Audyt cyberbezpieczeństwa stron www, firm i instytucji

Przykład audytu – szkoła podstawowa

Aby lepiej zobrazować, jak może wyglądać wynik audytu zerowego, przedstawmy hipotetyczny, uproszczony przykład dla typowej szkoły podstawowej. Pamiętajmy, że każda placówka jest inna, a rzeczywisty audyt będzie znacznie bardziej szczegółowy.

Nazwa placówki: Szkoła Podstawowa im. Przyjaznych Danych w Miejscowości X
Data audytu: [Aktualna data]
Osoba/zespół audytujący:
Wewnętrzny zespół ds. bezpieczeństwa (np. dyrektor, nauczyciel informatyki, sekretarz szkoły)

Główne stwierdzone niezgodności i luki (przykłady):

1. Brak indywidualnych kont użytkowników:

Obserwacja: W pracowni komputerowej oraz na niektórych komputerach w pokoju nauczycielskim używane są wspólne, generyczne konta logowania (np. „uczen”, „nauczyciel”) z tym samym, prostym hasłem. W sekretariacie logowanie do systemu obsługi uczniów odbywa się na koncie współdzielonym przez kilka osób.
Ryzyko: Brak możliwości identyfikacji działań konkretnego użytkownika, utrudnione zarządzanie uprawnieniami, zwiększone ryzyko nieautoryzowanego dostępu w przypadku kompromitacji hasła, brak rozliczalności.
Rekomendacja: Wdrożenie indywidualnych kont użytkowników dla wszystkich uczniów i pracowników, z unikalnymi, silnymi hasłami. Wprowadzenie zasad regularnej zmiany haseł i blokady kont po kilku nieudanych próbach logowania.

2. Brak Polityki Bezpieczeństwa Informacji (PBI) i Planu Ciągłości Działania (BCP):

Obserwacja: Szkoła nie posiada formalnie spisanej i zakomunikowanej Polityki Bezpieczeństwa Informacji. Nie istnieje również udokumentowany Plan Ciągłości Działania na wypadek poważnej awarii (np. awarii serwera z e-dziennikiem, długotrwałej przerwy w dostawie prądu).

Ryzyko: Brak jasnych zasad postępowania z informacjami i systemami IT, niespójne praktyki bezpieczeństwa, brak przygotowania na sytuacje kryzysowe, co może prowadzić do długotrwałego przestoju w działaniu kluczowych systemów i utraty danych.

Rekomendacja: Opracowanie i wdrożenie PBI zgodnej z charakterem działalności szkoły oraz wymogami RODO/KSC. Opracowanie BCP obejmującego kluczowe systemy i procesy, w tym procedury awaryjne dla e-dziennika i komunikacji. 

3. Brak systematycznego zgłaszania i rejestrowania incydentów bezpieczeństwa:

Obserwacja: Nie ma formalnej procedury zgłaszania incydentów bezpieczeństwa (np. podejrzenia phishingu, zgubienia pendrive’a z danymi, nieautoryzowanego dostępu). Incydenty, jeśli są zauważane, są rozwiązywane doraźnie, bez dokumentowania. Nie jest prowadzony Rejestr Naruszeń Ochrony Danych Osobowych.

Ryzyko: Brak możliwości analizy trendów, identyfikacji powtarzających się problemów, wyciągania wniosków na przyszłość. Niewypełnienie obowiązku dokumentowania naruszeń RODO, co może prowadzić do sankcji ze strony UODO. Potencjalne opóźnienia w reakcji na poważne incydenty. 

Rekomendacja: Opracowanie i wdrożenie procedury zarządzania incydentami, w tym sposobu ich zgłaszania, klasyfikacji, obsługi i dokumentowania. Utworzenie i regularne prowadzenie Rejestru Incydentów Bezpieczeństwa oraz Rejestru Naruszeń Ochrony Danych Osobowych. Przeszkolenie personelu z procedury. 

4. Brak przeprowadzonej Oceny Skutków dla Ochrony Danych (DPIA) dla e-dziennika i monitoringu:

Obserwacja: Szkoła korzysta z systemu e-dziennika, w którym przetwarzane są szczegółowe dane osobowe uczniów (w tym oceny, frekwencja, uwagi, potencjalnie informacje o potrzebach specjalnych). Funkcjonuje również system monitoringu wizyjnego obejmujący korytarze i wejście do szkoły. Dla żadnego z tych systemów nie przeprowadzono formalnej Oceny Skutków dla Ochrony Danych (DPIA).

Ryzyko: Przetwarzanie danych w systemach o potencjalnie wysokim ryzyku dla praw i wolności osób bez formalnej analizy tego ryzyka i wdrożenia środków jego minimalizacji. Niewypełnienie obowiązku wynikającego z art. 35 RODO, co może skutkować karą od UODO.

Rekomendacja: Niezwłoczne przeprowadzenie DPIA dla systemu e-dziennika oraz dla systemu monitoringu wizyjnego. W przypadku zidentyfikowania wysokiego ryzyka, którego nie da się zminimalizować, konsultacja z UODO. 

Inne przykładowe obserwacje (mogące się pojawić w pełnym audycie):

• Nieaktualne oprogramowanie antywirusowe na części komputerów.
• Brak regularnych kopii zapasowych danych z serwera plików lub ich przechowywanie w tej samej lokalizacji co dane oryginalne.
• Otwarta, niezabezpieczona hasłem sieć Wi-Fi dla gości.
• Brak szkoleń dla personelu z zakresu cyberbezpieczeństwa i RODO w ciągu ostatnich 2 lat.
• Brak umowy powierzenia przetwarzania danych z dostawcą e-dziennika lub umowa nie spełniająca wymogów art. 28 RODO. 

Ten przykład pokazuje, że nawet w pozornie dobrze funkcjonującej placówce audyt zerowy może ujawnić istotne obszary wymagające poprawy. Jest to bezcenny materiał do stworzenia planu naprawczego.