Kiedyś byłem świadkiem rozmowy mojego trenera z osobą która pojawiła się  na zajęciach po raz pierwszy. „Trenerze, jaki sprzęt jest najlepszy do walki na ulicy?” Trener spojrzał głęboko w oczy rozmówcy i spokojnie odpowiedział: „generalnie, to największe wrażenie robi RPG-16 ale zdecydowanie bardziej przydatny jest mózg i szybkie nogi żeby unikać problemów”

Przypomniała mi się ta rozmowa jakiś czas temu, kiedy w ramach Koła Naukowego Studentów Bezpieczeństwa Narodowego zostały zorganizowane warsztaty na temat przetwarzania danych w jednostkach samorządu. Szkolenie było prowadzone przez  Ogólnopolskie Stowarzyszenie Menedżerów Bezpieczeństwa „Clausula Securitatis” (swoją drogą polecam, bardzo profesjonalnie i rzeczowo poprowadzone) Instruktorzy prowadzący szkolenie przedstawili parę całkiem interesujących przykładów jak niektóre samorządy podchodzą do bezpieczeństwa naszych danych osobowych.

Nie będę się tutaj rozwodził nad tym czym są a czym nie są dane osobowe oraz kto może a kto nie może ich przetwarzać. O tym innym razem a tych bardziej zainteresowanych odsyłam do ustawy o ochronie danych osobowych.

Polityka Bezpieczeństwa w teorii


Rozporządzenie MSWIA z dnia 29.04.2004 „w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych” (uff.. Już koniec nazwy. 😉 ) Nakłada na wszystkie podmioty dokonujące przetwarzania danych osobowych w ramach ustawy szereg obowiązków. Jednym z nich jest obowiązek

prowadzenia (..)  dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.

Na tą dokumentację składa się:

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Są to wszelkie informacje, instrukcje i procedury dotyczące przetwarzania danych osobowych, tworzenia kopii zapasowych, udostępniania tych danych itd. Wszystko co się tyczy tych kwestii przetwarzania danych.  Zainteresowanych szczegółowymi informacjami odsyłam do rozporządzenia.

Wspomniane w opowieści RPG-16

Opracowane procedury dotyczą wszystkich osob uczestniczących w przetwarzaniu danych. Za stworzenie tej procedury odpowiada Administrator Bezpieczeństwa Informacji (ABI). (Tutaj został mi słusznie wytknięty błąd. ABI zajmuje się nadzorowaniem a nie tworzeniem procedury. Dla zainteresowanych )

Polityka bezpieczeństwa w praktyce

I po tym przydługawym wstępie dochodzimy do clue wpisu. Wiele samorządów i organizacji umieszcza takie instrukcje na swoich oficjalnych stronach. Nie ma w tym nic nagannego.

Oczywiście o ile ABI to nie jest pan Zdzisiu ochroniarz którego „kopnął w dupę zaszczyt” stworzenia polityki bezpieczeństwa albo pani Krysia która pół życia przesiedziała w kadrach na zmianę obliczając składki na ZUS, składkę zdrowotną  i robiąc kawę (niekoniecznie w tej kolejności).

Opis takich „profesjonalnych” opracowań zachowań zaczniemy od Gminy Budzyń. Ich politykę bezpieczeństwa można znaleźć w internecie. A tam, już na stronie trzeciej mamy bardzo ciekawe informacje.

    Obszar przetwarzania danych osobowych w systemie stanowią pomieszczenia:

Adres ? budynek                                                            Nr pomieszczenia
64-840 Budzyń, ul. Lipowa 6                         –  1,2,4,7,9,10,11,12,13,14,16,17
64-840 Budzyń, ul. Rynkowa 13                    –  Parter
64-800 Chodzież, ul. Wyszyńskiego 4         –  Skrytka sejfowa

A jeżeli ktoś lubi dostawać wszystko w jednym pakiecie to:

Kopie zapasowe zawierające zbiory danych osobowych przechowywane są w szafie stalowej w pokoju nr 10 w budynku przy ul. Lipowej 6 w Budzyniu.

Budzyń. Ul. Lipowa 6

A jakie dane w urzędzie możemy znaleźć??

W systemie zbierane są dane zawierające informacje o osobach będących klientami urzędu, które przetwarzane są zgodnie z prawem lub zgodziły się na ich przetwarzanie. Dane te tworzą następujące zbiory:

    a. Oświadczenia o stanie majątkowym osób zobowiązanych do ich składania.
      b. Wykaz przedpoborowychc. Rejestr przedpoborowychd. Wykaz poborowych

e. Plan urządzeń lasów niepaństwowych

f. Akta Stanu Cywilnego (Urząd Stanu Cywilnego w Budzyniu)

g. Ewidencja Ludności Gminy Budzyń i dowody osobiste

h. Ewidencja osób, którym udzielono zezwolenia na wycinkę drzew

i. Ewidencja wniosków i wydanych zezwoleń na utrzymywanie psa rasy uznanej za agresywną

j. Ewidencja osób, którym wydano zawiadomienia o nadaniu numeru porządkowego nieruchomości

k. Ewidencja osób, którym wydano decyzje o warunkach zabudowy,zagospodarowania terenu

      l. Ewidencja osób, którym wydano decyzję o podziale nieruchomościm. Ewidencja gruntów i budynków

n. Ewidencja podatników i dłużników

o. Rejestr umów najmu lokali

p. Rejestr umów dzierżawy

q. Rejestr użytkowników wieczystych

r. Rejestr skarg i wniosków

s. Dziennik korespondencji

t. Akcyza

u. Kadry

v. Płace

Mało? Samo tylko oświadczenie majątkowe osób zobowiązanych do ich składania zawiera takie dane jak:

    1. imię i nazwisko, nazwisko rodowe
    2. data i miejsce urodzenia
    3. miejsce zatrudnienia
    4. stanowisko lub funkcja
    5. środki pieniężne zgromadzone w walucie obcej
    6. papiery wartościowe
    7. prowadzona działalność gospodarcza(forma prawna i przedmiot działalności)
    8. przychód i dochód osiągnięty z prowadzonej działalności gospodarczej
    9. zarządzana działalność gospodarcza (przedstawiciel, pełnomocnik, forma prawna, przedmiot działalności)
    10. dochód z zarządzania działalnością gospodarczą działalność w spółkach handlowych(nazwa i siedziba spółki), czy jest członkiem zarządu(od kiedy), czy jest członkiem rady nadzorczej(od kiedy), czy jest członkiem komisji rewizyjnej(od kiedy)
    11. dochody osiągnięte z tego tytułu działalność w spółdzielniach
    12. dochody osiągnięte działalność w fundacjach prowadzących działalność gospodarczą
    13. dochody osiągnięte inne dochody z tytułu zatrudnienia lub innej działalności zarobkowej mieszkanie(powierzchnia, wartość, tytuł prawny)
    14. gospodarstwo rolne(rodzaj, powierzchnia, wartość, rodzaj zabudowy, tytuł prawny, dochód)
    15. inne nieruchomości(powierzchnia, wartość, tytuł prawny)
    16. udziały w spółkach handlowych (liczba, emitent udziałów, dochód)
    17. majątek nabyty od skarbu państwa, samorządu w drodze przetargu składniki mienia ruchomego o wartości powyżej 10.000 zł
    18. zobowiązania pieniężne o wartości powyżej 10.000 zł

Przyjmuje się, że średnio dane osobowe kosztują na czarnym rynku od 20-150 USD (zależy od tego jak dużo ich jest, najczęściej są wykorzystywane do tworzenia fałszywej tożsamości). Jestem pewien, że powyższe dane będą w górnej granicy. Liczba mieszkańców gminy Budziszyn w 2004r. wynosiła  42 400. Uznajmy, lekko licząc, że dane połowy osób mogą być wartościowa. Przeliczmy w takim razie 21 tyś.  razy 100USD. Prawda, że dużo zer?  Upraszczając, taka jest mniej więcej czarnorynkowa wartość danych osobowych znajdujących się w Budziszyńskim urzędzie.

Gmina Przemków też chętnie informuje o miejscu przetwarzania danych.

Oczywiście podawanie danych o tym, gdzie przetwarzane są dane osobowe nie jest zabroniona. Ale czy jest rozsądna?

Innym, ciekawym przykładem „profesjonalnego” podejścia jest Gmina Miłkowice i ich polityka bezpieczeństwa. Bardzo interesujący jest paragraf 7.

Środki ochrony fizycznej.

    1. (?) Pomieszczenie gdzie znajdują się zbiory osobowe Ewidencji Ludności, USC oraz SWDO zabezpieczone jest podwójnymi drzwiami, oba wyposażone są w zamki patentowe.

Dodatkowo w pomieszczeniu zamontowany został system alarmowy.

  1. Wejście do budynku Urzędu Gminy Miłkowice wyposażone zostało w antywłamaniowe drzwi wyposażone w zamki patentowe.
  2. Drzwi do pomieszczeń, w których przetwarza się dane osobowe wykonane są z materiałów uniemożliwiających łatwy dostęp i wyposażone w zamki patentowe.

Brzmi profesjonalnie prawda? Wszystko gra, tylko jak doczytałem punkt trzeci to przysłowiowo „witki mi opadły”

(?) wyposażone w zamki patentowe. Klucze przechowywane są w wyznaczonej do tego celu szafce w sekretariacie Urzędu.

No tak. Po co pokonywać antywłamaniowe drzwi wyposażone w zamki patentowe skoro można się włamać po klucze do sekretariatu. Nie mam pojęcia jak jest zabezpieczony sekretariat ale samo upublicznienie takiej informacji woła o pomstę do nieba. Pracując nad tym artem przeczytałem wiele dokumentów z polityką bezpieczeństwa które są umieszczone w sieci. Nigdzie nie znalazłem tak światłej informacji. 🙂

Żeby nie kończyć pesymistycznie. Tak jak wspominałem wyżej, w poszukiwaniu materiałów przeczytałem sporo polityk bezpieczeństwa i przytłaczająca większość z nich była sporządzona zgodnie z „regułami sztuki”. Na przykład miejsce przetwarzania danych osobowy znajdowało się w dokumencie ale w formie załącznika który nie był upubliczniony. Mała rzecz a cieszy. 🙂

Niech puenta tego wpisu będzie myśl, że nie sztuką jest reagować na zagrożenie ale zapobiegać jego wystąpieniu. Kiedy takie dane osobowe raz wyciekną to będą już krążyć wiecznie.

P.S. 11 lutego był obchodzony m-narodowy dzień numeru 112. Planowałem napisać coś na ten temat ale uznałem, że póki co, jest wystarczająco dużo depresyjnych tematów. Może za rok będzie okazja skrobnąć coś pokrzepiającego. 🙂

W temacie:
Proszę Pani, JA TEGO KREDYTU NIE BRAŁEM!! Czyli co zrobić gdy stracimy dokumenty
Gdy pieniądze same znikają nam z konta. Skimming – czym jest i jak się chronić
Babciu, potrzebuje pieniędzy – wyłudzenie „na wnuczka”

Dla zainteresowanych:
Stowarzyszenie menedżerów bezpieczeństwa Clausula Securitatis
Generalny Inspektor Ochrony Danych Osobowych