Dziury w urzędowej sieci

Systemy informatyczne i bazy danych będące w dyspozycji administracji gmin i miast są bardzo słabo zabezpieczone – wynika z ustaleń Najwyższej Izby Kontroli.

Niestety urzędnicy w gminach i starostwach nie przywiązują dostatecznej wagi do tego, aby zapewnić bezpieczeństwo w bazach i systemach komputerowych.

Najwyższa Izba Kontroli podkreśla w opublikowanych wynikach kontroli, że pomimo upływu kilku lat w urzędach nie nastąpiła poprawa, jeśli chodzi o to zagadnienie, co  rodzi obawy o bezpieczeństwo danych obywateli. Jest to o tyle istotny problem, że coraz więcej spraw załatwianych jest drogą elektroniczną, a administracja publiczna gromadzi i przetwarza coraz więcej danych.

Niewłaściwe zarządzanie bezpieczeństwem informacji może doprowadzić do wycieku, utraty lub sfałszowania danych posiadanych przez urząd. Możliwy jest także całkowity paraliż pracy urzędu – alarmuje NIK.

Jak ustaliła Izba, brak było systemowego podejścia kierowników urzędów do zarządzania bezpieczeństwem informacji oraz właściwego zabezpieczenia danych będących w posiadaniu urzędów. Pomimo upływu kilku lat wciąż nie nastąpiła poprawa w tym zakresie, co rodzi obawy o bezpieczeństwo danych, zwłaszcza że coraz więcej spraw obywateli załatwianych jest drogą elektroniczną, a administracja publiczna gromadzi i przetwarza coraz więcej danych w postaci elektronicznej. W ocenie NIK blisko 70 proc. skontrolowanych urzędów (16 z 23 urzędów) nie radziło sobie z zapewnieniem bezpieczeństwa przetwarzania informacji.

Kontrolerzy NIK stwierdzili, że w ponad 60 proc. badanych urzędów brakowało systemowego podejścia do zapewnienia bezpieczeństwa informacji. Ponadto stwierdzono, że w prawie trzech czwartych kontrolowanych urzędów brak było pełnej i aktualnej informacji o posiadanych zasobach informatycznych służących do przetwarzania danych, co oznacza, że w przypadku wystąpienia poważnej awarii lub innego zdarzenia losowego (takiego jak zalanie, pożar czy  kradzież) utrudnione będzie szybkie odtworzenie infrastruktury i zapewnienie ciągłości świadczenia usług dla obywateli.

Kontrola NIK wykazała  również, że w ponad 80 proc. skontrolowanych urzędów wystąpiły nieprawidłowości w zarządzaniu uprawnieniami użytkowników w systemach informatycznych.

W przypadku dostępu do systemów informatycznych w ponad połowie kontrolowanych urzędów (57 proc.) ustanowione zasady nie były przestrzegane, np. użytkownicy używali haseł do systemów informatycznych krótszych niż wymagane. Również w ponad połowie jednostek wykorzystywano komputery z zainstalowanym systemem operacyjnym bez wsparcia producenta.

Wyniki kontroli NIK wskazują, że o ile w urzędach w większości podjęto działania w celu dostosowania do RODO, o tyle w dalszym ciągu często nie są przestrzegane wymogi dotyczące bezpieczeństwa informacji, które wynikają z obowiązującego od 2012 roku rozporządzenia w sprawie krajowych ram interoperacyjności (KRI). W opinii NIK nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych.

Z wniosków po kontroli NIK wynika, że starostowie, prezydenci miast, burmistrzowie i wójtowie powinni m.in. prowadzić okresowe analizy ryzyka utraty integralności, poufności lub dostępności informacji, opracować i wdrożyć oraz aktualizować system zarządzania bezpieczeństwem informacji, prowadzić aktualną i kompletną elektroniczną ewidencję sprzętu informatycznego, a także wdrożyć  rozwiązania zapewniające odpowiednie zabezpieczenie pomieszczeń serwerowni.

Przykłady:

• w ciągu dwóch lat (2013–2014) hakerzy okradli pięć polskich gmin, w tym gminę Jaworzno na prawie milion złotych;
• w 2014 r. wyciekły dane dzieci z przemyskiego Urzędu Miejskiego;
• w 2017 r. z Urzędu Miasta Łodzi wyciekły dane z tzw. deklaracji śmieciowych, przez co bez problemu można było poznać dane właścicieli łódzkich nieruchomości;
• w 2018 r. wyciekły dane części posiadaczy Karty Krakowskiej.