Miesięcznik informatyków i menedżerów IT sektora publicznego

Eryk Chilmon

Samorządy nie zabezpieczają odpowiednio danych wrażliwych

Wszelkie informacje o obywatelach, w tym dane wrażliwe, przechowywane w postaci elektronicznej przez jednostki samorządowe, nie są odpowiednio zabezpieczone przed nieuprawnionym dostępem – alarmuje NIK po kontroli na Podlasiu. Dane mogą w każdej chwili zostać przejrzane, przejęte lub zniszczone. Samorządy nie wiedzą nawet, kto ma do nich dostęp.

W województwie podlaskim NIK skontrolowała 31 jednostek samorządowych (urzędy gminy lub miast, starostwa powiatowe i ośrodki pomocy społecznej), aby sprawdzić, w jaki sposób były chronione elektroniczne zasoby informacyjne. W prawie wszystkich skontrolowanych jednostkach poziom bezpieczeństwa systemów informatycznych i usług sieciowych był na niezadowalającym lub na bardzo niskim poziomie. Jedynie w Urzędzie Miejskim w Suwałkach poziom zabezpieczeń odpowiedzialnych za autoryzację dostępu do sieci wykonano profesjonalnie, zasoby informacyjne były właściwie chronione przed nieuprawnionym dostępem, kradzieżą lub utratą, a praca sieci znajdowała się pod pełną kontrolą jej administratora.

Swobodny dostęp do danych

Z raportu „Bezpieczeństwo elektronicznych zasobów informacyjnych w jednostkach samorządu terytorialnego w województwie podlaskim” wynika, że dokumentacja i procedury dotyczące ochrony danych w większości skontrolowanych jednostek samorządowych (22 z 31) były niekompletne lub nieaktualne (nawet od ponad 10 lat). Jak informuje NIK, większość podmiotów objętych kontrolą (19) ponadto nie przestrzegała tych przepisów i procedur w kwestii sposobu przechowywania i zabezpieczania danych. Dane przechowywane były w miejscach ogólnodostępnych, bez możliwości zamknięcia. Instytucje nie sporządzały kopii bezpieczeństwa baz danych lub tworzyły je w niewłaściwy sposób (np. nie kopiując wszystkich danych). Zdarzało się, że nośniki, na których zapisywano kopie, przechowywano w tym samym pomieszczeniu co oryginały, a to w żaden sposób nie gwarantuje im bezpieczeństwa.

Niemal wszystkie skontrolowane jednostki nie monitorowały dostępu do informacji. Tylko w jednej prowadzono elektroniczny rejestr dostępu, co w przypadku przecieku pozwalało na ustalenie jego źródła. W ponad połowie pracownikom, którzy nie posiadają odpowiednich kwalifikacji ani zadań związanych z zarządzaniem systemami informatycznymi, nadano uprawnienia administratora systemów operacyjnych wykorzystywanych przez nich komputerów. Mieli oni zatem możliwość instalacji dowolnego oprogramowania oraz wprowadzania zmian w konfiguracji tych urządzeń. W ośmiu jednostkach kontrolerzy trafili na przypadki nieodebrania lub odbierania z opóźnieniem byłym pracownikom uprawnień w systemach informatycznych. Z kolei w 12 jednostkach możliwy był nieautoryzowany dostęp do danych elektronicznych – aby go uzyskać, nie trzeba było wpisywać kodów uwierzytelniających lub były one zbyt proste albo ogólnodostępne.

Przestarzałe systemy i brak analiz

Z ustaleń kontroli wynika, że w ponad połowie skontrolowanych jednostek wykorzystywano systemy operacyjne, dla których producent zakończył udzielanie wsparcia technicznego, a więc nie były publikowane nowe aktualizacje bezpieczeństwa tych systemów. Komputery te obejmowały od 4 do 43 proc. ogółu komputerów w poszczególnych jednostkach. Stanowiło to zagrożenie dla bezpieczeństwa sieci jednostek, w których wykorzystywano takie oprogramowanie.

[...]

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej