Komunikat IOD – bezpieczeństwo IT!

Szanowni Państwo,

w związku z ostatnimi zdarzeniami, które niestety coraz częściej dotykają szkół wyższych zwracam uwagę na konieczność regularnego sprawdzania/testowania narzędzi informatycznych stosowanych na Uniwersytecie Warszawskim.

Naruszenia przepisów regulujących ochronę danych osobowych w szczególności dot. bezpieczeństwa systemów teleinformatycznych, z których korzystają szkoły wyższe:

• Politechnika Warszawska;
• SWPS;
• SGGW.

Uprzejmie proszę o  zweryfikowanie z jakich narzędzi informatycznych/oprogramowania korzystają Państwo w swoich jednostkach organizacyjnych do przetwarzania danych osobowych oraz ustalenie:

• jakie zabezpieczenia dostępu oraz przechowywania danych są stosowane (uwierzytelnianie dwuskładnikowe, szyfrowanie danych, itp.);
• czy dostęp do tych narzędzi posiadają wyłącznie osoby upoważnione oraz przeszkolone w zakresie ochrony danych osobowych;
• gdzie przechowywane są dane (serwery uczelni czy serwery zewnętrzne);
• czy tworzone są kopie zapasowe danych przechowywane na innych nośnikach i czy są one również zabezpieczone na takim samym poziomie;
• czy istnieje realne wsparcie dot. konfiguracji i zabezpieczeń informatycznych, które może świadczyć pion IT jednostki organizacyjnej lub centralny;
• czy w ramach jednostki organizacyjnej dopuszczalne jest korzystanie z oprogramowania deweloperów zewnętrznych, z którymi uczelnia nie uregulowała kwestii przetwarzania danych osobowych. Należy mieć świadomość, że korzystanie z oprogramowania za pomocą którego przetwarzane są dane osobowe (np. imiona, nazwiska, adresy e-mail) dostarczanego przez deweloperów zewnętrznych może wiązać się z koniecznością podpisania umowy powierzenia przetwarzania danych osobowych;
• w jaki sposób gromadzone są dane osobowe i czy zbierany zakres danych osobowych jest zakresem minimalnym, niezbędnym do osiągnięcia zamierzonych celów, w których dane są przetwarzane.

W szczególności proszę zwrócić uwagę na oprogramowanie wykorzystywane do prowadzenia zajęć i egzaminów zdalnych. Zgodnie z zarządzeniem w sprawie zasad przeprowadzenia egzaminów i zaliczeń w trybie zdalnym w tym celu dopuszczalne jest korzystanie z ogólnouniwersyteckiej platformy e-learningowej „Kampus” oraz narzędzie Google Meet w ramach pakietu G-Suit dla Szkół i Uczelni. Korzystanie z narzędzi rekomendowanych w zarządzeniu pozwoli m.in. na kontrolę przepływu danych w tym danych osobowych i zmniejszy ryzyko wystąpienia naruszenia praw osób, których dane dotyczą. Rekomenduję przygotowanie instrukcji dla pracowników w zakresie bezpiecznej konfiguracji oprogramowania służącego do prowadzenia zajęć, zaliczeń i egzaminów w formie zdalnej. W tym celu niezbędny będzie kontakt z informatykami świadczącymi wsparcie w ramach jednostki organizacyjnej lub centralnie.

Uprzejmie przypominam, że korespondencja dot. realizacji zadań służbowych, a w szczególności korespondencja ze studentami powinna odbywać się z wykorzystaniem poczty elektronicznej znajdującej się w domenie uczelnianej. Jeżeli pracownicy Państwa jednostek organizacyjnych korzystają z poczty uniwersyteckiej ulokowanej na serwerach Google – serdecznie polecam wykorzystywanie do logowania do poczty uwierzytelniania dwuskładnikowego. Rekomenduję skorzystanie z kluczy bezpieczeństwa, które można uzyskać przy okazji zakładania zdalnego dostępu pracowników do usług IT UW.

Chciałbym zwrócić uwagę, że wystąpienie naruszenia ochrony danych wiąże się z ryzykiem nałożenia przez organ nadzorczy na UW administracyjnej kary pieniężnej w wysokości do 100 tysięcy złotych. Odpowiedzialności dyscyplinarnej może podlegać również pracownik, którego niewłaściwe działanie lub zaniedbanie spowodowało wystąpienie naruszenia.

Polecam także zapoznanie się z poniższymi poradnikami:

• kilka odo porad dot. pracy zdalnej;
• praca zdalna – poradnik

Więcej o pracy zdalnej można przeczytać tutaj.

Aktualizacja (21.05.2020)

W nawiązaniu do komunikatu IOD z dnia 5 maja 2020 r. w sprawie wycieków danych osobowych, które miały miejsce w uczelniach wyższych, uprzejmie informuję, że zgodnie ze stanowiskiem Działu Sieci Komputerowych (DSK) klucze bezpieczeństwa (tokeny) udostępniane przez DSK wykorzystywane są w celu uzyskania zdalnego dostępu do systemów ogólnouczelnianych oraz do systemów zarządzania uczelnią, a także nie wszystkie z udostępnianych kluczy bezpieczeństwa umożliwiają wykorzystywanie ich w celu uwierzytelniania dwuskładnikowego.

Zgodnie z powyższym, aby wprowadzić uwierzytelnianie dwuskładnikowe na kontach pocztowych na serwerach Google UW uprzejmie informuję, że w tym celu możliwe jest korzystanie z innych form uwierzytelniania dwuskładnikowego pozwalających na generowanie kluczy bezpieczeństwa takich jak:

• aplikacja google authenticator;
• telefon w roli klucza fizycznego;
• potwierdzenie logowania na telefonie;
• kody SMS.

Wsparcia w konfiguracji uwierzytelniania dwuskładnikowego mogą Państwu udzielić piony informatyczne w jednostkach organizacyjnych.