Nie ma nic gorszego dla instytucji lub firmy dbającej o renomę i poziom niż wyciek danych. To obniża poczucie bezpieczeństwa i prywatności osób korzystających z ich usług. Niestety, sytuacja taka zdarzyła się na SGGW. Dlaczego ktoś do tego dopuścił?
Choć początkowo uczelnia ograniczyła się do komunikatu i współpracy z organami ścigania, sprawa nie została zamieciona pod dywan. W 2020 roku Prezes UODO nałożył na SGGW administracyjną karę w wysokości 50 000 zł, uznając, że uczelnia nie wdrożyła wystarczających środków technicznych i organizacyjnych w zakresie ochrony danych osobowych. Sprawa trafiła do sądu, gdzie uczelnia próbowała się bronić, tłumacząc, że był to incydent indywidualny – wynik nieuprawnionego działania pracownika.
Wyciek danych może być wykorzystany na różne sposoby – od nielegalnych działań marketingowych po zwykłą kradzież. Postronne osoby niestety nie zdają sobie często sprawy z tego, że ich wrażliwe dane są ich największym dobrem.
Niestety, w kraju małe pojęcie o ochronie takich informacji mają również firmy i instytucje. Choć poziom wzrasta z roku na rok, to jednak podmioty te nie zawsze te są w stanie wywiązać się ze złożonych zobowiązań. Pamiętajmy również, że zobowiązuje ich do tego prawo!
Na czym polegał wyciek danych z SGGW?
Przyczyna wycieku była prozaiczna – kradzież laptopa jednego z pracowników uczelni. Taki – z pozoru niegroźny – incydent (nawet drogi laptop nie kosztuje tyle, co dane kilku tysięcy osób) incydent spowodował ogromne zagrożenie dla studentów i aplikantów na uczelnię.
Spójrzmy na dane. W niepowołane ręce mogło wpaść aż 70 tysięcy danych osób, które studiują lub chciały studiować na SGGW. Łącznie wyciekły takie dane jak:
- Imię i nazwisko
- Nazwisko rodowe
- Imiona rodziców
- Pesel
- Płeć
- Narodowość i obywatelstwo
- Adres zamieszkania
- Seria i numer dowodu osobistego/paszportu
- Ukończona szkoła średnia i jej miejscowość
- Numery telefonów
- Rok ukończenia szkoły średniej
- Wyniki uzyskane na egzaminie maturalnym
Sporo tego, prawda? Wyobraźmy sobie, jak można wykorzystać te dane. Oszuści mogą zarówno sprzedać nielegalną bazę do wykorzystania marketingowego, jak i wyłudzić kredyt lub szantażować dane osoby. Możliwości jest niestety wiele.
Dla oszustów nasze dane osobowe są bramą do naszych kont i łatwych pieniędzy (fot. Pixabay.com)
W międzyczasie, część poszkodowanych rzeczywiście rozważała roszczenia cywilne, domagając się zadośćuczynienia za narażenie ich prywatności i bezpieczeństwa finansowego. Choć nie odnotowano masowych przypadków nadużyć, samo ryzyko wykorzystania danych przez oszustów było realne – mowa była o m.in. potencjalnych próbach wyłudzeń kredytów czy zakładania fikcyjnych kont bankowych.
Według nieoficjalnych informacji, żądana kwota może być rekordowa w dziejach kraju! Dodatkowo najpewniej dojdą jeszcze kary związane z RODO. RODO przewiduje maksymalną karę do 20 mln euro, choć w praktyce SGGW ukarano znacznie niższą kwotą – 50 tys. zł. Oczywiście, wysokość kary zależy od wielu czynników. Na razie nikt jeszcze nie ucierpiał w wyniku wycieku, a szkoła współpracuje z organami ścigania. Straty wizerunkowe mogą się okazać poważniejsze niż te finansowe
Jak można było tego uniknąć?
Najważniejszą kwestią jest przewidywanie. Tak duży podmiot musi spodziewać się prób ataku i wykradzenia danych lub kradzieży sprzętu. Bycie o krok przed przestępcą jest najlepszą formą obrony. Wtedy łatwiej przygotować się na konsekwencje.
Jeżeli nawet sprzęt został ukradziony, to nie powinno dojść do wycieku danych. Te powinny być umieszczane w zaszyfrowanych miejscach, na zewnętrznych dyskach, które od razu można zablokować. Wtedy wyciek danych jest mniej prawdopodobny.
Dodatkowo uczelnia mogła zainwestować w specjalne oprogramowanie do obserwowania ruchu na służbowym sprzęcie i możliwości zdalnego zarządzania nim, żeby w razie kradzieży szybko wyłączyć wszelkie dostępy do danych wrażliwych.
Oczywiście, bardzo ważną kwestią jest też to, jak uczelnia stosowała się do wytycznych RODO. Wyciek danych być może nie nastąpiłby, gdyby dostęp do nich mieli dobrze wyszkoleni pracownicy, zdający sobie sprawę z powagi wykradzenia danych. Niestety, wielu pracowników (a nawet przedsiębiorców czy zarządców instytucjami) bardziej ubolewa nad stratą sprzętu niż z konsekwencjami, jakie niesie ze sobą wyciek danych.
W lutym 2025 roku Naczelny Sąd Administracyjny oddalił skargę uczelni i prawomocnie utrzymał karę finansową. W uzasadnieniu wskazano jednoznacznie, że odpowiedzialność za dane osobowe nie znika w momencie ich przekazania pracownikowi, a administrator (czyli uczelnia) ponosi pełną odpowiedzialność za brak odpowiedniego nadzoru nad obiegiem i przechowywaniem informacji. SGGW – choć incydent miał miejsce 6 lat wcześniej – musi teraz mierzyć się nie tylko z konsekwencjami finansowymi, ale również wizerunkowymi, które w środowisku akademickim mogą okazać się długotrwałe.
O czym powinniśmy pamiętać?
Jeżeli mamy dużą bazę danych osobowych (np. związanych z działalnością naszej firmy, dane klientów) to wyciek danych nie powinien nam się trafić. Warto skorzystać z porad profesjonalistów dotyczących zabezpieczenia sprzętu. Jeżeli udostępniamy go osobom postronnym (np. pracownikom), to powinniśmy mieć nad sprzętem stałą kontrolę.
Sprawdź w jaki sposób można monitorować komputer!
Programy do monitorowania komputera mogą skutecznie zabezpieczyć przed wyciekiem danych (fot. Pixabay.com)
Właśnie od odpowiedniego zabezpieczenia firmy przed atakami wirtualnymi powinniśmy dziś zaczynać rozkręcanie własnego biznesu. SGGW, choć jest firmą uznaną na rynku i działa od wielu lat, to teraz będzie ponosić konsekwencje swojej niesubordynacji. Najlepiej unikać ryzykownych działań i zawczasu się zabezpieczyć.
