Poważne naruszenie danych w katowickich szkołach. Ślad prowadzi do byłych pracowników jednej z instytucji

Cyberbezpieczeństwo to nie tylko rozwiązania techniczne. Nadzór nad dostępem do informacji to ważny aspekt działania każdej organizacji, szczególnie tych, które przetwarzają dane osobowe. Warto przytoczyć przypadek singapurskiego NCS z 2023 roku – wówczas były pracownik firmy usunął 180 wirtualnych serwerów, co kosztowało przedsiębiorstwo prawie milion dolarów singapurskich (ok. 3,4 mln złotych). Channel News Asia poinformowało, że Kandula Nagaraju został skazany na dwa lata i osiem miesięcy więzienia.

Naruszenie w CUW Katowice

Udało nam się znaleźć dziewięć komunikatów katowickich szkół dotyczących naruszenia bezpieczeństwa danych osobowych. Incydent obejmuje: ZSP nr 1, Zespół Szkół Handlowych im. Bolesława Prusa, II LO im. Marii Konopnickiej, ZSTiO nr 3 im. Edwarda Abramowskiego, X LO im. I.J. Paderewskiego, Zespół Szkół Gastromicznych, VIII LO im. Marii Skłodowskiej-Curie, SP nr 11 im. Tadeusza Kościuszki i Zespół Szkół Zawodowych im. Romualda Mielczarskiego.

W zawiadomieniach możemy przeczytać, że Centrum Usług Wspólnych w Katowicach poinformowało o nieuprawnionym dostępie do ZUS PUE danej placówki. Co ważne, szkoły nie są winne zdarzeniu, ponieważ do naruszenia doszło wskutek dostępu byłych pracowników CUW do informacji, do których nie byli uprawnieni. CUW odpowiadało m.in. za obsługę finansowo-księgową, rachunkową, sprawozdawczość, obsługę administracyjną, organizacyjno-prawną i techniczną wspomnianych dziewięciu placówek.

Zakres naruszenia

O skali incydentu najlepiej świadczy jedno z oświadczeń liceum:

„Podmiot przetwarzający jakim jest Centrum Usług Wspólnych w Katowicach, obsługujący II Liceum Ogólnokształcące w Katowicach w zakresie m.in. obsługi płacowej, potwierdził nieuprawniony dostęp swoich byłych pracowników do ZUS PUE naszej jednostki. Pracownicy posiadali dostęp do Pani/Pana danych osobowych w postaci: imię i nazwisko, adres zamieszkania, numer identyfikacyjny PESEL, data urodzenia, seria i numer dowodu osobistego, ZLA. W przypadku gdy ubezpieczała Pani/Pan swoje dziecko jako członka rodziny, dostęp do jego danych w postaci: imienia i nazwiska, numer identyfikacyjny PESEL, data urodzenia, seria i numer dowodu osobistego . Jeżeli ubezpieczał Pan/Pani swoje dziecko jako ucznia szkoły, dane w postaci: imienia i nazwiska, adres zamieszkania numer identyfikacyjny PESEL, data urodzenia, seria i numer dowodu osobistego.”

Podobne oświadczenie zostało wystosowane przez każdą wymienioną placówkę. To pokazuje, że skala incydentu jest poważna. Co ważne, szkoły zawarły następującą informację w swoich zawiadomieniach:

„(szkoła – przyp. red.) niezwłocznie dokona weryfikacji uprawnień pracowników administratora i pracowników podmiotu przetwarzającego we wszystkich wykorzystywanych przez siebie aplikacjach i systemach, w których przetwarzane są dane osobowe. Naruszenie ochrony danych zgłosiliśmy również Prezesowi Urzędu Ochrony Danych Osobowych”.

Podsumowanie

Powyższa sytuacja dobrze pokazuje, że kontrola kont byłych pracowników jest konieczna. Niektóre placówki stwierdziły wprost, że „naruszenie było wynikiem braku kontroli nad uprawnieniami do systemów informatycznych”.

Warto zastrzec swój numer PESEL, nawet jeśli nasze dane nie uległy naruszeniu ochrony. Szczegółowe zalecenia dla osób, których dotyczy zdarzenie, dostępne są na witrynach placówek. Wymieniono wśród nich m.in. wykupienie alertów BIK oraz wymianę dowodów osobistych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].