Samorządy oraz instytucje publiczne na celowniku hakerów. Już dziś za niefrasobliwe podejście do kwestii właściwego zabezpieczenia danych w systemach informatycznych włodarz gminy może dostać wyrok karny i trafić do więzienia na pięć lat. A za półtora roku w życie wejdą jeszcze bardziej restrykcyjne przepisy!
W Polsce lawinowo rośnie w ostatnim czasie liczba cyberataków na przedsiębiorstwa oraz instytucje publiczne. Statystyki pokazują, że nad Wisłą istnieje poważny problem z obroną przed internetowymi przestępcami.
Polska znajduje się na 36. miejscu w rankingu najbardziej zagrożonych przez hakerów państw świata przygotowanym przez firmę Check Point Software Technologies. Indeks zagrożenia opracowany przez tę firmę wynosi dla naszego kraju 10.3, co oznacza, że na 100 ataków aż 10 jest skutecznych i wiąże się z wyciekiem danych - to najgorszy wynik w całej Unii Europejskiej.
Porno na stronie urzędu gminy
Celem elektronicznej agresji są nie tylko przedsiębiorstwa i prywatne firmy, ale także instytucje publiczne, również w województwie świętokrzyskim. W marcu 2010 roku informatyk z „ciemnej strony mocy” sprawił, że zamiast witryny Urzędu Gminy w Piekoszowie wyświetlała się… pełna wulgarnych zdjęć rosyjska strona internetowa.
Z kolei we wrześniu 2011 roku grupa hakerów przypuściła szturm na ponad 300 samorządowych portali, w tym między innymi na 12 gmin w Świętokrzyskiem: Smyków, Wilczyce, Sandomierz, Radków, Ożarów, Połaniec, Kunów, Sitkówka- Nowiny, Sobków, Zawichost, Górno i Piekoszów. Po wejściu na te strony wyświetlały się autobus szkolny oraz krótka i niewybredna opinia o polskich szkołach.
Te incydenty świadczą o tym, że poziom zabezpieczeń witryn należących do instytucji publicznych pozostawia wiele do życzenia. A skąd pewność, że dostatecznie dobrze chronione są dane gromadzone na serwerach urzędów czy te przesyłane między komputerami urzędników? Bez skutecznych systemów osłonowych skoku na te informacje może dziś dokonać bystrzejszy gimnazjalista. Nawet dla początkującego hakera to jak sięgnięcie po dokumenty znajdujące się w otwartym sejfie. Przejęcie poufnych informacji czy wrażliwych danych mieszkańców przez osobę do tego niepowołaną w najlepszym razie kompromituje kierownictwo instytucji i podważa społeczne zaufanie do niej. A co jeśli e-włamywacz zażąda okupu?
Jak informuje prokurator Daniel Prokopowicz, rzecznik prasowy Prokuratury Okręgowej w Kielcach, w regionie świętokrzyskim w 2015 roku prowadzono 11 spraw dotyczących ataków hakerskich na prywatne firmy i instytucje publiczne. - A w 2016 roku takich postępowań było łącznie 10 - mówi Daniel Prokopowicz.
Surowe kary dla włodarzy
Tymczasem włodarze gmin, którym podlega wiele jednostek organizacyjnych będących w posiadaniu ogromu baz danych, także tych wrażliwych, bagatelizują zagrożenie. - Dlaczego hakerzy mieliby na celownik wziąć sobie właśnie nas? Prędzej meteoryt tu spadnie. Mówiąc serio: nie znam się na tym zbytnio, ale myślę, że moje służby informatyczne zapewniają bezpieczeństwo gromadzonych i przechowywanych informacji - mówi gospodarz jednego z samorządów w Świętokrzyskiem (zastrzega sobie anonimowość).
Jak otwarcie przyznaje, od nas dowiaduje się, że brak realizacji obowiązku ochrony danych osobowych pociąga za sobą zagrożenie poniesienia odpowiedzialności na wielu płaszczyznach, w tym między innymi karnej.
Zgodnie z ustawą o ochronie danych osobowych z 1997 roku, za choćby nieumyślne naruszenie obowiązku zabezpieczenia danych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem grozi grzywna w wysokości do miliona złotych albo pozbawienie wolności do roku. Z kolei w przypadku nieumyślnego udostępnienia lub umożliwienia dostępu do danych osobowych osobom nieupoważnionym kara pieniężna wynosi tyle samo, ale do więzienia można trafić na okres do dwóch lat albo trzech, jeśli działanie dotyczyło danych wrażliwych. Ustawa przewiduje również odpowiedzialność karną osób zobowiązanych do zajmowania się sprawami majątkowymi jednostek organizacyjnych za szkodę wyrządzoną w wyniku niedopełnienia obowiązku, jeśli skutkiem tego będzie wyrządzenie szkody majątkowej w wysokości co najmniej 200 tysięcy złotych. Osoba taka podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Karą zagrożone jest również sprowadzenie bezpośredniego zagrożenia takiej szkody. W takiej sytuacji sprawca może spędzić w więzieniu do trzech lat.
Sankcje będą surowsze po wejściu w życie 25 maja 2018 roku we wszystkich krajach członkowskich Unii Europejskiej tak zwanego ogólnego rozporządzenia o ochronie danych osobowych (RODO). W nowych przepisach wysokość kar sięga… 20 milionów euro.
Szyfrowanie najlepiej chroni przed wyciekiem
Dla administratorów danych oraz przetwarzających dane RODO oznacza totalną rewolucję. Podmioty takie, czyli firmy oraz instytucje publiczne zobowiązuje się do stosowania środków technicznych adekwatnych w stosunku do zagrożeń oraz rodzaju gromadzonych informacji. Czyli jakich? Eksperci nie mają wątpliwości, że jedną z najbardziej skutecznych metod obrony przed nieuprawnionym przechwytywaniem informacji przesyłanej w sieci publicznej jest szyfrowanie. Takie stanowisko podziela zresztą główny inspektor ochrony danych osobowych.
- Szyfrowanie danych, nazywane również kryptografią, jest obecnie najbardziej adekwatnym środkiem technologicznym do ochrony danych przesyłanych przy użyciu sieci telekomunikacyjnych - podkreśla Małgorzata Kałużyńska-Jasak, dyrektor Zespołu Rzecznika Prasowego Glównego Inspektora Ochrony Danych Osobowych. Tego samego zdania jest również niemiecki eurodeputowany Jan Philip Albrecht - jeden z uczestników prac nad RODO.
- Wszystkie organizacje z sektora prywatnego i publicznego powinny już teraz przeanalizować i dostosować wszystkie procesy związane z przetwarzaniem danych do nowych przepisów - podkreśla adwokat Piotr Zięba z Kielc.