NIK: urzędnicy na home office, a dane w niebezpieczeństwie

W połowie urzędów skontrowanych przez NIK nie wprowadzono systemu zarządzania bezpieczeństwem informacji podczas pracy na odległość z powodu epidemii COVID - stwierdziła Najwyższa Izba Kontroli. Regulacje, które tam obowiązywały, dotyczyły jedynie danych osobowych.

Aktualizacja: 26.04.2024 16:36 Publikacja: 19.07.2022 10:49

Budynek KPRM

Foto: PAP/Tomasz Gzell

dgk

Kontrola została przeprowadzona między 1 stycznia 2020 r. a 30 listopada 2021 r. Miała odpowiedzieć na pytanie, czy podmioty realizujące zadania publiczne zapewniły aktualność rozwiązań w Systemie Zarządzania Bezpieczeństwem Informacji, umożliwiających bezpieczne przetwarzanie informacji w przypadku wprowadzenia trybu pracy zdalnej. Kontrolerzy sprawdzali to w Kancelarii Prezesa Rady Ministrów, Izbie Administracji Skarbowej w Olsztynie, dwóch jednostkach wojewódzkiej administracji zespolonej, dwóch jednostkach samorządu powiatowego i pięciu jednostkach samorządu gminnego.

Grzechy na szczycie administracyjnej piramidy

Jak wskazuje NIK w raporcie, informacje są bezpieczne, jeśli ich gromadzenie odbywa się we właściwym miejscu, formie i czasie, a przekazywanie adresatom - w wyznaczonym terminie, za pomocą odpowiedniego kanału i w tajemnicy przed niepożądanymi odbiorcami. Minimalne wymagania w tym zakresie nakłada na instytucje publiczne rządowe rozporządzenie z 2012 r. dotyczące Krajowych Ram Interoperacyjności (KRI).

Wynika z niego, że urzędy powinny zapewnić bezpieczeństwo wszystkim kategoriom przetwarzanych informacji, tymczasem kontrolowane przez NIK instytucje dbały przede wszystkim o bezpieczeństwo danych osobowych. W połowie skontrolowanych urzędów nie opracowano i nie wdrożono systemu zarządzania bezpieczeństwem informacji (SZBI), który powinien określać sposób postępowania właściwy dla każdego rodzaju przetwarzanych informacji.

Część instytucji nie przestrzegała nawet własnych zasad związanych z pracą na indywidualnych kontach systemu operacyjnego, szyfrowaniem twardych dysków służbowych komputerów czy postępowaniem z zewnętrznymi nośnikami danych.

Kancelaria Prezesa Rady Ministrów (KPRM), która z powodu likwidacji resortu pełni także obowiązki Ministerstwa Cyfryzacji, nie monitorowała ani skali wprowadzenia w instytucjach publicznych pracy na odległość, ani tego, w jakim stopniu zapewniono tam bezpieczeństwo przetwarzanym mobilnie danym.

Po ogłoszeniu stanu epidemii, kancelaria premiera opublikowała w internecie zalecenia w zakresie podniesienia poziomu bezpieczeństwa teleinformatycznego w administracji publicznej. Dotyczyły one m.in. korzystania z domowej sieci Wi-Fi, wdrożenia VPN, dwuskładnikowego uwierzytelniania, tworzenia kopii zapasowych, niekorzystania z publicznych otwartych sieci Wi-Fi oraz nieużywania prywatnych skrzynek pocztowych, czy grup na portalach społecznościowych do komunikacji firmowej, a także stosowania się do wytycznych pracodawcy i wykorzystywania w pracy zdalnej wyłącznie firmowego sprzętu – laptopów i telefonów. Były to jednak wyłącznie rekomendacje, które nie nakładały obowiązków ani na urzędy, ani na KPRM, ani na Pełnomocnika Rządu do spraw Cyberbezpieczeństwa. W efekcie kancelaria premiera w bardzo ograniczonym zakresie sprawdzała w jaki sposób instytucje publiczne korzystały z zaleceń (skontrolowała jedynie Ministerstwo Rodziny i Polityki Społecznej), nie miała także informacji na temat skali wprowadzenia pracy zdalnej w urzędach i zapewnienia przez nie bezpieczeństwa informacjom przetwarzanym mobilnie.

- Gromadzenie przez kancelarią premiera danych na temat skali wprowadzenia w urzędach pracy zdalnej i mobilnego przetwarzania danych oraz zastosowanych przy tym rozwiązań technicznych i organizacyjnych mogłoby pomóc we wcześniejszym rozpoznaniu zagrożeń i formułowaniu dodatkowych ostrzeżeń oraz rekomendacji, a to podniosłoby poziom cyberbezpieczeństwa - podkreśla NIK.

Z danych Departamentu Cyberbezpieczeństwa KPRM wynika, że w 2020 r. doszło do 388 incydentów bezpieczeństwa w administracji publicznej, a tylko do sierpnia 2021 r. do kolejnych 287. Informacje te są jednak niepełne, ponieważ Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy nie ma obowiązku przekazywania KPRM szczegółowych informacji o takich incydentach.

Czytaj więcej

Przestępczość

Prokuratura ma informacje o śmierci Andrzeja I., handlarza bronią, który miał dostarczyć respiratory

Prokuratura posiada niepotwierdzone informacje o śmierci Andrzeja I., który na zlecenie rządu miał w czasie pandemii COVID-19 dostarczyć respiratory.

Nieprzygotowani na tryb zdalny

Wprowadzenie w urzędach pracy na odległość wymagało zapewnienia pracownikom narzędzi umożliwiających zdalnie wykonywanie zadań, a także aktualizacji systemów zarządzania bezpieczeństwem danych. Część kontrolowanych przez NIK instytucji nie była przygotowana do natychmiastowego wprowadzenia takich zmian.

Początkowo koncentrowano się głównie na zapewnieniu pracownikom dystansu społecznego i ograniczeniu kontaktów między nimi. Wprowadzono system rotacyjny, zgodnie z którym poszczególne grupy pracowały na zmianę - jeden dzień w formie stacjonarnej i jeden dzień w formie zdalnej, ale bez dostępu do systemów teleinformatycznych. Ponieważ kontrolowane instytucje nie były gotowe do wprowadzenia rozwiązań technicznych umożliwiających taki dostęp, praca zdalna urzędników polegała na udziale w konferencjach i szkoleniach oraz na opracowywaniu ogólnych dokumentów, bez dostępu do wewnętrznych sieci instytucji.

W 2020 r. w 10 kontrolowanych przez NIK urzędach z inicjatywy pracodawcy zdalnie pracowało niemal 73% zatrudnionych tam osób, na własną prośbę - 9,5%. W kolejnym roku pandemii te proporcje wyglądały już zdecydowanie inaczej - 47,5% zatrudnionych pracowało zdalnie na polecenie pracodawcy, na swój wniosek 12,5%. W badanym okresie także niektóre osoby objęte kwarantanną lub izolacją wykonywały swoje obowiązki na odległość.

Podstawowymi kanałami przesyłania informacji niezbędnych do wykonywania zadań na odległość były: poczta elektroniczna oraz szyfrowane połączenie VPN umożliwiające dostęp do pulpitu zdalnego komputerów stacjonarnych znajdujących się w urzędach.

Przesyłanie załączników zawierających informacje chronione (dane osobowe) wymagało szyfrowania i zabezpieczenia hasłem, które należało przekazać adresatowi innym kanałem łączności (np. za pośrednictwem telefonu, SMS). W trzech urzędach dopuszczono możliwość wykorzystywania w celach służbowych także prywatnych kont mailowych, a w dwóch z nich określono warunki jakie należało spełnić, aby z tej możliwości można było korzystać. Jednym z nich było uzyskanie pisemnej zgody administratora danych lub administratora systemów informatycznych. Takich warunków nie określono w Urzędzie Ochrony Zabytków w Olsztynie.

W przypadku informacji przetwarzanych podczas pracy zdalnej za pomocą szyfrowanych kanałów VPN w pięciu urzędach dopuszczono stosowanie jedynie sprzętu służbowego. W pięciu pozostałych instytucjach można było korzystać także z prywatnych komputerów, ale po spełnieniu określonych wymagań. Przed dopuszczeniem takiego sprzętu do nawiązywania połączeń VPN z zasobami informatycznymi urzędów konieczna była aktualizacja systemu operacyjnego, zainstalowanie programu antywirusowego, stosowanie indywidualnego konta i hasła zgodnego z przyjętą w urzędach polityką.

Izba postuluje, aby minister właściwy do spraw informatyzacji zdobył od jednostek administracji publicznej informację o skali wykorzystania systemów teleinformatycznych w pracy zdalnej i o stosowaniu wydanych przez ministra zaleceń i rekomendacji. Z kolei same jednostki administracji publicznej powinny dokonać przeglądu regulacji wewnętrznych w obszarze bezpieczeństwa informacji i zmodyfikować je tak, aby nie ograniczały się one wyłącznie do ochrony danych osobowych.

Organizacje Najwyższa Izba Kontroli (NIK) Urzędnicy W Urzędzie

Pozostało 93% artykułu

2 / 3

artykułów

Czytaj dalej. Subskrybuj

Warszawa, 25.04.2024. Pierwszy prezes SN Małgorzata Manowska (C), prezes SN Joanna Misztal-Konecka (

Konsumenci

Sąd Najwyższy orzekł w sprawie frankowiczów. Eksperci komentują

Gdy umowa z bankiem zawiera abuzywne klauzule, nie można ich zastąpić innymi przepisami. Na te i inne ważne dla frankowiczów pytania odpowiedziała Izba Cywilna SN w czwartek wieczorem.

Materiał Promocyjny

Sprawdź Ofertę Powitalną z Kontem Oszczędnościowym ważną do 22.05.2024 r.

Prawo dla Ciebie

TSUE nakłada karę na Polskę. Nie pomogły argumenty o uchodźcach z Ukrainy

Polska ma zapłacić 7 mln euro - zdecydował w czwartek Trybunał Sprawiedliwości Unii Europejskiej. To kara za niewdrożenie dyrektywy o ochronie sygnalistów.

Praca, Emerytury i renty

Niepokojące zjawisko w Polsce: renciści coraz młodsi

O dwa i pół miesiąca obniżył się w ciągu roku średni wiek osób, które uzyskały uprawnienia do renty. Powodem tego niepokojącego zjawiska mogą być problemy natury psychicznej – mówią specjaliści.

Prawo karne

CBA zatrzymało znanego adwokata. Za rządów PiS reprezentował Polskę

65-letni adwokat Waldemar G., rektor Europejskiej Wyższej Szkoły Prawa i Administracji w Warszawie został zatrzymany przez funkcjonariuszy CBA w śledztwie dotyczącym powoływania się na wpływy - poinformowała w środę Prokuratura Krajowa.

Nowe, w pełni elektryczne BMW iX2 już od 2200 PLN netto/mies.

Materiał Promocyjny

Nowe BMW iX2 już od 999 PLN netto/mies. z dopłatą w programie „Mój Elektryk”.

Sędzia Wojciech Postulski w trakcie wysłuchań przez zespół oceniający kandydatów do KSSiP

Aplikacje i egzaminy

Postulski: Nigdy nie zrezygnowałem z bycia dyrektorem KSSiP

Kolejny kandydat na dyrektora Krajowej Szkoły Sądownictwa i Prokuratury, który uzyskał rekomendację komisji Adama Bodnara, przepadł, mimo że wygrał konkurs.

Materiał Promocyjny

Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.

Sabreen al-Sakani zmarła w szpitalu w Rafah

Strefa Gazy

Nie żyje dziecko, która urodziło się po śmierci matki w izraelskim nalocie

Sabreen al-Sakani, dziewczynka, która przyszła na świat już po śmierci jej matki, która zginęła w ataku powietrznym Izraela na Strefę Gazy, zmarła - podaje BBC.

Konflikty zbrojne

Po dwóch latach wojny Szojgu mówi, że "Rosja nie miesza się w sprawy innych państw"

Rosja nigdy nie zagrażała NATO - przekonywał minister obrony, Siergiej Szojgu, w czasie spotkania ministrów obrony państw należących do Szanghajskiej Organizacji Współpracy.

Prezydent Andrzej Duda i premier Donald Tusk

Polityka

Andrzej Duda ułaskawił byłych agentów CBA. "Zanim się obejrzymy, gotów będzie ułaskawić cały PiS"

Dwóch agentów CBA skazanych w sprawie afery gruntowej zostało ułaskawionych przez prezydenta Andrzeja Dudę. "Zanim się obejrzymy, gotów będzie ułaskawić cały PiS" - skomentował decyzję prezydenta premier Donald Tusk.

W Anglii coraz więcej młodych ludzi sięga po alkohol

Społeczeństwo

Alarmujący raport WHO: Połowa 13-latków w Anglii piła alkohol

Co trzeci 11-latek i ponad połowa 13-latków w Anglii miało kontakt z alkoholem - alarmuje BBC, powołując się na raport WHO oparty na badaniach w 44 krajach.

Posiedzenie Sądu Najwyższego w sprawie zagadnienia prawnego dotyczącego kredytów frankowych

Konsumenci

Związek Banków Polskich kwestionuje uchwałę frankową SN

Związek Banków Polskich wydał komunikat w sprawie czwartkowej uchwały Sądu Najwyższego dotyczącej kredytów frankowych. - Rodzą się pytania o jej moc i skuteczność - twierdzą bankowcy.

Finanse

Trudno o mediację w sprawach dotyczących zwrotu dofinansowania

Od czasu wejścia w życie przepisów przewidujących możliwość prowadzenia mediacji w postępowaniach administracyjnych, w czerwcu 2024 roku minie 7 lat. To dobry moment, by sprawdzić czy i jak ukształtowała się praktyka stosowania tych w przepisów w sprawach, których przedmiotem jest zwrot dofinansowania ze środków unijnych.

Polityka

Prezydent Andrzej Duda ułaskawił agentów CBA skazanych w aferze gruntowej

Prezydent Andrzej Duda ułaskawił dwóch agentów CBA, skazanych w sprawie afery gruntowej - ustaliło TVN24 . Wcześniej prezydent ułaskawił skazanych w tej samej aferze Mariusza Kamińskiego i Macieja Wąsika.

Finanse

Granty na eurogranty już do wzięcia

Trwa nabór wniosków od mikro-, małych i średnich przedsiębiorstw do programu, który umożliwi im zdobycie funduszy na zwiększenie konkurencyjności na rynku.

Podatki

Będzie nowy podatek. "Może wpłynąć na konkurencyjność polskiej gospodarki"

Od przyszłego roku w Polsce ma zacząć obowiązywać tzw. globalny podatek minimalny. Ma być oparty na trzech uzupełniających się filarach: globalnym i krajowym podatku wyrównawczym oraz podatku wyrównawczym od niedostatecznie opodatkowanych zysków.

Świat

Wojna Rosji z Ukrainą. Dzień 793

24 lutego 2022 roku Rosja rozpoczęła pełnowymiarową inwazję na Ukrainę. Wołodymyr Zełenski mówi, że ukraiński przemysł zbrojeniowy ma już większe możliwości produkcyjne od możliwości finansowych Ukrainy.

PIT & CIT & VAT

Jest projekt ustawy o kasowym PIT. Kto skorzysta i na jakich warunkach

Ministerstwo Finansów opublikowało projekt przepisów o kasowym PIT, czyli zasadzie rozliczania przychodu i podatku dopiero po otrzymaniu zapłaty od kontrahenta. Nowa metoda ma wejść w życie od 1 stycznia 2025 roku.

Prawnicy

Prokuratura Europejska nie ma pieniędzy na zatrudnienie Polaków

W tym roku nie wystarczy pieniędzy na zatrudnienie wszystkich prokuratorów delegowanych z Polski do Prokuratury Europejskiej - informuje RMF FM.

Media

Nowy „Plus Minus”: 20 lat Polski w UE. Dobrze wyszło (tylko teraz nie wychodźmy!)

Unia pojawia się tu nieprzypadkowo. 1 maja tego roku minie 20 lat, od kiedy do niej weszliśmy. To były dobre dwie dekady, gospodarczo wręcz znakomite.

Tim Scott, działacz Partii Republikańskiej

Gospodarka

„Niezauważalna poprawka" zaostrza sankcje USA wobec Rosji

Poprawka republikańskiego senatora do niedawnej ustawy o pomocy dla Ukrainy i innych państw znacznie zaostrza rygor antyrosyjskich sankcji USA. Zwiększa też kary dla tych, którzy łamią ograniczenia.

PIT & CIT & VAT

Od kiedy KSeF będzie obowiązkowy? Ministerstwo Finansów ogłosiło datę

Nowa data uruchomienia obowiązkowego KSeF zakłada etapowe wdrażanie obligatoryjnej e-Faktury. System będzie obowiązkowy od 1 lutego 2026 r. dla przedsiębiorców, których wartość sprzedaży (wraz z kwotą podatku) przekroczyła w 2025 r. 200 mln zł, a dla pozostałych przedsiębiorców od 1 kwietnia 2026 r. - poinformowało w piątek Ministerstwo Finansów.

Nowe Trendy

Rowerem do Polski - sposób urzędnika na promowanie naszego kraju

Dyrektor Zagranicznego Ośrodka Polskiej Organizacji Turystycznej w Wiedniu Marcin Płachno pokonał na rowerze jednego dnia drogę z Berlina do Poznania. Jak mówi, promuje w ten sposób polską turystykę i zdrowy tryb życia.

Osiedle Symbioza - osiedle spółki Atal w Gdyni

Nieruchomości

Gdynia. Był kompleks handlowy, będzie osiedle Symbioza

Sprzedaż mieszkań w gdyńskiej Cisowej rozpoczyna Atal. Ceny lokali na osiedlu Symbioza zaczynają się od 10,7 tys. zł za mkw.

Przestępczość

Ukraiński minister rolnictwa aresztowany. Wpłacił prawie 2 mln dol. kaucji i wyszedł

Sąd zdecydował w piątek o aresztowaniu ministra rolnictwa Ukrainy, Mykoły Solskiego. Minister jest podejrzany o nielegalne pozyskanie należących do państwa gruntów wartych 7 mln dolarów. Minister opuścił już areszt po uiszczeniu kaucji i "wrócił do pełnienia obowiązków".

Nowe Trendy

Polska przyroda i zabytki w krainie tulipanów. Jubileusz ogrodów pod Amsterdamem

Do połowy maja autobusy Keukenhof Express Bus kursujące do słynnych ogrodów Keukenhof pod Amsterdamem oklejone będą reklamami polskich atrakcji turystycznych.

Rzecz o prawie

Michał Zacharski: Solidna ochrona ofiar gwałtu. Ale nie za cenę niesłusznych skazań

Dbając o maksymalny komfort ofiar zgwałceń nie zapominajmy, że określony kształt prawa może prowadzić do wypaczeń i nadużyć. W skrajnych przypadkach może być narzędziem wykorzystywanym do celów całkowicie obcych intencji ustawodawcy.

Czy promocja „aktywnych obozów odchudzających dla dzieci” powinna trafić do portalu Librus Rodzina?

Styl życia

Kontrowersyjna reklama w Librusie. Czy słusznie podniesiono alarm?

Od kilku dni najbardziej znane polskie aktywistki ciałopozytywości informują na swoich profilach w mediach społecznościowych o niestosownej ich zdaniem reklamie, która pojawiła się na stronie internetowej Librus Rodzina.

Tenis

WTA Madryt. Magda Linette przegrała z Aryną Sabalenką po dwugodzinnej bitwie

Magda Linette zagrała swój najlepszy mecz w tym roku, ale uległa Arynie Sabalence 4:6, 6:3, 3:6 i po dwugodzinnej bitwie odpadła z turnieju Mutua Madrid Open.

Natalia Gębska: Istnieje wiele sposobów, w jakie możemy poprawić sytuację i zwiększyć udział kobiet

Rozwój

Natalia Gębska: Kariera w IT nie wymaga specjalistycznego wykształcenia ani predyspozycji

- Automatyzacja rutynowych zadań w IT za sprawą AI w teorii powinna prowadzić do ograniczania liczby pracowników, a mamy jednak sytuację, w której prowadzi do powstania nowych możliwości zatrudnienia - mówi Natalia Gębska z Centralnego Ośrodka Informatyki.

Konflikty zbrojne

Ukraina zniszczyła na lotnisku pod Moskwą rosyjski śmigłowiec

Ukraiński wywiad wojskowy (HUR) informuje o zniszczeniu rosyjskiego śmigłowca wielozadaniowego Ka-32 na lotnisku Ostafiewo pod Moskwą.

Podczas jednej z kłótni sięgnął po pistolet gazowy i strzelił w kierunku sąsiada

Społeczeństwo

Groził, wyzywał i wybijał szyby. Policja nie widziała podstaw do interwencji

Wyzwiska, pogróżki, wybijanie szyb, a w końcu strzelanie z pistoletu na race i zabicie psa. W zachodniopomorskiej wsi Granowo jeden z mieszkańców zgotował sąsiadom piekło.

Justyna Dąbrowska-Bień: Dyspozycyjność chirurga jest przekleństwem dla jego rodziny.

Wywiad

Dr n. med. Justyna Dąbrowska-Bień: Mężczyźni nie chcą przekazywać swojej wiedzy kobietom chirurgom

Mężczyźni postrzegali zawsze moje zalety jako wady. To, że mam w sobie siłę, determinację i asertywność było interpretowane jako bezczelność i krnąbrność - mówi Justyna Dąbrowska-Bień, otorynolaryngolog, rynochirurg, zajmująca się chirurgią twarzy i szyi.

Apartamentowiec Maison Rouge Club House to dzieło moskiewskiego biura architektonicznego ADM Archite

Architektura

Apartamentowiec w Moskwie wśród najpiękniejszych domów na świecie. Jest z cegły

Apartamentowiec w centrum Moskwy zdobył złotą nagrodę w konkursie dla budynków z cegły. To nie jedyne wyróżnienie dla moskiewskiej architektury - w tym samym konkursie wyróżnienie zdobył także x

Prawo karne

Kolejny zwrot ws. tragicznego wypadku na A1. Jest nowy komunikat prokuratury

Prokuratura Okręgowa w Piotrkowie Trybunalskim przekazała, że nie ma podstaw do zmiany zarzutu dla Sebastiana M. Do tragicznych wydarzeń, którymi żyła cała Polska, doszło we wrześniu 2023 roku na autostradzie A1.

Konflikty zbrojne

Rosyjscy recydywiści wracają z wojny i zabijają

Rosyjscy żołnierze, którzy powrócili z wojny, zabili co najmniej 107 osób, a co najmniej 100 innych poważnie ranili - wynika z wyliczeń niezależnego rosyjskiego dziennika „Wierstka”. Prawie połowa z nich to wcześniej ułaskawieni więźniowie.

Gospodarka

Nowy świat – stare problemy, czyli dlaczego potrzebujemy Rzeczpospolitej Babskiej

Dynamiczny, nieograniczony, różnorodny – tak można opisać rozwój, którego często poszukujemy w życiu zawodowym i prywatnym.

Film

Rusza 17. edycja Międzynarodowego Festiwalu Kina Niezależnego Mastercard OFF CAMERA

17. edycja Międzynarodowego Festiwalu Kina Niezależnego Mastercard OFF CAMERA startuje już dzisiaj.

Polityka

Afera zegarkowa w MON. Mariusz Błaszczak: Trzeba wyciągnąć konsekwencje

- Nie nadzorowałem komórki, która zajmowała się gadżetami i upominkami. Tę sprawę trzeba wyjaśnić do cna - komentuje wyniki audytu przeprowadzonego w MON były minister Mariusz Błaszczak.