NIK: państwowe dane nie są bezpieczne

NIK: państwowe dane nie są bezpieczne
NIK: państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa. Fot. pixabay

Państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa, a działania, które mają je zapewnić, są prowadzone opieszale, bez przygotowanego planu - wynika z raportu Najwyższej Izby Kontroli.

W poniedziałek NIK opublikował raport "Zapewnienie bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych". Jego celem było sprawdzenie, czy w kontrolowanych jednostkach zapewnione jest bezpieczeństwo danych gromadzonych w systemach przeznaczonych do realizacji istotnych zadań publicznych

Kontrolą objęto sześć wybranych instytucji: Ministerstwo Skarbu Państwa, Ministerstwo Spraw Wewnętrznych, Ministerstwo Sprawiedliwości, Komendę Główną Straży Granicznej, Narodowy Fundusz Zdrowia oraz Kasę Rolniczego Ubezpieczenia Rolniczego. Kontrolą objęto okres od 1 stycznia 2014 r. do 1 października 2015 r.

Izba wskazuje, że KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. Jednak również w systemie funkcjonującym w KRUS kontrola wykryła nieprawidłowości w postaci błędów w implementacji wymagań norm stanowiących podstawę uzyskania certyfikatu. W ocenie NIK niektóre z nich były poważne i mogły mieć istotny, negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS.

Izba stwierdziła nieprawidłowości dotyczące m.in. rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji. Przyjęta koncepcja powierzenia zasobów KRUS wykonawcy zewnętrznemu, m.in. w zakresie systemów służących realizacji podstawowych zadań ustawowych, nie została poprzedzona stosownymi analizami - np. nie określono sposobu szacowania ryzyka związanego z utratą informacji w sytuacji powierzenia zasobów firmie zewnętrznej.

NIK wskazuje, że w pozostałych skontrolowanych jednostkach sytuacja była "niestety nieporównywalnie gorsza". Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT.

Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in. brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

W ocenie NIK kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.

Izba wskazała, że istniała duża dysproporcja pomiędzy działaniami podejmowanymi dla ochrony poszczególnych grup informacji, tj. informacji objętych ustawową ochroną (niejawnych i danych osobowych) oraz innych informacji, których ochrona nie została wprost usankcjonowana w przepisach, ale które mają istotne znaczenie dla prawidłowej realizacji podstawowych zadań tych jednostek.

"W jednostkach kontrolowanych brak było świadomości, że oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach prawa, istnieją także inne informacje, równie ważne, o których ochronę każda jednostka powinna zadbać samodzielnie" - wskazała NIK.

 

×

KOMENTARZE (0)

Do artykułu: NIK: państwowe dane nie są bezpieczne

NEWSLETTER

Zamów newsletter z najciekawszymi i najlepszymi tekstami portalu.

Polityka prywatności portali Grupy PTWP

Logowanie

Dla subskrybentów naszych usług (Strefa Premium, newslettery) oraz uczestników konferencji ogranizowanych przez Grupę PTWP

Nie pamiętasz hasła?

Nie masz jeszcze konta? Kliknij i zarejestruj się teraz!