Urzędnik wyniósł dane mieszkańców Wronek. Jak instytucje mogą ochronić się przed wyciekiem wrażliwych informacji?
Burmistrz wielkopolskich Wronek poinformował, że dane zostały skopiowane z komputera służbowego jednego z pracowników urzędu. Wśród nich są m.in. imiona i nazwiska, adresy zamieszkania czy numery PESEL. To kolejny w ostatnich miesiącach wyciek danych z instytucji samorządowej, po tym jak w marcu wypłynęły dane pacjentów z gliwickiego szpitala.
W komunikacie władz miasta czytamy, że do nieuprawnionego skopiowania danych na pendrive przez jednego z pracowników, miało dojść w dniach 9-12 maja. Pendrive co prawda wrócił do Urzędu Miasta i Gminy Wronki, ale nie wiadomo co stało się z danymi mieszkańców. Ekspert ds. bezpieczeństwa w Safetica, radzi jakie kroki powinny podejmować jednostki administracji samorządowej i państwowej, aby unikać takich sytuacji.
Jakie dane utracono?
Wśród dokumentów, które wyciekły poza urząd znajdują si.in.in. sprawy związane mieszkańcami wspólnot czy z mieszkaniami komunalnymi i socjalnymi tj. rozliczenia wody, czynszów, energii, pisma do mieszkańców, aneksy do umów czy zestawienia lokali mieszkaniowych. Władze Wronek w oświadczeniu podają, że „dane osobowe zawarte w wyżej wymienionych dokumentach ograniczają się wyłącznie do imion, nazwisk i adresów zamieszkania. Sporadycznie obejmują również numery kont bankowych oraz numery PESEL”. Gdyby jednak takie informacje znalazły się w rękach przestępców, mieszkańcy mogliby być narażeni na poważne kłopoty.
– Sytuacja, która miała miejsce, jest sytuacją ciekawą przede wszystkim ze względu na fakt, że wyciek został (zgodnie z prawem) ujawniony. Warto natomiast powiedzieć, że nigdy nie dowiemy się ile tego typu wycieków miało miejsce. Jeśli kopiowanie wrażliwych danych na pendrive odbywało się częściej, co jest wysoce prawdopodobne, to możemy się tylko domyślać co stało się z danymi mieszkańców. Gdyby wspomniany pendrive nie został znaleziony – instytucja prawdopodobnie nie dowiedziałaby się o tym, że w ogóle miała incydent bezpieczeństwa. I to właśnie na ten element warto zwrócić szczególną uwagę w kontekście ochrony danych – mówi Mateusz Piątek, product manager Safetica, która na co dzień chroni firmy oraz instytucje przed wyciekiem danych.
Dane – skarb XXI wieku
Właściwe zabezpieczenie dokumentów i danych firm oraz instytucji jest kluczowym zadaniem w zakresie bezpieczeństwa. Rozwój cyfrowych narzędzi oraz sposobów na utratę wrażliwych danych wciąż ewoluuje i jak twierdzą eksperci, szkolenia dla pracowników to tylko niewielki krok w zakresie ich ochrony.
– Jeśli w firmie, urzędzie lub szpitalu nie ma odpowiednich zabezpieczeń, każdy pracownik może być źródłem wycieku informacji. Przykład ze skopiowaniem na pendrive danych mieszkańców Wronek tylko to potwierdza. Nowoczesne rozwiązania uniemożliwiają jego podpięcie do komputera i utratę danych poprzez USB. Wspomniany pendrive to tylko jeden z ewentualnych kanałów wycieku – równie dobrze dane mogły wypłynąć za pośrednictwem emaila, strony internetowej czy chmury. Jeśli jednak w instytucji działa oprogramowanie zabezpieczające, wszystkie pliki skanowane są pod kątem zawartości danych osobowych, a program ogranicza możliwość ich kopiowania – dodaje Mateusz Piątek, ekspert Safetica.
Co zrobić by dane nie wyciekały na zewnątrz?
Jak w każdej sytuacji nie ma jednego, w pełni działającego zabezpieczenia przed kradzieżą. Firmy i instytucje mogą jednak zmaksymalizować swoje szanse i wdrożyć odpowiednie środki, które skutecznie utrudnią utratę wrażliwych informacji. Pierwszym i podstawowym krokiem będą regularne szkolenia pracowników i jasne określenie procedur postępowania z danymi osobowymi. Dodatkowo od strony informatycznej warto zadbać, aby dane były zabezpieczone nie tylko od strony proceduralnej – ale także od strony „systemowej” np. poprzez wdrożenie dedykowanych rozwiązań klasy DLP.ssW przypadku danych mieszkańców Wronek urząd miasta podaje, że nie ma informacji aby zostały one upublicznione czy wykorzystane przez osoby trzecie.
– Potraktujmy to jednak jako kolejne ostrzeżenie, że szkolenia i procedury nie zawsze wystarczą w zabezpieczeniu danych osobowych – podsumowuje Mateusz Piątek z Safetica.
