Podczas gdy działania cyberwojenne przeprowadzane są już na pełną skalę bez ogródek (zobacz analizę kampanii rosyjskich hakerów skierowanej przeciwko polskim instytucjom rządowym), legalność oprogramowania używanego w administracji publicznej budzi spore wątpliwości Najwyższej Izby Kontroli. Skuteczne gospodarowanie oprogramowaniem jest także ważnym elementem bezpieczeństwa informatycznego oraz ochrony danych osobowych. Nieprawidłowe zastosowanie licencji może wiązać się z poważnymi konsekwencjami prawnymi i finansowymi.
Badanie NIK to efekt 3-letniej kontroli w latach 2019-2022 aż 196 jednostek administracji publicznej oraz 7897 jednostek, które zostały objęte badaniem kwestionariuszowym.
Kluczowe wnioski z badania
Zdecydowana większość jednostek administracji publicznej korzystała z oprogramowania nieautoryzowanego.
Jednostki nie wykorzystywały efektywnie posiadanych narzędzi do monitorowania oprogramowania instalowanego na urządzeniach stacjonarnych, ponosząc niejednokrotnie wysokie wydatki związane z ich nabyciem i utrzymaniem.
Oprogramowanie instalowane na urządzeniach mobilnych było zupełnie poza zasięgiem nadzoru.
W kontrolowanych podmiotach nie prowadzono rzetelnych rejestrów zainstalowanego oprogramowania, brakowało więc wiedzy o ich stanie, poziomie aktualizacji i bezpieczeństwa oraz stopniu wykorzystania.
Proces planowania, nabywania i wdrażania oprogramowania nie zawsze był optymalny i prawidłowy, wskutek czego niekiedy nabywano zbyt dużą liczbę niewykorzystanych następnie licencji czy też naruszano przepisy o zamówieniach publicznych.
Jednostki nie zapewniły możliwości rozbudowy i utrzymania oprogramowania zintegrowanego bez ingerencji jego twórcy, co oznaczało pełne i często długookresowe uzależnienie od prywatnego licencjodawcy.
Ministerstwo Finansów nie zadbało o obniżenie awaryjności własnego oprogramowania ani o wdrożenie należytych zasad bezpieczeństwa oprogramowania wytwarzanego i utrzymywanego na jego rzecz.
W 88% skontrolowanych jednostek administracji publicznej kontrola stwierdziła oprogramowanie nieautoryzowane, które nie powinno być zainstalowane lub użytkowane – np. bez wymaganych licencji, bez wsparcia producenta czy w nieaktualnych wersjach, a nawet niebezpieczne.
W niemal połowie (47%) podmiotów stan oprogramowania oznaczał ryzyko poważnego niebezpieczeństwa. Stwierdzono nawet przypadki instalowania programów bez poprawek krytycznych.
41% podmiotów korzystało z oprogramowania użytkowanego nielegalnie, taki sam procent – z niedopuszczonego do korzystania w danym urzędzie. Niewiele mniej, bo 35% jednostek dysponowało aplikacjami w stadium EoL, czyli wycofywanymi z powodu kresu używalności.
Działo się tak najczęściej, wskutek tego, że jednostki niedostatecznie monitorowały własne oprogramowanie i nie zapoznawały się każdorazowo z warunkami licencji danego programu.
