E-legitymacje. Wykradziono dane kilkuset uczniów

„Z pisma skierowanego do dyrektorów wynika, że skopiowana została baza legitymacji szkolnych” – czytamy w artykule Radia Gdańsk z 23 stycznia br.

Incydent miał miejsce w spółce Innobaltica, odpowiedzialnej m.in. za system FALA (wspólny bilet komunikacyjny na Pomorzu). Firma jednoznacznie podkreśla, że zdarzenie dotyczy systemu odrębnego od głównej bazy danych pasażerów.

Jak do tego doszło?

Zgodnie z informacjami Radia Gdańsk, za incydent ma odpowiadać pracownik, który „skopiował dane na prywatny adres IP”, co miało wykraczać poza udzielone upoważnienie.

„Zarząd spółki InnoBaltica zawiadomił o fakcie bezprawnego pobrania informacji Prokuraturę Rejonową w Gdańsku” – zapewnia firma, podkreślając, że niezwłocznie powiadomiła administratorów danych (według stanowiska spółki, Innobaltica była podmiotem przetwarzającym).

„(…) spółka prowadzi też działania w innym obszarze, jakim są różnego rodzaju legitymacje - szkolne, pracownicze, które służą różnym podmiotom i uprawniają ich do różnych rzeczy. Zbieraliśmy dane do produkcji tych legitymacji i to te dane zostały skopiowane na prywatny adres IP” – kwituje Radomir Matczak, prezes spółki Innobaltica na łamach portalu trójmiasto.pl.

(...) dane dotyczą uczniów ośmiu placówek edukacyjnych, które wcześniej same przekazały dane spółce, aby przygotowała dla nich e-legitymacje.
Radomir Matczak dla Radia Gdańsk

Nie pierwszy „sabotaż pracownika”

Niedawno informowaliśmy o nietypowym zdarzeniu w firmie zajmującej się m.in. uprawnieniami elektrycznymi.

„Jeden z naszych pracowników szczebla kierowniczego, mający dość specyficzne rozumienie pojęcia »przedsiębiorczość« (o innych tradycyjnych wartościach – jak lojalność – nie wspominając) postanowił skrócić sobie drogę do własnego biznesu i skopiował nasza bazę klientów” – przekazano wówczas w zawiadomieniu.

Do podobnego zdarzenia doszło również w Generalnej Dyrekcji Ochrony Środowiska w kwietniu 2023 roku.

„Nasz pracownik, przekraczając swoje uprawnienia i wykorzystując dostęp do danych osobowych przetwarzanych za pomocą 8 skrzynek poczty elektronicznej, skopiował je na swoją prywatną chmurę” – stwierdzono w komunikacie GDOŚ.

W grudniu 2024 roku Radio ZET poinformowało o „zgrywaniu wrażliwych danych na zewnętrzny szyfrowany twardy dysk” przez pracownika IT na Lotnisku Chopina w Warszawie.

W przypadku opisanym przez Radio ZET, nasze służby wewnętrzne zadziałały zgodnie z rozbudowanymi procedurami cyberbezpieczeństwa – wykryły i udaremniły nieautoryzowane działania związane z kopiowaniem danych na zewnętrzny nośnik przez jednego z pracowników działu IT. Pracownik został natychmiast zwolniony z pracy
Rzeczniczka PPL i Lotniska Chopina Anna Dermont

Co to oznacza?

Prezes Innobaltici na łamach Radia Gdańsk zapewnił, że administratorzy danych zostali poinformowani w ciągu 4 godzin od wystąpienia zdarzenia. Jest do dobry wyznacznik ku konieczności niezwłocznego informowania o incydentach.

„Kopiowania informacji dokonał administrator, w miejscu pracy, w trakcie trwania umowy o pracę, korzystając z przysługujących mu uprawnień” – podkreślono na profilu „System Fala” na Facebooku. Wiadomo również, że pracownik został zwolniony.

Zdarzenie doskonale pokazuje konieczność kontroli dostępu oraz rozliczalności. W przypadku niedostatecznego monitorowania zasobów w sieci, stwierdzenie takiego naruszenia ochrony danych mogłoby być znacznie utrudnione lub praktycznie niemożliwe.

Zalecenia

Incydent obejmuje osiem szkół. Według nieoficjalnych ustaleń Radia Gdańsk, naruszenie ochrony danych osobowych dotyczy kilkuset osób. Prezes Innobaltici cytowany przez trojmiasto.pl przekazał, że zdarzenie obejmuje „mniej niż promil z 330 tys. użytkowników” (330).

Uczniom (lub ich rodzicom), którzy mają potwierdzone informacje o przekazaniu danych z legitymacji do Systemu FALA, zalecamy rozważenie kontaktu z szkolnym inspektorem ochrony danych osobowych.

Warto również pamiętać o zastrzeżeniu swojego numeru PESEL – co warto zrobić niezależnie od ew. naruszenia poufności naszych danych osobowych.