NIK: państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa

NIK: państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa
Fot. Adobe Stock. Data dodania: 20 września 2022

Państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa, a działania, które mają je zapewnić, są prowadzone opieszale, bez przygotowanego planu - wynika z raportu Najwyższej Izby Kontroli.

W poniedziałek NIK opublikował raport "Zapewnienie bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych". Jego celem było sprawdzenie, czy w kontrolowanych jednostkach zapewnione jest bezpieczeństwo danych gromadzonych w systemach przeznaczonych do realizacji istotnych zadań publicznych

Kontrolą objęto sześć wybranych instytucji: Ministerstwo Skarbu Państwa, Ministerstwo Spraw Wewnętrznych, Ministerstwo Sprawiedliwości, Komendę Główną Straży Granicznej, Narodowy Fundusz Zdrowia oraz Kasę Rolniczego Ubezpieczenia Rolniczego. Kontrolą objęto okres od 1 stycznia 2014 r. do 1 października 2015 r.

Izba wskazuje, że KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. Jednak również w systemie funkcjonującym w KRUS kontrola wykryła nieprawidłowości w postaci błędów w implementacji wymagań norm stanowiących podstawę uzyskania certyfikatu. W ocenie NIK niektóre z nich były poważne i mogły mieć istotny, negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS.

Izba stwierdziła nieprawidłowości dotyczące m.in. rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji. Przyjęta koncepcja powierzenia zasobów KRUS wykonawcy zewnętrznemu, m.in. w zakresie systemów służących realizacji podstawowych zadań ustawowych, nie została poprzedzona stosownymi analizami - np. nie określono sposobu szacowania ryzyka związanego z utratą informacji w sytuacji powierzenia zasobów firmie zewnętrznej.

NIK wskazuje, że w pozostałych skontrolowanych jednostkach sytuacja była "niestety nieporównywalnie gorsza". Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT.

Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in. brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

W ocenie NIK kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.

Izba wskazała, że istniała duża dysproporcja pomiędzy działaniami podejmowanymi dla ochrony poszczególnych grup informacji, tj. informacji objętych ustawową ochroną (niejawnych i danych osobowych) oraz innych informacji, których ochrona nie została wprost usankcjonowana w przepisach, ale które mają istotne znaczenie dla prawidłowej realizacji podstawowych zadań tych jednostek.

"W jednostkach kontrolowanych brak było świadomości, że oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach prawa, istnieją także inne informacje, równie ważne, o których ochronę każda jednostka powinna zadbać samodzielnie" - wskazała NIK.

W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości kontrolowanych jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne.

"Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych" - wskazała izba.

NIK wskazała, że we wszystkich kontrolowanych jednostkach prowadzone były audyty bezpieczeństwa. Raporty z tych audytów stanowiły dla kierownictw kontrolowanych jednostek jedyne istotne źródło informacji o realnym stanie bezpieczeństwa, różnych aspektach jego utrzymania oraz działaniach niezbędnych do przeprowadzenia.

"Istotnym problemem był jednak brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań" - podkreśliła Izba.

Dostrzegając działania podjęte przez resort cyfryzacji w zakresie budowy systemu ochrony polskiej cyberprzestrzeni, będące odpowiedzią m.in. na wnioski sformułowane przez NIK po kontroli dotyczącej realizacji zadań w zakresie ochrony polskiej cyberprzestrzeni przez podmioty państwowe, Izba postuluje rozszerzenie tych działań o zalecenia dla podmiotów publicznych w zakresie ochrony systemów przetwarzających dane istotne dla funkcjonowania państwa.

Zdaniem NIK konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.
×

DALSZA CZĘŚĆ ARTYKUŁU JEST DOSTĘPNA DLA SUBSKRYBENTÓW STREFY PREMIUM PORTALU WNP.PL

lub poznaj nasze plany abonamentowe i wybierz odpowiedni dla siebie. Nie masz konta? Kliknij i załóż konto!

Zamów newsletter z najciekawszymi i najlepszymi tekstami portalu

Podaj poprawny adres e-mail
W związku z bezpłatną subskrypcją zgadzam się na otrzymywanie na podany adres email informacji handlowych.
Informujemy, że dane przekazane w związku z zamówieniem newslettera będą przetwarzane zgodnie z Polityką Prywatności PTWP Online Sp. z o.o.

Usługa zostanie uruchomiania po kliknięciu w link aktywacyjny przesłany na podany adres email.

W każdej chwili możesz zrezygnować z otrzymywania newslettera i innych informacji.
Musisz zaznaczyć wymaganą zgodę

KOMENTARZE (0)

Do artykułu: NIK: państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa

NEWSLETTER

Zamów newsletter z najciekawszymi i najlepszymi tekstami portalu.

Polityka prywatności portali Grupy PTWP

Logowanie

Dla subskrybentów naszych usług (Strefa Premium, newslettery) oraz uczestników konferencji ogranizowanych przez Grupę PTWP

Nie pamiętasz hasła?

Nie masz jeszcze konta? Kliknij i zarejestruj się teraz!