NIK alarmuje: państwo nie chroni danych

Taki wniosek NIK sformułowała po kolejnej kontroli dotyczącej obszaru bezpieczeństwa systemów teleinformatycznych i przechowywanych w nich danych. W 2015 r. opublikowana został informacja o wynikach kontroli "Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej", która wykazała, że państwo polskie nie jest przygotowane do walki z zagrożeniami występującymi w cyberprzestrzeni.

Przykłady, takie jak choćby publikacja w internecie danych osobowych 50 mln obywateli Turcji w 2016 r., kradzież danych klientów Plus Banku w 2015 r. czy wyciek danych o kontach 5 mln użytkowników Gmail w 2014, pokazują, że zagrożenia te są realne, a konsekwencje wycieku danych poważne i mogą stanowić zagrożenie nie tylko dla wizerunku podmiotów, z których te dane wyciekły, ale przede wszystkim dla osób, których dane zostały wykradzione. Dlatego też NIK postanowiła przyjrzeć się, jak bezpieczne są dane znajdujące się w wybranych systemach informatycznych, mających istotne znaczenie dla funkcjonowania państwa.

Kontrola objęła:

Zdaniem NIK wnioski z tej kontroli są alarmujące.

Intuicyjnie i chaotycznie

Stopień przygotowania oraz wdrożenia Systemu Zapewnienia Bezpieczeństwa Informacji w kontrolowanych jednostkach nie zapewniał akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych, wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i - wobec braku procedur - intuicyjny.

KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. W KRUS, w przeciwieństwie do pozostałych skontrolowanych jednostek, formalnie wprowadzono wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych. Było to związane z działaniami podjętymi w celu uzyskania przez KRUS certyfikatu ISO 27001.

Jednakże również w systemie funkcjonującym w KRUS kontrola wykryła nieprawidłowości w postaci błędów w implementacji wymagań norm stanowiących podstawę uzyskania certyfikatu. W ocenie NIK, niektóre z nich były poważne i mogą mieć istotny, negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS. Stwierdzone nieprawidłowości dotyczyły m.in. rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji. W odniesieniu do głównych procedur bezpieczeństwa Izba wniosła wiele uwag do ich czytelności i kompletności. Przyjęta koncepcja powierzenia zasobów KRUS wykonawcy zewnętrznemu, m.in. w zakresie systemów służących realizacji podstawowych zadań ustawowych, nie została poprzedzona stosownymi analizami - m.in. nie określono sposobu szacowania ryzyka związanego z utratą informacji w sytuacji powierzenia zasobów firmie zewnętrznej.

W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

Identyfikacja ryzyka

Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.

W trzech skontrolowanych jednostkach proces ten był prowadzony jedynie w zakresie niezbędnym dla realizacji wymagań Polityki Ochrony Cyberprzestrzeni, przepisów o ochronie informacji niejawnych lub obowiązków związanych z operowaniem infrastrukturą krytyczną. Te ograniczone działania nie mogły zastąpić odpowiednio przygotowanego procesu szacowania ryzyka przeprowadzonego w odniesieniu do wszystkich posiadanych i przetwarzanych informacji, z uwzględnieniem realizowanych zadań i specyfiki instytucji. Rzetelne przeprowadzenie procesu szacowania ryzyka powinno być poprzedzone m.in. doborem metodyki prac, zidentyfikowaniem aktywów i określeniem ich wartości. Działania te mają zasadnicze znaczenie dla rozpoznania obszarów z jednej strony „najcenniejszych" dla jednostki, a z drugiej strony najbardziej zagrożonych. W sytuacji ograniczonych zasobów przeznaczanych na bezpieczeństwo systemów przetwarzających dane, szacowanie ryzyka oraz kosztów niezbędnych celem jego ograniczenia powinno być podstawowym zadaniem osób odpowiedzialnych za ich bezpieczeństwo. W konsekwencji decyzje w sprawie wydatkowania środków na zapewnienie bezpieczeństwa przetwarzanych informacji były podejmowane w sposób intuicyjny.

Brak odpowiedzialnych

Istniała duża dysproporcja pomiędzy działaniami podejmowanymi dla ochrony poszczególnych grup informacji, tj. informacji objętych ustawową ochroną (niejawnych i danych osobowych) oraz innych informacji, których ochrona nie została wprost usankcjonowana w przepisach, ale które mają istotne znaczenie dla prawidłowej realizacji podstawowych zadań tych jednostek.

W jednostkach kontrolowanych brak było świadomości, że oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach prawa istnieją także inne informacje, równie ważne, o których ochronę każda jednostka powinna zadbać samodzielnie. W przeciwieństwie do normatywnie określonych wymogów dla ochrony informacji niejawnych i danych osobowych, zidentyfikowanie wszelkich innych, istotnych informacji oraz wybór metod ich chronienia jest praktycznie pozostawiony w gestii ich posiadacza. Prowadzi to do sytuacji, w których instytucje, opierając się wyłącznie na analizie aktualnie funkcjonujących przepisów, nie widzą konieczności podejmowania innych działań związanych z bezpieczeństwem informacji niż te wprost zapisane w ustawie o ochronie informacji niejawnych oraz w ustawie o ochronie danych osobowych. W ocenie NIK, stwierdzona w trakcie kontroli praktyka ograniczania zakresu ochrony do jedynie niektórych istotnych informacji może mieć poważne konsekwencje dla właściwego szacowania ryzyka, dzielenia zasobów, a przede wszystkim zapewnienia ciągłości działania instytucji mających istotne znaczenie dla funkcjonowania państwa. Odpowiedzialność za bezpieczeństwo

W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości kontrolowanych jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne. Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych. Podejście to zawężało, z przyczyn kompetencyjnych, możliwości budowania systemów ochrony informacji obejmujących całe instytucje, ignorując powszechną prawdę, że system ochrony jest tak skuteczny, jak jego najsłabszy element. Należy zauważyć, że wiele udanych ataków hakerskich wcale nie polegało na fizycznym przełamaniu zabezpieczeń informatycznych, lecz na wykorzystaniu metod socjotechnicznych w celu uzyskania dostępu do chronionych systemów. Przyjęty w kontrolowanych jednostkach model organizacyjny powodował natomiast, że pozostałe komórki organizacyjne, nie czując się współodpowiedzialnymi za ochronę informacji, uznały jej wymagania jako nieuzasadnione utrudnienia, wynikające jedynie ze specyfiki pracy informatyków. Również kierownictwa tych instytucji, niejako „przekazując problem do rozwiązania" specjalistycznej komórce, w niedostatecznym zakresie uznawały swoją rolę w kreowaniu i osiąganiu strategicznych celów dotyczących bezpieczeństwa informacji.

W praktyce więc odpowiedzialność za zapewnienie bezpieczeństwa informacji spoczywała przede wszystkim na wyznaczonym koordynatorze (często było to stanowisko jednoosobowe), który nie miał dostatecznych uprawnień i możliwości do działania w sferze zarządzania procesem i skoordynowania działań związanych z zapewnieniem bezpieczeństwa w skali całej jednostki.

Bezpieczeństwo niepoważnie traktowane

We wszystkich kontrolowanych jednostkach prowadzono audyty bezpieczeństwa. Raporty z tych audytów stanowiły dla kierownictw kontrolowanych jednostek jedyne istotne źródło informacji o realnym stanie bezpieczeństwa, różnych aspektach jego utrzymania oraz działaniach niezbędnych do przeprowadzenia. Ustalony w kilku jednostkach stan dynamicznego wzrostu zainteresowania ich kierownictw jakością wykorzystywanych polityk bezpieczeństwa i towarzyszących im dokumentów, wdrażaniem Systemów Zapewnienia Bezpieczeństwa Informacji oraz modyfikowaniem struktur odpowiedzialnych za bezpieczeństwo, wynikał bezpośrednio z otrzymanych raportów, m.in. obowiązkowych audytów wynikających z realizacji rozporządzenia KRI. Istotnym problemem był jednak brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań.

Co zaleciła NIK

W dobie dynamicznego wzrostu zagrożeń, zapewnienie bezpieczeństwa systemów przetwarzających istotne dla funkcjonowania państwa dane nie może być oparte na podejmowanych ad hoc, ukierunkowanych jedynie na przezwyciężanie aktualnych trudności, chaotycznie zarządzanych działaniach - podkreśla NIK

Zdaniem Izby podmioty publiczne przetwarzające dane istotne dla funkcjonowania państwa powinny być objęte takimi samymi działaniami jak te, które zostały podjęte przez Ministra Cyfryzacji w zakresie budowy systemu ochrony polskiej cyberprzestrzeni, w odpowiedzi na raport NIK po kontroli "Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej".

Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.

Pozostało 89% artykułu

Konsumenci

Pozew grupowy oszukanych na pompy ciepła. Sąd wydał zabezpieczenie

Sąd Okręgowy w Gdańsku udzielił zabezpieczenia roszczeń w postępowaniu grupowym o ustalenie nieważności umów o kredyt konsumencki na zakup pomp ciepła. Bank wypłacił pieniądze sprzedawcom pomp ciepła, choć urządzenia te nie trafiły do ich klientów.

Materiał Promocyjny

Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę

Prawo dla Ciebie

PiS wygrywa w Sądzie Najwyższym. Uchwała PKW o rozliczeniu kampanii uchylona

Sąd Najwyższy uchylił w środę sierpniową uchwałę Państwowej Komisji Wyborczej, która odrzuciła sprawozdanie komitetu wyborczego PiS z ostatnich wyborów parlamentarnych.

W sądzie i w urzędzie

Już za trzy tygodnie list polecony z urzędu przyjdzie on-line

System e-Doręczeń, czyli cyfrowy odpowiednik listu poleconego za potwierdzeniem odbioru, zacznie powszechnie obowiązywać już 1 stycznia 2025 roku.

Dane osobowe

Rekord wyłudzeń kredytów. Eksperci ostrzegają: będzie jeszcze więcej

Ujawniamy zbyt wiele informacji o sobie w internecie – twierdzą bankowcy i prawnicy. Dodatkowe ryzyka wywoła rozwój nowoczesnych technologii, w tym sztucznej inteligencji.

Materiał Promocyjny

Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite

Bank wspiera rozwój pasji, dlatego miał już w swojej ofercie konto gamingowe, atrakcyjne wizerunki kart płatniczych oraz skórek w aplikacji nawiązujących do gier. Teraz, chcąc dotrzeć do młodych, stworzył w ramach trybu kreatywnego swoją mapę symulacyjną w Fortnite, łącząc innowacyjną rozgrywkę z edukacją finansową i udostępniając graczom możliwość stworzenia w wirtualnym świecie własnego banku.

Prawnicy

Ewa Wrzosek musi odejść. Uderzyła publicznie w ministra Bodnara

Decyzją Ministra Sprawiedliwości Prokuratora Generalnego Adama Bodnara zostałam dziś odwołana z delegacji do Ministerstwa Sprawiedliwości oraz Krajowej Rady Prokuratorów przy Prokuratorze Generalnym - poinformowała w środę na X prok. Ewa Wrzosek. We wtorek w TVP Info stwierdziła, że Roman Giertych byłby lepszym ministrem sprawiedliwości niż Adam Bodnar.

Materiał Promocyjny

Jaecoo J7 w leasingu od 1670 zł/mies.

Uczestnicy webinaru rozmawiali o rynku i sposobach przeciwdziałania nieuczciwym praktykom

Biznes

Jak skutecznie chronić rynek Unii Europejskiej

Konkurowanie na rynku jest naturalne i napędza rozwój. Jednak problem zaczyna się, gdy ktoś dla zbudowania swojej pozycji stosuje nieuczciwe praktyki. Wtedy państwa powinny reagować w celu ochrony firm czy nawet całych sektorów gospodarki.

Walka o klimat

Trzeba zadbać o to, by recyklat został w Polsce

Polski recyklat jest pożądany na rynku europejskim – mówi Paweł Lesiak, wiceprezes firmy Interzero.

Nowa Energia

Korolec: Konkurencyjna Europa? Już nie stać nas na czekanie

Technologicznie nie nadążamy za innymi krajami, bo w Europie wcześniej nie nastąpiły odpowiednie inwestycje. Stąd konieczność pożyczenia i wydania dużych pieniędzy, które powinny przełożyć się na obniżkę kosztów produkcji produktów cleantech na naszym kontynencie - uważa Marcin Korolec, były minister środowiska, prezes Fundacji Promocji Pojazdów Elektrycznych oraz Instytutu Zielonej Gospodarki.

Materiał Partnera

2024: intensywny rok dla PreZero

Rok ten przyniósł wyjątkową dynamikę wydarzeń w PreZero, a także w kluczowych obszarach dla branży gospodarki odpadami w Polsce.

Przemysł Obronny

Nasze produkty są wszędzie, gdzie wykorzystuje się hydraulikę

Szybko reagujemy na potrzeby klienta. Potrafimy sprawnie dostosować do nich nasze rozwiązania. Dzięki temu jesteśmy rozpoznawalnym producentem na świecie i monopolistą w Polsce – mówi Rafał Worek, wiceprezes Ponaru Wadowice.

Materiał Promocyjny

Jak bezpiecznie sprzedawać w Internecie?

Planujesz sprzedać niepotrzebne rzeczy przez Internet? Robisz porządki w szafie? Znalazłeś nieużywane ubrania albo rzeczy, które tylko zbierają kurz? To świetnie się składa! Sprzedaż online to doskonały sposób na to, aby dać przedmiotom „drugie życie”, a do tego zasilić domowy budżet dodatkowym zarobkiem. Niestety, nie wszyscy kupujący mają uczciwe zamiary. Jak handlować w sieci bezpiecznie i bez stresu? Dzisiaj odpowiadamy na te pytania! Internet to świetne miejsce do sprzedaży. Tysiące ludzi codziennie szuka okazji i używanych rzeczy w dobrym stanie. Chętnie przygarną nieużywane przez Ciebie rzeczy, dając im nowe życie. Pomyśl tylko – te spodnie, które są już za małe, buty kupione w złym rozmiarze czy nieużywany tablet – wszystko to może znaleźć nowego właściciela i pomóc zasilić Twój domowy budżet! Na przykład, komplet ubrań z zeszłego sezonu może dać Ci nawet kilkaset złotych ekstra. Rower treningowy czy stary telefon komórkowy, który stoi i zbiera kurz może znaleźć nabywcę nawet w ciągu kilku dni i za naprawdę niezłą kwotę. Niekiedy jednak proces sprzedaży może być bardzo frustrujący. Jak uniknąć nieporozumień i przeprowadzić wszystko jak najsprawniej, a po drodze nie nadziać się na oszustów? Podpowiadamy!

Styl życia

Do 300 zł na święta dla rodziców i dzieci od Banku Pekao S.A.

Bank zachęca rodziców do wprowadzenia swoich dzieci w świat finansów. W prezencie można otrzymać 200 zł dla dziecka oraz voucher na 100 zł dla siebie.

Startupy

Econverse Cup 2024 – Jak Młodzi Polacy Budują Startupy

Już 13 grudnia 2024 r. w Google for Startups w Warszawie odbędzie się Wielki Finał Econverse Cup 2024 – kulminacyjny punkt największej symulacji tworzenia biznesu dla młodych w Polsce. Po raz trzeci młodzi Polacy z pięciu miast będą mieli niepowtarzalną okazję zmierzyć się w rywalizacji, prezentując swoje pomysły na biznes przed jury, w skład którego wejdą inwestorzy, mentorzy oraz aniołowie biznesu. W tym roku wydarzenie uświetni wystąpienie Sebastiana Kulczyka.