bg
Chcę wiedzieć o...
Strona główna
Analizy i raporty
NIK: instytucje państwowe nie zapewniają bezpieczeństwa danych

NIK: instytucje państwowe nie zapewniają bezpieczeństwa danych

Dodano: 2016-05-17
Publikator: Najwyższa Izba Kontroli

Najwyższa Izba Kontroli wydała raport z kontroli systemów ochrony danych osobowych w instytucjach państwowych. Zdaniem NIK, polskie państwo nie chroni w sposób należny danych swoich obywateli.

Kontroli poddano Ministerstwo Skarbu Państwa (Zintegrowany System Informatyczny), Ministerstwo Spraw Wewnętrznych (Centralna ewidencja wydanych i unieważnionych dokumentów paszportowych), Ministerstwo Sprawiedliwości (Nowa Księga Wieczysta), Komendę Główną Straży Granicznej (Centralna Baza Danych Straży Granicznej), Narodowy Fundusz Zdrowa (Elektroniczna Weryfikacja Uprawnień Świadczeniobiorców), Kasa Rolniczego Ubezpieczenia Społecznego (FARMER).

W przedstawionym raporcie NIK jednoznacznie stwierdził: „stosowane przez skontrolowane podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa”. W opinii NIKu jedynie KRUS spełnia wszystkie procedury dotyczące bezpieczeństwa danych. KRUS jest jedyną instytucją, w której wdrożono System Zarządzania Bezpieczeństwem Informacji. Z drugiej strony w raporcie podkreślono, że System stanowił jeden z wymogów koniecznych do uzyskania certyfikatu ISO 27001 przez KRUS. Mimo to organ kontroli wykrył nieprawidłowości w funkcjonowaniu tego narzędzia. W raporcie wskazano, że mogą one mieć „negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS”. Krytyce poddano fakt, że KRUS powierzył swoje zasoby zewnętrznej firmie bez wcześniejszej analizy możliwych do wystąpienia ryzyk związanych z outsourcingiem.

„W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza” – stwierdza NIK. W raporcie stwierdzono, że pozostałe instytucje bezpieczeństwo systemów informatycznych opierały jedynie na ogólnie znanych „dobrych praktykach” lub „doświadczeniu pracowników działów IT”.

NIK zarzucił instytucjom administracji państwowej brak precyzyjnie określonych programów zapewniania bezpieczeństwa danych oraz zaniechanie wdrożenia systemów zarządzania bezpieczeństwem informacji. Poza tym, NIK wykrył nieprawidłowości związane z brakiem niezbędnych opracowań analitycznych i procedur, włącznie z brakiem informacji o dystrybucji i użytkowaniu oprogramowania antywirusowego. Zdaniem organu, kontrolowane instytucje nie spełniały odpowiednich wymogów w zakresie nadzoru, testowania i monitorowania bezpieczeństwa. Również w opinii NIKu, poszczególne organy administracji publicznej przeznaczają zbyt małe środki na ochronę systemów IT, a podejmowane działania są prowadzone „opieszale”. Brak jasno zdefiniowanych procedur systemów bezpieczeństwa sprawia, że programy te są realizowane w sposób chaotyczny i intuicyjny.

„W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce” – stwierdza NIK.

Trzy skontrolowane instytucje wprowadziły jedynie niezbędny, minimalny zakres ochrony danych, który został oceniony przez NIK jako absolutnie niewystarczający. We wszystkich jednostkach ochrona dotyczyła tylko tych informacji, których zabezpieczenia wymaga prawo. Brak jest wprowadzania jakichkolwiek innych funkcji mających wpływ na podniesienie ochrony przed cyberzagrożeniami poza tymi wynikającymi z ustawy. W ocenie NIK jest to problem, który może zaburzać ciągłość działania „instytucji mających istotne znaczenie dla funkcjonowania państwa”.

NIK również podniósł w raporcie, że w żadnej ze skontrolowanych instytucji nie występuje osoba odpowiedzialna za bezpieczeństwo danych. Zazwyczaj odpowiedzialność jest rozproszona między pracownikami działów IT lub skupiona wokół koordynatora ds. bezpieczeństwa, którzy, jak ocenił NIK, nie mają wystarczających uprawnień i możliwości do działania w zakresie zarządzania procesami zabezpieczania danych.

Wszystko to skutkuje tym, że pieniądze na bezpieczeństwo danych wydawane są w sposób „intuicyjny” – podsumowuje Najwyższa Izba Kontroli.

Pliki do pobrania

nik-raport-cyberbezpieczenstwo.pdf

Artykuły powiązane

Sąd Najwyższy oddalił argumenty Rzecznika Praw Obywatelskich w sprawie dotyczącej zadośćuczynienia.

Izba Kontroli Nadzwyczajnej i Spraw Publicznych Sądu Najwyższego odrzuciła skargę Rzecznika Praw Obywatelskich w spr...

Jak wyglądała sytuacja w ubezpieczeniach w 2023?

Polska Izba Ubezpieczeń opublikowała raport „Ubezpieczenia w liczbach w 2023”. W ubiegłym roku ubezpieczyciele wypłac...

Prywatne ubezpieczenie zdrowotne ma już niemal 5 mln Polaków

Polska Izba Ubezpieczeń poinformowała, że liczba osób objętych prywatnym ubezpieczeniem zdrowotnym nieustannie rośnie i...