bg
Chcę wiedzieć o...
Strona główna
Analizy i raporty
NIK: instytucje państwowe nie zapewniają bezpieczeństwa danych

NIK: instytucje państwowe nie zapewniają bezpieczeństwa danych

Dodano: 2016-05-17
Publikator: Najwyższa Izba Kontroli

Najwyższa Izba Kontroli wydała raport z kontroli systemów ochrony danych osobowych w instytucjach państwowych. Zdaniem NIK, polskie państwo nie chroni w sposób należny danych swoich obywateli.

Kontroli poddano Ministerstwo Skarbu Państwa (Zintegrowany System Informatyczny), Ministerstwo Spraw Wewnętrznych (Centralna ewidencja wydanych i unieważnionych dokumentów paszportowych), Ministerstwo Sprawiedliwości (Nowa Księga Wieczysta), Komendę Główną Straży Granicznej (Centralna Baza Danych Straży Granicznej), Narodowy Fundusz Zdrowa (Elektroniczna Weryfikacja Uprawnień Świadczeniobiorców), Kasa Rolniczego Ubezpieczenia Społecznego (FARMER).

W przedstawionym raporcie NIK jednoznacznie stwierdził: „stosowane przez skontrolowane podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa”. W opinii NIKu jedynie KRUS spełnia wszystkie procedury dotyczące bezpieczeństwa danych. KRUS jest jedyną instytucją, w której wdrożono System Zarządzania Bezpieczeństwem Informacji. Z drugiej strony w raporcie podkreślono, że System stanowił jeden z wymogów koniecznych do uzyskania certyfikatu ISO 27001 przez KRUS. Mimo to organ kontroli wykrył nieprawidłowości w funkcjonowaniu tego narzędzia. W raporcie wskazano, że mogą one mieć „negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS”. Krytyce poddano fakt, że KRUS powierzył swoje zasoby zewnętrznej firmie bez wcześniejszej analizy możliwych do wystąpienia ryzyk związanych z outsourcingiem.

„W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza” – stwierdza NIK. W raporcie stwierdzono, że pozostałe instytucje bezpieczeństwo systemów informatycznych opierały jedynie na ogólnie znanych „dobrych praktykach” lub „doświadczeniu pracowników działów IT”.

NIK zarzucił instytucjom administracji państwowej brak precyzyjnie określonych programów zapewniania bezpieczeństwa danych oraz zaniechanie wdrożenia systemów zarządzania bezpieczeństwem informacji. Poza tym, NIK wykrył nieprawidłowości związane z brakiem niezbędnych opracowań analitycznych i procedur, włącznie z brakiem informacji o dystrybucji i użytkowaniu oprogramowania antywirusowego. Zdaniem organu, kontrolowane instytucje nie spełniały odpowiednich wymogów w zakresie nadzoru, testowania i monitorowania bezpieczeństwa. Również w opinii NIKu, poszczególne organy administracji publicznej przeznaczają zbyt małe środki na ochronę systemów IT, a podejmowane działania są prowadzone „opieszale”. Brak jasno zdefiniowanych procedur systemów bezpieczeństwa sprawia, że programy te są realizowane w sposób chaotyczny i intuicyjny.

„W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce” – stwierdza NIK.

Trzy skontrolowane instytucje wprowadziły jedynie niezbędny, minimalny zakres ochrony danych, który został oceniony przez NIK jako absolutnie niewystarczający. We wszystkich jednostkach ochrona dotyczyła tylko tych informacji, których zabezpieczenia wymaga prawo. Brak jest wprowadzania jakichkolwiek innych funkcji mających wpływ na podniesienie ochrony przed cyberzagrożeniami poza tymi wynikającymi z ustawy. W ocenie NIK jest to problem, który może zaburzać ciągłość działania „instytucji mających istotne znaczenie dla funkcjonowania państwa”.

NIK również podniósł w raporcie, że w żadnej ze skontrolowanych instytucji nie występuje osoba odpowiedzialna za bezpieczeństwo danych. Zazwyczaj odpowiedzialność jest rozproszona między pracownikami działów IT lub skupiona wokół koordynatora ds. bezpieczeństwa, którzy, jak ocenił NIK, nie mają wystarczających uprawnień i możliwości do działania w zakresie zarządzania procesami zabezpieczania danych.

Wszystko to skutkuje tym, że pieniądze na bezpieczeństwo danych wydawane są w sposób „intuicyjny” – podsumowuje Najwyższa Izba Kontroli.

Pliki do pobrania

nik-raport-cyberbezpieczenstwo.pdf

Artykuły powiązane

Ubezpieczenia w pierwszych trzech kwartałach 2023 roku

W dniu 28 listopada 2023 r. Ubezpieczeniowy Fundusz Gwarancyjny opublikował biuletyn, w którym zamieszczono analizę ry...

Trzeba uważać komu wysyłany jest dokument potwierdzający przyznanie odszkodowania

Prezes Urzędu Ochrony Danych Osobowych nałożył na ubezpieczyciela administracyjną karę pieniężną w wysokości 103 752...

Ubezpieczyciel jednak wypłaci odszkodowanie bliskim ofiar wypadku na A1

Tragiczny wypadek na autostradzie A1 miał miejsce 16 września 2023 r. To właśnie tego dnia kierowca jadący z p...