MS odpowiada: Szkolenia z cyberbezpieczeństwa – bezpieczne

W nawiązaniu do tekstu Magdaleny Gałczyńskiej, pt.: Resort Ziobry zaleca sądom szkolenia z bezpieczeństwa. Przygotowała je firma oskarżana w USA o współpracę z rosyjskim wywiadem, który w poniedziałek (7 grudnia 2020) opublikował Onet.pl informujemy, że występowaliśmy także do ministerstwa z pytaniami związanymi z zabezpieczeniem danych udostępnianych w związku z odbywającymi się w sądach szkoleniami z cyberbezpieczeństwa.

Byliśmy zainteresowani jaka agenda rządowa kontraktowała te szkolenia oraz czy w czasie polecania pracownikom sądów przeprowadzania tych – skądinąd ważnych szkoleń – brano pod uwagę pochodzenie firmy Kaspersky i doniesienia o podejrzeniach incydentów oraz polityce prowadzonej wobec tej firmy w innych krajach – w tym USA.

NIEBEZPIECZNIK: Skandal w Kaspersky. Ten antywirus pomagał rosyjskim służbom wykradać dane z komputerów na całym świecie

Interesowało nas również, czy zlecając pracownikom sądów takie szkolenia brano pod uwagę i analizowano zapisy dotyczące prywatności danych – zwłaszcza o tym, że dane osobowe dużej ilości pracowników przetwarzane będą na terenie Federacji Rosyjskiej – przez podmiot, który tam ma swoja siedzibę i podlega rosyjskiemu prawu. Najważniejsze było dla nas uzyskanie odpowiedzi czy w ogóle dane o pracownikach przekazywane do firmy Kaspersky w związku zaleconymi pracownikom sądów szkoleniami – sędziami, referendarzami sądowymi, urzędnikami polskich sądów – Ministerstwo Sprawiedliwości uważa za bezpieczne zarówno dla tych osób, jak i mając na uwadze interesy Polski.

Z oświadczenia Kaspersky LAB wynika bowiem, że wprawdzie administratorem danych jest administrator szkolenia, jednakże znajdujemy w dokumentacji informacje, że do przetwarzania danych dochodzi na terenie Federacji Rosyjskiej. Dane te obejmują – zgodnie z dokumentacją – Imię i nazwisko, adres e-mail i nazwę firmy. Najbardziej zaniepokoiła pracowników klauzula z oświadczenia, która głosi:

Dane osobowe dostarczone przez użytkowników do Kaspersky Lab mogą być przetwarzane w następujących krajach, w tym w krajach poza Unią Europejską (UE) lub Europejskim Obszarem Gospodarczym (EOG), które nie zostały uznane przez Komisję Europejską za kraje dysponujące należytym poziomem ochrony danych: EOG: Niemcy, Holandia, Francja, Wielka Brytania; poza EOG: Szwajcaria, Kanada, Singapur, Rosja, Japonia, USA, Meksyk, Chiny, Azerbejdżan. Zgodnie z naszą ogólną praktyką biznesową dane otrzymywane od użytkowników w UE są przetwarzane na serwerach znajdujących się w UE.

Wydział Prasowy Ministerstwa sprawiedliwości zapewniło nas, że przed udostępnieniem pracownikom szkolenia „podjęło wszelkie niezbędne kroki mające na celu zlikwidowanie ewentualnego ryzyka i zadbało o bezpieczeństwo uczestnictwa w przedmiotowym szkoleniu. Żadne dane osobowe pracowników nie zostały zamieszczone na platformie K-ASAP Kaspersky. Wprowadzone rozwiązania techniczne automatycznie blokują wypływ danych z Ministerstwa. Jedyne informacje jakie widnieją na platformie to imię uczestnika (bez nazwiska) i mail w postaci zaszyfrowanej. Wszystkie dane osobowe oraz klucz szyfrujący znajdują się po stronie Ministerstwa Sprawiedliwości. W związku z powyższym udział w szkoleniu spełnia wszelkie wymogi bezpieczeństwa”.