NIK ostro krytykuje bezpieczeństwo rządowych baz danych

Kontrola NIK sprawdziła systemy zarządzane przez sześć podmiotów: Zintegrowany system informatyczny stosowany w Ministerstwie Skarbu, Centralną ewidencję wydanych i unieważnionych dokumentów paszportowych MSW, Nową Księgę Wieczystą Ministerstwa Sprawiedliwości, Centralną Bazę Danych Straży Granicznej, Elektroniczną Weryfikację Uprawnień Świadczeniobiorców (eWUŚ) prowadzony przez NFZ oraz system FARMER obsługiwany przez KRUS. Wyniki badań nie napawają optymizmem.

Wręcz przeciwnie. W raporcie pokontrolnym czytamy, że procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i – wobec braku procedur – intuicyjny. Spośród sześciu sprawdzonych instytucji jedynie KRUS wprowadził System Zapewnienia Bezpieczeństwa Informacji, ale także tutaj nie obyło się bez nieprawidłowości. We wszystkich instytucjach poza KRUS proces wdrażania systemów bezpieczeństwa dopiero się rozpoczął. Oznacza to, że w skontrolowanych jednostkach opierano  się na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk  lub dotychczasowych doświadczeń pracowników działów IT.

„Zdaniem NIK, takie doraźne działania nie zapewniały adekwatnego do zagrożeń zarządzania bezpieczeństwem danych” – czytamy we wnioskach z kontroli. Według ekspertów NIK najlepiej z zapewnieniem bezpieczeństwa danych radził sobie KRUS, najgorzej – Ministerstwo Spraw Wewnętrznych i Straż Graniczna.

W dobie dynamicznego wzrostu zagrożeń zapewnienie bezpieczeństwa systemów IT nie może być oparte na chaotycznie zarządzanych, ukierunkowanych jedynie na przezwyciężanie aktualnych trudności, działaniach

Braki dotyczyły m.in. złych planów zapewnienia bezpieczeństwa oraz wybrakowanego nadzoru i monitorowania zagrożeń. Za bezpieczeństwo IT w sprawdzonych instytucjach odpowiadali zazwyczaj koordynatorzy ds. bezpieczeństwa, którzy  nie mieli odpowiednich kompetencji lub uprawnień. Co gorsza, zazwyczaj w każdej instytucji była to tylko jedna osoba. W kontrolowanych podmiotach przeprowadzano audyty bezpieczeństwa, ale trafiały one w próżnię, bo wnioski z nich nie były dostatecznie analizowane. Odpowiedzialność za cyberbezpieczeństwo zrzucano na działy IT. Inne jednostki w ogóle nie dbały o bazy danych. „We wszystkich jednostkach sprawozdawczość dotycząca bezpieczeństwa IT była niekompletna, nierzetelna, a w niektórych przypadkach obarczona błędami” – dodają kontrolerzy.

Pojedyncze systemy w instytucjach są lepiej zabezpieczone niż inne, ale wynika to wyłącznie z zaangażowania pracowników technicznych średniego szczebla. NIK wskazuje, że wciąż brak rozwiązań systemowych, a za złą ochronę danych odpowiadają niedobory kadrowe, braki organizacyjne i nie działające regulacje.

„W dobie dynamicznego wzrostu zagrożeń zapewnienie bezpieczeństwa  systemów IT nie może być oparte na chaotycznie zarządzanych, ukierunkowanych jedynie  na przezwyciężanie aktualnych trudności, działaniach” – czytamy w raporcie.

Kontrolerzy wskazywali też na poważne braki w identyfikacji i monitorowaniu ryzyka. Instytucje ograniczały prace nad cyberbezpieczeństwem do realizacji zadań wynikających z ustawy o ochronie danych osobowych. Inne informacje nie były należycie chronione.

Zdaniem kontrolerów we wszystkich instytucjach brakuje systemowych, kompleksowych rozwiązań dotyczących bezpieczeństwa IT. Zadaniem dla całej administracji jest stworzenie wspólnych norm cyberbezpieczeństwa dla każdej instytucji. „Konieczne jest opracowanie i wprowadzenie na szczeblu centralnym,  obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa IT”- czytamy we wnioskach pokontrolnych.

Czytaj też: Streżyńska: Miliardy na e- administrację wyrzucone w błoto