Pliki cookies

Ta strona wykorzystuje pliki cookies, aby świadczyć usługi na najwyższym poziomie. Zaakceptuj, jeśli chcesz dalej korzystać ze strony.

Jeśli widzisz ten popup zbyt często, sprawdź czy masz włączoną akceptację plików cookies w swojej przeglądarce.

Polityka prywatności

Akceptuję
SEKA S.A. | Dostarczamy uzupełniające się usługi w zakresie obowiązkowych zadań firm, w każdym mieście Polski.
Zaznacz stronę

Praca zdalna podczas pandemii a bezpieczeństwo danych osobowych

W ostatnim czasie mieliśmy do czynienia z inną rzeczywistością. Dziś, kiedy już potrafimy w niej funkcjonować możemy zastanowić się nad tym jak ulepszyć naszą pracę tak, aby dane osobowe, które przetwarzamy były odpowiednio zabezpieczone.


Praca zdalna była dla nas ogromnym wyzwaniem. Jednak nie wszystkie podmioty poradziły sobie z nią bez uszczerbku dla ochrony danych osobowych. Czy pandemia miała wpływ na wycieki danych, które zdarzyły się na przełomie minionych kilku miesięcy? Poniżej przykłady wycieków danych:

1. SWPS Uniwersytet Humanistycznospołeczny

W kwietniu do Prezesa Urzędu Ochrony Danych Osobowych wpłynęło zawiadomienie o naruszeniu ochrony danych osobowych.  Naruszenie polegało na uzyskaniu dostępu do danych osobowych podczas ataku na dwie uczelnie SWPS Uniwersytet Humanistycznospołeczny (SWPS) oraz szkołę wyższą Collegium Da Vinci w Poznaniu. Obie uczelnie wykorzystują w działalności budynek należący do Collegium Da Vinci. Szkoła ta jest jednocześnie administratorem sieci komputerowej w budynku. Jak zgłoszono, do zdarzenia doszło w wyniku uzyskania loginu i hasła administratora przez atakującego. Według dostępnych administratorowi na dzień zgłoszenia naruszenia informacji incydent polegał na ataku z wykorzystaniem oprogramowania typu ransomware. SWPS poinformowało swoich studentów w wiadomości mailowej (fragment):

Atak spowodował zaszyfrowanie wybranych serwerów w celu sparaliżowania działalności uczelni i uzyskaniu okupu w zamian za odblokowanie serwerów. Niezwłocznie rozpoczęliśmy naprawę systemów IT. Systemy działające w chmurze, takie jak Google czy Sona nie zostały dotknięte awarią. Niestety z uwagi na fakt, że zaszyfrowane zostały także serwery backupowe, istnieje prawdopodobieństwo, że część danych na platformie Learn Online i na dyskach sieciowych została utracona.”

W komentarzu do sprawy SWPS wskazało, że w ataku chodziło o okup a nie stricte kradzież danych osobowych, jednak z uwagi na to że w niniejszej sprawie utracono integralność danych osobowych SWPS zgłosiło naruszenie danych osobowych.


☎️ Zapytaj o współpracę w zakresie kompleksowego zapewnienia bezpieczeństwa; audytu, szkolenia i nadzoru, skontaktuj się z Michałem Sekundą Dyrektorem handlowym SEKA S.A. tel. 22 517 88 66 e-mail: michal.sekunda@seka.pl


2. Panek S.A.

Do Prezesa Urzędu Ochrony Danych Osobowych w kwietniu zgłoszono naruszenie polegające
na uruchamianiu nowej witryny www gdzie zostały skopiowane pliki starej witryny do nowego folderu, który powinien być ukryty, a został udostępniony. Zostało to zrobione przez pracownika firmy informatycznej bez wcześniejszej konsultacji i weryfikacji zawartości plików starej witryny. Pracownik firmy informatycznej popełnił błąd i nie ukrył plików. Publicznie dostępne były kopie bezpieczeństwa plików i baz danych. Naruszenie dotyczyło PANEK rent a car a nie PANEK CarSharing.

Dane, który wyciekły:

  • Dane kont ok. 20 tysięcy klientów PANEK rent a car, zawierające takie pola jak imię, nazwisko, adres, numer telefonu, numer PESEL, adres e-mail, hasz hasła. Ostatnie konto założone zostało w grudniu 2019.
  • Dane tysięcy wypożyczeń pojazdów PANEK rent a car z okresu 2010 – 2014, zawierające takie pola jak imię, nazwisko, adres, numer telefonu, PESEL, adres e-mail klienta oraz miejsce i datę wypożyczenia oraz zwrócenia pojazdu, cenę, opis pojazdu, a także adres IP klienta.
  • Dane ponad miliona wypożyczeń PANEK rent a car z lat 2014 – 2019, ale w ograniczonym zakresie (daty, miasta).
  • Dane firmowe takie jak konta pracowników, punkty obsługi, pojazdy, treść stron itp.
  • Pliki serwera WWW, zawierające kod strony i dane konfiguracyjne (w tym hasła do baz danych, klucze certyfikatów, hasła do zewnętrznych systemów).

Działania, jakie zostały podjęte przez firmę:

  • Zablokowanie dostępu do folderów i plików.
  • Złożenie wstępnego zawiadomienia do Prezesa UODO.
  • Wynajęcie specjalistycznego podmiotu, który zweryfikuje przebieg incydentu i bezpieczeństwo tego.
3. Politechnika Warszawska

W maju Politechnika Warszawska zawiadomiła Prezesa Urzędu Danych Osobowych o wycieku danych. Wskazała, iż doszło do pobrania danych osobowych w wyniku nieuprawnionego dostępu do informacji poprzez złamanie zabezpieczeń jednej z platform edukacyjnych. Naruszenie zostało zgłoszone również innym podmiotom, takim jak policja, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego: CSIRT GOV, CSIRT MON oraz CSIRT NASK.

Co więcej Politechnika w ciągu ostatniego roku miała minimum 3 wycieki danych – o tylu wiemy. Naruszenia dotyczyły systemu do zdalnego nauczania „OKNO” jak i wycieku pliku SQL.

Plik SQL o rozmiarze 2,8 GB, zawierającego dane kandydatów na studia, pracowników i tysięcy studentów z kilku ostatnich lat. W pliku znajdowały się nazwiska, dane kontaktowe, numery ewidencyjne, hasła, a także dane z dokumentów, które uczelnie na mocy prawa mogą zbierać.

Niestety w lipcu doszło do ponownego wycieku. Tym razem dane wyciekły z Wydziału Architektury i dotyczyły systemu Rekrutacja, czyli aplikacji na studia. Ujawnione dane osobowe to: PESEL, Imię i nazwisko. Politechnika poinformowała podmioty danych o wycieku i zgłosiła do Prezesa Urzędu Ochrony Danych.

Podsumowanie

Powyższe przykłady to tylko nieliczne naruszenia, które zdarzyły się w ostatnim „pandemicznym” czasie.

Jakie więc działania powinni podjąć Administratorzy by zminimalizować ryzyko?

  • Zabezpiecz systemy IT wykorzystywane do przetwarzania danych osobowych;
  • Stosuj cykliczne testy bezpieczeństwa;
  • Jeżeli możesz zainwestuj w audyt IT i ochrony danych osobowych,
  • Zapewni pracownikom odpowiednie szkolenia z zakresu bezpieczeństwa informacji i ochrony danych osobowych.
zdjecie https://www.seka.pl/wp-content/uploads/2020/08/aleksandra_kielbratowska_159x159.jpg
Aleksandra Kiełbratowska – prawnik, ukończyła studia prawnicze na Uniwersytecie Adama Mickiewicza w Poznaniu, podyplomowe studia „Wykonywanie funkcji Inspektora Ochrony Danych” w Polskiej Akademii Nauk, kurs dokształcający „Ochrona danych osobowych w zatrudnieniu” w Katedrze Prawa Pracy i Polityki Społecznej na Uniwersytecie Jagiellońskim, podyplomowe studia z prawa pracy na Uniwersytecie Gdańskim. Posiada certyfikat audytora wewnętrznego Systemu Zarządzania Bezpieczeństwem Informacji wg PN ISO/IEC 27001:2014 oraz audytora wewnętrznego Systemu Zarządzania Jakością wg normy PN EN ISO 9001:2015. Jest również certyfikowanym mediatorem. Dodatkowo posiada certyfikat trenerski Train The Trainer uzyskany na Uniwersytecie Warszawskim. Współautorka ebooka pt. „Praca zdalna w praktyce. Zagadnienia prawa pracy i RODO” a także publikacji wydawnictwa C.H. Beck „Pomoc dla pracodawcy w sprawach pracowniczych w dobie kryzysu. Tarcza antykryzysowa, prawo pracy, RODO, ZUS, PIT„ gdzie poruszała kwestie związane z RODO i BHP. Obecnie pełni funkcję Menadżera Działu Zarządzania Bezpieczeństwem w SEKA S.A.
 
Kontakt: tel. 22 517 88 04 | kom. 506 279 187 | e-mail: aleksandra.kielbratowska@seka.pl

bhp online

Zobacz też:
bhp i ppoz seka sa 100x40szkolenia zawodowe seka sa 100x40prawo pracy i ubezpieczen spolecznych seka sa 100x40kursy komputerowe seka sa 100x40pierwsza pomoc seka sa 100x40ochrona srodowiska seka sa 100x40rekrutacje i zatrudnienie seka sa 100x40szkolenia miekkie seka sa 100x40
kursy metodyczne seka sa 100x40srodki ochrony roslin seka sa 100x40rachunkowosc i finanse seka sa 100x40prawo zamowien publicznych seka sa 100x40

 

Zapraszamy do odwiedzenia: Facebook | LinkedIn | YouTube | Twitter | Google | Magazyn SEKA

Potrzebujesz pomocy? Zadzwoń do nas!

Wybierz temat lub oddział SEKA S.A.

Infolinia
Infolinia

+48 22 517 88 88

Jesteśmy online

Jesteśmy offline

Dział handlowy
Dział handlowy

+48 22 517 88 66

Jesteśmy online

Jesteśmy offline

Oddział Białystok
Oddział Białystok

+48 85 871 22 30

Jesteśmy online

Jesteśmy offline

Oddział Bielsko-Biała
Oddział Bielsko-Biała

+48 33 300 10 00

Jesteśmy online

Jesteśmy offline

Oddział Bydgoszcz
Oddział Bydgoszcz

+48 52 522 57 50

Jesteśmy online

Jesteśmy offline

Oddział Gdańsk
Oddział Gdańsk

+48 58 732 08 80

Jesteśmy online

Jesteśmy offline

Oddział Gdańsk
Oddział Gdańsk

+48 58 732 08 80

Jesteśmy online

Jesteśmy offline

Oddział Gorzów Wlkp.
Oddział Gorzów Wlkp.

+48 95 737 46 20

Jesteśmy online

Jesteśmy offline

Oddział Katowice
Oddział Katowice

+48 32 700 22 30

Jesteśmy online

Jesteśmy offline

Oddział Kielce
Oddział Kielce

+48 41 230 98 50

Jesteśmy online

Jesteśmy offline

Oddział Koszalin
Oddział Koszalin

+48 94 721 42 00

Jesteśmy online

Jesteśmy offline

Oddział Kraków
Oddział Kraków

+48 12 203 19 20

Jesteśmy online

Jesteśmy offline

Oddział Łódź
Oddział Łódź

+48 42 280 10 50

Jesteśmy online

Jesteśmy offline

Oddział Lublin
Oddział Lublin

+48 81 464 16 30

Jesteśmy online

Jesteśmy offline

Oddział Olsztyn
Oddział Olsztyn

+48 89 679 94 40

Jesteśmy online

Jesteśmy offline

Oddział Poznań
Oddział Poznań

+48 61 624 02 60

Jesteśmy online

Jesteśmy offline

Oddział Rzeszów
Oddział Rzeszów

+48 17 717 65 20

Jesteśmy online

Jesteśmy offline

Oddział Szczecin
Oddział Szczecin

+48 91 88 19 500

Jesteśmy online

Jesteśmy offline

Oddział Warszawa
Oddział Warszawa

+48 22 517 88 50

Jesteśmy online

Jesteśmy offline

Oddział Wrocław
Oddział Wrocław

+48 71 738 38 00

Jesteśmy online

Jesteśmy offline