W maju 2021 roku znowelizowano ustawę prawo energetyczne. Wdrożono tym samy do polskiego systemu zapisy unijnej dyrektywy w sprawie efektywności energetycznej. Zgodnie z nimi do 2027 r. wszystkie wodomierze mają być wyposażone w możliwość zdalnego odczytu. Czy jednak da się zapewnić bezpieczeństwo gromadzonych w ten sposób danych?
Urząd Ochrony Danych Osobowych skontrolował podmioty korzystające z tzw. inteligentnych liczników. Celem kontroli było sprawdzenie zarówno sposoby gromadzenia danych, jak i ich przetwarzanie oraz zabezpieczenie. Powodem kontroli były obawy dotyczące wdrażania zdalnego odczytu danych i zabezpieczania tych danych. W ramach kontroli UODO sprawdzał wprowadzenie technicznych i organizacyjnych środków zapewniających zgodność przetwarzania danych osobowych z RODO.
Kontrola objęła dwie spółdzielnie mieszkaniowe i jednego operatora. Niestety okazało się, że podejmowane działania nie gwarantują odpowiedniej ochrony danych. Dostrzeżone nieprawidłowości dotyczyły ogólnego sformułowania zawartego w umowach powierzenia przetwarzania. Dotyczyło ono zakresu oraz rodzaju danych, a opis nie zawiera postanowień jednoznacznie określających ten zakres.
Stwierdzone naruszenia usunięto jeszcze w trakcie przeprowadzania kontroli.
Informacja pokontrolna Urzędu Ochrony Danych Osobowych zawiera wskazania dotycząca zakresu przetwarzania danych i różnic w nim zależny od przyjętego sposobu odczytu. Pozyskiwanie odczytów zdalnie może wiązać się z przetwarzaniem ich w szerszym zakresie. Może być wykorzystywane do profilowania użytkowników i tworzenia baz na tej podstawie. Dlatego podmioty, które wykorzystują rozwiązania z zakresu nowych technologii do zdalnego zbierania informacji powinny podjąć odpowiednie działania administracyjne na etapie planowania, a potem wdrażania systemu.
Warto przy tym przypomnieć, że stosunku do zdalnego odczytu wodomierzy nie zostały wcześniej określone minimalne wymagania (rozporządzenie RODO 2016/679).
W czym tkwi problem?
Podczas przeprowadzanej kontroli nie wykryto działań prowadzących do profilowania, a dane osobowe były przekazywane podmiotom zewnętrznym dokonującym odczytu. To sytuacja, w której administrator danych powinien zadbać o bezpieczeństwo przekazywania danych. Jednym ze sposobów jest szyfrowanie danych podczas przesyłania, innym przesyłanie jedynie niezbędnych informacji niezależnie od zakresu informacji pozyskanych.
Urząd Ochrony Danych Osobowych informuje, że przy systemach zdalnego odczytu stanu wodomierzy już na etapie projektowania uwagę należy zwrócić na właściwy dobór urządzeń w nim wykorzystywanych. Administratorzy danych osobowych powinni regularnie testować zastosowane rozwiązania z uwzględnieniem cyberbezpieczeństwa. Ciągły rozwój nowych technologii to również wciąż pojawiające się nowe zagrożenia. Tylko systematyczna i pełna kontrola posiadanych urządzeń wraz z oprogramowaniem oraz ich konfiguracja pozwoli dostosować odpowiednie zabezpieczenia danych przetwarzanych w systemach teleinformatycznych.
Hakerzy nie śpią
Warto przypomnieć atak na system wodociągowy Izraela, który miał miejsce w 2020 r. W jego wyniku hakerzy uzyskali dostęp do przepompowni i jednej z najważniejszych stacji uzdatniania wody. Atak doprowadził do zniszczenia systemu sterowania oraz samych urządzeń.
Hakerzy byli w stanie zwiększyć ilość środków chemicznych używanych do oczyszczania wody i podnieśli je do wartości niebezpiecznych dla zdrowia. Gdyby w porę nie powstrzymano dalszych działań i tak „wzbogacona” woda trafiłaby do dystrybucji, poszkodowanych zostałoby setki tysięcy osób.
Na razie jednak większość cyberataków udaje się odeprzeć. By dalej było to możliwe branża nie może przestać dbać o bezpieczeństwo systemów i danych.
Źródło: pap.pl rynekinstalacyjny.pl