Miesięcznik informatyków i menedżerów IT sektora publicznego

Jacek Orłowski

Co wykazała kontrola bezpieczeństwa w samorządach

Zasoby elektroniczne w gminach, powiatach i ośrodkach pomocy społecznej nie są należycie chronione. Taką diagnozę stawia Najwyższa Izba Kontroli, wskazując przy tym na przyczyny marginalizowania zagadnień bezpieczeństwa w samorządach.

Opublikowany w ubiegłym roku przez Najwyższą Izbę Kontroli (dalej: NIK) raport „Bezpieczeństwo elektronicznych zasobów informacyjnych w jednostkach samorządu terytorialnego w województwie podlaskim” (itwa.pl/e8) obnaża wątły stan zabezpieczeń organizacyjnych i technicznych kontrolowanych jednostek. Województwo podlaskie nie jest jednak pod tym względem wyjątkowe, a krytykę zawartą we wnioskach z raportu powinny wziąć do siebie wszystkie placówki administracji publicznej. Zaniedbania trwają bowiem od lat, a zagrożenia związane z utratą poufności, ograniczeniem dostępności oraz naruszeniem integralności informacji stale się zwiększają. Jak dowodzą specjaliści firmy F-Secure, w 2017 r. tylko liczba ataków z wykorzystaniem ransomware wzrosła o 415 proc. rok do roku. Z kolei eksperci SonicWall szacują, że codziennie ma miejsce ok. 1100 nowych ataków hakerskich. Zmieniają się też ich cele. Przestępcom coraz częściej chodzi o zainfekowanie przedsiębiorstw i instytucji, które dysponują środkami finansowymi i danymi wrażliwymi.

Zaniedbania proceduralne

Kontrolą NIK objęto 14 proc. podlaskich jednostek samorządu terytorialnego. Sprawdzano w nich: 1) przyjęte rozwiązania dotyczące zabezpieczenia dostępu do poszczególnych systemów informatycznych i usług sieciowych; 2) opracowanie dokumentacji i procedur dotyczących ochrony danych; 3) sposób przechowywania oraz zabezpieczenia danych oraz 4) zakres przetwarzanych danych. W ramach kontroli badaniami objęto również sposób realizacji zadań wynikających z przepisów obowiązującej do 25 maja 2018 r. ustawy o ochronie danych osobowych. Uwagę zwrócono także, czy jednostki podejmowały działania, aby przygotować się na wejście w życie rodo z dniem 25 maja 2018 r.

W aż 22 z 31 kontrolowanych podmiotów dokumentacja i procedury związane z ochroną danych osobowych były niekompletne, tzn. nie spełniały wymogów określonych w sprawie dokumentacji przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024). Zdarzyło się nawet, że w jednej z placówek nie aktualizowano jej przez 10 lat! Jedynie siedem jednostek posiadało politykę bezpieczeństwa informacji, wymaganą od 31 maja 2012 r. przepisem § 20 ust. 1 rozporządzenia o Krajowych Ramach Inter­operacyjności (dalej: KRI). Te naruszenia najczęściej tłumaczono kontrolerom NIK brakiem świadomości podlegania wskazanym regulacjom lub nieposiadaniem odpowiednich kompetencji do podjęcia takich działań. Większość kontrolowanych placówek nie przeprowadzała też obowiązkowych, corocznych audytów bezpieczeństwa informacji. Podobna sytuacja dotyczyła okresowych analiz ryzyka, utraty integralności, dostępności lub poufności informacji. W ten sposób kierownictwo placówek pozbawione było nie tylko wiedzy na temat zagrożeń, ale też rzetelnej oceny skuteczności przyjętych rozwiązań w zakresie ochrony danych. Dodajmy, że nie robiono tego albo z braku czasu (zbyt dużo innych obowiązków służbowych), albo z powodu braku wiedzy na temat przeprowadzania analizy ryzyka.

Brak nadzoru i… informatyków

„Jedynie w jednej z 31 skontrolowanych jednostek prowadzono elektroniczny rejestr dostępu do systemów informatycznych” – dowiadujemy się z raportu NIK. Oznacza to, że w pozostałych placówkach nie stosowano się w ogóle do zapisów § 20 ust. 2 pkt 7 lit. a rozporządzenia KRI. W praktyce oznacza to spore trudności w ustaleniu sprawcy lub źródła zagrożenia w wypadku zaistnienia sytuacji niepożądanej z punktu widzenia bezpieczeństwa danych.

Sporo do życzenia pod względem bezpieczeństwa w samorządach pozostawia też zakres nadawanych uprawnień i zarządzanie nimi. W większości (18 z 31) placówek do codziennej pracy wykorzystywano konta z uprawnieniami lokalnych administratorów na stacji roboczej (mimo iż nie było to potrzebne).

[...]

Autor jest redaktorem naczelnym „IT w Administracji”.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej