Systemy informatyczne i bazy danych będące w dyspozycji administracji gmin i miast są bardzo słabo zabezpieczone – wynika z ustaleń Najwyższej Izby Kontroli.
Niestety urzędnicy w gminach i starostwach nie przywiązują dostatecznej wagi do tego, aby zapewnić bezpieczeństwo w bazach i systemach komputerowych.
Najwyższa Izba Kontroli podkreśla w opublikowanych wynikach kontroli, że pomimo upływu kilku lat w urzędach nie nastąpiła poprawa, jeśli chodzi o to zagadnienie, co rodzi obawy o bezpieczeństwo danych obywateli. Jest to o tyle istotny problem, że coraz więcej spraw załatwianych jest drogą elektroniczną, a administracja publiczna gromadzi i przetwarza coraz więcej danych.
Niewłaściwe zarządzanie bezpieczeństwem informacji może doprowadzić do wycieku, utraty lub sfałszowania danych posiadanych przez urząd. Możliwy jest także całkowity paraliż pracy urzędu – alarmuje NIK.
Jak ustaliła Izba, brak było systemowego podejścia kierowników urzędów do zarządzania bezpieczeństwem informacji oraz właściwego zabezpieczenia danych będących w posiadaniu urzędów. Pomimo upływu kilku lat wciąż nie nastąpiła poprawa w tym zakresie, co rodzi obawy o bezpieczeństwo danych, zwłaszcza że coraz więcej spraw obywateli załatwianych jest drogą elektroniczną, a administracja publiczna gromadzi i przetwarza coraz więcej danych w postaci elektronicznej. W ocenie NIK blisko 70 proc. skontrolowanych urzędów (16 z 23 urzędów) nie radziło sobie z zapewnieniem bezpieczeństwa przetwarzania informacji.
Kontrolerzy NIK stwierdzili, że w ponad 60 proc. badanych urzędów brakowało systemowego podejścia do zapewnienia bezpieczeństwa informacji. Ponadto stwierdzono, że w prawie trzech czwartych kontrolowanych urzędów brak było pełnej i aktualnej informacji o posiadanych zasobach informatycznych służących do przetwarzania danych, co oznacza, że w przypadku wystąpienia poważnej awarii lub innego zdarzenia losowego (takiego jak zalanie, pożar czy kradzież) utrudnione będzie szybkie odtworzenie infrastruktury i zapewnienie ciągłości świadczenia usług dla obywateli.
Kontrola NIK wykazała również, że w ponad 80 proc. skontrolowanych urzędów wystąpiły nieprawidłowości w zarządzaniu uprawnieniami użytkowników w systemach informatycznych.
W przypadku dostępu do systemów informatycznych w ponad połowie kontrolowanych urzędów (57 proc.) ustanowione zasady nie były przestrzegane, np. użytkownicy używali haseł do systemów informatycznych krótszych niż wymagane. Również w ponad połowie jednostek wykorzystywano komputery z zainstalowanym systemem operacyjnym bez wsparcia producenta.
Wyniki kontroli NIK wskazują, że o ile w urzędach w większości podjęto działania w celu dostosowania do RODO, o tyle w dalszym ciągu często nie są przestrzegane wymogi dotyczące bezpieczeństwa informacji, które wynikają z obowiązującego od 2012 roku rozporządzenia w sprawie krajowych ram interoperacyjności (KRI). W opinii NIK nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych.
Z wniosków po kontroli NIK wynika, że starostowie, prezydenci miast, burmistrzowie i wójtowie powinni m.in. prowadzić okresowe analizy ryzyka utraty integralności, poufności lub dostępności informacji, opracować i wdrożyć oraz aktualizować system zarządzania bezpieczeństwem informacji, prowadzić aktualną i kompletną elektroniczną ewidencję sprzętu informatycznego, a także wdrożyć rozwiązania zapewniające odpowiednie zabezpieczenie pomieszczeń serwerowni.
Przykłady:
- w ciągu dwóch lat (2013–2014) hakerzy okradli pięć polskich gmin, w tym gminę Jaworzno na prawie milion złotych;
- w 2014 r. wyciekły dane dzieci z przemyskiego Urzędu Miejskiego;
- w 2017 r. z Urzędu Miasta Łodzi wyciekły dane z tzw. deklaracji śmieciowych, przez co bez problemu można było poznać dane właścicieli łódzkich nieruchomości;
- w 2018 r. wyciekły dane części posiadaczy Karty Krakowskiej.
Żadna część jak i całość utworów zawartych w dzienniku nie może być powielana i rozpowszechniana lub dalej rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (w tym także elektroniczny lub mechaniczny lub inny albo na wszelkich polach eksploatacji) włącznie z kopiowaniem, szeroko pojętę digitalizację, fotokopiowaniem lub kopiowaniem, w tym także zamieszczaniem w Internecie - bez pisemnej zgody Gremi Media SA. Jakiekolwiek użycie lub wykorzystanie utworów w całości lub w części bez zgody Gremi Media SA lub autorów z naruszeniem prawa jest zabronione pod groźbą kary i może być ścigane prawnie.
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami "Regulaminu korzystania z artykułów prasowych" [Poprzednia wersja obowiązująca do 30.01.2017]. Formularz zamówienia można pobrać na stronie www.rp.pl/licencja.