System FALA pod lupą. Bezpieczeństwo danych wyzwaniem dla transportu publicznego

Rozkład jazdy:

1. Jakie dane gromadzi dziś system transportu publicznego?
2. Gdzie pojawił się problem z bezpieczeństwem informacji?
3. Czy incydent może wpłynąć na zaufanie pasażerów do cyfrowych systemów?

Co dokładnie się stało?

W systemie FALA, obsługującym płatności i planowanie podróży w transporcie publicznym na Pomorzu, doszło do incydentu związanego z bezpieczeństwem danych. Spółka Innobaltica, odpowiedzialna za ten system, potwierdziła, że jeden z jej pracowników bezprawnie skopiował część danych na komputer znajdujący się poza firmą.

Jak poinformował prezes Innobaltica Radomir Matczak, do zdarzenia doszło z udziałem osoby, która miała uprawnienia do systemów i znała obowiązujące procedury.

„Pracownik miał stosowne dostępy i znał procedury, złamał je i skopiował niektóre dane, w tym dane osobowe, na komputer zlokalizowany poza firmą” – powiedział Matczak. Jak dodał, pracownik został zwolniony.

Spółka dowiedziała się o zdarzeniu 21 stycznia i – zgodnie z przepisami – poinformowała administratorów danych.

„Mieliśmy 24 godziny na poinformowanie wszystkich administratorów, po czterech godzinach ich poinformowaliśmy” – podkreślił prezes Innobaltica.

Kluczowa informacja z punktu widzenia pasażerów korzystających z autobusów, tramwajów i kolei w ramach systemu FALA jest taka, że – według zapewnień spółki – nie doszło do naruszenia głównej bazy użytkowników.

„Nie wypłynęły dane użytkowników systemu FALA” – zaznaczył Matczak, wskazując, że system obsługuje około 330 tys. osób.

Na pytanie, jakie dokładnie dane zostały skopiowane, prezes odpowiedział:

„Była to baza danych o charakterze pomocniczym, wewnętrznym”.

Będzie kontrola?

Stanowisko to potwierdziła rzeczniczka spółki Monika Ostrowska, która w oświadczeniu przekazanym PAP zaznaczyła:
„Skopiowane informacje nie były i nie są powiązane z główną bazą danych pasażerów systemu FALA”, dodając, że są to „dwa odrębne, niezależne środowiska serwerowe”.

Innobaltica nie ujawniła, czyje dane znalazły się w skopiowanej bazie ani ilu osób dotyczy zdarzenie. Jak wyjaśnił prezes spółki, ujawnienie tych informacji „nie jest w interesie ani tych osób, ani w interesie sprawy”. Spółka zawiadomiła Prokuraturę Rejonową w Gdańsku.

Dopiero na końcu sprawa nabrała wymiaru politycznego. Gdańscy radni PiS zapowiedzieli skierowanie wniosku do Prezesa UODO o kontrolę w Innobaltica, domagając się sprawdzenia zasad ochrony danych w systemie FALA.

Incydent pokazuje, że wraz z rosnącą rolą cyfrowych systemów w komunikacji miejskiej i regionalnym transporcie publicznym, bezpieczeństwo baz danych staje się jednym z kluczowych elementów stabilnego funkcjonowania całego systemu.