy mailowe w domenach komercyjnych.

Niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych. „Wskazuje to na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów, w sposób odpowiedni zabezpieczających dane osobowe obywateli” ocenia NIK, która rozszerzy kontrole na wszystkie samorządy oraz sprawdzi inne sfery działalności publicznej.

Rozwiązania wzmacniające bezpieczeństwo komunikacji za pomocą poczty elektronicznej

Dobrą praktyką w tym obszarze powinno być zabezpieczenie dostępu do poczty, poprzez wykorzystanie dwuskładnikowego logowania, tzw. 2FA (two factor authorization). Warto wdrożyć połączenie tunelem szyfrowanym, z wykorzystaniem IPSEC VPN czy też SSL VPN. Użytkownicy mają do dyspozycji również oprogramowanie do szyfrowania danych wewnątrz maila i podpisu elektronicznego

Aleksander Kostuch,

inżynier Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT

Wykorzystanie infrastruktury szyfrowania z parą kluczy asynchronicznych powoduje, że nawet w sytuacji, gdyby serwer padł ofiarą cyberprzestępców, to zabezpieczona w ten sposób poczta będzie niemożliwa do odczytania. Dzieje się tak za sprawą, że mail jest zaszyfrowany publiczną częścią klucza odbiorcy (podpisanej certyfikatem), zaś do odszyfrowania używa się jej prywatnej części, którą użytkownik może przechowywać na karcie elektronicznej (takiej jak używana na co dzień karta płatnicza). Dzięki temu rozwiązaniu nikt niepowołany nie odczyta wiadomości.

Ataki, których wektor polega na podszywaniu się pod zaufanego nadawcę nie są rzadkością. W takiej sytuacji infrastruktura PKI, gdzie autoryzowany jest podpis elektroniczny z wykorzystaniem tzw. „cyfrowego notariusza”, pozwala uzyskać pewność co do tego, od kogo pochodzi wiadomość – wyjaśnia Aleksander Kostuch.

Aleksander Kostuch,

inżynier Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT

Pamiętać o odpowiedzialności

By skutecznie przeciwdziałać zagrożeniom cyfrowym kluczowe są odpowiednie rozwiązania techniczne. Samorządy powinny wzmacniać infrastrukturę IT o nowoczesne, certyfikowane i rekomendowane przez UE firewalle, rozwiązania DLP zapobiegające wyciekom danych, systemy ochrony stacji końcowych, jak EDR, stosować systemy monitorowania i informowania o incydentach typu SIEM, systemy do szyfrowania danych czy też podpisu elektronicznego wraz z infrastrukturą PKI. Jednocześnie raport NIK uzmysławia jak istotne są działania miękkie, w tym edukacja pracowników. Brak mechanizmów nadzoru i kontroli, sprawia, że można stać się łatwym celem dla przestępców, a prawidłowe zabezpieczenie mejli jest jednym z fundamentów cyberbezpieczeństwa.

Jak podkreślają specjaliści należy również pamiętać o odpowiedzialności, gdyż obowiązek prawidłowego zabezpieczenia i przetwarzania danych wrażliwych spoczywa na ich dysponencie. Zaniedbania w tym obszarze mogą słono kosztować.

Praktyka używania komercyjnych skrzynek pocztowych, bez właściwych zabezpieczeń jest proszeniem się o kłopoty. Wyciek wrażliwych danych może być dramatyczny w skutkach dla poszkodowanych, narażając jednostki samorządu i instytucje publiczne na kary wynikające z przepisów prawa a także wnioski o odszkodowania, składane przez samych poszkodowanych. Raport NIK pokazuje, że sytuacja pod względem świadomości tego problemu w instytucjach publicznych jest bardzo daleka od ideał

Aleksander Kostuch,

inżynier Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT

Źródło: W samorządach ochrona danych osobowych bez ochrony - Najwyższa Izba Kontroli (nik.gov.pl)