Zarządzanie bezpieczeństwem danych w samorządzie terytorialnym - raport NIK

Dane gromadzone i przetwarzane w bazach i systemach komputerowych urzędów gmin i miast, a także w starostwach są słabo chronione - wynika z najnowszego raportu Najwyższej Izby Kontroli.

Aktualizacja: 10.05.2019 10:08 Publikacja: 10.05.2019 09:59

Zarządzanie bezpieczeństwem danych w samorządzie terytorialnym - raport NIK

Foto: Adobe Stock

Kontrole NIK już w 2014 r. i 2016 r. ujawniły istotne nieprawidłowości w zapewnieniu bezpieczeństwa systemów informatycznych i zgromadzonych w nich danych o obywatelach. Brak było systemowego podejścia kierowników urzędów do zarządzania bezpieczeństwem informacji oraz właściwego zabezpieczenia danych będących w posiadaniu urzędów. - Pomimo upływu kilku lat nadal nie nastąpiła poprawa w tym zakresie, co rodzi obawy o bezpieczeństwo danych, zwłaszcza, że coraz więcej spraw obywateli załatwianych jest drogą elektroniczną, a administracja publiczna gromadzi i przetwarza coraz więcej danych w postaci elektronicznej - wskazuje NIK.

W ocenie Izby, blisko 70 proc. skontrolowanych urzędów (16 z 23 urzędów) nie radziło sobie z zapewnieniem bezpieczeństwa przetwarzania informacji, co Izba oceniła negatywnie.

Kontrolerzy NIK stwierdzili, że w ponad 60 proc. badanych urzędów brakowało systemowego podejścia do zapewnienia bezpieczeństwa informacji, gdyż opracowane w tych jednostkach regulacje dotyczyły głównie danych osobowych i nie obejmowały bezpieczeństwa innych informacji. W szczególności w urzędach tych nie ustanowiono polityk bezpieczeństwa informacji. Ponadto stwierdzono, że w prawie 3/4 kontrolowanych urzędów brak było pełnej i aktualnej informacji o posiadanych zasobach informatycznych służących do przetwarzania danych, co oznacza, że w przypadku wystąpienia poważnej awarii lub innego zdarzenia losowego (takiego jak zalanie, pożar czy kradzież), utrudnione będzie szybkie odtworzenie infrastruktury i zapewnienie ciągłości świadczenia usług dla obywateli.

Kontrola NIK wykazała, że w części urzędów nie przestrzegano obowiązujących zasad mających na celu zwiększenie bezpieczeństwa przetwarzania danych. W ponad 80 proc. skontrolowanych urzędów wystąpiły nieprawidłowości w zarządzaniu uprawnieniami użytkowników w systemach informatycznych.

W zakresie uzyskiwania dostępu do systemów informatycznych, w ponad połowie kontrolowanych urzędów (57 proc.) ustanowione zasady nie były przestrzegane, np. użytkownicy używali haseł do systemów informatycznych krótszych niż wymagane. Również w ponad połowie jednostek wykorzystywano komputery z zainstalowanym systemem operacyjnym bez wsparcia producenta. Wykorzystywanie w działalności urzędu oprogramowania nieposiadającego wsparcia producenta znacząco obniża poziom bezpieczeństwa informatycznego i zdaniem NIK należy dążyć do jak najszybszej wymiany takiego oprogramowania na nowsze, posiadające wsparcie techniczne. Stwierdzono też nieprawidłowości w zakresie tworzenia, przechowywania oraz weryfikacji kopii zapasowych danych.

Z ustaleń kontroli wynika, że w 1/3 badanych urzędów nie określono szczegółowych zasad i procedur korzystania przez pracowników z urządzeń przenośnych poza ich siedzibami, gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość. Co więcej w aż 70 proc. urzędów nie szyfrowano dysków twardych komputerów przenośnych. W efekcie w razie ich utraty, rosło ryzyko nieuprawnionego dostępu do danych zgromadzonych na tych urządzeniach.

W wielu skontrolowanych urzędach miast i gmin, a także w starostwach nie dostrzegano występujących zagrożeń. W prawie połowie jednostek nie dokonywano analiz ryzyka, a w 70 proc. nie przeprowadzono obowiązkowego corocznego audytu z zakresu bezpieczeństwa informacji. Zdaniem NIK brak cyklicznych analiz ryzyka i nieprowadzenie audytów bezpieczeństwa nie pozwalał urzędnikom na identyfikację istotnych zagrożeń w zakresie bezpieczeństwa informacji, a także na ustanowienie odpowiednich zabezpieczeń ograniczających możliwość ich wystąpienia.

Ponadto kontrolerzy NIK w 1/4 urzędów stwierdzili niedostosowanie uregulowań wewnętrznych w zakresie ochrony danych osobowych do przepisów RODO. Z kolei w 1/5 urzędów osoby pełniące funkcję Inspektora Ochrony Danych wykonywały inne zadania i obowiązki, które mogły powodować konflikt interesów.

Wyniki kontroli NIK wskazują, że o ile w urzędach w większości podjęto działania w celu dostosowania do RODO, to w dalszym ciągu często nie są przestrzegane wymogi dotyczące bezpieczeństwa informacji, które wynikają z obowiązującego od 2012 roku rozporządzenia w sprawie Krajowych Ram Interoperacyjności (KRI). W opinii NIK, nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych.

W związku z ustaleniami kontroli NIK, dotyczącymi działań jednostek samorządu terytorialnego związanych z zapewnieniem wdrożenia niektórych wymogów RODO, informacja o wynikach tej kontroli została przekazana nie tylko Ministrowi Cyfryzacji, ale także Prezesowi Urzędu Ochrony Danych Osobowych.

Kontrole NIK już w 2014 r. i 2016 r. ujawniły istotne nieprawidłowości w zapewnieniu bezpieczeństwa systemów informatycznych i zgromadzonych w nich danych o obywatelach. Brak było systemowego podejścia kierowników urzędów do zarządzania bezpieczeństwem informacji oraz właściwego zabezpieczenia danych będących w posiadaniu urzędów. - Pomimo upływu kilku lat nadal nie nastąpiła poprawa w tym zakresie, co rodzi obawy o bezpieczeństwo danych, zwłaszcza, że coraz więcej spraw obywateli załatwianych jest drogą elektroniczną, a administracja publiczna gromadzi i przetwarza coraz więcej danych w postaci elektronicznej - wskazuje NIK.

Pozostało 86% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe