Pod koniec listopada Urząd Gminy Kościerzyna został zaatakowany przez cyberprzestępców - dane urzędu zostały zaszyfrowane, a za odszyfrowanie plików przestępcy żądali okupu. Jak wynika z informacji zamieszczonych na stronie internetowej gminy, wójt Grzegorz Piechowski zawiadomił o przestępstwie lokalną policję oraz zwrócił się o pomoc w pierwszej kolejności do zespołu CSIRT GOV.
Atak hakerski usunęli specjaliści
Okazało się, że wobec urzędu zastosowano złośliwe oprogramowanie, które szyfruje pliki i nie ma żadnego narzędzia informatycznego (dekryptora), które pozwoliłoby je odszyfrować. CSIRT NASK zasugerował zwrócenie się do podmiotu zewnętrznego, który pomógłby w odzyskaniu danych. Zajęli się tym specjaliści z Globalnego Zespołu ds. Badań i Analiz (GReAT) z firmy Kaspersky, której badacz odzyskał dane urzędu przy pomocy specjalnie stworzonego w tym celu narzędzia deszyfrującego.
Sprawdź również książkę: Samorząd terytorialny XXI wieku ebook >>
Piotr Kupczyk, dyrektor biura komunikacji z mediami Kaspersky Lab Polska podkreśla, że zapłacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jak zaznacza wójt, firma Kaspersky bezinteresownie pomogła przy usunięciu skutków ataku hakerskiego na sieć komputerową Urzędu Gminy Kościerzyna.
Czytaj w LEX: Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych >
Odpowiedzialność za niewłaściwe zabezpieczenie strony
RODO przewiduje szereg tzw. uprawnień naprawczych, z których może skorzystać Prezes UODO. Z jednej strony to kompetencje, które mają na celu przywrócenie stanu zgodnego z prawem. Z drugiej strony pozwalają na nałożenie administracyjnej kary pieniężnej, która ma charakter prewencyjny i naprawczy.
Czytaj w LEX: Kary pieniężne za naruszenie przepisów o ochronie danych w świetle polskiej ustawy o ochronie danych osobowych i RODO >
Zgodnie z art. 102 ustawy o ochronie danych osobowych prezes UODO może nałożyć na jednostki sektora finansów publicznych, a także instytuty badawcze i Narodowy Bank Polski - maksymalnie 100 tys. złotych kary. Pierwszą karę na instytucję samorządową - gminę Aleksandrów Kujawski - Prezes UODO nałożył w październiku w wysokości 40 tys. złotych za to, że nie zawarła umowy powierzenia przetwarzania danych osobowych oraz za zbyt długi czas publikowania oświadczeń majątkowych.
Czytaj też: Pierwsza kara dla urzędu za naruszenie RODO>>
Według dr Marleny Sakowskiej-Baryły, radcy prawnego, partnera w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p., odpowiedzialność za niewłaściwe zabezpieczenie strony internetowej urzędu ponosi kierownik jednostki. W tym przypadku jest to wójt. – Z perspektywy ochrony danych osobowych to wójt ma tak zorganizować pracę i zabezpieczenia informatyczne, żeby były one skuteczne – mówi dr Sakowska-Baryła.
Sprawdź w LEX: Czy sekretarz gminy może pełnić funkcję inspektora ochrony danych? >
Roszczenia cywilne podmiotów są możliwe
Inną płaszczyzną sprawy jest sytuacja osób, którym cyberatak i trudności techniczne mogły uniemożliwić załatwienie sprawy w urzędzie, w związku z czym poniosły szkodę majątkową lub niemajątkową, np. w postaci stresu, że nie mogły uzyskać niezbędnych im w danym dniu dokumentów, zaświadczeń , informacji, odpisów, itp.
Sprawdź w LEX: Jaka jest rola inspektora ochrony danych podczas przeprowadzanego przez firmę zewnętrzną w urzędzie gminy audytu? >
- Nie jest wykluczone, że te osoby na mocy rozporządzenia RODO będą mogły dochodzić roszczeń o charakterze cywilno-prawnym – podkreśla mec. Sakowska-Baryła. Jak dodaje, może się tu pojawić problem poruszany często w doktrynie – jest to odpowiedzialność, której dochodzi się wobec administratora. - Jeżeli więc przyjmiemy, że jest nim wójt, burmistrz czy prezydent, to powinno się pozwać właśnie jego, bo to wynika bezpośrednio z art. 79 lub z art. 81 RODO – dodaje mecenas.
Przypomina jednak, że nie mają oni zdolności sądowej, pozwana więc może być gmina. Zgodnie z Kodeksem cywilnym „osoba prawna jest obowiązana do naprawienia szkody wyrządzonej z winy jej organu” (art. 416 Kc). Nie jest to odpowiedzialność konkretnego pracownika, tylko gminy, więc wiąże się z zabezpieczeniem środków w budżecie gminy.
Jeżeli jest prowadzone postępowanie karne, wykazana może zostać odpowiedzialność karna konkretnego pracownika.
Odpowiedzialność ustalana wewnątrz urzędu
Wewnątrz urzędu mogą być prowadzone ustalenia zmierzające do określenia konkretnego pracownika, który był odpowiedzialny za zabezpieczenia informatyczne, kto nadzorował działania w tym zakresie, i kto fizycznie dopuścił do sytuacji, że doszło do naruszenia ochrony danych.
- Tu pojawia się istotny problem, bo ta odpowiedzialność jest ułomna, jeśli chodzi o zakres. Należy ustalić, czy mamy do czynienia z ciężkim naruszeniem obowiązków pracowniczych, naruszeniem zasad porządku w pracy, czy w ogóle można mówić o odpowiedzialności majątkowej – tłumaczy mec. Marlena Sakowska-Baryła. Jak jednak podkreśla do momentu konkretnych ustaleń, czy ktoś ponosi odpowiedzialność i na jakich zasadach oraz do czego był zobowiązany w związku ze swoimi obowiązkami prawno-pracowniczymi, trudno określić jednoznacznie, w jaki sposób będzie odpowiadał.
Czytaj w LEX: Analiza sprawozdania z działalności UODO za 2018 - przegląd wskazówek dla administratorów danych >
Obecnie systemy komputerowe Gminy Kościerzyna są zabezpieczane – jak podaje gmina na swojej www - najwyższej klasy urządzeniami, które zapobiegną podobnym atakom hakerskim w przyszłości. Prowadzone jest postępowanie prokuratorskie zmierzające do ustalenia sprawców przestępstwa. O incydencie został też poinformowany Urząd Ochrony Danych Osobowych.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
