UM odpowiada na pytania dot. naruszenia ochrony danych osobowych mieszkańców Zambrowa i klientów urzędu

Poniżej przedstawiamy odpowiedzi z Urzędu Miasta Zambrów na pytania, jakie zadaliśmy w związku z naruszeniem ochrony danych osobowych mieszkańców naszego miasta i klientów urzędu, do którego doszło 21 maja br.

Zdawkowe, wymijające i bez nadawcy - tak można podsumować odpowiedzi, jakie otrzymaliśmy na pytania przesłane przez naszą redakcję na oficjalne skrzynki mailowe Burmistrza Miasta Zambrów i Urzędu Miasta Zambrów. Odpowiedzi nadesłał anonimowy nadawca z adresu, którego nie znajdziemy na stronie naszego Urzędu - więc tak naprawdę nie wiemy, kto nam odpowiedział.

Czy w takim razie odpowiedzi te mamy traktować poważnie? Czy urzędnicy w taki sam lekceważący sposób traktują nasze dane osobowe? Czy to oznacza, że każdy z nas może złożyć do Urzędu pismo bez podpisu? A może to nowe wytyczne dotyczące ochrony danych osobowych pracowników urzędu? Nie pomogła również nasza interwencja w tej sprawie – nikt nie chce się przyznać do napisania maila.

Z odpowiedzi nie dowiemy się, w jaki sposób złośliwe oprogramowanie dostało się do systemu UM, kto jest za to odpowiedzialny i dlaczego urząd zwlekał z poinformowaniem mieszkańców o zaistniałym incydencie. Biorąc jednak pod uwagę ważność tematu i zaniepokojenie wielu mieszkańców miasta, wynikające z zaistniałej sytuacji, postanowiliśmy opublikować otrzymane anonimowe odpowiedzi.

zambrow.org: W jaki sposób złośliwe oprogramowanie dostało się do systemu informatycznego Urzędu Miasta Zambrów?

Oprogramowanie ransomwere zaatakowało wykorzystując podatność systemu informatycznego.

zambrow.org: Jakiego rodzaju dane/pliki zostały zaszyfrowane?

Zostały zaszyfrowane pliki zawierające dane osobowe zawarte w zbiorach dotyczących rejestru mieszkańców odprowadzających opłaty za śmieci oraz dane osobowe dotyczące podatków lokalnych.

zambrow.org: Czy Urząd Miasta Zambrów posiada kopie zapasowe zaszyfrowanych danych?

Urząd jest w posiadaniu kopii zapasowych.

zambrow.org: Czy dane te zostały odzyskane?

Większość danych już została odzyskana. Do końca sierpnia br. planowane jest całkowite odzyskanie wszystkich danych.

zambrow.org: Jeśli dane zostały odzyskane, to przez kogo i ile to kosztowało?

Dane są w trakcie odzyskiwania, nie znamy jeszcze wszystkich kosztów.

[przyp. red.: Jak udało nam się dowiedzieć, Miasto 10 czerwca 2022 r. podpisało umowę z przedsiębiorstwem SysIT na ograniczenie strat, przeprowadzenie analizy po włamaniowej, wykonanie kopii zapasowych, odzysk danych i docelową odbudowę systemów w infrastrukturze Zlecającego. Umowa opiewa na 7 tys. zł netto. Ponadto firma STS Elektronik Optimus S.A miała przeprowadzić diagnozę cyberbezpieczeństwa JST oraz szkolenie w zakresie cyberbezpieczeństwa pracowników Urzędu. Umowa została podpisana 13 czerwca 2022 r. na kwotę 8 tys. zł.]

zambrow.org: Dlaczego Urząd miasta zwlekał dwa miesiące, aby powiadomić mieszkańców o zaistniałej sytuacji?

Komunikat informujący o incydencie został umieszczony na tablicy ogłoszeń w budynku Urzędu oraz na Tablicach ogłoszeniowych na terenie miasta w dniu 9 czerwca 2022 r. Ze względu na zalecenie Urzędu Ochrony Danych Osobowych komunikat w dniu 21.07. 2022 r. został umieszczony również na stronie internetowej Urzędu.

zambrow.org: W jaki sposób do tej pory były zabezpieczone dane osobowe przechowywane w Urzędzie w formie elektronicznej?

Bezpieczeństwo systemów teleinformatycznych określone zostało poprzez wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą PN-ISO/IEC 27001:2014-12. Szczegółowe informacje odnoszące się do konkretnych sposobów zabezpieczenia mają charakter danych technicznych i jako takie nie posiadają waloru informacji publicznej.

[przyp. red.:PN-ISO/IEC 27001:2014-12 - norma ta została wycofana 13 czerwca 2017 r., czyli 5 lat temu]

zambrow.org: Jakie kroki podjęto obecnie w celu zabezpieczenia danych?

W celu zminimalizowania ataków ransomwere oraz ich skutków, a także podniesienia standardów cyberbezpieczeństwa Urząd Miasta Zambrów rozpoczął całkowitą modernizację sprzętu i oprogramowania. Środki na w/w działania Urząd w 100% pozyskał z programu „Cyfrowa Gmina”.

zambrow.org: Kto do tej pory odpowiadał za bezpieczeństwo gromadzonych w formie elektronicznej danych osobowych mieszkańców Zambrowa i jakie posiadał do tego kwalifikacje?

Za bezpieczeństwo danych osobowych odpowiedzialny jest Administrator Danych Osobowych, który w Urzędzie wyznaczył Administratora Systemów Informatycznych posiadającego odpowiednie doświadczenie, wykształcenie i kwalifikacje.

zambrow.org: Czy, kto i jaką poniesie odpowiedzialność za świadome lub nieświadome umożliwienie naruszenia ochrony danych osobowych?

Odpowiadając na Państwa pytania należy wyraźnie zaznaczyć, że żadne środki prewencyjne organizacyjno – techniczne czy personalne, nie są w stanie zapewnić pełnego bezpieczeństwa przeciw cyberatakom. Hakerzy posługują się coraz bardziej wyrafinowanymi technikami przejęcia danych osobowych. Z rozpoczęciem wojny w Ukrainie, Polski Rząd podjął decyzję o podniesieniu stopnia zagrożenia cybernetycznego Alfa do poziomu 3 Charlie, to wyraźny sygnał iż prawdopodobieństwo ataków ciągle wzrasta, a o ich skali dowiadujemy się na co dzień z mediów.

Na chwilę obecną naszym głównym zadaniem jest skupienie uwagi na zapewnieniu możliwie najwyższego poziomu cyberbezpieczeństwa, aby w przyszłości maksymalnie ograniczyć podobne incydenty.

W przypadku potwierdzenia, że za zaistniały incydent ponosi odpowiedzialność pracownik urzędu zostaną wobec niego podjęte stosowne kroki.