Atak socjotechniczny w trybie dostępu do informacji publicznej

Każdego roku, jednostki administracji publicznej otrzymują od kilku do kilkudziesięciu zapytać w trybie dostępu do informacji publicznej.

Na uwagę w ostatnim czasie zasługują zapytania (wnioski) w trybie dostępu do informacji publicznej wysyłane z serwisów zapewniających prywatność (anonimowość) nadawców wiadomości np. z domeny @protonmail.com.

Przykładowa wiadomość, której nadawca przedstawia się jako przedstawiciel firmy „Proton”, czego potwierdzeniem ma być wysłanie wiadomości z przedstawionej wcześniej domeny.

Według ustawy odpowiedzi powinno się udzielić niezależnie od podanej nazwy nadawcy czy adresu, z którego została wysłana, ale w takiej sytuacji należy bardzo dokładnie poddać analizie taki wniosek pod kątem czy na pewno dotyczy on informacji publicznej.

Dlaczego?

Często nadawcy takich wiadomości próbują wyłudzić informacje (dokumenty), które nie stanowią informacji publicznej, a wręcz są wrażliwymi informacjami dla danej organizacji.

Przykładowo:

  1. Podają nieprawdziwe informacje powołując się na nieistniejące akty prawne, raporty instytucji kontrolnych czy swobodne interpretacje takich zapisów w celu osiągnięcia własnej korzyści.
  2. Próbują uzyskać informacje (dokumenty), które mogą zawierać szczegóły dotyczące wdrożonych w organizacji technicznych oraz organizacyjnych środków bezpieczeństwa.
  3. Próbują uzyskać informacje pod kątem rozpowszechniania lub wykorzystywania ich do własnych, niekoniecznie etycznych celów.

Dlatego:

  1. Nie powinno się udostępniać żadnych szczegółowych informacji o wdrożonych zabezpieczeniach technicznych oraz organizacyjnych. W szczególności procedur i polityk, w których jest mowa o zasadach korzystania z systemów teleinformatycznych, miejscach w których przechowywane są dane osobowe i inne aktywa wrażliwe dla organizacji. Takim dokumentem jest przykładowo rejestr czynności przetwarzania jako jeden z dokumentów wymaganych przez RODO. W rejestrze znajdują się informacje jakie dane są przetwarzane, w jakich systemach teleinformatycznych i jak są zabezpieczone (na dużym poziomie ogólności).
  2. Nie powinno się udostępniać dokumentacji ze szczegółowym rozmieszczeniem infrastruktury informatycznej w organizacji czy topologii sieci.
  3. Nie powinno się udostępniać polityk, w których są zapisane zasady bezpieczeństwa np. haseł, korzystania z komputerów czy wykonywania i przechowywania kopii zapasowych.
  4. Nie powinno się przekazywać informacji o specjalistycznym oprogramowaniu np. jaka wersja oprogramowania antywirusowego jest w organizacji wykorzystywana.

Poza powyższymi przykładami, sugerowane jest konsultowanie wniosków o dostęp w trybie dostępu do informacji publicznej z inspektorem ochrony danych, działem informatyki (jeżeli jest w zakresie wniosku) oraz radcą prawnym.

Uwaga. Powyższy tekst nie jest opinią prawnika lecz jest oparty na doświadczeniu osób specjalizujących się bezpieczeństwem informacji i systemów teleinformatycznych.