Państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa, a działania, które mają je zapewnić, są prowadzone opieszale, bez przygotowanego planu – wynika z raportu Najwyższej Izby Kontroli.
W poniedziałek NIK opublikowała raport “Zapewnienie bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych”. Jego celem było sprawdzenie, czy w kontrolowanych jednostkach zapewnione jest bezpieczeństwo danych gromadzonych w systemach przeznaczonych do realizacji istotnych zadań publicznych
Kontrolą objęto sześć wybranych instytucji: Ministerstwo Skarbu Państwa, Ministerstwo Spraw Wewnętrznych, Ministerstwo Sprawiedliwości, Komendę Główną Straży Granicznej, Narodowy Fundusz Zdrowia oraz Kasę Rolniczego Ubezpieczenia Rolniczego. Kontrolą objęto okres od 1 stycznia 2014 r. do 1 października 2015 r.
Izba wskazuje, że KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. Jednak również w systemie funkcjonującym w KRUS kontrola wykryła nieprawidłowości w postaci błędów w implementacji wymagań norm stanowiących podstawę uzyskania certyfikatu. W ocenie NIK niektóre z nich były poważne i mogły mieć istotny, negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS.
Izba stwierdziła nieprawidłowości dotyczące m.in. rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji. Przyjęta koncepcja powierzenia zasobów KRUS wykonawcy zewnętrznemu, m.in. w zakresie systemów służących realizacji podstawowych zadań ustawowych, nie została poprzedzona stosownymi analizami – np. nie określono sposobu szacowania ryzyka związanego z utratą informacji w sytuacji powierzenia zasobów firmie zewnętrznej.
NIK wskazuje, że w pozostałych skontrolowanych jednostkach sytuacja była “niestety nieporównywalnie gorsza”. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT.
Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in. brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.
W ocenie NIK kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.
Izba wskazała, że istniała duża dysproporcja pomiędzy działaniami podejmowanymi dla ochrony poszczególnych grup informacji, tj. informacji objętych ustawową ochroną (niejawnych i danych osobowych) oraz innych informacji, których ochrona nie została wprost usankcjonowana w przepisach, ale które mają istotne znaczenie dla prawidłowej realizacji podstawowych zadań tych jednostek.
“W jednostkach kontrolowanych brak było świadomości, że oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach prawa, istnieją także inne informacje, równie ważne, o których ochronę każda jednostka powinna zadbać samodzielnie” – wskazała NIK.
W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości kontrolowanych jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne.
“Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych” – wskazała izba.
Źródło: http://kurier.pap.pl