NIK: urzędnicy na home office, a dane w niebezpieczeństwie

W połowie urzędów skontrowanych przez NIK nie wprowadzono systemu zarządzania bezpieczeństwem informacji podczas pracy na odległość z powodu epidemii COVID - stwierdziła Najwyższa Izba Kontroli. Regulacje, które tam obowiązywały, dotyczyły jedynie danych osobowych.

Aktualizacja: 05.06.2023 09:34 Publikacja: 19.07.2022 10:49

Budynek KPRM

Foto: PAP/Tomasz Gzell

dgk

Kontrola została przeprowadzona między 1 stycznia 2020 r. a 30 listopada 2021 r. Miała odpowiedzieć na pytanie, czy podmioty realizujące zadania publiczne zapewniły aktualność rozwiązań w Systemie Zarządzania Bezpieczeństwem Informacji, umożliwiających bezpieczne przetwarzanie informacji w przypadku wprowadzenia trybu pracy zdalnej. Kontrolerzy sprawdzali to w Kancelarii Prezesa Rady Ministrów, Izbie Administracji Skarbowej w Olsztynie, dwóch jednostkach wojewódzkiej administracji zespolonej, dwóch jednostkach samorządu powiatowego i pięciu jednostkach samorządu gminnego.

Grzechy na szczycie administracyjnej piramidy

Jak wskazuje NIK w raporcie, informacje są bezpieczne, jeśli ich gromadzenie odbywa się we właściwym miejscu, formie i czasie, a przekazywanie adresatom - w wyznaczonym terminie, za pomocą odpowiedniego kanału i w tajemnicy przed niepożądanymi odbiorcami. Minimalne wymagania w tym zakresie nakłada na instytucje publiczne rządowe rozporządzenie z 2012 r. dotyczące Krajowych Ram Interoperacyjności (KRI).

Wynika z niego, że urzędy powinny zapewnić bezpieczeństwo wszystkim kategoriom przetwarzanych informacji, tymczasem kontrolowane przez NIK instytucje dbały przede wszystkim o bezpieczeństwo danych osobowych. W połowie skontrolowanych urzędów nie opracowano i nie wdrożono systemu zarządzania bezpieczeństwem informacji (SZBI), który powinien określać sposób postępowania właściwy dla każdego rodzaju przetwarzanych informacji.

Część instytucji nie przestrzegała nawet własnych zasad związanych z pracą na indywidualnych kontach systemu operacyjnego, szyfrowaniem twardych dysków służbowych komputerów czy postępowaniem z zewnętrznymi nośnikami danych.

Kancelaria Prezesa Rady Ministrów (KPRM), która z powodu likwidacji resortu pełni także obowiązki Ministerstwa Cyfryzacji, nie monitorowała ani skali wprowadzenia w instytucjach publicznych pracy na odległość, ani tego, w jakim stopniu zapewniono tam bezpieczeństwo przetwarzanym mobilnie danym.

Po ogłoszeniu stanu epidemii, kancelaria premiera opublikowała w internecie zalecenia w zakresie podniesienia poziomu bezpieczeństwa teleinformatycznego w administracji publicznej. Dotyczyły one m.in. korzystania z domowej sieci Wi-Fi, wdrożenia VPN, dwuskładnikowego uwierzytelniania, tworzenia kopii zapasowych, niekorzystania z publicznych otwartych sieci Wi-Fi oraz nieużywania prywatnych skrzynek pocztowych, czy grup na portalach społecznościowych do komunikacji firmowej, a także stosowania się do wytycznych pracodawcy i wykorzystywania w pracy zdalnej wyłącznie firmowego sprzętu – laptopów i telefonów. Były to jednak wyłącznie rekomendacje, które nie nakładały obowiązków ani na urzędy, ani na KPRM, ani na Pełnomocnika Rządu do spraw Cyberbezpieczeństwa. W efekcie kancelaria premiera w bardzo ograniczonym zakresie sprawdzała w jaki sposób instytucje publiczne korzystały z zaleceń (skontrolowała jedynie Ministerstwo Rodziny i Polityki Społecznej), nie miała także informacji na temat skali wprowadzenia pracy zdalnej w urzędach i zapewnienia przez nie bezpieczeństwa informacjom przetwarzanym mobilnie.

- Gromadzenie przez kancelarią premiera danych na temat skali wprowadzenia w urzędach pracy zdalnej i mobilnego przetwarzania danych oraz zastosowanych przy tym rozwiązań technicznych i organizacyjnych mogłoby pomóc we wcześniejszym rozpoznaniu zagrożeń i formułowaniu dodatkowych ostrzeżeń oraz rekomendacji, a to podniosłoby poziom cyberbezpieczeństwa - podkreśla NIK.

Z danych Departamentu Cyberbezpieczeństwa KPRM wynika, że w 2020 r. doszło do 388 incydentów bezpieczeństwa w administracji publicznej, a tylko do sierpnia 2021 r. do kolejnych 287. Informacje te są jednak niepełne, ponieważ Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy nie ma obowiązku przekazywania KPRM szczegółowych informacji o takich incydentach.

Czytaj więcej

Przestępczość

Prokuratura ma informacje o śmierci Andrzeja I., handlarza bronią, który miał dostarczyć respiratory

Prokuratura posiada niepotwierdzone informacje o śmierci Andrzeja I., który na zlecenie rządu miał w czasie pandemii COVID-19 dostarczyć respiratory.

Nieprzygotowani na tryb zdalny

Wprowadzenie w urzędach pracy na odległość wymagało zapewnienia pracownikom narzędzi umożliwiających zdalnie wykonywanie zadań, a także aktualizacji systemów zarządzania bezpieczeństwem danych. Część kontrolowanych przez NIK instytucji nie była przygotowana do natychmiastowego wprowadzenia takich zmian.

Początkowo koncentrowano się głównie na zapewnieniu pracownikom dystansu społecznego i ograniczeniu kontaktów między nimi. Wprowadzono system rotacyjny, zgodnie z którym poszczególne grupy pracowały na zmianę - jeden dzień w formie stacjonarnej i jeden dzień w formie zdalnej, ale bez dostępu do systemów teleinformatycznych. Ponieważ kontrolowane instytucje nie były gotowe do wprowadzenia rozwiązań technicznych umożliwiających taki dostęp, praca zdalna urzędników polegała na udziale w konferencjach i szkoleniach oraz na opracowywaniu ogólnych dokumentów, bez dostępu do wewnętrznych sieci instytucji.

W 2020 r. w 10 kontrolowanych przez NIK urzędach z inicjatywy pracodawcy zdalnie pracowało niemal 73% zatrudnionych tam osób, na własną prośbę - 9,5%. W kolejnym roku pandemii te proporcje wyglądały już zdecydowanie inaczej - 47,5% zatrudnionych pracowało zdalnie na polecenie pracodawcy, na swój wniosek 12,5%. W badanym okresie także niektóre osoby objęte kwarantanną lub izolacją wykonywały swoje obowiązki na odległość.

Podstawowymi kanałami przesyłania informacji niezbędnych do wykonywania zadań na odległość były: poczta elektroniczna oraz szyfrowane połączenie VPN umożliwiające dostęp do pulpitu zdalnego komputerów stacjonarnych znajdujących się w urzędach.

Przesyłanie załączników zawierających informacje chronione (dane osobowe) wymagało szyfrowania i zabezpieczenia hasłem, które należało przekazać adresatowi innym kanałem łączności (np. za pośrednictwem telefonu, SMS). W trzech urzędach dopuszczono możliwość wykorzystywania w celach służbowych także prywatnych kont mailowych, a w dwóch z nich określono warunki jakie należało spełnić, aby z tej możliwości można było korzystać. Jednym z nich było uzyskanie pisemnej zgody administratora danych lub administratora systemów informatycznych. Takich warunków nie określono w Urzędzie Ochrony Zabytków w Olsztynie.

W przypadku informacji przetwarzanych podczas pracy zdalnej za pomocą szyfrowanych kanałów VPN w pięciu urzędach dopuszczono stosowanie jedynie sprzętu służbowego. W pięciu pozostałych instytucjach można było korzystać także z prywatnych komputerów, ale po spełnieniu określonych wymagań. Przed dopuszczeniem takiego sprzętu do nawiązywania połączeń VPN z zasobami informatycznymi urzędów konieczna była aktualizacja systemu operacyjnego, zainstalowanie programu antywirusowego, stosowanie indywidualnego konta i hasła zgodnego z przyjętą w urzędach polityką.

Izba postuluje, aby minister właściwy do spraw informatyzacji zdobył od jednostek administracji publicznej informację o skali wykorzystania systemów teleinformatycznych w pracy zdalnej i o stosowaniu wydanych przez ministra zaleceń i rekomendacji. Z kolei same jednostki administracji publicznej powinny dokonać przeglądu regulacji wewnętrznych w obszarze bezpieczeństwa informacji i zmodyfikować je tak, aby nie ograniczały się one wyłącznie do ochrony danych osobowych.

Organizacje Najwyższa Izba Kontroli (NIK) Urzędnicy W Urzędzie

Donald Tusk podczas wyborów do Parlamentu Europejskiego w 2019 roku

Prawo karne

Fakty i mity o "lex Tusk". Czy kontrowersyjna ustawa wpłynie na wynik wyborów

Ustawa o komisji ws. wpływów rosyjskich wywołuje wiele obaw i wątpliwości oraz tworzy trudne do zrzucenia odium.

Materiał Promocyjny

Manutan - najlepsze wyposażenie dla Twojej firmy

Prawo dla Ciebie

Lex Tusk: komisja ruszy przed wyborami, a odwołania do sądu już po nich

Komisja ds. wpływów rosyjskich na bezpieczeństwo wewnętrzne RP w l. 2007–2022 ma powstać szybko, ale na kontrolę jej decyzji przez sąd nie starczy czasu przed wyborami.

Prawo karne

Decyzje od ręki, spory na lata. Oto możliwy kalendarz prac komisji z Lex Tusk

Komisja do zbadania rosyjskich wpływów będzie mogła wydawać swoje rozstrzygnięcia niemal od razu.

Prawo

„Komisja może wezwać każdego, nie tylko Tuska. I każdemu wyrządzić krzywdę”

Co robić i mówić, gdy wezwie Komisja do spraw badania wpływów rosyjskich na bezpieczeństwo wewnętrzne Rzeczypospolitej Polskiej w latach 2007–2022? Niekonstytucyjna ustawa PiS, czyli „lex Tusk” w pytaniach i odpowiedziach. Z Wojciechem Tumidalskim rozmawia Cezary Szymanek.

Materiał Promocyjny

Nowe BMW serii 3 już za 1450 PLN netto/mies. Skorzystaj z oferty.

Sędzia Przemysław Radzik na sali Sądu Apelacyjnego w Warszawie

Sądy i trybunały

Sędzia Radzik nie będzie już wiceprezesem Sądu Apelacyjnego w Warszawie

Przemysław Radzik - jeden z zastępców rzecznika dyscyplinarnego sędziów sądów powszechnych i wiceprezes Sądu Apelacyjnego w Warszawie - od czerwca będzie wiceprezesem Sądu Apelacyjnego w Poznaniu. Ze spekulacji medialnych wynika, że to efekt konfliktu z prezesem SA, Piotrem Schabem.

Spadki i darowizny

Weszły w życie istotne zmiany w zachowkach

Wejście w życie ustawy o fundacji rodzinnej wprowadza istotne zmiany w ustalaniu i wypłacaniu świadczeń dla osób pominiętych w testamencie.

Mundurowi

Bez rozszerzenia praw do emerytur dla funkcjonariuszy Inspekcji Transportu Drogowego

Dopuszczalne jest pozostawienie funkcjonariuszy Inspekcji Transportu Drogowego (ITD) poza systemem świadczeń mundurowych – uznał Trybunał Konstytucyjny i umorzył sprawę.

Prawo

Sąd: Pracownik ocenia co jest w przesyłce

Dla stwierdzenia, co zawiera sądowa przesyłka, istotne jest to, co pracownik sądu stwierdził po otwarciu listu.

Podatki

Usunięcie z rejestru VAT trafi na uchwałę

Siedmiu sędziów NSA rozstrzygnie, w jakiej formie fiskus wykreśla podatnika VAT ze swojej bazy po użyciu blokady STIR.

Dyplomacja

Tajna wizyta szefa CIA w Chinach

Dyrektor CIA William Burns odwiedził w zeszłym miesiącu Chiny, gdzie spotkał się z przedstawicielami Pekinu - powiedział agencji Reutera amerykański urzędnik. Administracja prezydenta Joe Bidena stara się poprawić relacje z Pekinem.

Dariusz Szpakowski, sędzia piłkarski Szymon Marciniak i były piłkarz reprezentacji Polski Sebastian

Publicystyka

Jan Maciejewski: Nigdy więcej „Nigdy więcej”

Tak jak nazwisko Szymona Marciniaka kojarzy się nie tylko ze świetnym sędziowaniem, ale stało się również synonimem sformułowania „równy gość”, tak też Stowarzyszenie „Nigdy więcej” pracuje na to, by kojarzyć się wyłącznie z klasowym skarżypytą. A przede wszystkim – na trwałe skompromitować ideę walki z boiskowym rasizmem.

Piłka nożna

Szymon Marciniak będzie sędzią finału Ligi Mistrzów

UEFA wydała oświadczenie w sprawie sędziego Szymona Marciniaka. Organizacja zdecydowała, że Polak pozostanie głównym arbitrem finału piłkarskiej Ligi Mistrzów. Komunikat ma związek z zastrzeżeniami, jakie wobec występu Marciniaka na wydarzeniu organizowanym przez Sławomira Mentzena zgłosiło "Nigdy Więcej".

Publiczne ukrzyżowanie Szymona Marciniaka za domniemane związki z Konfederacją tylko nabiłoby jej pu

Opinie polityczno - społeczne

Bogusław Chrabota: Czy sędzia Marciniak zgrzeszył

Nie piętnujmy Szymona Marciniaka do momentu, kiedy nie zapoznamy się z tym, co na imprezie Everest 2023 słuchaczom tłumaczył. Nie stygmatyzujmy faceta, który tylko poszedł na mecz z bandą kiboli. Inaczej wpiszemy się w logikę tych, którzy są gotowi prześladować politycznie za fakt istnienia.

Piłka nożna

Szymon Marciniak na konferencji organizowanej przez Mentzena. Komunikat PZPN, komentarz premiera

Stowarzyszenie "Nigdy Więcej", organizacja pozarządowa stawiająca sobie za cel "przeciwdziałanie szowinizmowi, neofaszyzmowi i nienawiści wobec cudzoziemców" poinformowało, że polski sędzia Szymon Marciniak, arbiter, który poprowadził finał ostatniego mundialu, a za kilka dni ma sędziować finał Ligi Mistrzów, wziął udział w konferencji organizowanej przez jednego z liderów Konfederacji, Sławomira Mentzena. Stanowisko w tej sprawie, wspierające sędziego Marciniaka, przekazało UEFA Ministerstwo Sportu i Turystyki.

Świat

Wojna Rosji z Ukrainą. Dzień 467

24 lutego 2022 roku Rosja rozpoczęła pełnowymiarową inwazję na Ukrainę. Rosjanie twierdzą, że w niedzielę nad ranem Ukraińcy rozpoczęli dużą ofensywę w obwodzie donieckim, która została odparta.

Gospodarka

Relacja „Na rynkach”. Dziennikarze Parkietu śledzą poniedziałkowe wydarzenia

Polityka

Zdrojewski: Marsz 4 czerwca był przełomem. Jesienne wybory wygra opozycja

Gdyby PiS wygrał wybory jesienią nastąpiłaby kompletna dewastacja, właściwie koniec państwa prawa - mówił w rozmowie z Michałem Kolanką senator PO, Bogdan Zdrojewski.

Polityka

Sienkiewicz: Tusk zapraszał Kosiniaka-Kamysza i Hołownię. Nie skorzystali

Nadchodzące wybory będą jak referendum, czy jesteśmy za za wolną Polską, czy za dotychczasowym stanem cichego gotowania Polaków - mówił w Polsat News poseł PO Bartłomiej Sienkiewicz.

Drogowy

Spada zapotrzebowanie na karnety TIR

Pomimo wdrożenia przez niektóre kraje cyfrowej wersji karnetów TIR, zapotrzebowanie maleje.

PIT & CIT & VAT

Skarbówka uznaje dowody zakupu z internetowej platformy

W wydanej interpretacji fiskus potwierdził, że otrzymywane z portali sprzedażowych potwierdzenia zawarcia transakcji można uznać za dowód księgowy.

PIT & CIT & VAT

Nie zawsze będzie podatek od zwrotu nadpłaconej składki zdrowotnej

Część przedsiębiorców, którzy zapłacili w 2022 r. składkę większą od limitu kwoty, jaką mogli zaliczyć do kosztów, a teraz dostaną zwrot, nie musi pomniejszać kosztów. W efekcie nie zapłacą od zwrotu podatku i składki. - wynika z odpowiedzi Ministerstwa Finansów dla "Rzeczpospolitej".

Prezydent Iranu Ebrahim Raisi i Rosji Władimir Putin podczas spotkania Rady Szefów Państw Szanghajsk

Konflikty zbrojne

Umowy na sprzedaż irańskiej broni do Rosji. Kijów i Londyn badają autentyczność

Sky News publikuje skany umów zawartych między Iranem a Rosją, opiewających na sprzedaż broni wartości ponad 1,7 mln dolarów. Według źródła były to "próbki" broni, poprzedzające wysyłkę na większą skalę.

Polityka

Warszawa: Tusk o 5 rano dziękował pracownikom służb miejskich

Przewodniczący PO Donald Tusk w poniedziałek, o 5 rano, pojawił się na ulicach Warszawy, by podziękować pracownikom służb miejskich sprzątającym stolicę po zorganizowanym przez PO 4 czerwca marszu.

Podatki

Zwrot składki bez podatku? Resort finansów odpowiada "Rzeczpospolitej"

Przedsiębiorca, któremu ZUS zwróci nadpłaconą składkę zdrowotną, nie zawsze będzie musiał korygować rozliczenia.

Nieruchomości

Prawo do sądu działkowicza czy jego stowarzyszenia

Sąd Najwyższy ma orzec, czy w sporze o nabycie lub utratę członkostwa w stowarzyszeniu ogrodowym do sądu cywilnego można wystąpić dopiero po wyczerpaniu postępowania wewnątrzorganizacyjnego.

Legion "Wolność Rosji" pokazuje nagrania ilustrujące walki w obwodzie biełgorodzkim

Konflikty zbrojne

Think tank: Kolejny rajd rosyjskich ochotników na terytorium Rosji

"Pododdziały rosyjskich, proukraińskich Rosyjskiego Korpusu Ochotniczego i Legionu 'Wolność Rosji' przeprowadziły kolejny rajd na terytorium obwodu biełgorodzkiego i mają nadal działać po rosyjskiej stronie granicy" - pisze w swojej analizie waszyngtoński think tank, Instytut Studiów nad Wojną (ISW).

Nowe Trendy

Turyści: Podróże z poszanowaniem środowiska to ściema

Dwóch na trzech Brytyjczyków jest sceptycznie nastawionych do deklarowanych przez firmy turystyczne działań na rzecz środowiska. Większość uważa, że tak naprawdę chodzi o greenwashing, wynika z badania.

Konflikty zbrojne

Polscy ochotnicy brali udział w operacji w obwodzie biełgroodzkim? Rosjanie zaprzeczają

Polski Korpus Ochotniczy brał udział w operacji w obwodzie biełgorodzkim w Rosji - poinformowali w mediach społecznościowych ochotnicy z oddziału walczącego po stronie Ukrainy. Rosyjski Korpus Ochotniczy nie potwierdza ich wejścia na terytorium Rosji.

Mundurowi

Bez rozszerzenia praw do emerytur dla funkcjonariuszy Inspekcji Transportu Drogowego

Dopuszczalne jest pozostawienie funkcjonariuszy Inspekcji Transportu Drogowego (ITD) poza systemem świadczeń mundurowych – uznał Trybunał Konstytucyjny i umorzył sprawę.

Prawo

Sąd: Pracownik ocenia co jest w przesyłce

Dla stwierdzenia, co zawiera sądowa przesyłka, istotne jest to, co pracownik sądu stwierdził po otwarciu listu.

Polityka

Le Pen kochała Putina. Kłopot dla Morawieckiego

Zjednoczenie Narodowe wpadło we własną pułapkę. Powołana z jego inicjatywy komisja parlamentarna ds. zbadania rosyjskich wpływów we Francji publikuje miażdżący raport o związkach skrajnej prawicy z Kremlem.

Materiał Promocyjny

Olimpia i okolice – miejsce narodzin igrzysk olimpijskich

Płace

Sąd: Za tę samą pracę to samo wynagrodzenie

Oferowanie wyższych stawek nowym pracownikom tylko dlatego, że firma pilnie potrzebuje kadry, może oznaczać dyskryminację tych już zatrudnionych.

Podatki

Usunięcie z rejestru VAT trafi na uchwałę

Siedmiu sędziów NSA rozstrzygnie, w jakiej formie fiskus wykreśla podatnika VAT ze swojej bazy po użyciu blokady STIR.

Społeczeństwo

Australia: Matka, oskarżona o zabicie dzieci, ułaskawiona po 20 latach w więzieniu

Kathleen Megan Folbigg skazana w 2003 roku za zamordowanie trojga dzieci i zabójstwo czwartego dziecka, została ułaskawiona przez władze stanu Nowa Południowa Walia, po tym jak kontrola postępowania w jej sprawie wykazała uzasadnione wątpliwości co do słuszności wyroków skazujących.

Podatki

W jaki sposób wykazać świadczenie kompleksowe na fakturze

Istnieje możliwość ujmowania poszczególnych elementów świadczenia kompleksowego w odrębnych pozycjach na dokumencie sprzedaży.

Podatki

Sąd: Ograniczenia covidowe bez wpływu na podatek od nieruchomości

Okoliczność, że w pewnych okresach wskutek ograniczonej możliwości prowadzenia działalności gospodarczej ze względu na stan pandemii nie były uzyskiwane przychody z wynajmu pokoi czy działalności restauracyjnej nie oznacza, że te obiekty nie miały związku z prowadzoną działalnością gospodarczą.

Podatki

Jaki kurs waluty zastosować przy korekcie cen transferowych

Dla celów ustalenia wysokości przychodów podatkowych kwota wynikająca z wystawionej faktury korygującej powinna zostać przeliczona na złote z zastosowaniem średniego kursu waluty ogłoszonego przez Narodowy Bank Polski, przyjętego do przeliczenia faktury pierwotnej.