Najwyższa Izba Kontroli odwiedziła Kancelarię Prezesa Rady Ministrów – sprawdzili bezpieczeństwo pracy zdalnej

20 lipca, 2022

Najwyższa Izba Kontroli wzięła pod uwagę korzyści oraz zagrożenia wynikające z używania technologii informatycznych, które mają ułatwić wyszukiwanie, przetwarzanie, w tym możliwość wymiany informacji przez różne instytucje. Za cel audytu obrano sposób przetwarzania danych w pracy na odległość – między innymi, czy zachowywane jest bezpieczeństwo informacji, na które wskazują wytyczne SZBI (System Zarządzania Bezpieczeństwem Informacji). Rekomendacje SZBI mają szczególne znaczenie dla podmiotów realizujących zadania publiczne, ponieważ obejmuje m.in. ochronę danych osobowych i informacje niejawne.

Najwyższa Izba Kontroli przeprowadziła kontrolę zgodności pracy na odległość z rekomendacjami SZBI w dniach od 1 stycznia 2020 do 30 listopada 2021 roku. Sprawdzono, czy zapewniono należytą organizację bezpieczeństwa informacji oraz czy egzekwowano rozwiązania techniczne.

Audytowi poddano następujące jednostki:

  • Kancelarię Prezesa Rady Ministrów,
  • Izbę Administracji Skarbowej w Olsztynie,
  • Starostwo Powiatowe w Bartoszycach,
  • Starostwo Powiatowe w Gołdapi,
  • Urząd Gminy Jedwabno,
  • Urząd Gminy w Gietrzwałdzie,
  • Urząd Miejski w Morągu,
  • Urząd Miejski W Olsztynku,
  • Urząd Miejski W Pasłęku,
  • Wojewódzki Inspektorat Farmaceutyczny w Olsztynie,
  • Wojewódzki Urząd Ochrony Zabytków w Olsztynie.
 

Są braki w zarządzaniu bezpieczeństwem informacji w pracy zdalnej

  • Wszystkie kontrolowane jednostki posiadały ustanowione i wdrożone Polityki Ochrony Danych Osobowych.
  • Wszystkie skontrolowane jednostki posiadały ustanowione i wdrożone reguły dotyczące postępowania z nośnikami danych.
  • Zasady wynoszenia aktywów określono we wszystkich jednostkach. Przyjęto w nich ogólny zakaz wynoszenia dokumentacji papierowej.
  • Zarządzanie incydentami bezpieczeństwa informacji realizowane było w niepełnym zakresie.
  • Działania szkoleniowe w zakresie bezpieczeństwa informacji nie zapewniały pracownikom uzyskania pełnej wiedzy o zagrożeniach i sposobach przeciwdziałania ich skutkom.
  • Kierownicy jednostek nie dysponowali rzetelną oceną skuteczności stosowanych rozwiązań dotyczących bezpieczeństwa informacji.
  • Do udostępnienia usług sieci wewnętrznej jednostki stosowano szyfrowane połączenia VPN, zarówno w przypadku służbowych, jak i prywatnych komputerów. Faktyczny poziom bezpieczeństwa informacji był jednak niższy od zakładanego, gdyż w części jednostek nie szyfrowano dysków komputerów przenośnych, a w jednej nie skonfigurowano indywidualnych kont użytkowników.
  • Połowa kontrolowanych urzędów umożliwiła wykorzystywanie sprzętu prywatnego.
 

Rekomendacje od Najwyższej Izby Kontroli

W celu podniesienia poziomu odporności systemów opracowane zostały Narodowe Standardy Cyberbezpieczeństwa. Jest to zbiór rekomendacji skierowanych do podmiotów mających zamiar efektywnie zarządzać systemami bezpieczeństwa informacji.

Rekomendacje dotyczą między innymi cyberhigieny w czasie pracy zdalnej:

  • korzystania z domowej sieci Wi-Fi z silnym hasłem i jednocześnie nie korzystania z publicznych otwartych sieci Wi-Fi,
  • wdrożenia VPN,
  • dwuskładnikowego uwierzytelniania,
  • tworzenia kopii zapasowych,
  • nieużywania prywatnych skrzynek pocztowych, czy grup na portalach społecznościowych do komunikacji firmowej,
  • stosowania się do wytycznych pracodawcy oraz wykorzystywania do pracy tylko komputera i telefonu firmowego,
  • zadbanie o bezpieczeństwo urządzeń w sieci domowej,
  • aktualizacje oprogramowania urządzeń,
  • pracy przy użyciu e-mail oraz komunikatorów, chmury i narzędzi do pracy zdalnej.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]