NIK alarmuje: Dane w samorządach są słabo chronione
Wpis dodał: Marcin Żyski | Zgłoś błąd lub naruszenie
Najnowszy raport Najwyższej Izby Kontroli zawiera niepokojące informacje dotyczące bezpieczeństwa danych w jednostkach samorządu terytorialnego.
"Żeby elektronicznie znaczyło bezpiecznie" - tak nazywa się tekst na stronie nik.gov.pl, w którym przeczytać można, że dane gromadzone i przetwarzane w bazach i systemach komputerowych urzędów gmin i miast, a także w starostwach są słabo chronione.
NIK przypomina, że w latach 2013-2014 hakerzy okradli pięć polskich gmin, w tym gminę Jaworzno na prawie milion złotych. W 2014 r. wyciekły dane dzieci z przemyskiego Urzędu Miejskiego, w 2017 r. z Urzędu Miasta Łodzi wyciekły dane z tzw. deklaracji śmieciowych, a rok później wyciekły dane części posiadaczy Karty Krakowskiej.
Najwyższa Izba Kontroli alarmuje, że niewłaściwe zarządzanie bezpieczeństwem informacji może doprowadzać nie tylko do wycieków, utraty lub fałszowania danych posiadanych przez urząd, ale w ekstremalnych przypadkach możliwy jest także całkowity paraliż pracy urzędu. Według NIK urzędnicy nie przywiązują dostatecznej wagi do tego, aby zapewnić bezpieczeństwo danym będącym w posiadaniu urzędów, a kierownicy urzędów nie wypracowali systemowego podejścia do zarządzania bezpieczeństwem informacji.
W efekcie sytuacja w samorządach pod tym względem wydaje się być dramatyczna, oto ustalenia NIK po kontroli w jednostkach samorządu terytorialnego:
- blisko 70 proc. skontrolowanych urzędów (16 z 23) nie radziło sobie z zapewnieniem bezpieczeństwa przetwarzania informacji;
- w ponad 60 proc. badanych urzędów brakowało systemowego podejścia do zapewnienia bezpieczeństwa informacji, gdyż opracowane w tych jednostkach regulacje dotyczyły głównie danych osobowych i nie obejmowały bezpieczeństwa innych informacji (głównie nie ustanowiono polityk bezpieczeństwa informacji);
- w prawie 3/4 kontrolowanych urzędów brak było pełnej i aktualnej informacji o posiadanych zasobach informatycznych służących do przetwarzania danych, co oznacza, że w przypadku wystąpienia poważnej awarii lub innego zdarzenia losowego (takiego jak zalanie, pożar czy kradzież), utrudnione będzie szybkie odtworzenie infrastruktury i zapewnienie ciągłości świadczenia usług dla obywateli;
- w ponad 80 proc. skontrolowanych urzędów wystąpiły nieprawidłowości w zarządzaniu uprawnieniami użytkowników w systemach informatycznych, nie przestrzegano obowiązujących zasad mających na celu zwiększenie bezpieczeństwa przetwarzania danych;
- w 57 proc. kontrolowanych urzędów (57 proc.) ustanowione zasady w zakresie uzyskiwania dostępu do systemów informatycznych nie były przestrzegane (np. użytkownicy używali haseł do systemów informatycznych krótszych niż wymagane;
- w ponad 50 proc. jednostek wykorzystywano komputery z zainstalowanym systemem operacyjnym bez wsparcia producenta (co znacząco obniża poziom bezpieczeństwa informatycznego);
- w 70 proc. urzędów nie szyfrowano dysków twardych komputerów przenośnych, w 1/3 badanych urzędów w ogóle nie określono szczegółowych zasad i procedur korzystania przez pracowników z urządzeń przenośnych poza ich siedzibami, gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
- w ponad 50 proc. jednostek nie dokonywano analiz ryzyka, a w 70 proc. nie przeprowadzono obowiązkowego corocznego audytu z zakresu bezpieczeństwa informacji;
- w 1/4 urzędów stwierdzono niedostosowanie uregulowań wewnętrznych w zakresie ochrony danych osobowych do przepisów RODO;
- w 1/5 urzędów osoby pełniące funkcję Inspektora Ochrony Danych wykonywały inne zadania i obowiązki, które mogły powodować konflikt interesów.
Ponadto stwierdzono też dużo nieprawidłowości w zakresie tworzenia, przechowywania oraz weryfikacji kopii zapasowych danych. Jak czytamy w raporcie "o ile w urzędach w większości podjęto działania w celu dostosowania do RODO, to - w dalszym ciągu często nie są przestrzegane wymogi dotyczące bezpieczeństwa informacji, które wynikają z obowiązującego od 2012 roku rozporządzenia w sprawie Krajowych Ram Interoperacyjności (KRI)".
"Żeby elektronicznie znaczyło bezpiecznie" - tak nazywa się tekst na stronie nik.gov.pl, w którym przeczytać można, że dane gromadzone i przetwarzane w bazach i systemach komputerowych urzędów gmin i miast, a także w starostwach są słabo chronione.
NIK przypomina, że w latach 2013-2014 hakerzy okradli pięć polskich gmin, w tym gminę Jaworzno na prawie milion złotych. W 2014 r. wyciekły dane dzieci z przemyskiego Urzędu Miejskiego, w 2017 r. z Urzędu Miasta Łodzi wyciekły dane z tzw. deklaracji śmieciowych, a rok później wyciekły dane części posiadaczy Karty Krakowskiej.
Najwyższa Izba Kontroli alarmuje, że niewłaściwe zarządzanie bezpieczeństwem informacji może doprowadzać nie tylko do wycieków, utraty lub fałszowania danych posiadanych przez urząd, ale w ekstremalnych przypadkach możliwy jest także całkowity paraliż pracy urzędu. Według NIK urzędnicy nie przywiązują dostatecznej wagi do tego, aby zapewnić bezpieczeństwo danym będącym w posiadaniu urzędów, a kierownicy urzędów nie wypracowali systemowego podejścia do zarządzania bezpieczeństwem informacji.
W efekcie sytuacja w samorządach pod tym względem wydaje się być dramatyczna, oto ustalenia NIK po kontroli w jednostkach samorządu terytorialnego:
- blisko 70 proc. skontrolowanych urzędów (16 z 23) nie radziło sobie z zapewnieniem bezpieczeństwa przetwarzania informacji;
- w ponad 60 proc. badanych urzędów brakowało systemowego podejścia do zapewnienia bezpieczeństwa informacji, gdyż opracowane w tych jednostkach regulacje dotyczyły głównie danych osobowych i nie obejmowały bezpieczeństwa innych informacji (głównie nie ustanowiono polityk bezpieczeństwa informacji);
- w prawie 3/4 kontrolowanych urzędów brak było pełnej i aktualnej informacji o posiadanych zasobach informatycznych służących do przetwarzania danych, co oznacza, że w przypadku wystąpienia poważnej awarii lub innego zdarzenia losowego (takiego jak zalanie, pożar czy kradzież), utrudnione będzie szybkie odtworzenie infrastruktury i zapewnienie ciągłości świadczenia usług dla obywateli;
- w ponad 80 proc. skontrolowanych urzędów wystąpiły nieprawidłowości w zarządzaniu uprawnieniami użytkowników w systemach informatycznych, nie przestrzegano obowiązujących zasad mających na celu zwiększenie bezpieczeństwa przetwarzania danych;
- w 57 proc. kontrolowanych urzędów (57 proc.) ustanowione zasady w zakresie uzyskiwania dostępu do systemów informatycznych nie były przestrzegane (np. użytkownicy używali haseł do systemów informatycznych krótszych niż wymagane;
- w ponad 50 proc. jednostek wykorzystywano komputery z zainstalowanym systemem operacyjnym bez wsparcia producenta (co znacząco obniża poziom bezpieczeństwa informatycznego);
- w 70 proc. urzędów nie szyfrowano dysków twardych komputerów przenośnych, w 1/3 badanych urzędów w ogóle nie określono szczegółowych zasad i procedur korzystania przez pracowników z urządzeń przenośnych poza ich siedzibami, gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
- w ponad 50 proc. jednostek nie dokonywano analiz ryzyka, a w 70 proc. nie przeprowadzono obowiązkowego corocznego audytu z zakresu bezpieczeństwa informacji;
- w 1/4 urzędów stwierdzono niedostosowanie uregulowań wewnętrznych w zakresie ochrony danych osobowych do przepisów RODO;
- w 1/5 urzędów osoby pełniące funkcję Inspektora Ochrony Danych wykonywały inne zadania i obowiązki, które mogły powodować konflikt interesów.
Ponadto stwierdzono też dużo nieprawidłowości w zakresie tworzenia, przechowywania oraz weryfikacji kopii zapasowych danych. Jak czytamy w raporcie "o ile w urzędach w większości podjęto działania w celu dostosowania do RODO, to - w dalszym ciągu często nie są przestrzegane wymogi dotyczące bezpieczeństwa informacji, które wynikają z obowiązującego od 2012 roku rozporządzenia w sprawie Krajowych Ram Interoperacyjności (KRI)".