Do „awarii systemu informatycznego i poczty elektronicznej” w Urzędzie Marszałkowskim Województwa Małopolskiego (UMWM) doszło na początku tygodnia. - Prawdopodobnie mamy do czynienia z atakiem hakerskim. Trwa weryfikacja zaistniałej sytuacji. Urząd Marszałkowski poinformował odpowiednie służby. Przepraszamy za kłopot – napisano w komunikacie na stronie urzędu. Urząd informuje też o naruszeniu ochrony danych osobowych związanym z incydentem.
Do ataku złośliwego oprogramowania szyfrującego pliki doszło 8 lutego 2021 r. Zdarzenie to doprowadziło do utraty dostępności danych osobowych, m.in. klientów UMWM, za przywrócenie której atakujący zażądał zapłaty okupu, ale żądanie to zostało stanowczo odrzucone. W urzędzie podjęto działania mające na celu powstrzymanie naruszenia oraz zminimalizowanie ewentualnych negatywnych skutków dla osób, których dane dotyczą. Powiadomiono też odpowiednie służby, sytuacja została też zgłoszona do Prezesa Urzędu Ochrony Danych Osobowych.
Przywrócenie systemu w sposób bezpieczny
Dawid Gleń, rzecznik prasowy Urzędu Marszałkowskiego Województwa Małopolskiego nie może mówić o postępach działań z uwagi na to, że prowadzone jest dochodzenie, bo zdarzenie miało charakter przestępczy. Jak jednak informuje, nad rozwiązaniem problemu i przywróceniem systemu do stanu takiego jaki był przed zdarzeniem, pracują informatycy urzędu we współpracy ze służbami. – Główną kwestią jest jednak, żeby przywrócić go w sposób bezpieczny, czyli żeby nie dopuścić do tego, żeby znowu do ataku doszło – podkreśla.
Co do naruszeń ochrony danych, rzecznik wyjaśnia, że Prezes UODO został poinformowany o ryzyku, jakie mogło wystąpić z powodu utraty danych. - Nic nie świadczy na tę chwilę, aby doszło do takiej utraty, jednak ryzyko było i to musieliśmy jasno i jasno powiedzieć – dodaje.
Czytaj też: Premier zapowiada okres ambitnych inwestycji informatycznych w administracji
Wdrożenie ustalonych procedur bezpieczeństwa
Adwokat Kamil Rudol z Kancelarii Dubois i Wspólnicy tłumaczy, że atak hakerów, podobnie jak każde inne przestępstwo skierowane przeciwko organom administracji publicznej, wymaga wdrożenia ustalonych procedur bezpieczeństwa, które pozwolą przede wszystkim zminimalizować straty i umożliwić sprawny powrót do prawidłowego funkcjonowania.
- Ważne jest oczywiście, aby takie działania zostały podjęte bezzwłocznie. Samorząd w przypadku wystąpienia ataku hakerskiego, powinien o zdarzeniu przede wszystkim poinformować właściwe służby, m.in. policję i ABW oraz organy rządowe zajmujące się cyberbezpieczeństwem. Niewątpliwie z atakiem związana jest również utrata danych osobowych, o czym powinien zostać powiadomiony prezes Urzędu Ochrony Danych Osobowych, który wdroży w tej sprawie odpowiednie procedury - podkreśla.
Czytaj: Brak współpracy z UODO może skończyć się karą>>Wyciek danych z urzędów
Kwestia wycieku danych z systemów informatycznych urzędów jest złożona – czasem urząd nie wie, że jest ofiarą ataku, zanim dowie się, dane powoli wypływają na zewnątrz, a potem dopiero jest to ujawniane. Czasem z taką informacją zadzwoni sam haker.
Jak wskazuje dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp.p., w przypadku małopolskiego urzędu marszałkowskiego doszło do naruszenia ochrony danych osobowych w rozumieniu RODO. - Nie musi ono polegać na tym, że ktoś je wykrada, może nastąpić, gdy urząd traci do nich dostęp, lub traci te dane, ponieważ ulegają nieautoryzowanemu zniszczeniu– wyjaśnia.
Jak dodaje, czasem nie jest możliwe szybkie poinformowanie osób, których dane urząd przetwarza, że doszło do naruszenia, bo nie wiadomo, czyje dane padły ofiarą tego naruszenia.
Jak zaksięgować okup?
Przy cyberatakach na inne samorządy zdarzały się żądania okupu np. za odblokowanie serwerów. Sprawcy włamań do systemów nie zdają sobie jednak sprawy, że jego zapłacenie przez samorząd nie jest możliwe, bo ogranicza to dyscyplina budżetowa.
- Żeby zapłacić okup, trzeba by dokonać przesunięć w budżecie, okupy dla sektora publicznego są niewypłacalne w sensie fizycznym – mówi dr Sakowska-Baryła.
Nie ma reguły, czy atak jest wynikiem tego, że haker potrzebuje danych osobowych, czy liczy na okup i to jest jego cel. – Czasem może chce zwrócić uwagę na brak zabezpieczeń w danym podmiocie – mówi dr Sakowska-Baryła.
Według ekspertów zapłacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych.
Czytaj też: Atak hakera w gminie - resort cyfryzacji przygotowuje plan obrony
Jak samorząd może się zabezpieczyć przed takimi atakami?
Kamil Rudol ocenia, że w celu zabezpieczenia, w pierwszej kolejności samorząd, a także inne jednostki administracji publicznej, powinny zainwestować w odpowiednie zaplecze techniczne z dziedziny ochrony cybernetycznej, w postaci systemów wykrywających ewentualne zagrożenia. - Jak również tworzących niejako kopie zapasowe danych, które mogą zapobiec paraliżowi funkcjonowania urzędu już po wystąpieniu takiego ataku. Niemniej ważna jest edukacja pracowników pod kątem dbania o właściwą ochronę danych. Niska świadomość zagrożeń związanych z cyberprzestępczością, również przekłada się na nieostrożność przy kontakcie z potencjalnym hakerem – podkreśla.
Kto ponosi odpowiedzialność za naruszenie danych?
Zgodnie z art. 102 ustawy o ochronie danych osobowych prezes UODO może nałożyć na jednostki sektora finansów publicznych, a także instytuty badawcze i Narodowy Bank Polski - maksymalnie 100 tys. złotych kary. Pierwszą karę na instytucję samorządową - gminę Aleksandrów Kujawski - Prezes UODO nałożył w październiku w wysokości 40 tys. złotych za to, że nie zawarła umowy powierzenia przetwarzania danych osobowych oraz za zbyt długi czas publikowania oświadczeń majątkowych.
Więcej: WSA potwierdził karę dla burmistrza za brak procedur ochrony danych >>
Według dr Marleny Sakowskiej-Baryły, odpowiedzialność za niewłaściwe zabezpieczenie strony internetowej urzędu ponosi kierownik jednostki. W tym przypadku jest to marszałek województwa. – Z perspektywy ochrony danych osobowych to marszałek ma tak zorganizować pracę i zabezpieczenia informatyczne, żeby były one skuteczne – mówi dr Sakowska-Baryła.
Jak dodaje, urząd marszałkowski wykonuje wiele czynności na rzecz wielu podmiotów, w mniejszym zakresie dotyczy to osób fizycznych, bardziej przedsiębiorców, organizacji czy innych podmiotów gospodarczych. Jeśli chodzi o osoby fizyczne, narażone zostały tu w szczególności dane pracowników urzędu. Wszystkie te podmioty mogą przez cyberatak i trudności techniczne uniemożliwiające załatwienie sprawy w urzędzie ponieść szkodę majątkową lub niemajątkową, np. przez niemożność uzyskania niezbędnych im w danym dniu dokumentów, zaświadczeń , informacji itp.
- Nie jest wykluczone, że te osoby na mocy RODO będą mogły dochodzić roszczeń o charakterze cywilno-prawnym – podkreśla mec. Sakowska-Baryła. Jak dodaje, może się tu pojawić problem poruszany często w doktrynie – jest to odpowiedzialność, której dochodzi się wobec administratora. Wewnątrz urzędu mogą być prowadzone ustalenia zmierzające do określenia konkretnego pracownika, który był odpowiedzialny za zabezpieczenia informatyczne, kto nadzorował działania w tym zakresie, i kto fizycznie dopuścił do sytuacji, że doszło do naruszenia ochrony danych.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
