Jest źle! NIK weryfikuje cyberbezpieczeństwo jednostek samorządów terytorialnych

10 maja 2019

Dane gromadzone i przetwarzane w bazach i systemach komputerowych urzędów gmin i miast, a także w starostwach są słabo chronione. Urzędnicy nie przywiązują dostatecznej wagi do tego, aby zapewnić ich bezpieczeństwo. Najwyższa Izba Kontroli podkreśla, że pomimo upływu kilku lat w urzędach nie nastąpiła poprawa. Rodzi to obawy o bezpieczeństwo danych obywateli, zwłaszcza, że coraz więcej spraw załatwianych jest drogą elektroniczną, a administracja publiczna gromadzi i przetwarza coraz więcej danych w postaci elektronicznej.

Jedne z najbardziej krytycznych danych obywateli, które są przetwarzane przez urzędy gminne, to:

NIK o bezpieczeństwie urzędów

Imię i Nazwisko. Adres zamieszkania. Lokalizacja. Identyfikator internetowy. Informacja dotycząca stanu zdrowia. Dochody obywatela.

Zgodnie z rozporządzeniem w sprawie Krajowych Ram Interoperacyjności  (rozporządzenie Rady Ministrów z 12 kwietnia 2012 r.), podmiot realizujący zadania publiczne monitoruje i zarządza bezpieczeństwem. Musi zapewnić poufność, dostępność i integralność informacji. Wymagania w zakresie zapewnienia ochrony danych osobowych zostały określone w nowym unijnym rozporządzeniu RODO, które weszło w życie w dniu 25 maja 2018 roku. Tym samym przepisy dotyczące ochrony danych osobowych dla wszystkich państw członkowskich zostały ujednolicone.

Zapewnienie bezpieczeństwa przetwarzania informacji w urzędzie staje się jednym z najistotniejszych wyzwań stojących przed administracją publiczną. Niewłaściwe zarządzanie bezpieczeństwem informacji może doprowadzić do wycieku, utraty lub sfałszowania danych posiadanych przez urząd. Możliwy jest także całkowity paraliż pracy urzędu.

W ciągu dwóch lat (2013-2014) hakerzy okradli pięć polskich gmin, w tym gminę Jaworzno na prawie milion złotych. W 2014 r. wyciekły dane dzieci z przemyskiego Urzędu Miejskiego. W 2017 r. z Urzędu Miasta Łodzi wyciekły dane z tzw. deklaracji śmieciowych, przez co bez problemu można było poznać dane właścicieli łódzkich nieruchomości. W 2018 r. wyciekły dane części posiadaczy Karty Krakowskiej.

Według Najwyższej Izby Kontroli blisko 70 proc. skontrolowanych urzędów (16 z 23 urzędów) nie radziło sobie z zapewnieniem bezpieczeństwa przetwarzania informacji. Kontrolerzy NIK stwierdzili, że w ponad 60 proc. badanych urzędów brakowało systemowego podejścia do zapewnienia bezpieczeństwa informacji, gdyż opracowane w tych jednostkach regulacje dotyczyły głównie danych osobowych i nie obejmowały bezpieczeństwa innych informacji. W szczególności w urzędach tych nie ustanowiono polityk bezpieczeństwa informacji. Ponadto stwierdzono, że w prawie 3/4 kontrolowanych urzędów brak było pełnej i aktualnej informacji o posiadanych zasobach informatycznych służących do przetwarzania danych, co oznacza, że w przypadku wystąpienia poważnej awarii lub innego zdarzenia losowego (takiego jak zalanie, pożar czy  kradzież), utrudnione będzie szybkie odtworzenie infrastruktury i zapewnienie ciągłości świadczenia usług dla obywateli.

Kontrola NIK wykazała, że w części urzędów nie przestrzegano obowiązujących zasad mających na celu zwiększenie bezpieczeństwa przetwarzania danych. W ponad 80 proc. skontrolowanych urzędów wystąpiły nieprawidłowości w zarządzaniu uprawnieniami użytkowników w systemach informatycznych.

W Urzędzie Miasta Brańsk jednemu pracownikowi zablokowano dostęp do  systemu informatycznego po ponad 11 latach od ustania zatrudnienia, dopiero w trakcie kontroli NIK.

Nieprzestrzeganie wymogów

Wyniki kontroli NIK wskazują, że o ile w urzędach w większości podjęto działania w celu dostosowania do RODO, to w dalszym ciągu często nie są przestrzegane wymogi dotyczące bezpieczeństwa informacji, które wynikają z obowiązującego od 2012 roku rozporządzenia w sprawie Krajowych Ram Interoperacyjności (KRI)

Szczegółowy raport dostępny jest pod adresem: https://www.nik.gov.pl/aktualnosci/zeby-elektronicznie-znaczylo-bezpiecznie.html

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ