Osoby odpowiedzialne za bezpieczeństwo danych w polskich urzędach skupiają swoje wysiłki przede wszystkim na kwestiach formalnych, pomijając stan faktyczny. Przeprowadzane w nich audyty skupiają się w większości na tworzeniu kolejnych polityk, wytycznych opisujących jak powinien wyglądać stan idealny. Jednak niewielu audytorów i audytowanych wie gdzie w rzeczywistości dane cyfrowe są przechowywane.

Problem dotyczy ogromnej ilości danych. Zjawisko to powstało na skutek zbyt dużego przyrostu ilościowego informacji w stosunku do systemów służących jej kontrolowaniu. Jak mówi Zbigniew Engiel z laboratorium informatyki śledczej Mediarecovery – W każdej organizacji dane „wędrują” pomiędzy komputerami, ważne informacje takie, jak dane osobowe znajdują się często u pracowników, którzy nie powinni ich mieć. W związku z tym, coraz częściej zdarzają się przypadki wycieku informacji, na skutek celowego lub przypadkowego działania użytkowników.

Urzędowa rzeczywistość mocno papierowa

Urzędy administracji publicznej i samorządowej stosują specyficzne podejście do bezpieczeństwa danych. Zdobycie kolejnego certyfikatu, dokumentu potwierdzającego, że procedury są w jak najlepszym porządku staje się głównym celem. Pokutuje myślenie, że najważniejsze to porządek w papierach, a nad ewentualnymi konsekwencjami bałaganu wśród danych cyfrowych nie warto myśleć dopóki nie wydarzy się jakaś afera – twierdzi Zbigniew Engiel z laboratorium Mediarecovery.

Nie tylko bezpieczeństwo

Uporządkowanie kwestii związanych z informacjami w postaci cyfrowej ma również wpływ na sprawność i ciągłość pracy. Zwyczajne, na pierwszy rzut oka, odejście urzędnika z pracy może nastręczyć mnóstwa problemów. Nikt bowiem, poza nim, nie wie gdzie i w jaki sposób przechowywał dane, na których pracował. W sytuacji, w której trzeba odnaleźć jakiś ważny dokument pojawia się kłopot.

Jeszcze poważniej sprawa wygląda w przypadku danych osobowych. Zasady i sposoby ich przechowywania szczegółowo określa ustawa. Bazy danych osobowych muszą znajdować się jedynie we wskazanych i zgłoszonych do GIODO miejscach. I zapewne w dokumentacji taki porządek jest. W praktyce nie trudno wyobrazić sobie sytuację, w której ktoś robi kopię lokalną wycinka takiej bazy albo zastępując kolegę przenosi ją na swój komputer, bo tak pracuje mu się lepiej. Po zakończeniu zastępstwa zapomina o jej istnieniu. W ten sposób urząd łamie ustawę o ochronie danych osobowych nawet o tym nie wiedząc – dodaje Zbigniew Engiel.

Jak zapanować nad danymi?

W USA i Europie Zachodniej rozwiązuje się ten problem m.in. za pomocą rozwiązań EnCase eDiscovery, umożliwiających zlokalizowanie dowolnych danych elektronicznych wewnątrz struktury organizacyjnej danej instytucji. Stwierdzenie „dowolne dane” może być traktowane dosłownie, ze względu na fakt, iż szukając informacji określa się dowolne warunki je charakteryzujące.

Część klientów nie wdraża tej technologii, lecz korzysta z tańszej opcji, czyli audytu „sprawdź gdzie żyją Twoje dane” wykonywanego przez naszych specjalistów – mówi Zbigniew Engiel z laboratorium Mediarecovery – Jego efektem jest precyzyjne wskazanie gdzie, na których komputerach, znajdują się interesujące nas informacje – dodaje. Takie działanie przeprowadzane regularnie dwa razy w roku pozwala zachować kontrolę nad danymi i przeciwdziałać sytuacjom patologicznym.

W Polsce z technologii EnCase eDiscovery korzystają przede wszystkim instytucje bankowe, finansowe i firmy telekomunikacyjne. Również tam pracownicy mają dostęp do danych osobowych klientów, a firmom zależy żeby funkcjonować w zgodzie z przepisami.