NIK: e-dane o obywatelach nie są chronione w samorządach

W województwie podlaskim NIK skontrolowała 31 jednostek samorządowych (urzędy gminy lub miast, starostwa powiatowe i ośrodki pomocy społecznej), by sprawdzić w jaki sposób były chronione elektroniczne zasoby informacyjne.

W prawie wszystkich skontrolowanych jednostkach poziom bezpieczeństwa systemów informatycznych i usług sieciowych był na niezadowalającym lub na bardzo niskim poziomie. Jedynie w Urzędzie Miejskim w Suwałkach poziom zabezpieczeń odpowiedzialnych za autoryzację dostępu do sieci wykonano profesjonalnie, zasoby informacyjne były właściwie chronione przed nieuprawnionym dostępem, kradzieżą lub utratą, a praca sieci znajdowała się pod pełną kontrolą jej administratora.

Każdy może mieć dostęp

Dokumentacja i procedury dotyczące ochrony danych w większości skontrolowanych jednostek samorządowych (22 z 31) były niekompletne lub nieaktualne (nawet od ponad 10 lat). Większość podmiotów objętych kontrolą (19) ponadto nie przestrzegała tych przepisów i procedur w kwestii sposobu przechowywania i zabezpieczania danych. Przechowywane były w miejscach ogólnodostępnych, bez możliwości zamknięcia. Instytucje nie sporządzały kopii bezpieczeństwa baz danych lub tworzyły je w niewłaściwy sposób (np. nie kopiując wszystkich danych). Zdarzało się, że nośniki, na których zapisywano kopie, przechowywano w tym samym pomieszczeniu co oryginały, co w żaden sposób nie gwarantuje im bezpieczeństwa.

Niemal wszystkie skontrolowane jednostki nie monitorowały dostępu do informacji. Tylko w jednej prowadzono elektroniczny rejestr dostępu, co w przypadku przecieku pozwalało na ustalenie jego źródła. W ponad połowie pracownikom, którzy nie posiadają odpowiednich kwalifikacji ani zadań związanych z zarządzaniem systemami informatycznymi, nadano uprawnienia administratora systemów operacyjnych wykorzystywanych przez nich komputerów. Mieli oni zatem możliwość instalacji dowolnego oprogramowania oraz wprowadzania zmian w konfiguracji tych urządzeń. W ośmiu jednostkach kontrolerzy trafili na przypadki nieodebrania lub odbierania z opóźnieniem byłym pracownikom uprawnień w systemach informatycznych.

Z kolei w 12 jednostkach możliwy był nieautoryzowany dostęp do danych elektronicznych - aby go uzyskać nie trzeba było wpisywać kodów uwierzytelniających lub były one zbyt proste albo ogólnodostępne. Nie przeprowadzano także regularnych audytów wewnętrznych z zakresu bezpieczeństwa informacji, a pracownikom przetwarzającym dane nie zapewniono szkoleń z tego zakresu.

Przestarzałe komputery

Z ustaleń kontroli wynika, że w ponad połowie skontrolowanych jednostek wykorzystywano systemy operacyjne, dla których producent zakończył udzielanie wsparcia technicznego, a więc nie były publikowane nowe aktualizacje bezpieczeństwa tych systemów. Komputery te stanowiły od 4 do 43 proc. ogółu komputerów w poszczególnych jednostkach. Stanowiło to zagrożenie dla bezpieczeństwa sieci jednostek, w których wykorzystywano takie oprogramowanie.

Większość skontrolowanych jednostek (19) nie przeprowadzała okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji. Niektóre z nich przeprowadziły je po raz pierwszy dopiero w 2017 roku. Oznacza to, że nie mają aktualnych informacji o występujących ryzykach w zakresie bezpieczeństwa.

W ponad połowie jednostek nie gromadzono bieżących informacji o posiadanym sprzęcie i oprogramowaniu służącym do przetwarzania danych, obejmujących ich rodzaj i konfigurację. Prowadzono wprawdzie ewidencję posiadanych urządzeń na potrzeby rachunkowości, ale nie zawierała ona pełnych danych o sprzęcie, programach i ich konfiguracji.

Ignorancja i lekceważenie

NIK zwraca uwagę na niepokojące zjawisko słabego zabezpieczenia informacji w ośrodkach pomocy społecznej, które z natury rzeczy dysponują danymi wrażliwymi. W jednostkach tych stwierdzono prawie wszystkie rodzaje nieprawidłowości dotyczących bezpieczeństwa zasobów, w tym niewłaściwe zarządzanie uprawnieniami użytkowników w systemach operacyjnych, brak okresowych szkoleń, niezapewnienie właściwej autoryzacji przy logowaniu do systemów informatycznych, niewłaściwe wykonywanie i przechowywanie kopii bezpieczeństwa.

Większość z 31 jednostek objętych kontrolą nie przestrzegała obowiązujących do 25 maja 2018 r. przepisów dotyczących rejestracji i aktualizacji zbiorów danych osobowych w GIODO oraz zapewnienia dostępu do nich osobom upoważnionym, a administratorzy danych osobowych i powołani administratorzy bezpieczeństwa informacji w tych jednostkach, nie wywiązywali się z obowiązków związanych z ochroną danych oraz nie podejmowali działań w celu przygotowania się do nowych, obowiązujących od 25 maja 2018 r. uregulowań wynikających z RODO.

Przyczyną powstania nieprawidłowości była marginalizacja przez kontrolowane jednostki zadań związanych z zapewnieniem bezpieczeństwa informacji i ochrony przetwarzanych danych osobowych. Kierownicy jednostek bronili się, wskazując również brak środków na szkolenia i zakup nowej infrastruktury oraz w małych miejscowościach kadry posiadającej odpowiednie kwalifikacje.

RODO znane w nielicznych

Pomimo zmian w zakresie przetwarzania danych osobowych, wynikających z RODO, jedynie w sześciu z (31) jednostek w latach 2017 i 2018 przeszkolono pracowników (głównie administratorów bezpieczeństwa informacji) w tym zakresie.

Skala i istotność stwierdzonych nieprawidłowości rodzi uzasadnione obawy co do przygotowania jednostek objętych kontrolą do wdrożenia regulacji przewidzianych w RODO i ustawie o ochronie danych osobowych, obowiązujących od 25 maja 2018 r.

Po kontroli Najwyższa Izba Kontroli wnioskuje do starostów, prezydentów miast, burmistrzów, wójtów oraz kierowników ośrodków pomocy społecznej o:

1. Nadawanie pracownikom uprawnień w systemach operacyjnych komputerów w stopniu adekwatnym do realizowanych przez nich zadań.

2. Wprowadzenie odpowiedniej autoryzacji dostępu do posiadanych zasobów informatycznych, w tym podmiotom, które zdalnie uzyskują dostęp do infrastruktury jednostki, a także zawieranie w umowach z tymi podmiotami zapisów gwarantujących odpowiedni poziom bezpieczeństwa.

3. Przeprowadzanie obowiązkowych, corocznych audytów bezpieczeństwa informacji oraz okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji, a także podejmowania działań stosownie do wyników tej analizy.

4. Monitorowanie dostępu do informacji poprzez bieżącą analizę zapisów w dziennikach systemów (logach).

5. Przeprowadzanie regularnych szkoleń osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem zagrożeń bezpieczeństwa informacji, skutków naruszenia zasad bezpieczeństwa informacji, odpowiedzialności prawnej oraz stosowania środków zapewniających bezpieczeństwo informacji.

6. Tworzenie, przechowywanie oraz testowanie kopii zapasowych posiadanych zasobów informacyjnych w celu zminimalizowania ryzyka utraty informacji.

7. Zapewnienie zabezpieczeń fizycznych infrastruktury informatycznej, uniemożliwiających dostęp osób nieuprawnionych oraz zapewniających ochronę przed skutkami zdarzeń losowych (np. pożar, powódź, wichura).

8. Wdrożenie regulacji wprowadzonych z dniem 25 maja 2018 r. przez RODO, w szczególności w zakresie zapewnienia prowadzenia rejestru czynności przetwarzania danych.

9. Dokonywanie aktualizacji regulacji wewnętrznych uwzględniających zmiany w strukturze jednostki, prawie oraz otoczeniu zewnętrznym.

10. Zapewnienie aby osoby, które uzyskują dostęp do danych osobowych, posiadały stosowne upoważnienia administratora danych osobowych w tym zakresie.

Dane Osobowe Zadania Samorządu Z Życia Samorządów

Pozostało 91% artykułu

2 / 3

artykułów

Czytaj dalej. Subskrybuj

Sądy i trybunały

Łukasz Piebiak wraca do sądu. Afera hejterska nadal nierozliczona

Do orzekania w stołecznym sądzie rejonowym wrócił właśnie sędzia Łukasz Piebiak, były wiceminister sprawiedliwości wymieniany w kontekście tzw. afery hejterskiej – ustaliła „Rzeczpospolita”.

Materiał Promocyjny

Elektryczne BMW iX już od 1500 PLN netto/mies. w ofercie BMW Comfort Lease.

I zastępca Prokuratora Generalnego Prokurator Krajowy Dariusz Korneluk

Zawody prawnicze

Korneluk uchyla polecenie Święczkowskiego ws. owoców zatrutego drzewa

Prokurator krajowy Dariusz Korneluk uchylił polecenie służbowe swojego poprzednika Bogdana Święczkowskiego, aby śledczy wykorzystywali tzw. owoce zatrutego drzewa, bez oglądania się na uchwałę Sądu Najwyższego.

Konsumenci

UOKiK ukarał dwie znane polskie firmy odzieżowe. "Wełna jedynie na etykiecie"

Prezes Urzędu Ochrony Konkurencji i Konsumentów nałożył łącznie ponad 4 mln zł kary na dwie znane polskie marki odzieżowe - Lord i Lavard za wprowadzenie w błąd co do rzeczywistego składu ubrań.

Zdrowie

Mec. Daniłowicz: Zły stan zdrowia myśliwych nie jest przyczyną wypadków na polowaniach

W zeszłym roku w trakcie polowania natknęliśmy się w lesie na grzybiarzy. Widziałem kobietę z dzieckiem w wózku, która mijała tabliczkę „Uwaga, polowanie“ i szła dalej. Brak odpowiedzialności tych ludzi jest naprawdę zdumiewający - mówi dr Witold Daniłowicz, radca prawny, wiceprezes Klubu św. Huberta.

Materiał Promocyjny

Jak kupić oszczędnościowe obligacje skarbowe? Sposobów jest kilka

Przez aplikację mobilną, serwis internetowy, telefon i w placówce – w Biurze Maklerskim Pekao klienci sami mogą wybrać najdogodniejszy sposób zakupu detalicznych obligacji skarbowych.

Sądy i trybunały

Rośnie lawina skarg kasacyjnych do Naczelnego Sądu Administracyjnego

W 2023 r. wojewódzkie sądy administracyjne uwzględniły prawie 32 proc. skarg, choć wpłynęło ich o ok.10 proc. mniej. Za to wpływ skarg kasacyjnych do Naczelnego Sądu Administracyjnego znów był większy.

Materiał Promocyjny

Samochód w leasing na firmę? Sprawdź czy to się opłaca!

Prawo

Sąd: kamery na klatce schodowej mogą naruszać prywatność lokatorów

Monitoring pozwalający śledzić, kto wchodzi do konkretnych mieszkań, może być nie do pogodzenia z RODO. Ale to nie oznacza, że spółdzielnia mieszkaniowa musi mieć inspektora danych osobowych.

Administracja

Tłumaczenia firmy śmieciowej bez wypływu na sankcję

Kara za nieosiągnięcie poziomu przygotowania do ponownego użycia i recyklingu odpadów komunalnych jest bezwzględnie oznaczona i nie zależy od okoliczności naruszenia.

Rzecz o prawie

Jarosław Gwizdak: Postawić krzyżyk. Na papierze

Wybory to nie tylko święto demokracji, ale też, niestety, przyczyna marnotrawienia ogromnych ilości papieru. Państwo mogłoby to zmienić, ma od czego zacząć.

Administracja

Ustawodawca nie powinien karać przedsiębiorcy za niemożliwe

Odbierający odpady od właścicieli nieruchomości mają obowiązek osiągnięcia tzw. poziomów recyklingu, ale nie mają jak wyegzekwować ich „u źródła”.

Administracja

Administrator musi zgłosić naruszenie danych osobowych

Gdy w związku z zaistniałym zdarzeniem występuje wysokie ryzyko naruszenia praw lub wolności osób, administrator ma obowiązek poinformować organ nadzorczy o naruszeniu ochrony danych osobowych. Ma na to 72 godziny.

Zadania

Partycypacja w remoncie dróg

Rozwój inwestycji sprawia, że infrastruktura drogowa staje się przeciążona. Budownictwo generuje zwiększenie ruchu drogowego, czyli także większe zużycie dróg. Budowa inwestycji niedrogowej po prostu powoduje konieczność budowy lub przebudowy jej fragmentu.

Finanse

Wielkopolskie miasta z pieniędzmi na zakup wodorowych autobusów

Blisko 40 mln euro trafi do wnioskodawców z miejskich obszarów funkcjonalnych. Środki te będzie wolno wykorzystać na rozwój zrównoważonej mobilności miejskiej.

Zadania

Kierowcy muszą wiedzieć o opłacie dodatkowej za parkowanie

Kwestia powiadamiania lub niepowiadamiania o obowiązku uiszczenia opłaty dodatkowej przed przesłaniem upomnienia powinna wynikać z regulacji dotyczącej sposobu uiszczenia opłaty, zawartej w uchwale.

Będą zmiany w przepisach dotyczących prawa spadkowego

Spadki i darowizny

Nadchodzi rewolucja w testamentach. Resort Bodnara przedstawił szczegóły

Ministerstwo Sprawiedliwości pracuje nad zmianami w prawie spadkowym. Dotyczą one m.in. przesłanek sporządzenia testamentu ustnego, uregulowania testamentu wojskowego w Kodeksie cywilnym oraz rozszerzenia katalogu podmiotów, które nie mogą być świadkami testamentu.

Dyplomacja

Donald Tusk pisze, że Europa byłaby potęgą, gdyby "słowa były pociskami"

Donald Tusk przekonuje, że Europa mogłaby się stać największą potęgą na świecie. "I najbezpieczniejszym miejscem".

Służba zdrowia

Ministerstwo Zdrowia chce załatać lukę w przepisach dot. ratowników medycznych

Ministerstwo Zdrowia chce załatać lukę w przepisach, która uniemożliwia podjęcie pracy ratownikom powracającym po dłuższej przerwie oraz absolwentom. Projekt nowelizacji właśnie trafił do konsultacji.

Prawo

Sąd: kamery na klatce schodowej mogą naruszać prywatność lokatorów

Piłka nożna

Liga Mistrzów. Znamy pary półfinałowe i terminy meczów

Borussia Dortmund powalczy o awans do finału z Paris Saint-Germain 1 i 7 maja. Bayern Monachium zmierzy się z Realem Madryt 30 kwietnia i 8 maja.

Świat

Wojna Rosji z Ukrainą. Dzień 785

24 lutego 2022 roku Rosja rozpoczęła pełnowymiarową inwazję na Ukrainę. Premier Holandii oferuje zakup zestawów Patriot, od krajów, które je posiadają i przekazanie ich Ukrainie.

Podatki

Wykładnia przepisów fiskusa powoduje niepewność w rodzinnym biznesie

Regulacje podatkowe dotyczące fundacji rodzinnych, które początkowo wydawały się bardzo korzystne, w wyniku negatywnej wykładni fiskusa powodują coraz większą niepewność.

Szynowy

Energetyka Kolejowa podsumował pierwszy rok w grupie PGE

Kolejowy dystrybutor energii elektrycznej przygotowuje się do uruchomienia aplikacji pomagającej maszynistom zmniejszyć zużycie energii.

Dyplomacja

Duda spotkał się z Trumpem. Komorowski: Pytanie kto bardziej skorzysta

Jeżdżenie do Trumpa, aby się z nim spotkać, jest ryzykowne, ale może się okazać dobrą inwestycją w przyszłość - mówił w rozmowie z RMF FM były prezydent, Bronisław Komorowski.

Szymon Gospodarczyk i Miko Marczyk (po prawej)

Tu i Teraz

Miko Marczyk i Szymon Gospodarczyk wystartują w Rajdzie Świdnickim

Miko Marczyk i Szymon Gospodarczyk wystartują w pierwszej rundzie sezonu Rajdowych Samochodowych Mistrzostw Polski (RSMP), czyli 52. Rajdzie Świdnickim. Dla dwukrotnych mistrzów Polski będzie to trzeci wspólny start w tej imprezie. Wcześniej wygrali tam w sezonie 2019.

Tu i Teraz

Wracają protesty rolników, Dzisiaj przejścia graniczne z Ukrainą, 10 maja Warszawa

Rolnicy wracają do Warszawy. NSZZ „Solidarność” oraz NSZZ RI „Solidarność” planują zorganizować 10 maja wielki protest w Warszawie - przeciwko Zielonemu Ładowi. Dzisiaj, w czwartek 18.04 inna organizacja rolnicza zamierza blokować Polsko-Ukraińskie przejścia graniczne.

Tablica w Usnarzu Górnym informująca o stanie wyjątkowym na obszarze przygranicznym województw podla

Finanse

Nieudany program rządu. Miało być 100 milionów, wyszło zero

"Tarcza dla pogranicza” okazała się fikcją. Przedsiębiorcy zamiast odszkodowań woleliby rządowe inwestycje w turystykę.

Diamenty zawsze budziły ogromne zainteresowanie

Handel

Polacy pokochali diamenty. Jubilerzy zacierają ręce

Kupowane są jako ozdoba i inwestycja. Klienci przekonują się do nowości, w tym kamieni kolorowych czy również tych pochodzących z pracowni.

Nauczyciele

Likwidacja HiT może uderzyć w nauczycieli. ZNP chce powrotu wiedzy o społeczeństwie

Zdaniem Związku Nauczycielstwa Polskiego po likwidacji przedmiotu historia i teraźniejszość niektórzy nauczyciele mogą stracić zatrudnienie. I proponuje, by od września do szkół przejściowo wrócił WOS.

PFN powstała w 2016 roku decyzją premier Beaty Szydło

Polityka

„Złote spadochrony” w Polskiej Fundacji Narodowej. Zarząd z nowymi umowami o pracę

Tuż przed dymisją członkom zarządu Polskiej Fundacji Narodowej zmieniono umowy o pracę, gwarantując im gigantyczne odprawy. Zarząd milczy, minister kultury nie reaguje.

Opinie Ekonomiczne

Paweł Rożyński: Priorytetem dla Poczty Polskiej powinny być usługi kurierskie

Poczta Polska, jeśli ma przetrwać, musi się szybko i gruntownie odchudzić. Czas zacząć działać jak prywatna firma, a nie urząd. I wreszcie skupić się na tym, co jej najlepiej wychodzi i co ma przyszłość.

Usługi

Poczta Polska w tarapatach. Górnicy ruszą na pomoc listonoszom?

Rusza reforma w państwowej spółce – dotknie tysiące etatów, a placówki mocno ograniczą działalność. Nowy zarząd firmy ma już plan na jej uzdrowienie. Pracownicy jednak szykują akcję protestacyjną.

Poczta Polska zlikwiduje tysiące etatów, a placówki ograniczą działalność

Usługi

To będzie terapia szokowa. Poczta Polska szykuje gigantyczne zwolnienia

Poczta Polska zlikwiduje tysiące etatów, a placówki ograniczą działalność. Pracownicy szykują protest.

Polityka

Unia nie potrafiła nas ochronić. Ale liczymy na to, że to się zmieni

To nie będą takie same wybory jak dotychczas. Szykuje się wielka mobilizacja, bo inaczej niż w przeszłości, wartości, których broni UE, stają się w świecie zagrożonym przez rosyjski i chiński autorytaryzm dobrem, które trzeba chronić.

Dyplomacja

Andrzej Duda zjadł kolację z Donaldem Trumpem. Trump: To mój przyjaciel

W Nowym Jorku w środę wieczorem czasu lokalnego (w nocy ze środy na czwartek czasu polskiego) doszło do spotkania między prezydentem Polski, Andrzejem Dudą, a byłym prezydentem USA, kandydatem na prezydenta w najbliższych wyborach, Donaldem Trumpem.

Konflikty zbrojne

Holandia chce kupować zestawy Patriot dla Ukrainy. "Mamy pieniądze"

Premier Holandii, Mark Rutte, po przybyciu do Brukseli na szczyt unijnych przywódców przedstawił ofertę zakupu przez jego kraj zestawów Patriot od krajów, które je posiadają i przekazania ich Ukrainie.

Konflikty zbrojne

Izrael chciał dokonać odwetu na Iranie w poniedziałek. Ataku chcą generałowie

"Nie wiemy jak blisko było do tego, by doszło do ataku" - mówi jedno z amerykańskich źródeł, na które powołuje się serwis Axios. Powołując się w sumie na pięć źródeł Axios podaje, że Izrael chciał dokonać odwetowego ataku na Iran w poniedziałek w nocy.

Tu i Teraz

Rozpoczął się remont autostrady A1. Prace potrwają przez kilka miesięcy

Rozpoczęły się prace remontowe na pomorskim odcinku autostrady A1. Oznacza to spore utrudnienia dla kierowców. Jak podają drogowcy, remont ma potrwać co najmniej do końca czerwca.

Premiery

Renault Captur przeszedł modernizację. Zmiany są naprawdę widoczne

Rzadko się dziś zdarza, by samochody po liftingu mocno odróżniały się wizualnie od wcześniejszych odmian. Renault Captur wyglądało nieźle już wcześniej, ale zmodernizowana odmiana otrzymała m.in. zupełnie nowy pas przedni.