O tym jak ważne jest odpowiednie zabezpieczenie danych zapisanych na nośnikach elektronicznych przed nieuprawnionym dostępem osób trzecich przekonała się w ostatnich dniach jedna z najstarszych uczelni w naszym kraju – SGGW, po tym jak skradziono laptopa jednego z pracowników placówki.
KOMUNIKAT SGGW O ZDARZENIU I MOŻLIWOŚCI NARUSZENIA OCHRONY DANYCH OSOBOWYCH
Jak wynika z komunikatu opublikowanego kilka dni temu przez SGGW na dysku twardym komputera zapisane były dane osobowe kandydatów aplikujących na studia ciągu ostatnich kilku lat. Informacje te obejmują w szczególności: imię i nazwisko, imiona rodziców, płeć, adres zamieszkania, serię i numer dowodu osobistego, pesel, numer telefonu, a także informacje o ukończonych szkołach, dotychczasowym wykształceniu i ocenach zdobytych na świadectwie maturalnym, czy dyplomie wyższej uczelni. Do zdarzenia doszło w dniu 5 listopada 2019 roku, zaś sytuacja może dotyczyć nawet kilkudziesięciu tysięcy osób.
Oczywiście nie wiadomo, czy złodzieje uruchamiali komputer i mieli możliwość zapoznania się z informacjami zawartymi na nośniku (możliwe, że ukradli go wyłącznie w celu możliwie szybkiego spieniężenia), niemniej jednak istnieje taka możliwość. W związku z powyższym jednostka wystosowała do kandydatów komunikaty z informacją o zdarzeniu, podjętych `przez placówkę działaniach, a także uprawnieniach przysługujących osobom, których dane dotyczą. SGGW zrealizowała również ciążące na niej obowiązki ustawowe i zawiadomiła organy ścigania, a także organ stojący na straży bezpieczeństwa danych osobowych, tj. UODO.
CZŁOWIEK NAJSŁABSZYM OGNIWEM SYSTEMU BEZPIECZEŃSTWA
Zdarzenie ujawniło słabość systemów i procedur bezpieczeństwa informacji, w tym danych osobowych, w warszawskiej uczelni, choć jak twierdzą jej władze pracownik nie był uprawniony do przechowywania i przetwarzania tychże informacji na prywatnym komputerze. Jednocześnie uczelnia zapewnia, iż przetwarzanie danych osobowych, których jest administratorem „może odbywać się wyłącznie na nośnikach służbowych zapewniających właściwą ochronę poufności i bezpieczeństwa danych osobowych zgodnie z obowiązującymi w SGGW wewnętrznymi procedurami”. Ponadto, uczelnia ma w planach wdrożenie odpowiednich rozwiązań informatycznych mających na celu wzmocnienie ochrony danych osobowych, w szczególności ograniczenie możliwości zapisywania danych na nośnikach zewnętrznych.
Sytuacja, w której znalazła się SGGW jest nieco zbliżona do przypadku sędziego łódzkiego Sądu Okręgowego, który zgubił pendrive zawierającego informacje o sprawach prowadzonych przez niego na przestrzeni kilku lat – niedawno pisaliśmy o tym tutaj TUTAJ.
Trudno zakładać, iż uczelnia nie miała wdrożonych polityk bezpieczeństwa danych, w tym również danych osobowych zapisywanych na nośnikach elektronicznych. Jednakże jak zawsze w takich przypadkach najsłabszym ogniwem systemu okazuje się człowiek – żaden system nie będzie działał niezawodnie, jeśli ludzie nie będą stosowali się do obowiązujących procedur i będą lekceważyli obowiązujące w tym zakresie normy. Zresztą często podobnie jest w przypadku awarii systemów backupowych, albo ich braku – w obliczu awarii po prostu okazuje się, że użytkownicy nie wykonywali kopii, mimo iż mieli taki obowiązek, bądź osoby odpowiedzialne za regularną kontrolę prawidłowości działania systemów nie wywiązywały się ze swych obowiązków w tym zakresie.
JAK UCHRONIĆ SIĘ PRZED KRADZIEŻĄ DANYCH CYFROWYCH?
Choć trudno uchronić się przed zawodowym złodziejem, to można stosować środki ostrożności, które zminimalizują skutki ewentualnej kradzieży, bądź zagubienia sprzętu na którym przechowywane są informacje elektroniczne.
Przede wszystkim należy stosować się do procedur bezpieczeństwa obowiązujących w organizacjach, w których przetwarzane są dane cyfrowe, w tym dane osobowe. Choć oczywiście dotkliwa będzie również utrata prywatnych danych przez przeciętnego użytkownika smartfona, czy laptopa wykorzystywanego wyłącznie do celów prywatnych.
Poza tym warto szyfrować dane zapisywane na dyskach, co sprawi, że nawet zagubienie, czy kradzież nośnika uniemożliwi dostęp do informacji na nim zapisanych bez odpowiednich narzędzi autoryzacyjnych. I choć rozwiązanie jest niezwykle proste do zastosowania i skuteczne w ochronie informacji, to tak naprawdę niewiele osób zadaje sobie trud by wcielić je w życie.
Dziś kiedy znaczna część życia przeniosła się do wymiaru wirtualnego znaczna część danych i informacji wytwarzana jest i przechowywana wyłącznie w wersji elektronicznej. Dlatego tak ważna jest odpowiednia ochrona nośników cyfrowych przed nieuprawnionym dostępem do nich osób nieuprawnionych.