Czy uczelnie są gotowe na ataki cyber?
Na różnych portalach informacyjnych można znaleźć szereg wiadomości dotyczących wycieków danych z uczelni. O takich przypadkach staje się głośno z uwagi na to, że po pierwsze, uniwersytety czy politechniki przetwarzają dużą ilość danych (byli i obecni studenci, kandydaci na studentów, pracownicy itp.). Zaś po drugie, dane, które zbierają, z łatwością mogą posłużyć do popełniania dalszych przestępstw. Nie jest rzeczą trudną wziąć pożyczę czy kredyt posługując się takimi danym jak imię, nazwisko, PESEL, podpis.
SGGW
Jesienią ubiegłego roku media obiegła informacja o kradzieży laptopa jednego z wykładowców Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie. W środku miały znajdować się dane rekrutacyjne studentów i kandydatów na studentów obejmujące okres kilku lat wstecz. Istniało duże niebezpieczeństwo, że nieuczciwy znalazca może odczytać te dane i posłużyć się nimi do przestępczych celów. Na uczelni zjawiła się kontrola PUODO, która stwierdziła liczne zaniedbania w kwestii ochrony danych osobowych. Zarzucono m.in. brak aktualizacji i przeglądów polityk bezpieczeństwa oraz brak przeglądów procesu przetwarzania danych osobowych kandydatów na studia. PUODO wskazał też, że pojawiły się uchybienia dotyczące sprawowania funkcji inspektora ochrony danych osobowych, który miał nie wypełniać swoich zadań zgodnie z RODO. W związku z tym sprawa ma dalszy bieg – pod koniec marca Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie administracyjne.
Politechnika Warszawska
Na początku kwietnia dwa portale – Zaufana Trzecia Strona oraz Niebezpiecznik – poinformowały o dostępnym w sieci pliku z danymi około 5. tys. studentów i pracowników Politechniki Warszawskiej. Niestety jest to jeden z przykładów niebezpieczeństwa przejścia na nauczanie zdalne. Dane miały pochodzić z bazy Ośrodka Kształcenia Na Odległość (OKNO). W tym przypadku wyciek dotyczy takich danych jak PESEL, adres, imię panieńskie matki. Uczelnia zapowiedziała, że osoby, które zostały dotknięte wyciekiem będą mogły ubiegać się o zwrot kosztów poniesionych na zabezpieczenie danych osobowych. Refundacja ma dotyczyć Alertów BIK, co pozwoli na monitorowanie, czy nikt nie chce posłużyć się danymi studentów. Władzom uczelni zarzuca się zbyt opieszałe działanie. Dotyczy to między innymi zbyt późnego poinformowania osób, których dane wyciekły.
Problem światowy
Nie tylko polskie uczelnie stają się łakomym kąskiem dla przestępców (oprócz SGGW oraz PW incydenty dotknęły np. Collegium Da Vinci w Poznaniu oraz Uniwersytet SWPS w Warszawie). 2019 rok obfitował w wiele przypadków naruszenia bezpieczeństwa danych także na świecie:
– Australijski Uniwersytet Narodowy – ok. 200.000 osób dotkniętych wyciekiem,
– Uniwersytet Greenwich – naruszenie danych 19.500 studentów. Uczelnia w tym przypadku została ukarana grzywną w wysokości 120.000 funtów na podstawie brytyjskiego aktu o ochronie danych,
– Uniwersytet Stanowy w Waszyngtonie – wyciek danych w tym przypadku mógł dotyczyć nawet 4.500.000 osób!
Mając na uwadze powyższe incydenty, warto na poważnie podejść do tematu bezpieczeństwa informatycznego na uczelniach, ponieważ zaniedbania w tym zakresie mogą doprowadzić do wielotysięcznych (jeśli nie wielomilionowych) odszkodowań, nie mówiąc o szkodach wizerunkowych. Dotyczy to nie tylko uczelni, lecz wszystkich podmiotów publicznych, które przetwarzają dane osobowe na masową skalę.
Oczywiście zapraszamy do kontaktu w sprawie ubezpieczenia cyber, które stanowi doskonałą odpowiedź rynku ubezpieczeń na współczesne zagrożenia.
Wyciek danych z Politechniki Warszawskiej – nazwiska, dane kontaktowe, oceny
https://www.money.pl/gospodarka/wyciek-danych-z-sggw-uodo-skontroluje-uczelnie-6447719729805441a.html
https://www.pulseway.com/blog/university-data-breaches-in-2019-that-are-hard-to-ignore