Prywatny e-mail przyczyną naruszenia ochrony danych w szkole. Komunikat po 2 latach

Niedawno informowaliśmy o incydencie polegającym na dostępie byłych pracowników Śląskiego Centrum Usług Wspólnych do danych znajdujących się w ZUS PUE licznych katowickich szkół. W tym roku byliśmy również świadkami wycieku danych uczniów znajdujących się SIOEZ CKE, które miało miejsce przez wykorzystywanie tego samego hasła do celów prywatnych przez pracownika jednej ze szkół. Zabezpieczenia wspomnianego systemu CKE nie zostały przełamane – cyberprzestępca nielegalnie wykorzystał dane logowania, łamiąc przy tym art. 267 Kodeksu Karnego.

Naruszenie ochrony danych uczniów

10 czerwca br. na stronie radomszczańskiego technikum pojawiło się zawiadomienie o naruszeniu ochrony danych osobowych. Komunikat opublikowano w związku z „wystąpieniem Prezesa Ochrony Danych Osobowych o podjęcie określonych działań”. W dokumencie możemy przeczytać, że „Dyrektor ZSEE w Radomsku w dniu 05.01.2023 r. poinformował inspektora ochrony danych o możliwości wystąpienia naruszeniu ochrony danych osobowych, polegającym na ujawnieniu loginu i hasła przypisanego do konta służbowego konta w systemie Vulcan dla profilu „Nauczyciel” osobie nieuprawnionej”.

Nauczyciel placówki jest rodzicem ucznia uczęszczającego do wspomnianej szkoły, w związku z czym przysługują mu dwa konta: nauczyciela i rodzica. Problem w tym, że konta zostały założony na ten sam prywatny adres e-mail. „Z informacji uzyskanych od dyrektora szkoły wynika, że zachodzi duże prawdopodobieństwo, iż rodzic – współmałżonek, nie będący nauczycielem uzyskał dostęp do służbowego konta współmałżonka/ki profil „Nauczyciel” w serwisie Vulcan” – przekazano w zawiadomieniu.

Stanowisko PUODO i hasło

PUODO uznał, że „zachodzi wysokie prawdopodobieństwo, iż rodzic niebędący nauczycielem ZSEE uzyskał dostęp/miał możliwość wglądu do elektronicznego dziennika VULCAN poprzez służbowe konto współmałżonka/ki profil „Nauczyciel”, tym samym naruszając bezpieczeństwo danych osobowych, a w szczególności poufność”.

Ważnym pytaniem jest to, czy konto nauczyciela i rodzica oprócz wspólnego adresu e-mail wykorzystywało to samo hasło. Nie zostało to stwierdzone wprost w komunikacie, lecz zgodnie z dokumentem istnieje taka możliwość.

Zakres naruszenia

Zgodnie z zawiadomieniem, naruszenie ochrony danych dotyczy:

• Imion i nazwisk uczniów;
• Imion i nazwisk opiekunów prawnych;
• Adresów zamieszkania lub pobytu;
• Numerów PESEL;
• Adresów e-mail;
• Nazw użytkownika i/lub hasła;
• Numerów telefonu;
• Wizerunków;
• Danych dot. zdrowia uczniów.

Powyższy zbiór informacji jest dość znaczący i może umożliwiać kradzież tożsamości.

Działania naprawcze

ZSEE w Radomsku podjął kroki w celu zwiększenia poziomu cyberbezpieczeństwa, m.in.:

• przegląd i weryfikacja uprawnień pracowników ZSEE w systemie VULCAN;
• założenie służbowych skrzynek mailowych pracownikom;
• przeprowadzenie wewnętrznych szkoleń.

Szczególnie ważny jest drugi punkt – oddzielenie zastosowań prywatnych od służbowych, a zwłaszcza danych dostępowych do kont.

Podsumowanie

Nie mamy bezpośredniego wpływu na to, czy nasze dane osobowe ulegną naruszeniu wskutek błędu po stronie zewnętrznego podmiotu. Możemy jednak dbać o nasze bezpieczeństwo poprzez zastrzeżenie numeru PESEL, stosowanie dwuetapowego uwierzytelniania oraz wykorzystywanie silnych haseł.

Zastanawiający jest fakt, że publiczne zawiadomienie ukazało się prawie 2,5 roku po zgłoszeniu naruszenia.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].