22 517 88 66
Praca zdalna podczas pandemii a bezpieczeństwo danych osobowych
W ostatnim czasie mieliśmy do czynienia z inną rzeczywistością. Dziś, kiedy już potrafimy w niej funkcjonować możemy zastanowić się nad tym jak ulepszyć naszą pracę tak, aby dane osobowe, które przetwarzamy były odpowiednio zabezpieczone.
Praca zdalna była dla nas ogromnym wyzwaniem. Jednak nie wszystkie podmioty poradziły sobie z nią bez uszczerbku dla ochrony danych osobowych. Czy pandemia miała wpływ na wycieki danych, które zdarzyły się na przełomie minionych kilku miesięcy? Poniżej przykłady wycieków danych:
1. SWPS Uniwersytet Humanistycznospołeczny
W kwietniu do Prezesa Urzędu Ochrony Danych Osobowych wpłynęło zawiadomienie o naruszeniu ochrony danych osobowych. Naruszenie polegało na uzyskaniu dostępu do danych osobowych podczas ataku na dwie uczelnie SWPS Uniwersytet Humanistycznospołeczny (SWPS) oraz szkołę wyższą Collegium Da Vinci w Poznaniu. Obie uczelnie wykorzystują w działalności budynek należący do Collegium Da Vinci. Szkoła ta jest jednocześnie administratorem sieci komputerowej w budynku. Jak zgłoszono, do zdarzenia doszło w wyniku uzyskania loginu i hasła administratora przez atakującego. Według dostępnych administratorowi na dzień zgłoszenia naruszenia informacji incydent polegał na ataku z wykorzystaniem oprogramowania typu ransomware. SWPS poinformowało swoich studentów w wiadomości mailowej (fragment):
„Atak spowodował zaszyfrowanie wybranych serwerów w celu sparaliżowania działalności uczelni i uzyskaniu okupu w zamian za odblokowanie serwerów. Niezwłocznie rozpoczęliśmy naprawę systemów IT. Systemy działające w chmurze, takie jak Google czy Sona nie zostały dotknięte awarią. Niestety z uwagi na fakt, że zaszyfrowane zostały także serwery backupowe, istnieje prawdopodobieństwo, że część danych na platformie Learn Online i na dyskach sieciowych została utracona.”
W komentarzu do sprawy SWPS wskazało, że w ataku chodziło o okup a nie stricte kradzież danych osobowych, jednak z uwagi na to że w niniejszej sprawie utracono integralność danych osobowych SWPS zgłosiło naruszenie danych osobowych.
☎️ Zapytaj o współpracę w zakresie kompleksowego zapewnienia bezpieczeństwa; audytu, szkolenia i nadzoru, skontaktuj się z Michałem Sekundą Dyrektorem handlowym SEKA S.A. tel. 22 517 88 66 e-mail: michal.sekunda@seka.pl
2. Panek S.A.
Do Prezesa Urzędu Ochrony Danych Osobowych w kwietniu zgłoszono naruszenie polegające
na uruchamianiu nowej witryny www gdzie zostały skopiowane pliki starej witryny do nowego folderu, który powinien być ukryty, a został udostępniony. Zostało to zrobione przez pracownika firmy informatycznej bez wcześniejszej konsultacji i weryfikacji zawartości plików starej witryny. Pracownik firmy informatycznej popełnił błąd i nie ukrył plików. Publicznie dostępne były kopie bezpieczeństwa plików i baz danych. Naruszenie dotyczyło PANEK rent a car a nie PANEK CarSharing.
Dane, który wyciekły:
- Dane kont ok. 20 tysięcy klientów PANEK rent a car, zawierające takie pola jak imię, nazwisko, adres, numer telefonu, numer PESEL, adres e-mail, hasz hasła. Ostatnie konto założone zostało w grudniu 2019.
- Dane tysięcy wypożyczeń pojazdów PANEK rent a car z okresu 2010 – 2014, zawierające takie pola jak imię, nazwisko, adres, numer telefonu, PESEL, adres e-mail klienta oraz miejsce i datę wypożyczenia oraz zwrócenia pojazdu, cenę, opis pojazdu, a także adres IP klienta.
- Dane ponad miliona wypożyczeń PANEK rent a car z lat 2014 – 2019, ale w ograniczonym zakresie (daty, miasta).
- Dane firmowe takie jak konta pracowników, punkty obsługi, pojazdy, treść stron itp.
- Pliki serwera WWW, zawierające kod strony i dane konfiguracyjne (w tym hasła do baz danych, klucze certyfikatów, hasła do zewnętrznych systemów).
Działania, jakie zostały podjęte przez firmę:
- Zablokowanie dostępu do folderów i plików.
- Złożenie wstępnego zawiadomienia do Prezesa UODO.
- Wynajęcie specjalistycznego podmiotu, który zweryfikuje przebieg incydentu i bezpieczeństwo tego.
3. Politechnika Warszawska
W maju Politechnika Warszawska zawiadomiła Prezesa Urzędu Danych Osobowych o wycieku danych. Wskazała, iż doszło do pobrania danych osobowych w wyniku nieuprawnionego dostępu do informacji poprzez złamanie zabezpieczeń jednej z platform edukacyjnych. Naruszenie zostało zgłoszone również innym podmiotom, takim jak policja, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego: CSIRT GOV, CSIRT MON oraz CSIRT NASK.
Co więcej Politechnika w ciągu ostatniego roku miała minimum 3 wycieki danych – o tylu wiemy. Naruszenia dotyczyły systemu do zdalnego nauczania „OKNO” jak i wycieku pliku SQL.
Plik SQL o rozmiarze 2,8 GB, zawierającego dane kandydatów na studia, pracowników i tysięcy studentów z kilku ostatnich lat. W pliku znajdowały się nazwiska, dane kontaktowe, numery ewidencyjne, hasła, a także dane z dokumentów, które uczelnie na mocy prawa mogą zbierać.
Niestety w lipcu doszło do ponownego wycieku. Tym razem dane wyciekły z Wydziału Architektury i dotyczyły systemu Rekrutacja, czyli aplikacji na studia. Ujawnione dane osobowe to: PESEL, Imię i nazwisko. Politechnika poinformowała podmioty danych o wycieku i zgłosiła do Prezesa Urzędu Ochrony Danych.
Podsumowanie
Powyższe przykłady to tylko nieliczne naruszenia, które zdarzyły się w ostatnim „pandemicznym” czasie.
Jakie więc działania powinni podjąć Administratorzy by zminimalizować ryzyko?
- Zabezpiecz systemy IT wykorzystywane do przetwarzania danych osobowych;
- Stosuj cykliczne testy bezpieczeństwa;
- Jeżeli możesz zainwestuj w audyt IT i ochrony danych osobowych,
- Zapewni pracownikom odpowiednie szkolenia z zakresu bezpieczeństwa informacji i ochrony danych osobowych.
Kontakt: tel. 22 517 88 04 | kom. 506 279 187 | e-mail: aleksandra.kielbratowska@seka.pl
Zobacz też:
Zapraszamy do odwiedzenia: Facebook | LinkedIn | YouTube | Twitter | Google | Magazyn SEKA
