Urząd Ochrony Danych Osobowych wydał decyzje nakładającą karę na urząd publiczny z sektora Jednostek Samorządu Terytorialnego.

Wysokość kary to 40 tysięcy złotych. Kara zaliczona została do górnego pułapu (limit do 100 tysięcy) i zostanie pokryta przez Burmistrza Urzędu w Aleksandrowie Kujawskim.

Kontrolerzy potwierdzili, że ochrona danych i bezpieczeństwo zależy w dużej mierze od przeprowadzonych w zgodzie z ISO 31000 lub ISO 27005 analiz ryzyka, która musi wykazać wpływ zagrożeń na atrybuty bezpieczeństwa (poufność, dostępność i integralność) w administrowanych procesach przetwarzania danych. Brak sumiennego i zgodnego z zaleceniami postępowania powoduje naruszenie art. 5 ust 1 lit f oraz art. 5 ust 2 RODO.

Administrator musi pamiętać o obowiązku dostępności do przetwarzanych danych, który jest spełniony jeśli zostanie opracowany plan postępowania na wypadek awarii. Jednym z elementów są procedury tworzenia kopii zapasowych i ich testowanie. Rozwiązanie w przedmiotowym zakresie odnajdujemy w normach ISO 22301.
Zalecenia kontrolerów urzędu dotyczyły procesu retencji danych, od momentu pozyskania do czasu usunięcia w wyniku osiągnięcia zamierzonego celu.

Urzędnicy Urzędu Ochrony Danych Osobowych potwierdzili, że Administrator udostępniał dane osobowe bez podstawy prawnej, naruszając tym samym art. 28 ust. 3 RODO w związku z brakiem zawartych umów powierzenia z podmiotami współpracującymi.

Podsumowując nieprawidłowości Urzędu w Aleksandrowie Kujawskim dotyczyły:

• nieprawidłowości związanych z transmisją posiedzeń rady miejskiej na YouTube
• braku procedur dotyczących przeglądów danych prezentowanych na BIP-ie
• braku umów powierzenia danych zawartych ze spółkami obsługującymi BIP urzędu

To jest bardzo mocny sygnał płynący zarówno do sektora prywatnego jak i publicznego, że każdy może zostać ukarany w przypadku nieprawidłowości i zaniedbań.

Należy również pamiętać, że potwierdzeniem bezpieczeństwa świadczonych usług w ramach umowy o współpracy z Inspektorem Ochrony Danych jest polisa ubezpieczeniowa OC. Tak jak to ma miejsce w przypadku naszej firmy.

Każdego dnia otrzymujemy dziesiątki a nawet setki  e-maili, zawierających informacje o różnych priorytetach ważności, zachęcające nas do klikania w aktywne makra lub pliki

To może być atak phishingowy.

Scenariusz z reguły jest zawsze taki sam, dostajemy e-maila, w którego treści zawarta jest informacja o tym, że skorzystaliśmy z usług  danej firmy i w zgodzie z umową otrzymujemy fakturę, która została zapisana w pliku i dołączona jako załącznik.

Nadawca przesyłając wiadomość liczy, że posiadamy uprawnienia admina i nie będziemy mieli czasu analizować rozwinięcia pliku i adresu e-mail.

Załączony plik i treść e-maila na pierwszy rzut oka może nie wzbudzać podejrzeń a tak naprawdę zawiera złośliwe oprogramowanie, które jeżeli firma nie wdrożyła planów reagowania na incydent, może sparaliżować pracę całego przedsiębiorstwa.

Nadawca e-maila może podszyć się pod klienta firmy, dlatego zalecamy analizę adresu nadawcy w przypadku niezamówionych korespondencji lub kont e-mail, które zostały dedykowane do przesyłania faktur.

Poniżej zamieszczamy treść takiego maila, na którym zaznaczone są elementy, jakie powinny od razu wzbudzić czujność u odbiorców:

Po otrzymaniu takiej korespondencji zalecamy zgłaszać takie przypadki poprzez stronę: https://incydent.cert.pl

Dzięki temu można ostrzec podmioty publiczne,  inne osoby a ponadto mieć swój udział w  prewencji  zachowań o charakterze cyberprzestępczym.

Dnia 04 października 2019 w Belwederze braliśmy udział w Konferencji poruszającej temat dotyczący źródeł finansowania oraz mechanizmów wsparcia innowacyjnych projektów w zakresie IoT.

Konferencję otworzył Minister Cyfryzacji Marek Zagórski a gościem honorowym Konferencji był Prezydent RP Andrzej Duda.

Rozmowy dotyczyły wsparcia finansowego firm mających innowacyjne pomysły lub będące w fazie rozwoju.

Dyrektor GovTech przedstawił możliwość korzystania przez podmioty publiczne z usług proponowanych przez startupy.

W tym celu została powołana do życia platforma konkursowa pod adresem: https://konkursy.govtech.gov.pl/jak-to-dziala

Za pomocą platformy Instytucje poszukują najlepszych możliwych partnerów do wykonania właściwych rozwiązań a Partnerzy wybierani są w formie konkursów, gdzie liczy się pomysł, żywy kod i jego efektywność, a nie przysłowiowy „papier” i  kryterium cenowe.

Cały proces opiera się o art. 110 ustawy prawo zamówień publicznych, w zgodzie z dobrymi praktyki opublikowanymi przez Urząd Zamówień Publicznych.

Jednym z prelegentów był przedstawiciel Polskiego Fundusz Rozwoju, który szczególnie docenia wartość eksperckiego doradztwa na polskim rynku i przedstawia profile sprawdzonych ekspertów z różnych dziedzin biznesowych, pomagając rozwijać  przedsiębiorstwa, które w tym celu zwróciły się do Funduszu.

W Konferencji uczestniczyli  członkowie grupy roboczej ds. Internetu Rzeczy – IoT, działającej przy Ministerstwie Cyfryzacji, którzy zaprezentowali wyniki pracy jednej z podgrup (Projekty i Finansowanie).

Dzięki takim wydarzeniom można było nawiązać znaczące relacje biznesowe, wymienić doświadczenia i zaplanować dalsze postępowanie w ramach grup roboczych. Swoją obecnością zaszczycili uczestników konferencji przedstawiciele kluczowych Spółek Skarbu Państwa, tj. PKN ORLEN, PKP i inni.

Konferencję zakończyło zrobienie wspólnego, pamiątkowego zdjęcia z Prezydentem, na tle Belwederu.

Bardzo zmęczeni, ale z głowami pełnymi pomysłów, nowych kontaktów i zdjęciami z wnętrza Belwederu wróciliśmy do naszych obowiązków.

Właściciel Spółki Inspektorzyrodo.pl Sp. z o.o. podjął decyzję o wyodrębnieniu w strukturze spółki Zespołu mającego uprawnienia audytorskie w zakresie funkcjonowania Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Audytor Wiodący ISO/IEC 27001:2017 z akredytacją IRCA posiada uprawnienia międzynarodowe, które potwierdzane są wpisem na listę audytorów.

Certyfikat Audytora Wiodącego ISO/IEC 27001:2017 w myśl Ustawy o Krajowym Systemie Cyberbezpieczeństwa upoważnia do przeprowadzania w organizacjach stanowiących infrastrukturę kluczową wymaganych prawem audytów wewnętrznych.

Minister Cyfryzacji w swoim Rozporządzeniu w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu z dnia 12.10.2018 roku określił kompetencje osób mogących przeprowadzać audyt.

Usługi kluczowe wymienione w rozporządzeniu obejmują następujące sektory:

– energia (między innymi energia elektryczna, ciepło, ropa i gaz)

– transport (z podziałem na wodny, lądowy i powietrzny)

– bankowość i infrastruktura rynków finansowych

– uzdatnianie wody i odprowadzanie ścieków

– ochrona zdrowia (w tym podmioty lecznicze i przemysł farmaceutyczny)

– infrastruktura cyfrowa (DNS, IXP i TLD)

Dodatkowo, dla sektora energetycznego – obowiązki wyszczególnione w Ustawie dotyczą również podmiotów współpracujących – tzn. obejmują „cały łańcuch”.

Treść Ustawy wraz z Załącznikiem Nr 1 przedstawiającym szczegółowy opis sektorów i podmiotów zakwalifikowanych do Infrastruktury Kluczowej znajduje się pod poniższym linkiem.

Jeżeli ktoś z Państwa otrzymał już decyzję Ministerstwa o uznaniu podmiotu Operatorem Usług Kluczowych zapraszamy do kontaktu.

Wyjaśnimy zapisy Ustawy, przeprowadzimy Audyt i przedstawimy plan realizacji wymogów ustawowych.