Cyberbezpieczeństwo i ochrona danych: wyzwania i rozwiązania w świetle kontroli NIK i nowego KRI

Cyberbezpieczeństwo i ochrona danych: wyzwania i rozwiązania w świetle kontroli NIK i nowego KRI

autor

W dobie coraz szybszego postępu cyfryzacji, informacje stanowią nie tylko kluczowy zasób, ale również fundament funkcjonowania wielu instytucji publicznych. W miarę jak nasza zależność od danych rośnie, tak samo rosną również zagrożenia związane z ich bezpieczeństwem. W odpowiedzi na te wyzwania, coraz częściej stawiamy przed sobą pytanie, jak skutecznie chronić nasze dane oraz zapewnić bezpieczeństwo informacji.

Nowe regulacje, takie jak Krajowe Ramy Interoperacyjności (KRI) z maja 2024 roku, podkreślają pilną potrzebę wdrożenia skutecznych mechanizmów ochrony danych i cyberbezpieczeństwa. Te zmiany prawne wymagają nie tylko dostosowania się do nowych standardów, ale również proaktywnego podejścia do identyfikacji i eliminacji potencjalnych zagrożeń.

W kontekście rosnących zagrożeń oraz zmieniających się przepisów, ochrona danych i cyberbezpieczeństwo stają się nieodłącznym priorytetem dla każdego podmiotu publicznego. Dlatego też, coraz częściej zwracamy się ku ekspertom, którzy mogą wesprzeć nas w wdrożeniu skutecznych strategii ochrony danych oraz zarządzaniu ryzykiem związanym z bezpieczeństwem informacji.

1.Kluczowe aspekty KRI w 2024 r.

Najnowsze zmiany w przepisach KRI z 21 maja 2024 r. wprowadzają istotne modyfikacje, które mają na celu zwiększenie poziomu bezpieczeństwa informacji w jednostkach administracji publicznej. Usunięcie normy „PN-ISO/IEC 24762” oraz zapisów dotyczących dostępności dla osób niepełnosprawnych, które są już uregulowane przez ustawę o dostępności cyfrowej, to tylko część zmian. Nowe przepisy kładą nacisk na:

  • Wdrożenie i eksploatację systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z normą PN-ISO/IEC 27001, co zapewnia poufność, dostępność i integralność informacji.
  • Zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych poprzez regularne audyty bezpieczeństwa sieci oraz wdrożenie Planu Ciągłości Działania dla kluczowych systemów informacyjnych.
  • Zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, co jest zgodne z wymogami ustawy o krajowym systemie cyberbezpieczeństwa.
  • Przeprowadzanie okresowych audytów wewnętrznych w zakresie bezpieczeństwa informacji, co najmniej raz na rok.

2. Kontrola NIK a potrzeba zwiększenia bezpieczeństwa

NIK podczas swojej kontroli stwierdził wieloletnie zaniedbania w ochronie danych osobowych w jednostkach samorządowych. Problemy te wynikają głównie z:

  • Braku świadomości zagrożeń. Wiele jednostek nie jest świadomych potencjalnych zagrożeń związanych z nieodpowiednim przetwarzaniem danych osobowych. Często nie dostrzega się konsekwencji prawnych i finansowych, jakie mogą wynikać z wycieku danych.
  • Brak jednoznacznych i zrozumiałych wytycznych dotyczących ochrony danych prowadzi do niejednolitych praktyk i luk w zabezpieczeniach.
  • Korzystania z publicznych domen bez odpowiednich umów powierzenia przetwarzania danych. Używanie adresów e-mail z komercyjnych domen do celów służbowych bez zawarcia umów powierzenia przetwarzania danych osobowych, co jest niezgodne z przepisami RODO

3. Skala Problemów

Kontrola objęła 12 jednostek w województwie podlaskim, gdzie wykazano:

  • Korzystanie z adresów mailowych w domenach komercyjnych. Bez wymaganych umów RODO, co zwiększa ryzyko nieautoryzowanego dostępu do danych.
  • Nieprawidłowe przetwarzanie danych osobowych. W tym przetwarzanie imion, nazwisk, numerów PESEL, danych zdrowotnych, danych o korzystaniu ze świadczeń opieki społecznej, danych o zatrudnieniu i wynagrodzeniu oraz danych o sytuacji rodzinnej.
  • Usunięcie dokumentów z Biuletynów Informacji Publicznej. Usunięto ponad 1,3 tys. dokumentów, w tym oświadczenia majątkowe, których okres publikacji był przekroczony.

4. Zalecenia NIK

NIK zaleca pilne wprowadzenie zmian w zakresie:

  • Szkoleń pracowników. Regularne szkolenia z ochrony danych osobowych są kluczowe dla budowania świadomości i kompetencji wśród pracowników. Szkolenia te powinny obejmować najnowsze przepisy, dobre praktyki oraz procedury reagowania na incydenty.
  • Procedur ochrony danych. Ustalenie i przestrzeganie procedur przetwarzania danych. Ważne jest, aby każda jednostka miała jasne, zdefiniowane procesy, które są zgodne z przepisami RODO.
  • Zwiększenie świadomości pracowników na temat zagrożeń związanych z nieodpowiednim przetwarzaniem danych. Kampanie informacyjne i regularne aktualizacje mogą pomóc w utrzymaniu wysokiego poziomu wiedzy.
  • Reakcji na incydenty. Szybkie reagowanie na naruszenia. Wdrożenie systemów monitorowania i raportowania incydentów jest niezbędne do minimalizowania skutków wycieków danych.
  • Zabezpieczenia dokumentów. Ochrona dokumentów przed nieuprawnionym dostępem, w tym stosowanie odpowiednich środków technicznych i organizacyjnych.

5. Działania Naprawcze

Jednostki rozpoczęły działania naprawcze, które objęły:

  • Zmiany adresów mailowych w 45 jednostkach samorządowych. Zrezygnowano z używania blisko 250 adresów mailowych z domen komercyjnych bez stosownych umów. Działanie to dotyczyło trzech urzędów, ośmiu instytucji kultury, 10 ośrodków pomocy społecznej oraz 15 placówek oświatowych.
  • Usunięcie nieprawidłowo przetwarzanych danych. W skrzynkach e-mailowych znajdowały się dane osobowe bez odpowiednich zabezpieczeń. Wprowadzono zmiany, które mają zapobiec takim praktykom w przyszłości.
  • Zmiany zasad transmitowania i publikowania posiedzeń. W siedmiu samorządach zmieniono zasady, aby zapewnić transmisje na bezpiecznych platformach.

6. Przyszłe Kroki

NIK planuje rozszerzenie kontroli na wszystkie jednostki samorządowe w kraju. Celem jest eliminacja nieprawidłowości i zagwarantowanie pozytywnych zmian w całym sektorze samorządowym. Przykłady dobrych praktyk można czerpać z zagranicy:

  • Austria: 

Wszystkie jednostki samorządowe korzystają z domeny gv.at.

  • Czechy i Portugalia:

Obowiązek korzystania z własnych wykupionych domen.

  • Malta:

Instytucje samorządowe korzystają z domen rządowych.

7. Wspólne budowanie systemu bezpieczeństwa informacji i ochrony danych

Skuteczne strategie w zakresie ochrony danych i cyberbezpieczeństwa, szczególnie w kontekście niedawnych incydentów naruszeń bezpieczeństwa informacji w jednostkach samorządowych są kluczowe dla podmiotów publicznych. Dane przedstawione przez NIK jasno wskazują na potrzebę wdrożenia kompleksowych rozwiązań, które zapewnią integralność oraz poufność danych osobowych.

Nasi Inspektorzy Ochrony Danych identyfikują potencjalne zagrożenia i proponują indywidualne strategie ochrony danych, dopasowane do konkretnych potrzeb.

Audyty bezpieczeństwa informacji stanowią kluczowy element systemu. Nasze zespoły ekspertów przeprowadzą szczegółowe analizy infrastruktury IT klienta, identyfikując ewentualne słabe punkty i rekomendując skuteczne środki zaradcze.

Wdrożenie systemów bezpieczeństwa informacji oraz planów ciągłości działania dla kluczowych systemów informatycznych są kolejnymi obszarami, które mogą wesprzeć instytucje publiczne w utrzymaniu stabilności i niezawodności swoich systemów informatycznych.

Na szkoleniach nie tylko przekazujemy wiedzę na temat najnowszych przepisów i standardów w zakresie ochrony danych, ale również skupiają się na budowaniu świadomości pracowników oraz rozwijaniu ich umiejętności w zakresie bezpieczeństwa informacji.

Wspólnie możemy wesprzeć instytucje publiczne w budowaniu solidnych fundamentów bezpieczeństwa informacji, zapewniając im nie tylko zgodność z obowiązującymi przepisami, ale także spokój i pewność w zakresie ochrony ich danych.