Wyniki raportu są porażające. 70 proc. skontrolowanych urzędów nie radziło sobie z zapewnieniem bezpieczeństwa przetwarzania informacji. 60 proc. z nich nie wdrożyło rozwiązań systemowych.
Aż 75 proc. urzędów nie miało pełnych informacji o posiadanych zasobach informatycznych służących do przetwarzania danych, a w ponad 80 proc. samorządów były nieprawidłowości w zarządzaniu uprawnieniami użytkowników w systemach informatycznych.
Zbadano 23 urzędy z Mazowieckiego, Podlasia, Małopolski, Łódzkiego i Dolnośląskiego. Kontrolę przeprowadzono w 14 urzędach gmin i miast oraz w 9 starostwach powiatowych.
Samorządy padały ostatnio ofiarą ataków hakerów. W latach 2013-14 hakerzy okradli pięć gmin, w tym Jaworzno na prawie milion złotych. W 2014 wyciekły dane dotyczące dzieci z przemyskiego urzędu miasta. W 2017 z łódzkiego ratusza wyciekły dane dot. deklaracji śmieciowych, a rok później wyciekła część informacji dotyczących posiadaczy Karty Krakowskiej.
Pomimo regularnych kontroli, sytuacja nie ulega poprawie, a dane wrażliwe traktowane są po macoszemu i w każdej chwili narażone są na ujawnienie. Urzędnicy mogą posiadać dostęp nawet do takich informacji jak dochody czy stan zdrowia.
Czy w razie wycieku danych z urzędu można dochodzić roszczeń na drodze sądowej?
Roszczenia prawne za wycieki danych stają się coraz bardziej realne - kilka miesięcy temu do sądu w Kalifornii wpłynął pozew, w którym 2 użytkowników Google+ skarży jego właściciela. Choć to zagraniczny przypadek, dotyczy mniejszej ilości danych niż przetwarzają polskie urzędy . Każdy, nawet najmniejszy wyciek, może mieć poważne konsekwencje.
Szereg zaniedbań
- Nie można wykluczyć, że wyciek danych osobowych spowoduje szkodę majątkową lub niemajątkową wśród interesariuszy. Są to okoliczności umożliwiające danej osobie lub grupie osób kierowanie roszczeń odszkodowawczych zarówno do administratora, jak również podmiotu przetwarzającego dane osobowe. Koszty takich procesów nie różnią się od innych sporów odszkodowawczych.
Urzędy, z których wyciekły dane muszą liczyć z koniecznością wypłaty odszkodowań, jak również sankcjami administracyjnymi. Nie możemy zapominać o karach pieniężnych RODO, które mają mieć charakter odstraszający - podkreśla radca prawny Tomasz Bojkowski.
- Warto pamiętać, że RODO opiera się na zasadzie adekwatności, co oznacza, że pojedynczy wyciek, o charakterze okazjonalnym i indywidualnym, przy zachowaniu odpowiedniego poziomu staranności administratora nie może być zrównany z wyciekiem będącym następstwem systemowych zaniedbań w obszarze ochrony - podsumowuje radca prawny.
Oznacza to, że jeśli dojdzie do wycieku danych w wyniku zaniedbań, możliwe jest wstąpienie na drogę sądową.
Najpoważniejszy błąd
Świadomość ryzyk związanych z zarządzaniem danymi osobowymi pozwala zapobiegać ich występowaniu w przyszłości.
- Interesariusze, zwłaszcza młodzi, należą od grona wymagających użytkowników, którzy oczekują od urzędów nowoczesnych rozwiązań dostosowanych do ich potrzeb (skracających np. kolejki w placówkach). Jednocześnie są coraz bardziej świadomi wartości swoich danych osobowych - ocenia Grzegorz Kaliński, prezes zarządu firmy Kalasoft.
- Dylematem każdego producenta oprogramowania pozostaje to, jak często przekazywać użytkownikom nowe aktualizacje systemu. Czy udostępniać częściej mniej funkcjonalności, czy przeciągać wdrożenia w czasie, dostarczając bardziej rozbudowane rozwiązania (uwzględniające większą liczbę use case'ów bezpieczeństwa)? Do danej wersji systemu można dodać np. dodatkowe szyfrowanie czy poziom autoryzacji. Pomimo dostępnych środków, nie istnieje system dla urzędu, który byłby w pełni odporny na wszystkie zagrożenia. Z doświadczenia wiem, że najpoważniejszym problemem jest zwykle błąd ludzki. Newralgiczne dane dostępowe powinny być właściwie przechowywane zarówno przez placówki, jak i użytkowników. Każde, nawet najmniejsze naruszenie zasad i procedur bezpieczeństwa może prowadzić do sytuacji kryzysowych - podsumowuje Grzegorz Kaliński.
KALASOFT jest liderem na rynku zintegrowanych systemów klasy ERP wspomagających zarządzanie uczelniami wyższymi w Polsce.
