19:35
16/11/2019

Współczujemy absolwentom, studentom i niedoszłym studentom SGGW. Wczoraj uczelnia poinformowała ich mailowo, że ich dane zostały skradzione, wraz z laptopem jednego z pracowników uczelni. I to nie byle jakie dane, bo w zasadzie kompletne. Zabrakło chyba tylko ich numeru buta…

Ilu osób dotyczy wyciek danych?

Zacznijmy od tego, że tak naprawdę to nie wiemy, ile danych było na dysku zgubionego laptopa — nawet uczelnia tego nie wie — w swoim oświadczeniu SGGW podaje jedynie mało precyzyjnie, że chodzi o

“dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych w ostatnich latach”

Dlatego w tytule wpisaliśmy setek tysięcy i z przyjemnością przyjmiemy od SGGW prośbę o sprostowanie (bo taka musi bazować na faktach) — może w ten sposób uda się ustalić faktyczny zakres tego wycieku, czyli coś na co liczą zdenerwowani studenci, których kilkuset (!) napisało do nas z tym pytaniem. Pytanie czy SGGW będzie w stanie to w ogóle ustalić…

Póki co należy więc przyjmować, że każdy, kto kiedyś składał papiery do SGGW jest w grupie ofiar, których dane znajdowały się na dysku skradzionego laptopa.

Jakie dane były na dysku skradzionego laptopa?

Jak czytamy w oświadczeniu, na dysku komputera znajdowały się następujące dane osobowe kandydatów:

    – PESEL,
    – imię i nazwisko,
    – adres zamieszkania,
    – seria i numer dowodu/paszportu,
    – seria i numer dowodu osobistego,
    – nr telefonu komórkowego

    – imiona rodziców,
    – drugie imię,
    – nazwisko rodowe,
    – płeć,
    – narodowość,
    – obywatelstwo,
    – ukończona szkoła średnia,
    – miejscowość szkoły średniej,
    – nr telefonu stacjonarnego,
    – rok ukończenia szkoły średniej,
    – numer i data świadectwa ukończenia szkoły średniej,
    – organ wydający świadectwo,
    – rok matury i data świadectwa maturalnego,
    – organ wydający świadectwo maturalne,
    – wyniki uzyskane na egzaminie maturalnym,
    – ukończone studia,
    – ukończona uczelnia,
    – ukończony kierunek studiów,
    – ocena na dyplomie,
    – średnia ze studiów,
    – kierunek studiów o który kandydat się ubiega,
    – dane szkoły średniej,
    – informacja o zakwalifikowaniu na studia,
    – punkty kwalifikacyjne kandydata,
    – zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.

Nieźle, nie? Tyle typów danych wymienia SGGW, ale nam wydaje się, że dodatkowo na dyskach mogły być jeszcze zdjęcia (wizerunki) studentów. I tu pytanie do kandydatów, czy na jakimkolwiek z powyższych dokumentów / wniosków do SGGW dołączaliście swoje fotografie?

SGGW poinformowało nas za późno!

To zdanie chyba najczęściej przewijało się w e-mailach do redakcji Niebezpiecznika dotyczących tego incydentu. Studenci byli oburzeni, że o sprawie z 5 listopada dowiadują się po 10 dniach dniach. Ale…

Pracownik, który stracił laptopa wcale nie musiał się zorientować, że go nie ma od razu. Nieprawdą jest też to, co wielu studentów zarzuca uczelni, że zgodnie z RODO SGGW miało 72 na poinformowanie ofiar o incydencie. 72 godziny są na poinformowanie UODO, nie ofiar. Ofiar wcale nie trzeba informować, jeśli administrator danych uzna, że incydent nie jest istotny. Tu jak widać, SGGW nie “zamiotło sprawy pod dywan”.

Czy dysk był szyfrowany?

I to jest kluczowe pytanie …na które niestety nie znajdziemy wprost odpowiedzi w oświadczeniu SGGW. Gdyby dysk był szyfrowany, to kradzież laptopa nie pozwoliłaby na dostęp do danych zapisanych na dysku twardym (o ile hasło byłoby mocniejsze niż “abc123”) i wydaje się, że każdy administrator danych w takiej sytuacji podkreśliłby to w komunikacie.

Wiele jednak wskazuje na to, że na laptopie pracownika SGGW nie skonfigurowano Full Disk Encryption. Jak możemy przeczytać w dalszej części oświadczenia:

w celu zaradzenia naruszeniu ochrony danych osobowych i zminimalizowania ewentualnych negatywnych skutków tego naruszenia podjął niezwłocznie adekwatne środki organizacyjne, administracyjne i prawne, w tym ponownie poinformował pracowników, iż przetwarzanie danych osobowych, których administratorem lub procesorem jest SGGW może odbywać się wyłącznie na nośnikach służbowych zapewniających właściwą ochronę poufności i bezpieczeństwa danych osobowych zgodnie z obowiązującymi w SGGW wewnętrznymi procedurami.

Ba! Na podstawie powyższego można się nawet zastanawiać czy skradziony laptop w ogóle był laptopem uczelnianym?. Sytuacja na niektórych uczelniach jest na tyle patologiczna, że kadra pracuje na prywatnym sprzęcie, nad którego bezpieczeństwem — co oczywiste — uczelniani informatycy kontroli nie mają. Cieżko im więc zarzucać w takiej sytuacji brak kompetencji (uczelnia sugeruje w komunikacie powyżej, że “obowiązujące wewnętrznie procedury” wymagają zabezpieczenia danych na nośnikach. No ale to nie to samo co wymuszają.).

UPDATE!
Ale mieliśmy nosa! Po publikacji naszego artykułu na stronie SGGW pojawiło się oświadczenie rzecznika prasowego, w którym informuje on, że skradziony laptop był prywatnym laptopem pracownika, który bezprawnie zgrał na niego dane z uczelnianych systemów.

Musimy więc założyć najgorsze. A to oznacza, że do danych studentów nowy właściciel laptopa łatwo uzyska dostęp, jeśli:

  • – uda mu się odgadnąć hasło logowania do systemu operacyjnego (o ile właściciel ustawił jakieś hasło)
  • – zada sobie trud odkręcenia kilku śrubek i podepnie dysk pod dowolny inny komputer

Może nie będzie aż tak źle?

Zwracamy jednak uwagę na to, że choć dostanie się do tych danych jest w przypadku niezaszyfrowanego dysku banalnie proste, to złodziej (znalazca?) laptopa musi w ogóle chcieć się do tych danych dostać, a przede wszystkim musi je odnaleźć je w gąszczu zapewne wielu innych plików na dysku.

Znamy przypadki, że osoby, które kupowały używany sprzęt, znajdowały na dysku niewykasowane dane (a nawet pełne bazy danych Znanych Polskich Serwisów Internetowych Których Nazwy Nie Wymienimy) lub nawet celowo przeprowadzały tzw. file carving, aby odzyskać z nośnika usunięte przez poprzedniego właściciela dane. Mimo to nie sądzimy, że prawdopodobna jest hipoteza, że ktoś celowo zlecił kradzież tego laptopa, bo wiedział że są na nim dane studentów.

Na pocieszenie możemy dodać, że większość złodziejów kradnie laptopy po to aby oddać je do komisu i zarobić. Nie zadają sobie w ogóle trudu “przełamywania zabezpieczeń” i analizowania danych. Chcą mieć szybko kasiorkę na przysłowiową flaszkę. Dane ich nie interesują.

Co więc grozi studentom, absolwentom i kandydatom?

Załóżmy, że jednak ktoś zorientuje się co jest na dysku — i będzie w stanie do tego dotrzeć. Wtedy studenci mogą mieć poważne kłopoty. Jakie? Tu akurat SGGW jest bardzo precyzyjne:

Możliwymi konsekwencjami ewentualnego naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie danych osobowych m.in. w celu:

  • uzyskania przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
  • uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
  • korzystania z praw obywatelskich osoby, której dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego – uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;
  • wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu

W zasadzie nic dodać, nic ująć. No może poza jedną drobnostką…

Na podstawie takiego kompletu danych jaki wyciekł, ktoś mógłby chcieć też okraść rachunki bankowe ofiar. Ma sporo danych, a brakujące może sobie zdobyć phishingiem. Ale już teraz może uwierzytelnić się na infolinii jako ofiara lub wyrobić duplikat karty SIM ofiary.

Dlatego wszystkim poszkodowanym przez SGGW sugerujemy lekturę naszego artykułu pt. Co robić, aby ktoś nie okradł mi konta w banku? I co robić, jak ktoś je jednak okradnie?

Składałem papiery na SGGW — co robić, jak żyć?

Zacznijmy od tego co poszkodowanym radzi sama uczelnia. A radzi ona to, aby studenci …radzili sobie sami.

Oh, jakże to inne podejście do tego stosowanego zagranicą… Zanim jednak podpowiemy Wam co teraz możecie zrobić, (a czego robić nie warto), przytoczmy rady uczelni:

[SGGW zaleca], aby osoby których dane osobowe mogły ulec naruszeniu, podjęły kroki minimalizujące ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych m.in. poprzez:
• założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: (…)). W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;
• zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
• dokonanie samodzielnego zgłoszenia faktu naruszenia danych osobowych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”.

Po pierwsze — rekomendowane przez uczelnie zakładanie kont w “serwisach do monitoringu kredytu”, to naszym zdaniem POMYŁKA, w dodatku mogąca spowodować jeszcze większe szkody, a na pewno odczuwalną stratę w Waszych portfelach.

Takie konta raz, że kosztują, dwa że wymagają podania dodatkowych danych osobowych (skan dokumentu tożsamości) kolejnej firmie (która znów może je stracić, por. jak można było przejąć konto w rejestrze dłużników), to przede wszystkim NICZEGO NIE GWARANTUJĄ. I dlatego nie ma za bardzo sensu w nie inwestować.

Od lat obserwujemy jak przestępcy wymuszają kredyty, pożyczki i chwilówki i gwarantujemy Wam, że w pierwszej kolejności wymuszą je u pożyczkodawców, którzy nie konsultują żadnych biur kredytowych przed wydaniem decyzji o przyznaniu pieniędzy. Zapamiętajcie:

Mając takie dane, jakie wyciekły, każdy może wziąć na Was pożyczkę i narobić długów, a żaden “monitoring kredytowy” może się o tym nie dowiedzieć i was o tym nie poinformuje.

Niestety, taką patologiczną sytuację mamy w Polsce. Istnieją firmy pożyczkowe, które pożyczają pieniądze na zasadzie autonomicznej decyzji, BEZ sprawdzenia w jakiejkolwiek rządowej bazie czy klient nie zgłosił tzw. CREDIT FREEZE, czyli blokady na usługi pożyczkowe. Nie sprawdzają, bo takiej oficjalnej bazy rządowej po prostu nie ma. Jest za to wiele spółek prywatnych, które aspirują do takiej funkcji, ale w pierwszej kolejności po to aby zarobić pieniądze, a nie chronić obywateli. Gdyby im mocno zależało na tym drugim, to wymieniałyby się danymi ze sobą — a tego nie robią.

Tak, dobrze przeczytaliście, wszystkie biura monitoringu kredytowego to prywatne firmy, z których każda chciałaby być ogólnopolskim i obowiązkowym narzędziem na rynku finansowym, ale nie jest i nie może przez to zaoferować nikomu pełnej ochrony. Nie dajcie się na to nabrać.

Co więc zrobić, aby uniemożliwić wzięcie pożyczki na nasze dane, jeśli one wyciekły?

To opisaliśmy w tym artykule, którego — ze względu na skomplikowanie tematu — nie sposób streścić. Najlepiej będzie jak przeczytajcie go w całości — wtedy zrozumiecie tę mapkę obrazującą kilkanaście kroków (!!!) jakie trzeba wykonać, aby na tyle na ile to możliwe w Polsce, zabezpieczyć się przed negatywnymi skutkami kradzieży tożsamości i wyłudzenia pożyczki na swoje dane:

Dla pełnego obrazu tego, jak wygląda życie człowieka, któremu skradziono dane i nabrano na jego konto kredytów polecamy lekturę tego artykułu.

Podsumowując: jak najszybciej, wszystkim kandydatom, studentom i absolwentom SGGW sugerujemy:

  • unieważnienie dowodu osobistego i wyrobienie nowego (w urzędzie miasta)
  • zastrzeżenie dowodu w dowolnym banku (za darmo)
  • dodatkowo zastrzeżenie PESEL-u na stronie BezpiecznyPesel.pl (za darmo, ale trzeba oddać skan dowodu, więc zastanówcie się czy warto)
  • cierpliwi i z darem przekonywania mogą rozważyć zgłoszenie faktu kradzieży dokumentów (uwaga, to nie to samo, co kradzież danych osobowych z czyjejś bazy) na Policji. Takie oświadczenie może się przydać później, gdyby doszło do wyłudzenia. W przypadku zgłoszenia kradzieży danych (nie dokumentów) Policja będzie Was odsyłać do banku. Nie rekomendujemy kłamania, ale gdyby akurat kogoś okradli, to warto upiec dwie pieczenie na jednym posterunku.

To czy wszystko poszło dobrze możecie sprawdzić na obywatel.gov.pl, w specjalnym formularzu (za darmo, o ile macie PZ, a jak nie macie, to możecie sobie go założyć z poziomu banku lub standardowo, udając się do okienka ZUS/US z dowodem niezastrzeżonym lub paszportem).

Po jakimś czasie (teraz może być jeszcze za wcześnie) warto też odpytać banki o to, czy ktoś nie założy rachunku na Wasze dane. To również można zrobić za darmo pomocą tej usługi. I warto robić co jakiś czas. (Czytelnicy informują nas, że ta usługa nie jest za darmo — dajcie nam znać, ile Was za to policzyli).

Aby zminimalizować ryzyko przejęcia Waszych obecnych rachunków bankowych, rozważcie też zmianę numeru telefonu podpiętego do swoich rachunków bankowych. Utrudni to działanie tym, którzy chcieliby wyrobić duplikat Waszej karty SIM w celu przejęcia kontroli nad rachunkiem w banku lub w dowolnym serwisie, w którym macie skonfigurowane dwuetapowe uwierzytelnienie na numer telefonu (Faebook? GMail? Giełda kryptowalut?)

A jak już się zabezpieczycie, to możecie …pozwać uczelnie.

Studenci chcą pozwu zbiorowego!

Serio. Poszkodowani założyli już grupę na Facebooku domagającą się pozwu zbiorowego i jest w niej w chwili pisania tego artykułu 12 000 członków. Członków, którzy nie wiedzą, że to działanie (pozew zbiorowy) nie ma sensu w tym przypadku.

Szczerze, nie spodziewaliśmy się aż takiego poruszenia w polskim internecie w sprawie wycieku z SGGW. Może dlatego, że zdajemy sobie sprawę, że laptopy giną codziennie. Wczoraj w taksówce nasz redaktor jadąc do klienta znalazł (na tylnej kanapie) laptopa pracownika pewnej firmy. Taksówkarz jeszcze przy redaktorze skontaktował się z właścicielem i umówił na oddanie.

To poruszenie nas dziwi nas nie tylko dlatego, że kradzież i zagubień nośników danych (cyfrowych i papierowych) jest bardzo dużo. Więcej niż włamań i wycieków. Pisaliśmy o tym podsumowując pierwszy rok RODO w Polsce i prezentując statystykę naruszeń. Dziwi nas, bo nie przypominamy sobie, aby wyciek danych z innych uczelni (a te opisujemy regularnie) tak bardzo postawił studentów na nogi. Dobra zmiana!

Gniew studentów jest w naszej ocenie uzasadniony. Za brak szyfrowania dysków w 2019 roku SGGW powinno dostać srogą karę od UODO. O ile to faktycznie był uczelniany, a nie prywatny laptop (UPDATE: laptop był prywatny). Po wejściu RODO w życie, kiedy na rynku istnieje wiele darmowych rozwiązań do szyfrowania dysków wewnętrznych i zewnętrznych, nie korzystanie z nich jest poważnym błędem i przejawem nieakceptowalnej niedojrzałości pod kątem IT. Miejmy nadzieję, że uczelnie — nie tylko SGGW — wreszcie wezmą się na poważnie za bezpieczeństwo danych studentów i więcej wagi przyłożą do zabezpieczeń baz przed nieautoryzowanym kopiowaniem, zwłaszcza na prywatny sprzęt.

A wszystkich zainteresowanych ochroną swoich danych (nie tylko osobowych) i pieniędzy zapraszamy na nasz wykład, w trakcie którego przedstawiamy kilkadziesiąt praktycznych porad i darmowych narzędzi — dzięki nim będziecie w stanie zminimalizować negatywne skutki różnych incydentów, jakie mogą Was spotkać w cyfrowym świecie.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

140 komentarzy

Dodaj komentarz
  1. Sugerujecie ludziom zastrzeżenie Peselu na bezpiecznypesel.pl, a odradzacie założenie konta w BIK. Przecież bezpieczny Pesel to też baza prowadzona przez prywatną firmę, która do zastrzeżenia Peselu wymaga przesłania im skanów dowodu. Co jeśli te skany od nich wyciekną?

    • Ale bezpiecznypesel jest w przeciwieństwie do BIKu za darmo. A wyżej w artykule jest ostrzeżenie przed wszystkimi takimi “zabezpieczającymi” usługami. BP ma tą przewagę że za takie samo ryzyko nie musisz dodatkowo płacić PLN. No i jest jeden trik. Zamiast zastrzec – zgłoś zgubę. Wtedy nie musisz skanu dostarczać :)

    • Trick dobry, a w MIG DZ nie sprawdzają?

      Konto w BIK nic nie kosztuje, zapytanie o swoje dane też można złożyć bezpłatnie. Nie trzeba do tego wykupywać płatnych ich usług.

    • Nieprawda, konto w BIK jest płatne. Zarówno założenie jak i korzystanie. A nawet jak ktoś zapłaci, pewności nie ma, że bik go poinformuje o zaciągniętym kredycie. Bez sensu.

    • “nic nie kosztuje” czyli coś kosztuje.

  2. Fotografie wysyłało się podczas rejestracji w SOK (System obsługi kandydatów). Nie mam tylko pewności czy trzeba było ją wysłać przed czy po rozpatrywaniu wniosków.

    • Tak samo ze skanami dowodu…

  3. Tak nieco off-topic: osobiście boję się szyfrowania dysków/komputerów/laptopów.

    W razie awarii (a to jakiś złośliwy badsector, a to zawieszenie systemu, a to błąd zapisu na dysku, a to zasilanie nagle zdechło) w razie czego mogę dysk wyjąć, podpiąć do innego kompa albo dać firmie do odzyskiwania.

    W przypadku awarii dysku zaszyfrowanego – w zasadzie cały dysk do wywalenia albo odzyskiwanie danych kosztuje majątek.

    Kiedyś do testów zaszyfrowałem cały dysk systemowy trucryptem. Śmigało do czasu, kiedy po podaniu prawidłowego hasła pojawiło się “boot failed” czy “system not found” i w zasadzie to było wszystko. Na szczęście była to tylko zabawa pod vmware, bo inaczej lekko by mi się ciśnienie podniosło.

    Coś się zmienio w tej materii?

    • Rozwiązaniem Twojego problemu jest robienie kopii zapasowych. To zresztą pomaga też przy innych kłopotach. Polecam.

    • Awaria zaszyfrowanego dysku polegająca na niedostępności do odczytu części sektorów nie musi być tragedią. W wypadku TrueCrypta (tyczy się to też jego następcy: VeraCrypta) niezbędny do odszyfrowania nagłówek woluminu zawierający sole i sumy kontrolne jest zapisywany w dwóch różnych miejscach – więc o ile pechowo nie padły sektory w obu tych obszarach, to dane powinny być do odzyskania.

      @Piotr Konieczny: warto pamiętać, że wszystkie backupy również powinny być szyfrowane silnymi hasłami

    • Piotrze, czy znasz tanie i dobre narzędzie do kopii zapasowych notebooka z dyskiem o pojemność dajmy na to 500 GB, który pracuje jedynie w sieci komórkowej i z rzadka domowej wi-fi?
      Tanie, czyli będzie kosztować na poziomie 10-20 PLN miesięcznie i dobre, czyli mam na myśli takie, które zabezpieczy całe 500 GB oraz wykona się zaraz po zmianie pliku, a nie o określonych porach (jak większość softu do backupu), czyli w efekcie nigdy.

      Sprawdzałem różne rozwiązania i są albo drogie (często kosmicznie celujące w największe enterprise), albo mają nierealne założenia w rodzaju kopii o stałych godzinach.

    • TimeMachine… potem długo długo nic :) Na Windowsa brałbym Duplicati w tandemie z jakimś NAS-em i/lub dowolnym VPS-em z DigitalOcean jako storage w “chmurze” (link w prawym pasku bloga).

    • Ja skladalem papiery na sggw w 2004 r., czy tez mam sie bac? :) chyba nie – tak na moje oko gosciu nie uzywal tego samego sprzetu od 15 lat.

    • @Moris

      Rozumiem o czym mówisz, ale nie ma odwrotu od konieczności szyfrowania. Pozostaje sprawa jak je zaimplementujemy w konkretnej sytuacji, by zabezpieczyć dane zarówno przed nieuprawnionym dostępem, jak przed utratą uprawnionego dostępu ;)

    • O ile się nie mylę tak. Zaorałem sobie jakiś rok temu kawałek partycji z LUKSem (błąd w sztuce władania dd) i okazało się, że pomimo niemożności załadowania systemu nadal ten wolumin mogę zamontować na innym komputerze – oby wersja się mniej więcej zgadzała. Pluł się przy odczycie niektórych plików w syslogu, ale działał, dane zgrałem i znowu postawiłem LUKSa.
      Problemem przy tym szyfrowaniu jest całkowity brak buforowania i w wyniku tego nagłe odłączenie zasilania to konieczność straty niektórych plików. Wręcz polecam jak ktoś pracuje w trudnych warunkach zasilania wyzwalać sobie sync w cronie wcześniej sprawdzając co się dzieje (czy np. już go nie ma). Wiem, zarzyna SSD, ale lepiej zmieniać SSD co 2 lata niż stracić ważne dane.
      Natomiast szyfrowanie to nie jest zabawa na dłuższą metę – za 10 lat te dane będą latać, bo wraz ze wzrostem mocy obliczeniowej będzie można złamać szyfrowanie. Po coś nagrywa się szyfrowany ruch sieciowy.
      Jakiś czas temu miałem do czynienia z NDI – takie narzędzie pod Windowsy 98, state of the art lat 90-tych pod względem szyfrowania, ładne GUI, wpisuje się hasło i plik zaszyfrowany DESem. Okazało się, że algorytm generowania klucza zawęża dziedzinę raczej mocno i nie trzeba w ogóle ruszać DESa co mnie ucieszyło bo nie znam się na tych algorytmach. Na tępym dwurdzeniowcu od AMD bruteforce zajął 17 godzin. Ciekawe co ma TrueCrypt albo LUKS.

    • @Grzesiek

      Prawdopodobieństwo w Twoim przypadku wydaje się niskie, chyba że ktoś celowo wyprowadzał także dane “historyczne”.

      Myślę też, że od 2004 roku minimum raz zmieniałeś dowód osobisty (a tym samym jego numer), co przed częścią problemów zabezpiecza.

    • @PK

      Jestem klientem NordVPN i ostatnio dostalem oferte NordLocker w cenie $1/miesiac. Wiecie cos o tym w Redakcji?

    • Na backup jednego laptopa na wypadek padu dysku zasadniczo wystarczy dysk przenośny. Oczywiście też zaszyfrowany. Tylko użytkownik musi przywyknąć, że raz na określony czas trzeba taką operacje wykonać ręcznie….. Proste rozwiązania często są najskuteczniejsze ….
      PS. Szyfrowany czy nie dysk SSD i tak po padzie podobno nie pozwoli łatwe na odzyskanie danych. Osobiście jeszcze nie sprawdziłem. Czekam…..

    • Laptop był prywatny więc raczej nie miał 15 lat. Jeżeli byłby służbowy, to byłoby to całkiem możliwe.
      Patologią jest praca na prywatnym sprzęcie? W wielu sytuacjach jest to jedyna możliwość jak chce się dalej pracować. Nie ważne jest na czym i za co, liczą się efekty.

    • @Piotr Konieczny – odnośnie backupu. Ja używam i bardzo sobie chwalę Veeam Agent (do backupu dysków lokalnych) i Veeam Backup and Replication (do backupu domowego laba ESXi). Oba produkty pocięte o funkcje potrzebne tylko w dużym środowisku produkcyjnym są darmowe, a vendor uznany.

    • Co do szyfrowania dysków. Pracowałem sobie w jednej państwowej instytucji jako serwisant. Pani od RODO stworzyła sobie procedurę, szyfrowania laptopów, czterdziestoznakowym hasłem. :))
      No to do boju: darmowy veracrypt, generator haseł (nie mogły być słownikowe, franca sprawdzała przed wydaniem laptopa), hasła przekazywane pracownikom i dla św. spokoju kopia w sejfie.
      Za miesiąc wymyśliła niezapowiedziany audyt… I okazało się że hasła (wszystkie!) były poprzyklejane na górnej ramce nad matrycą.
      Tak się kończy nadmierne utrudnianie pracownikom życia. Omijają jak mogą zabezpieczenia.
      Teraz laptopy mają gołe, vpn z hasłem przy łączeniu, dokumenty i bazy na serwerach.
      Po tym zrozumieli że trzeba jednak trochę zainwestować aby wszystko w miarę sprawnie i bezpiecznie funkcjonowało.

  4. W ubiegłym roku podczas rekrutacji były wymagane skany dowodów, które również były przechowywane na SGGW! Także mają już komplet mojego wszystkiego… Łącznie z dowodem i zdjęciem

    • Wymóg kopii dowodu był – niestety – w ustawie Prawo o szkolnictwie wyższym, więc uczelnia musiała to robić.
      Teraz, z tego co widzę, chyba już z tego zrezygnowano.

    • 2 i 5 lat wstecz też musiałem przesłać skany dowodu. Tak więc te dane też mogły zostać skradzione.

  5. Wszystko super, ale ognivo nie jest darmowe co można przeczytać na podlinkowanej stronie internetowej.

  6. Co da zastrzeżenie dowodu, jeśli firma udzielająca pożyczki nie zweryfikuje, czy jest on zastrzeżony (tak samo jak nie odpyta BIKu itp.)?

    • To że zweryfikować powinna. Więc jak dojdzie do fraudu to jesteś domyślnie zwycięzcą bez udowadniania że to nie ty wnioskowałeś/podpisałeś.

    • @PK

      Przeciez w kazdym przypadku wyludzonego kredytu ofiara JEST BANK. Wiec to, ze ktos w parabanku nie dopelnil formalnosci weryfikacji domodu nie powoduje, ze mozemy sobie lezec na kanapie i patrzec sie w sufit, gdy komornik puka do drzwi.

    • To byłoby logiczne. Ale niestety, tak nie jest. Chociaż nie Ty zawiniłeś, to Ty się będziesz stresował i tracił czas (oraz pieniądze) na wyjaśnianie tego zamieszania. Dlatego lepiej mimo wszystko, trzymać rękę na pulsie, dopóki rząd nie zmieni tej patologicznej sytuacji na rynku pożyczkowym w Polsce.

  7. Update:

    “dane osobowe studentów i kandydatów na studia w SGGW zostały wykradzione, gdyż jeden z pracowników lekkomyślnie kopiował je na przenośny komputer. Nie miał do tego prawa i zrobił to wbrew obowiązującym na uczelni procedurom.”

    https://www.sggw.pl/aktualnosci/dla-kandydatow_/komunikat-rzecznika-prasowego-sggw

    • Czyli dobrze przewidzieliśmy patologię uczelnianą pt.: “Zgram se na swój komp”.

    • prawa nie miał, słodkie, ale miał prawo wyrabiać się z milionem innych rzeczy na rzecz uczelni, odwracanie kota ogonem, każdy orze jak morze aby wyrobić z normami, najczęściej w domu… naprawdę to kogoś dziwi? gdzieście wy przeleżeli?

    • @ciastkowy

      Nie.

      Jeżeli w pracy zmuszają Cię do łamania procedur bezpieczeństwa żebyś się wyrobił, to musisz sprzeciwiać się w sposób zostawiający ślady – czyli np. składać skargi opisujące problem, wniosek o przyznanie sprzętu służbowego, wniosek o objęcie sprzętu prywatnego opieką administratora, itp. Na piśmie z kopią nad którą masz kontrolę. Ponieważ w razie fuckupu winien jest ten, który złamał procedury, biorąc tym samym odpowiedzialność na siebie. Sorry, ale tak to działa.

    • Zakładałbym się o to, że ten pracownik sam umyślnie wyprowadzał dane studentów poza uczelnię. A zgłoszenie kradzieży było tylko początkową wymówką.

    • Ciekawe, czy w ogóle miał uprawnienia do przetwarzania danych i na jakich zasadach dostał dostęp umożliwiający zgranie tych danych.
      Dopiero co byłam na podyplomówkach na SGGW i pracownicy wydawali się bardzo świadomi przepisów. Jak widać nie wszyscy…

    • “Mam nadzieję, że nie dojdzie do nieuprawnionego wykorzystania skradzionych danych osobowych, ale lepiej dmuchać na zimne.”

      Szkoła Główna Dmuchania na Zimne xd

  8. A jeżeli dowód z czasów studiów jest już nieważny tzn. minął termin ważności i mam nowy? Też zastrzegać?

    • Jeśli dowód w bazie jest już nieważny to nie powodu zastrzegać. Nie znaczy to że jesteś bezpieczny od chwilówek w nieetycznych firmach co nic nie weryfikuja, ale zastrzeżenie nowego dowodu nic nie da. A i nowy dowód z data wydania przed zaciagnieciem potencjalnej pożyczki znacznie pomoże w udowownieniunże to nie Ty. Więc znacznie lepsza sytuacja niż wiekszosc ofiar wycieku na pewno, ale wciaż nie super komfortowa.

    • Stary dowód jest już automatycznie zastrzeżony – nieaktualny. Nie ma takiej potrzeby.

    • Nieprawdą jest, że stary dowód jest automatycznie zastrzeżony. Czym innym jest status zastrzeżony lub zawieszony, a czym innym brak ważności. Zastrzegałem stary dowód w kilka miesięcy po otrzymaniu nowego i nawet system bankowy nie pisnął, że coś jest nie tak ze starym numerem dowodu (mimo upłynięcia daty ważności kilka miesięcy wcześniej).

  9. Teraz jak ta sprawa zyskała rozgłos to jedyna szansa przed wykorzystaniem tych danych to zaszyfrowany dysk

    • Paradoksalnie fakt że uczelnia 10 dni nie informowała mógł tu pomóc. Przestępcy, jesli kradna dla laptopa, chca go sie jak najszybciej pozbyc do pasera, sformatować i dać na sprzedaż, więc raczej jakiś Seba pluje sobie w brodę że już te cenne dane wykasował. Chyba że to była kradzież celowa i chodziło o dane.

    • @Mieky
      W ogóle mogło nie dojść do kradzieży – dane pojawiły się gdzieś na darknetach lub nastąpił inny fuckup. Uczelnia ma asa w rękawie, że zawinił konkretny pracownik, więc ten teraz opowiada bzdury, żeby choć trochę dupę chronić.

  10. “kiedy na rynku istnieje wiele darmowych rozwiązań do szyfrowania dysków wewnętrznych i zewnętrznych”

    tzn. jakich?

    TrueCrypt powstał prawdopodobnie na bazie kodu źródłowego wykradzionego z firmy SecurStar, o czym można przeczytać od dawna na stronie Wikipedii poświęconej temu programowi. VeraCrypt bazuje na kodzie źródłowym TrueCrypta, czyli też może mieć tą wadę prawną.

    Istnienie programu TrueCrypt / VeraCrypt skutecznie zablokowało powstawanie innych podobnych programów.

    Na Windowsa jest oczywiście BitLocker, jednak jest on dostępny tylko w niektórych wersjach tego systemu (zasadniczo wersjach Pro). Jest jeszcze funkcja “Device Encryption”, jednak ona działa tylko na niektórych urządzeniach. Wymaga ona logowania się do systemu kontem Microsoft i przy jej użyciu klucze do szyfrowania są wysyłane do Microsoftu:
    https://www.howtogeek.com/234826/how-to-enable-full-disk-encryption-on-windows-10/

    • Sporo dysków wspiera standard OPAL, w którym dysk jest domyślnie szyfrowany niezależnie od działań użytkownika. Szyfrowanie jest sprzętowe, a klucz przechowywany w elektronice dysku. Jeśli twój komputer to obsługuje, masz możliwość ustawienia hasła do klucza – w ten sposób nie musisz szyfrować wszystkich danych na dysku, co może chwilę potrwać, i możesz w każdym momencie zmienić hasło. Używam tego na wszystkich komputerach jakie mam, i gorąco polecam. Nawet dysk hitachi ze starego hp 6xxx (rocznik 2013) miał tą funkcję.

    • Np. FileVault

    • Na przykład szyfrowanie partycji na poziomie instalacji systemu, ale to wymaga przełamania się i zmiany systemu z Win na Linux, czego 99% ludzi by nawet nie zauważyło, gdyby nie inny ekran ładowania systemu oraz interface. Jaki odsetek ludzi używa softu, który jest wyłącznie na Windowsa i nie da się go zastąpić niczym innym?

  11. Najpewniejsze jest konto na e-sądzie. Wprawdzie info, że coś się dzieje mamy dopiero przy pozwie, ale alternatywą jest tylko normalny sąd, więc zawsze wiemy przed komornikiem.

    • No nie bardzo. Bo nie wszystko idzie przez e-sąd. Więc też niebo wszystkim się dowiesz.

    • Chodzi tylko o wiedzę o postępowaniu sądowym. Wpisy do rejestrów dłużników to inna rzecz.

    • Korsarz: ale też nie o każdym się dowiesz.

    • Czyli możliwe jest postępowanie poza e-sądem, o którym dowiem się jak komornik mi wjedzie na własność?

  12. temat stary jak świat – zgrywanie danych na własne dyski i dalsza obróbka u siebie w domu o 01:30, to pokazuje pewien inny problem, pracoholizm, brak wyrabiania się w czasie, nawał roboty.. bo gdyby tak nie było to po kiego mam zabierać to do siebie? nie mam nic innego do roboty? tu jest problem.. pracujemy dużo za psie pieniądze, na własnym sprzęcie marnując własny czas.. szukajmy źródeł, a nie skutków, ale co zrobić, terminy gonią, nie szanujemy siebie, nie szanują nas, a później tak to się kończy…

    • @brakczasu

      Rekrutację przeprowadzał w domu? Sekretarka pracowała z domu?

      To nie prace egzaminacyjne, tylko rekordy osobowe. Nie ma żadnego uzasadnienia dla obróbki tych danych poza kontrolowanym środowiskiem.

    • Niestety winne są same zabezpieczenia. Im ich więcej tym gorzej chodzi komputer. Najnowszy sprzęt z SSD, Intelem 8-mej generacji i 16 GB RAM chodzi gorzej niż składak sprzed 5-ciu lat w domu!
      Ciągle coś się dzieje i czekasz i czekasz i czekasz. Do tego Internet. Niby wydajny, niby po kablu, download plików jak rakieta a z telefonu po wifi w 30 min znajdujesz dużo więcej w google niż w 2h w pracy!
      Ten wąż zjada sam swój ogon a efektem są coraz większe wydatki na informatyków, security itd.
      W tle ciągle coś się backupuje, szyfruje, dwa programy antywirusowe ciągle sprawdzają, port USB zablokowany, audyty firmy od Safety co 3 miesiące a wystarczy zadzwonić z prośbą o pomoc to zwykły student wchodzi i robi co trzeba korzystając ze śmiesznego TeamViewer.
      Efekty, no cóż jak w artykule. Jaki normalny człowiek powie szefowi, że ma zaległości, bo mu nowy komputer znów nawala? Pomyśli, pokombinuje i poświęci 30min w domu, żeby zaoszczędzić 2h w pracy!

    • U mnie tam na Debianie nic w tle nie muli :)

    • Tylko po co zgrywać dane na swój dysk, nawet jeżeli chce się pracować nad nimi w domu o 1:30?
      Te dane siedzą w jakiejś bazie przecież. Więc jeżeli potrzebuje dostępu do tych danych, to instaluje sobie klienta bazy z szyfrowanym połączeniem do uczelnianego serwera, na którym te dane siedzą, i ma dostęp do danych online, bez potrzeby zgrywania ich offline gdziekolwiek.
      Skoro umiał zgrać sobie te dane (albo ktoś mu je zgrał), to umiałby też (albo ktoś, kto mu te dane zgrał) zestawić dostęp do nich online…

  13. BTW, czy uczelnia nie powinna zastrzec danych kandydatów na studia?

  14. Jestem tylko ciekawa, po co jakiemukolwiek pracownikowi były potrzebne tego typu dane na dysku prywatnym? I jakiego typu to był pracownik?
    Załóżmy, że pracował nad rekrutacją, przecież tego typu pracownicy mają płacone od godziny, a nie wyniku – więc kompletnie nie rozumiem, po co zanosił pracę do domu. Przecież to jest już nie tylko kuszenie losu, a wręcz otwieranie mu drzwi…

    • @nieznajoma studentka

      Dokładnie jak mówisz.

    • Gdyby pracownicy naukowi mieli w obowiązkach tylko pracę naukową to się zgodzę. Ale tyle dokładają papierologii, że każdy musiałby mieć sekretarkę.

    • Witaj.
      To był pewnie pracownik typu: mam pensję kapkę wyższą niż sprzedawca w lidlu a kierowniczka mówi że jak na jutro rano nie będzie gotowej tabelki, to jest 5 na twoje miejsce…

  15. Nie mogę się zgodzić z twierdzeniem Pana redaktora w sprawie pozwu zbiorowego. Podejrzewam, że studenci dość uprościli określenie “zbiorowości” pozwu, ponieważ każdy z osobna musi wnieść sprawę przeciwko SGGW ale jak najbardziej jest możliwe połączenie spraw po ich wniesieniu (oczywiście wymaga to wniosku formalnego stron i zgody sądu w tym przedmiocie).
    Aktualizując informacje zawarte w artykule, problemem zaczęły się zajmować już kancelarie prawne mamy sporą grupę osób które przekazały już pełnomocnictwo do reprezentacji w tej sprawie.

    • @Pani K

      Serwis podlinkowany w Twoim nicku żąda danych osobowych pod pozorem nawiązania kontaktu celem przekazania pełnomocnictwa, i nie informuje, jaki podmiot je przetwarza.

      Wygląda to na 100% ściemę.

    • Znów nie mogę się zgodzić, potrzebujemy maila i jakiejś formy grzecznościowej do kontaktu (nawet pierwsza litera imienia wystarczy). Dzisiaj będziemy wysyłać pierwsze pisma dla studentów, żeby wystąpili do Prezesa UODO (dopatrzyliśmy się sporo uchybień) a później będziemy wysyłać kolejne kroki i dokumenty. Myślę, że najbliższe dni udowodnią jakimi intencjami się kierujemy. Jesteśmy grupą osób i każdy z nas podjął się dołożyć cegiełkę do sprawy, nie mamy z tego żadnych korzyści, co zresztą widać. Nie chcemy też wisieć na telefonie i odpowiadać na te same pytania, wystarczy że otrzymujemy setki pytań mailem. Przygotujemy pewnie jakieś FAQ, ale na razie skupiamy się na konkretnych działaniach prawnych, żeby zabezpieczyć jak najwięcej dowodów do późniejszej sprawy o odszkodowania.

    • @Pani K

      “Wy”, czyli kto?

      Nie podajecie ŻADNYCH informacji o sobie na zalinkowanej stronie, a wymagacie ich od innych.

      To nie jest zgodne z prawem.

    • Pamiętaj, że jesteśmy studentami i dopiero rozmawiamy z kancelariami i profesjonalnymi firmami, które się zajmą stroną i zrobią wszystko jak trzeba. Zauważ proszę, że używamy zwykłego gmail-a i takiego prostego formularza, bo nie jesteśmy programistami. Chcemy działać a nie słuchać, że komuś jest przykro i nic nie może zrobić.

      p.s. Poza tym, tak od strony prawnej, strona jest poza UE, administrowana jest poza UE, więc może topornie ale trochę pomyśleliśmy zanim wyklikaliśmy stronę :)

    • @Pani K

      Tego, że jesteście studentami, także nie piszecie.

      NIC nie piszecie, poza pustymi deklaracjami typu “współpracujemy z kancelarią”, “współpracujemy z firmami”, “współpracujemy z biegłymi”. Nie piszecie – jaką kancelarią, jakimi firmami, jakimi biegłymi. Te podmioty mają: nazwiska, osobowość prawną, numery CEIDG i / lub KRS. Nie podajecie tego.

      Nie podpisujecie się pod swoim projektem.

      Jako kontrahent macie wiarygodność zerową.

      Twoje “od strony prawnej” wskazuje na to, że albo a) nie rozumiesz o czym piszesz, albo b) celowo ściemniasz.

      Pozyskując dane od ludzi musicie wypełnić obowiązek informacyjny zgodnie z RODO. Możesz sobie wygooglać “wzór obowiązek informacyjny rodo”, jeśli nie wiesz, o czym mówię.
      Według tego obowiązku należy podać użytkownikom (wprost i czytelnie) między innymi: kto zbiera ich dane, kto będzie administrował ich danymi, cel przetwarzania danych, komu dane będą udostępniane, czy dane będą przekazywane do państwa trzeciego, szczególnie poza UE, jak użytkownik może wnieść sprostowanie do swoich danych oraz sprzeciw co do ich udostępniania.

      Czyli nie dość, że “strona poza UE”, “administrowana spoza UE” nie zwalniałaby Was z obowiązków wyznaczonych przez RODO (GDPR), to jeszcze musielibyście Użytkowników wprost o tym poinformować.

      Z tym, że przypomnij mi bo nie kojarzę: kiedy to Holandia (w której i z której zarejestrowaliście domenę) wystąpiła z Unii Europejskiej?

    • @stukot
      Dzisiaj dostałam potwierdzenie, że zgodnie z Art. 2 ust. 2 lit. c)
      “Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;”

      I co teraz powiesz? Jako studenci prywatnie podjęliśmy inicjatywę, więc nikt nas za to nie może ścigać.

  16. Szanowna redakcjo,
    Jestem absolwentem i żadnego maila od uczelni nie dostałem. Proszę o sprostowanie tego w artykule – absolwenci de facto nie zostali poinformowani, że zginęły ich dane. Jedyna informacja wisi na stronie uczelni, na którą absolwent nie musi zaglądać.
    Pozdrawiam.

    • 1. mogłeś dostać, ale trafiło do spamu
      2. twój serwer mógł odrzucić bo np. IP nadawcy był na RBL
      3. zweryfikuj u swojego dostawcy poczty czy była próba dostarczenia takiej wiadomości

  17. A moze to taka forma „sprzedazy” danych osobowych. Taki konkretny zestawik musi miec niezla i kuszaca cene…

  18. “setek tysięcy” może lepiej będzie milionów?….. megalomania redaktora?
    setki tysięcy studiowało na SGGW…. ROTFL

    • Warto przeczytać przed skomentowaniem coś więcej niż tytuł.

  19. Ja pracowałem w szkole i zarządzałem siecią informatyczną. Oczywiście to była szkoła publiczna, gdzie organem założycielskim jest miasto Warszawa. Oczywiście szkoła żałowała na adresy email służbowe (miał je tylko dyrektor, wicedyrektor i 3 sekretarki) i ja do załatwiania różnych spraw musiałem używać swojego prywatnego adresu e-mail.

    Tak samo jest w innych szkołach publicznych gdzie często nauczyciele nie mają służbowych adresów e-mail tylko używają prywatnego adresu email do załatwiania spraw służbowych.

    Co do tego laptopa mogło być podobnie. Pracownik miał np. za zadanie zrobić jakąś statystykę z tej bazy w formie prezentacji (to w szkołach jest bardzo częste), jednak nie miał służbowego komputera, więc bazę która mogła być zrobiona w Excelu dostał na pendrive i zgrał na prywatnego laptopa. Teraz uczelnia się wymiguje, że pracownik wszedł w jej posiadanie nielegalnie. A łatwo tak to napisać gdyż w szkołach wiele poleceń służbowych przez dyrektora dla pracowników/nauczycieli jest wydawanych na “gębę”, bez pisania ich w formie papierowej. Niestety u nas w Polsce jest to normalne zjawisko.

    I w razie kraksy się wymigują.

    Do wystawiania ocen i zarządzania dziennikiem w w szkołach jest używany Librus. Tu tak samo nauczyciele wykorzystują prywatne adresy email. Często jest że hasła do niego zapamiętują w przeglądarce internetowej do której wszyscy postronni mają dostęp, czy inni nauczyciele, czy młodzież/dzieci, nap na komputerze stojącym na biurku nauczyciela, czy rodzina w domu.

    To jest rzecz normalna. Więc u nas w Polsce ta ochrona danych osobowych jest często fikcją.

    • @Adam

      1. W szkołach podlegających pod resort edukacji (nie szkolnictwa wyższego) takie pseudosystemy rzeczywiście są nagminne.

      Uczelnie miewają jednak porządne systemy uczelniane, w których implementuje się system uprawnień i kontrolę dostępu do poszczególnych zasobów. Praca zdalna spoza uczelni przez uprawnione osoby jest możliwa; z użyciem dedykowanego VPN.
      Oczywiście niektóre uczelnie próbują oszczędzić na administracji i niebezpiecznie bawią się po staremu, ale bardzo trudno jest mi uwierzyć, że taki gigant jak SGGW nie ma profesjonalnego systemu i procedur.

      2. Odniosę się do poleceń “na gębę” w instytucjach budżetowych. Pracownik w swoim interesie powinien dążyć do ich dokumentowania. Dawniej, jeśli dyrektor nie podał polecenia na piśmie, nieźle było spisać samemu notatkę podsumowującą w 2 kopiach i podać do podpisu. Obecnie można wykorzystać technologię, przykładowo nawiązać korespondencję przez email.

      To jest ważne z kilku względów. Po pierwsze w przypadku konfliktu o ilość wykonanej pracy / poniesione nakłady (które w budżetówce często się rozmywają) z dyrekcją bądź interesariuszami (np rodzice uczniów). Po drugie, w przypadku sytuacji bycia oskarżonym o jakąś katastrofę – instytucja typowo będzie próbować zrzucić winę na pojedynczego pracownika, a dzięki “podkładkom” można się całkowicie wybronić.

      Nie ma co tchórzyć przed żądaniem polecenia na piśmie, ani przed marudzeniem szefa w budżetówce. W razie problemów liczą się papiery.

    • @adam
      Systemy informatyczne w SGGW to śmiech na sali. Czego można się spodziewać po informatykach zarabiających podstawowe 2400 netto (starszy programista)?

    • Takie bazy nie są robione w Excelu. Rekrutacja to nie jest proces, którym zajmuje się od początku do końca jedna osoba, żeby wystarczyła jej do tego tabelka w Excelu. Na bazie pracuje wiele osób jednocześnie, więc musi być to jakiś serwer baz danych, nawet zwykły MySQL się nada. Jeśli pracownik ma zrobić jakąs statystykę z tej bazy, to instaluje mu się na komputerze klienta np. MySQL, łączącego się w bezpieczny, szyfrowany sposób z tym serwerem, i operuje na danych online. Nie trzeba niczego nigdzie zgrywać. Statystyki robi się budując zapytania SQL (mozna to robić graficznie, są nawet do tego narzędzia oparte także na Excelu – ale bez trzymania lokalnie jakichkolwiek danych), co ma dodatkowo tą zaletę, że wyciągnięcie danej statystyki jest dziesiątki razy szybsze i sprawniejsze niż gdyby to robić na danych trzymanych lokalnie w arkuszu Excela…

      Jako człowiek, który kiedyś pisał m.in. właśnie systemy rekrutacyjne dla uczelni, nie widzę żadnego, ale to żadnego powodu, aby ktokolwiek w jakichkolwiek celach potrzebował zgrywać sobie te dane offline na laptopa. Wszystko, ale to absolutnie wszystko, można zrobić przechowując dane wyłącznie na serwerze…

    • Ja, jako człowiek, który nie zrobił nigdy żadneo systemu rekrutacyjnego mam trochę większą wyobraźnię. Od wystarczy połączenie kilku z poniższych punktów:
      1. Niezła biegłość w excelu
      2. Brak znajomości SQL-a
      3. Toporność wyklikiwanych narzędzi, zwłaszcza tych darmowych
      4. Brak służbowego laptopa, albo jakiś stary umierający, bo nie ma budżetu na nowe
      5. Upierdliwość uruchamiania VPN-a na własnym sprzęcie przez laika
      6. Słabe łącze na linii dom-baza danych, bez wnikania, gdzie jest wąskie gardło.

  20. Patologią jest, że pan Złodziejski idzie do banku, mówi, że nazywa się Nieświadomski, więc bank wypłaca mu pieniądze, za co odpowiada pan Nieświadomski, choć to bank źle zweryfikował tożsamość.
    Skoro bank się nabrał na przebierankę, to bank powinien za to odpowiadać. To pan Złodziejski ukradł pieniądze, a nie pesel pana Nieświadomskiego..

    • Tylko, że bank też jest tu ofiarą oszusta. Jak ktoś ci wyniesie RTV z domu, to mają ciebie wsadzić, bo miałeś za słaby zamek w drzwiach?

    • @bubu

      Nie.

      To sytuacja, gdy ziomek Cię prosi o przechowanie jego sprzętu RTV z gwarancją jego odzyskania i umawiasz się z nim na tę usługę. Jeśli w takiej sytuacji masz za słaby zamek w drzwiach i złodziej ukradnie fanty, to owszem, Ty musisz pokryć straty poniesione przez Twojego klienta.

      A złodzieja tymczasem ściga się z urzędu.

    • A ja będę się ubiegał od banku zwrotu 30 000 PLN. Odalem je facetowi na chodniku – miał koszulke z logo banku i dał mi firmowy bankowy balonik. Więc chyba dochowałem staranności przy weryfikacji danych?

  21. Jaka jest pewność, że ten laptop został skradziony? Jaką mamy pewność, że ten “pracownik” sam nie sprzedał tych danych a teraz udaje idiotę? Poza tym co to znaczy “z ostatnich lat”? Pięciu? Dziesięciu? Po co komu na prywatnym laptopie takie dane, co on niby z nimi chciał zrobić? Policja powinna przede wszystkim przycisnąć tego pracownika, żeby powiedział co tu tak naprawdę się zadziało. Smutne, że nigdy nie poznamy imienia i nazwiska tej gnidy, no ale to polska. Tutaj nigdy nie ma winnych.

    • A może w ogóle nie było kradziezy, bo nie było własności, ani żadnej rekrutacji, bo cały nasz wszechświat jest zaawansowaną cyfrową symulacją?

  22. Szkoda że nie poruszyliscie jeszcze takiej plotki którą powiela wielu studentów mianowicie zmiana hasła w ehms-ie co moim zdaniem jest bez sensu (chociaż chciałbym potwierzenia) bo jak niby ktos mialby miec dostęp do haseł studentów z witryny którą ma własną bazę i strona ma https czyli szyfrowanie działać musi, aczkolwiek zawsze zmiana hasła nie jest czymś złym, moze wreszcie ludzie obudzą się zeby nie ustawiac wszędzie takich samych haseł

    • W Naszym kraju pojdzie wszystko plazem… Typek pewnie odsiedzi swoje, a laptop jezeli trafi do “odpowiedniej” osoby, to dorobi sie sporo BTC na DarkWebie, gdzie dane osobowe sa najcenniejsze…

  23. Jakim cudem te dane znalazły się poza murami budynku/serwerowni SGGW ?
    Na prywatnym laptopie ?
    Skandaliczne zachowanie pracownika posiadającego dostęp do tych danych.
    Brak słów.

  24. Coś mi tutaj śmierdzi.

    1. Jakim cudem ktoś mógł skopiować tak duży zestaw danych na lewo na prywatnego laptopa? Przecież mowa jest o prawdopodobnie kilkudziesięciu tysiącach kandydatów. Tzn. to co ich system umożliwia byle pracownikowi wejście i kliknięcie “ściągnij wszystko”? I taki byle pracownik z prywatnym komputerem może te dane pobrać? I to może jeszcze przez Internet? Przecież to jest skandal i prosi się o kontrole czy dane są przetwarzane i zabezpieczone we właściwy sposób.

    2. Skoro to prywatny laptop to po kiego wała ta osoba w ogóle się przyznała, że go ukradziono? Przecież prywatny to nic uczelni do tego co się z nim dzieje… Mi to wygląda na to, że dany pracownik w ramach obowiązków służbowych był zmuszany do używania prywatnego sprzętu, a jak gówno uderzyło w wentylator to teraz jest mowa że to “bezprawne”. Mam wrażenie że pracownik w dobrej wierze zgłosił to pracodawcy.

    • @konrad

      Jeśli ktoś się godzi dla przyjemności pracodawcy obrabiać dane wrażliwe na własnym niezabezpieczonym sprzęcie, to jest pozbawiony instynktu samozachowawczego, ale za to nadgorliwy. Ogólnie typowa ofiara.

      Pracownik jest dorosły i będzie ponosił odpowiedzialność za prawo i regulaminy złamane przez siebie, nawet jeśli nastąpiło to w wyniku namowy ze strony pracodawcy. Chyba, że będzie w stanie przedstawić udokumentowane polecenia służbowe, na podstawie których wykonał kwestionowane działania.

    • “I taki byle pracownik z prywatnym komputerem może te dane pobrać?”
      Pewnie tak. Po prostu zgrał wszystko na pendrive i potem skopiował na prywatny sprzęt, albo nawet wysłał na prywatną chmurę.

      Z wykorzystywaniem prywatnego sprzętu, to jest to całkiem możliwe.

  25. Znając życie, uczelnia nie zapewnia komputerów przenośnych swoim pracownikom, więc każdy orze jak może (oczywiście sytuacja z artykułu jest niewybaczalna). Sądzę, że to sprzyja takim patologiom.

    • proste:
      albo jestem zatrudniony na etat, robie od 8 do 16 i wracam do domu mając w czterech literach co sie dzieje w firmie
      albo pracuje ile trzeba, dostaje sluzbowego laptopa ale kasa tez jest odpowiednia albo sie nie zatrudniam

  26. Centralna Informacja jest płatna, nie bezpłatna jak czytamy w artykule.

    “Tak, odpłatność usługi została przewidziana przez ustawodawcę. Zgodnie ze znowelizowanymi przepisami ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe oraz ustawy z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych, zbiorcza informacja może być dostarczona wnioskodawcy przez bank lub SKOK odpłatnie, przy czym opłata nie może być wyższa niż koszt wygenerowania takiej informacji.”
    http://www.centralnainformacja.pl/o-usludze/pytania-i-odpowiedzi/

  27. Drogi Niebezpieczniku sugerowanie postępowania w postaci: “cierpliwi i z darem przekonywania mogą rozważyć zgłoszenie faktu kradzieży dokumentów … na Policji” jest nieodpowiedzialne, gdyż naraża ofiarę na postępowanie karne z art. 238 i art. 233 § 1 kodeksu karnego: “Art. 238. Kto zawiadamia o przestępstwie, lub o przestępstwie skarbowym organ powołany do ścigania wiedząc, że przestępstwa nie popełniono, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.” “Art. 233. § 1. Kto, składając zeznanie mające służyć za dowód w postępowaniu sądowym lub w innym postępowaniu prowadzonym na podstawie ustawy, zeznaje nieprawdę lub zataja prawdę,
    podlega karze pozbawienia wolności od 6 miesięcy do lat 8.”

    • Kluczowe są słowa “wiedząc, że przestępstwa nie popełniono”.

      Tutaj nie wiadomo, czy popełniono. Może tak, a może nie. Jeśli obywatel chce zgłosić przestępstwo, które jest tylko potencjalne, każdy rozsądny policjant powinien mu to odradzić i wskazać inne kroki, o których mowa w tym artykule (np. zastrzeżenie dowodu). Tak czy owak, zgłoszenie samego tylko podejrzenia przestępstwa nie skutkuje odpowiedzialnością karną, chyba że zła wiara zgłaszającego jest oczywista.

    • No jak nie wiAdomo? Przecież potencjalnemu studentowi nie zostały skradzione dokumenty w tym dowód osobisty, a radzi mu się aby zawiadomił o ich kradzieży, to proszenie się o kłopoty.

  28. laptop był prywatny… jak pracowałem w banku i miałbym kopię klientów na prywatnym laptopie to już bym za to odpowiadał przed prawem… jakbym pracował na laptopie prywatnym bo firma mi nie zapewnia sprzętu to już by skarbówka się sprawie przyglądała… ale ja jestem zwykłym szarym człowiekiem a nie dość znaną instytucją, która swoim wyłącznie prestiżem zapewnia spokojny sen bez obaw o wycieki danych :)

  29. “To również można zrobić za darmo pomocą tej usługi.”
    Ta usługa, czyli centralnainformacja.pl niestety nie działa :(

  30. A jak wygląda to od strony kar? Jakiś czas temu hakerzy wykradli dane z dużego sklepu internetowego i dowalono im potężną karę. W jakim przypadku w takim razie kara jest, a w jakim nie. Niestety RODO nie precyzuje takich rzeczy. Czy możecie coś o tym napisać?

    • RODO określa górną granicę kary, ale jej konkretny wymiar (przeważnie dużo niższy) określa UODO na podstawie szeregu okoliczności.

  31. Moze nalezy przestac uganiac sie za kazdym wyciekiem (dane KAZDEGO predzej lub pozniej wyciekna), a rozwiazac problem u zrodla czyli CO mozna z takimi danymi zrobic. Jak dane stana sie bezuzyteczne (albo chociaz bardzo trudne do wykorzystania) to i potrzeba ich wykradania spadnie.

  32. Ciekawe, czy takie historie zaczną budzić w końcu w ludziach trochę otrzeźwienia w kontekście udostępniania swoich danych na prawo i lewo i skończy się to głupie gadanie “aaa, ja tam nie mam nic do ukrycia”

    • Dokładnie, ile już się nasłuchałem (zarówno w internecie jak i w realu) wyzywania od paranoików, fanatyków teorii spiskowych itd. Dlaczego? Bo chronię swoje prywatne dane na ile to tylko możliwe. A po tym wycieku widać, co to znaczy “bezpieczne” i “chronione” miejsce przechowywania naszych danych. Nie ma takiego, gdyż nawet przy najlepszych procedurach bezpieczeństwa zawsze pozostaje najsłabszy punkt w postaci czynnika ludzkiego, który w najlepszym wypadku może okazać się półgłówkiem, a w najgorszym świadomym złodziejem i oszustem. A co tu mówić dopiero o molochach typu Google, Amazon czy FB, które nawet nie kryją się z tym, że śledzą (albo podsłuchują poprzez asystentki głosowe) każdego użytkownika na ile to tylko możliwe. I w ogóle nie obchodzi mnie fakt, że jestem zwykłym “Kowalskim”, toczę nudny żywot i z 99% tych informacji nic sensownego nie da się zrobić. Nie chcę żeby ktoś nieupoważniony wiedział nawet jakiej muzyki słucham czy jakie filmy lubię. Nie i już.

  33. Przypomniała mi się akcja na mojej uczelni, kiedy to odkryłem dobrego backdoora do 50-100 tys wniosków i generowania tego do pdf na jednej dużej uczelni :) Teraz załatwiłbym sprawę inaczej :) Tak czy siak poszedłem do Dziekana i o wszystkim powiedziałem, po godzinie załatali dziurę. Podejrzewam, że dzisiejszych czasach RODO, uczelnie mogłoby to sporo kosztować.

  34. Jeżeli Państwo chciałoby chronić obywateli to wystarczyłoby stworzyć stworzyć bazę do której można zgłosić że od dnia (….) zawieszam moje ” prawa pożyczkowe” Jakikolwiek kredyt, pożyczka uzyskane na moje dane po tej dacie będą AUTOMATYCZNIE Z URZĘDU nieważne. Obywatel ma spokój do odwołania zgłoszenia (może być osobistego) a lichwiarze rozdający kasę będą się musieli pilnować.

  35. Korzystając z popularności tematu – dlaczego macie w stopce tekst “Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);” ? Wygląda na jakiś babol w kodzie PHP – czyżby szewc bez butów chodził?

    • Po to, żeby przy porannej kawce zaśmiać się pod nosem widząc taki właśnie komentarz.

  36. Tu potrzeba rozwiazań systemowych czyli ustawowe zwalenie całej odpowiedzialności na firmę, która na podstawie samego skanu dowodu pożyczyła komuś pieniądze! Tak powinny być ustawione przepisy, aby wzruszenie wyroku/nakazu zapłaty (a przynajmniej zawieszenie egzekucji) w przypadku podejrzenia oszustwa było szybką formalnoscią!

    Skoro nasze kochane państwo w końcu wprowadziło e-dowody (o jakieś 15 lat za późno ale co tam, lepiej późno niż wcale) to przy zawieraniu wszelkich umów on-line powinien być stosowany podpis elektroniczny z e-dowodu i weryfikacja na państwowej liście CRL lub OCSP, czy dowód nie został zastrzeżony (nie mylić z prywatnymi bazami typu Dokumenty Zastrzeżone). Wszelkie skany dowodu lub przelewy weryfikacyjne na 1 grosz powinny raz na zawsze odejść jako zdalne potwierdzanie tożsamości.

    Tak powinno być ustawione prawo, aby znajomość dowolnie wielu danych o jakiejś osobie nie pozwalała na zaciąganie w imieniu tej osoby jakichkolwiek zobowiązań. Żadne RODO tu nie pomoże bo dane wyciekają i będą wyciekać.

    • @Marcin Maziarz

      Aż mnie normalnie zachęciłeś do czytania ustawy o “obywatelskiej inicjatywie ustawodawczej”. Ale dość ciężko wypełnić jej wymogi.

    • > weryfikacja na państwowej liście CRL lub OCSP, czy dowód nie został zastrzeżony

      Popieram pod warunkiem, że byłoby to zaimplementowane w taki sposób, że organy państwowe zarządzające taką listą nie miałyby wiedzy o tym, kto z nim zawiera umowy, bo to niepotrzebna inwigilacja. Nie chcę żeby pańśtwo wiedziało o każdej umowie zawieranej zdalnie.

    • Allegro przecież przy zakładaniu nowego konta obecnie każe robić potwierdzenie poprzez przelew małej sumy pieniędzy.

      Kiedyś gdy dawno temu konto u nich założyłem to było to tak, że po rejestracji musiałem poczekać na list papierowy z kodem w środku i z linkiem do strony gdzie konto musiałem aktywować. Na stronie musiałem przepisać kod z listu i w ten sposób konto mi aktywowali. To moim zdaniem było najbezpieczniejsze.

  37. Oj tam pewnie jest to plik zapisany na pulpicie pod nazwą “Dane Studentów” i już….

  38. Jakoś pracowałem i w szkole, i pracuję na uczelni, na prywatnym sprzęcie i NIGDY nie przechowywałem na nim niczyich danych osobowych. Do tego służą różne systemy, aby te dane tam przetwarzać. Jeśli trzeba było wykonywać jakieś operacje na tych danych poza tymi systemami (bo wiemy jak jest – są beznadziejnie nieprzystające do rzeczywistości zazwyczaj), to po wykonaniu tych operacji dane można trwale usunąć. I bez obaw pójść z laptopem dalej. Choć wiem, że wiele osób tego nie robiło i się narażało na takie kłopoty. NA PEWNO tak jest w KAŻDEJ szkole.

    Trzeba tak budować systemy przetwarzania danych, żeby komputer użytkownika był tylko terminalem, który wyświetla interfejs, a operacje są wykonywane wewnątrz. Przypuszczam, że na SGGW był wspaniały system rekrutacyjny, który naprawdę był rozbudowaną książką telefoniczną, a wszystkie operacje rekrutacyjne trzeba było prowadzić “w Excelu” w oparciu o pobraną kopię bazy, na komputerze “a Pan weźmie sobie jakiś”.

    • Oj z doświadczenia powiem, że większość wspaniałych, drogich systemów dla biznesu działa na przeglądarkach internetowych.
      Jak chcesz zrobić coś więcej to jedyna opcja to “export do excela” lub bezpośrednie wejście w bazę SQL.

      Z bardziej znanych to SAP, który pozwala czarować bezpośrednio w sapie np. SQVI. Ale i oni idą już w przeglądarki.

    • No ale przecież właśnie bezpośredni dostęp do bazy SQL jest tym, co pozwala wyciągać dowolne dane, zestawienia, statystyki i co się komu żywnie podoba (także przy użyciu Excela, wykorzystując sterowniki ODBC) bez potrzeby ściągania i trzymania jakichkolwiek danych offline na dysku…

    • To że działa na przeglądarkach to dobrze. Tak właśnie powinno być. Ale taka aplikacja powinna wykonywać niezbędne operacje bez konieczności duplikowania bazy na terminalach. A eksport do Excel powinien być definitywnie zabroniony. :D

  39. “Za brak szyfrowania dysków w 2019 roku SGGW powinno dostać srogą karę od UODO. O ile to faktycznie był uczelniany, a nie prywatny laptop (UPDATE: laptop był prywatny)” – od kiedy wrazliwe zbiory dany trzyma sie w ogole na laptopie ? Co to ma za znaczenie, czy dysk byl szyfrowany, czy byl nieszyfrowany ? Do trzymania tego typu danych sluza bazy danych, do ktorych dostep jest reglamentowany przez aplikacje.
    I co koles sobie siedzial w robocie i tak przegladal czyjes dane, bez zadnej kontroli i rozliczalnosci i uzasadnienia ? Ponadto wrazliwe dane w celu zabezpieczenia szyfruje sie w bazie danych i kazde siegniecie do czyjegos rekordu piwnno byc odnotowane. A tu ? kolo ma setki tysiecy wrazliwych danych na biureczku i przeglada sobie od tak…dla przyjemnosci i przy kawce. :-)
    Jak dla mnie to niezaleznie, czy bylby dysk szyfrowany, czy nie, to i tak sie kwalifikuje na najwyzszy wymiar kary z RODO. Za tyle danych, ktorymi NIKT nie ZARZADZAL to powinni im zrobi z d. j. s.

  40. Pokrzywdzonym pozostaje zgłosić zaginiecie dowodu. Wszystkim, którzy składali papiery w ciągu ostatnich na 10 lat wstecz, bo tyle wynosi ważność dowodu. A cały problem z fałszywymi kredytami powstal przez sąd elektroniczny, przed którym nie da się obronić.

  41. Tak na marginesie chciałem poruszyć jednen temat, który dość często się pojawia nie tylko pod tym wpisem. “Instytucje państwowe mają słaby sprzęt, trzeba pracować na swoim itd. ” polecam zapoznać się z ogłoszeniami dotyczącymi zamówień publicznych w instytucjach państwowych i wtedy zrozumiecie, że 99 procent państwowych firm kupuje zdecydowanie lepszy, mocniejszy sprzęt niż wszelkiego rodzaju korporacje. Temat dlaczego tak się dzieje to temat na osobną opowieść :) więc proponuję by nie pisać już takich głupot jeśli się nie zna tematu.

    • Ja pracowałem w szkole średniej. Moja obserwacja ja=est taka, że do szkół trafia sprzęt na zasadzie im tańszy, tym lepszy.

  42. Pokrzywdzeni jedynie co mogą /patrz MORELE/ to wyrazić swoje oburzenie. Zrozumcie baranki boże, to całe RODO nie jest dla Was, ono jest po to by je… maluczkich. Jesteście tylko towarem, więc buzia w kubeł i nie bulgotać. Uczelnia co najwyżej zapłaci karę i koniec tematu. Spoczniej, odmaszerować do swoich zajęć.

  43. Osoby odpowiedzialne za ochronę informacji, danych osobowych itd. tej uczelni winny zostać wy… tzn. zwolnione w trybie natychmiastowym. Jak to procedury były podjęte by zapobiegać temu aby pracownicy IT nie mogli wnosić swojego sprzętu oraz wynosić służbowego ? Teraz wyjaśnianiacie incydent ? gdzie byliście gdy trzeba było wdrożyć odpowiednie procedury i zapewnić ich przestrzeganie ? Teraz to już można sobie sklepać konika co najwyżej.

  44. Nieźle, w zasadzie komplet odpowiedzi do pytań zadawanych przez telefoniczną linię banku do autoryzacji (chyba, że po rodo to się zmieniło?)

  45. Zobaczcie na sprawę z sygnaturą akt VI ACa 208/12, w wyroku (jeszcze przed RODO) przysądzono kobiecie tylko za wyciek CV 10.000zł + koszty sądowe.
    Według mnie SGGW będzie robić wszystko żeby się dogadać.

  46. @Piotr Konieczny – odnośnie backupu. Ja używam i bardzo sobie chwalę Veeam Agent (do backupu dysków lokalnych) i Veeam Backup and Replication (do backupu domowego laba ESXi). Oba produkty pocięte o funkcje potrzebne tylko w dużym środowisku produkcyjnym są darmowe, a vendor uznany.

  47. Tak z ciekawości: po co uczelnia pyta dorosłych ludzi o imiona ich rodziców? No i po co (nie tylko w SGGW) chcą znać serię i numer dowodu osobistego i/lub paszportu? Przecież udzielają świadczenia/usługi/itp konkretnej osobie, a nie posiadaczowi konkretnego dokumentu, który przecież mogę następnego dnia zgubić, zalać kawą albo upuścić w niszczarkę.

  48. To na SGGW jest setki tysięcy studentów? Każda polska rodzina ma tam studenta? :)

  49. Po co ktoś w ogóle trzyma takie dane na laptopie?
    Chyba każda uczelnia ma już system rekrutacyjny działający online (sam takie pisałem dla uczelni kilkanaście lat temu) i jedynym miejscem, gdzie te wszystkie dane się znajdują, jest serwer – wszystkie potrzebne operacje robi się z poziomu przeglądarki.

  50. Jak znam nasze polskie obyczaje i układy, za kule powieszony zostanie… administrator lub administratorzy.

    A bo wie pan trza było przywidzieć.

    Sam artykuł tak jak inne ma sens, zawsze jednak pomijacie drobny szczegół. W socjalistycznej Polsce od lat politykę narzucają kretyni, którzy rządzą tym krajem i jego instutucjami. Fachowcy w ogromnej większości przypadków nie mają absolutnie nic do powidzienia. Panie audyt, to audyt, pieniędzy nie ma (bo hierarchowie przeżali), trzeba jakoś żyć… itd., itd., itd.

  51. Czy to kogokolwiek dziwi? Brak elementarnej wiedzy na temat bezpieczeństwa. Brak szkoleń. Brak warsztatów dla pracowników oświaty, którzy po prostu są zagubieni w świecie technologii. Przykre…

    • Nie narzekaj! Wszyscy doskonale wiedzą jak używać MS Windows! A jak jeszcze ich dzieci albo wnuki mają szóstki z informatyki, to do takiego właściciela laptopa nawet nie podchodź, bo zaraz zostaniesz uznany za totalnego ignoranta w dziedzinie IT! I dotyczy to wszelkiej maści użyszkodników używających komputerów w jednostkach publicznych! Dopóki się nic nie przydarzy, to każda próba zwrócenia uwagi na niestosowność zachowań w użytkowaniu sprzętu IT jest uznawana za osobiste podważenie kompetencji! I im wyższe stanowisko w firmie, tym większa ignorancja połączona z arogancją! A powodem takich zachowań jest to, że jak się coś wydarzy, to zawsze odpowiedzialność spadnie na Kozła Ofiarnego, a nie na tych, którzy zawinili! A w przypadku jednostek publicznych, to kary zapłaci budżet państwa, czyli również ci poszkodowani studenci i ich rodzice! Jak kary finansowe będą dotykały bezpośrednio “kieszenie” sprawców, to skończą się etaciki dla znajomych prezia! Nikt nie będzie chciał tyrać za tzw. psi grosz, aby być kozłem ofiarnym gdy znajomi prezesa urzędu czy uczelni coś narozrabiają!

  52. Ma się rozumieć, że laptop na którym znajduje się taka ilość danych nie był zaszyfrowany? Ktoś powinien otrzymać stosowną fakturę z UODO.

  53. Sprawcy złapani, notebooka jeszcze nie odnaleziono:
    https://warszawawpigulce.pl/zatrzymano-odpowiedzialnych-za-kradziez-laptopa-z-sggw-ukradli-go-metoda-na-kolec/

  54. Najlepsze jest to, że zniknięcia laptopa nie da się przeoczyć (i afera gotowa). A tego ile osób korzysta niepostrzeżenie z wyciekniętego hasła jakiegoś pracownika, to już nie wiadomo. Ale ważne, że właściciel wyciekniętego hasła nie zgubił laptopa.

  55. Cały temat powinien sprowadzać się zawsze do jednego! Sprawca szkody NA WŁASNY KOSZT realizuje całą ścieżkę zabezpieczenia osób poszkodowanych! Sam sprawca wie ile i kogo dane posiadał! A jak nie wie, to jego problem! Wskazano w artykule, że “laptop był prywatny”. A ja się zapytam tylko o jedno! Skoro ten jedyny i słuszny pakiet biurowy oraz system operacyjny czyli MS ZWindows, to jakąż to intelektualną trudnością dla pionu IT uczelni, było wymuszenie zdalnej pracy na rzeczonych danych? Uczelnia nie ma maszyn o właściwej mocy obliczeniowej? Owszem ma takie maszyny, ale po co się wysilać! Można szefowi podpaść i wylecieć z pracy! A jak się nie widzi zagrożeń to szef pochwali i premię da! A jak krótkowzroczny szef potrafi jedynie wytknąć, że pracownik “Ma apokaliptyczne wizje”, to teraz niech uczelnia płaci! I to na podobnych zasadach jak zapłaciło Morele! Kara idąca w miliony złotych!

  56. Aż z ciekawości spróbowałem zalogować się na swój eHMS. Niespodzianka! 10 lat po skończeniu studiów na tej uczelni konto w wirtualnym dziekanacie mam nadal aktywne, a na nim komplet danych, także wrażliwych.

  57. […] Uczelnia dostała od nas link do pliku, który wyciekł. Miała wystarczająco dużo czasu by go pobrać i zakładamy, że to zrobiła. W tej sytuacji plikiem tym dysponują również pracownicy uczelni (na innych komputerach niż te, które są serwerami systemu OKNO). I z nich teraz też mogą wyciec, na przykład tak. […]

  58. […] włamał i wykradł, czasem pracownik wysłał coś nie tam, gdzie powinien, a czasem ktoś zostawił laptopa w samochdzie i mu go ukradli. Były bezkarne głębokie ukrycia i pomyłki techniczne, za które pracownika zatrzymywała […]

  59. […] ale niektóre organizacje w Polsce już wiedzą co to znaczy zgubić laptopa, który nie był szyfrowany (i nie dość że nie był, to znajdowały się na nim dane, które nie powinny być w ogóle […]

Odpowiadasz na komentarz Karol

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: