nik raport bezpieczenstwo informacji fotoWszelkie informacje o obywatelach, w tym dane wrażliwe, przechowywane w formie elektronicznej przez jednostki samorzÄ…dowe, nie sÄ… odpowiednio zabezpieczone przed nieuprawnionym dostÄ™pem - alarmuje NIK po kontroli na Podlasiu. Dane mogÄ… w każdej chwili zostać przejrzane, przejÄ™te lub zniszczone. SamorzÄ…dy nie wiedzÄ… nawet, kto ma do nich dostÄ™p, gdyż nie monitorujÄ… tych kwestii

 

W województwie podlaskim NIK skontrolowała 31 jednostek samorządowych (urzędy gminy lub miast, starostwa powiatowe i ośrodki pomocy społecznej), by sprawdzić w jaki sposób były chronione elektroniczne zasoby informacyjne.

 

W prawie wszystkich skontrolowanych jednostkach poziom bezpieczeństwa systemów informatycznych i usług sieciowych był na niezadowalającym lub na bardzo niskim poziomie. Jedynie w Urzędzie Miejskim w Suwałkach poziom zabezpieczeń odpowiedzialnych za autoryzację dostępu do sieci wykonano profesjonalnie, zasoby informacyjne były właściwie chronione przed nieuprawnionym dostępem, kradzieżą lub utratą, a praca sieci znajdowała się pod pełną kontrolą jej administratora.

 

Główne rodzaje zasobów informacyjnych w poszczególnych jednostkach objętych kontrolą. Źródło: Opracowanie własne na podstawie wyników kontroli NIK

 

Dokumentacja i procedury dotyczÄ…ce ochrony danych w wiÄ™kszoÅ›ci skontrolowanych jednostek samorzÄ…dowych (22 z 31) byÅ‚y niekompletne lub nieaktualne (nawet od ponad 10 lat). WiÄ™kszość podmiotów objÄ™tych kontrolÄ… (19) ponadto nie przestrzegaÅ‚a tych przepisów i procedur w kwestii sposobu przechowywania i zabezpieczania danych.  Przechowywane byÅ‚y w miejscach ogólnodostÄ™pnych, bez możliwoÅ›ci zamkniÄ™cia. Instytucje  nie sporzÄ…dzaÅ‚y kopii bezpieczeÅ„stwa baz danych lub tworzyÅ‚y je w niewÅ‚aÅ›ciwy sposób (np. nie kopiujÄ…c wszystkich danych). ZdarzaÅ‚o siÄ™, że noÅ›niki, na których zapisywano kopie, przechowywano w tym samym pomieszczeniu co oryginaÅ‚y, co w żaden sposób nie gwarantuje im bezpieczeÅ„stwa.

 

Niemal wszystkie skontrolowane jednostki  nie monitorowaÅ‚y dostÄ™pu do informacji. Tylko w jednej prowadzono elektroniczny rejestr dostÄ™pu, co w przypadku przecieku pozwalaÅ‚o na ustalenie jego źródÅ‚a. W ponad poÅ‚owie pracownikom, którzy nie posiadajÄ… odpowiednich kwalifikacji ani zadaÅ„ zwiÄ…zanych z zarzÄ…dzaniem systemami informatycznymi, nadano uprawnienia administratora systemów operacyjnych wykorzystywanych przez nich komputerów. Mieli oni zatem możliwość instalacji dowolnego oprogramowania oraz wprowadzania zmian w konfiguracji tych urzÄ…dzeÅ„. W oÅ›miu jednostkach kontrolerzy trafili na przypadki nieodebrania lub odbierania z opóźnieniem byÅ‚ym pracownikom uprawnieÅ„ w systemach informatycznych.

 

Z kolei w 12 jednostkach możliwy byÅ‚  nieautoryzowany dostÄ™p do danych elektronicznych - aby go uzyskać nie trzeba byÅ‚o wpisywać kodów uwierzytelniajÄ…cych lub byÅ‚y one zbyt proste albo ogólnodostÄ™pne. Nie przeprowadzano także regularnych audytów wewnÄ™trznych z zakresu bezpieczeÅ„stwa informacji, a pracownikom przetwarzajÄ…cym dane nie zapewniono szkoleÅ„ z tego zakresu.

 

Z ustaleÅ„ kontroli wynika, że w ponad poÅ‚owie  skontrolowanych jednostek wykorzystywano systemy operacyjne, dla których producent zakoÅ„czyÅ‚ udzielanie wsparcia technicznego, a wiÄ™c nie byÅ‚y publikowane nowe aktualizacje bezpieczeÅ„stwa tych systemów. Komputery te stanowiÅ‚y od 4 do 43 proc. ogółu komputerów w poszczególnych jednostkach. StanowiÅ‚o to zagrożenie dla bezpieczeÅ„stwa sieci jednostek, w których wykorzystywano takie oprogramowanie.

 

Większość skontrolowanych jednostek (19) nie przeprowadzała okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji. Niektóre z nich przeprowadziły je po raz pierwszy dopiero w 2017 roku. Oznacza to, że nie mają aktualnych informacji o występujących ryzykach w zakresie bezpieczeństwa.

 

W ponad połowie jednostek nie gromadzono bieżących informacji o posiadanym sprzęcie i oprogramowaniu służącym do przetwarzania danych, obejmujących ich rodzaj i konfigurację. Prowadzono wprawdzie ewidencję posiadanych urządzeń na potrzeby rachunkowości, ale nie zawierała ona pełnych danych o sprzęcie, programach i ich konfiguracji.

 

Najczęściej występujące nieprawidłowości związane z zapewnieniem bezpieczeństwa informacji oraz liczba jednostek, w których je stwierdzono. Źródło: Opracowanie własne na podstawie wyników kontroli NIK

 

NIK zwraca uwagę na niepokojące zjawisko słabego zabezpieczenia informacji w ośrodkach pomocy społecznej, które z natury rzeczy dysponują danymi wrażliwymi. W jednostkach tych stwierdzono prawie wszystkie rodzaje nieprawidłowości dotyczących bezpieczeństwa zasobów, w tym niewłaściwe zarządzanie uprawnieniami użytkowników w systemach operacyjnych, brak okresowych szkoleń, niezapewnienie właściwej autoryzacji przy logowaniu do systemów informatycznych, niewłaściwe wykonywanie i przechowywanie kopii bezpieczeństwa.

 

Dane dotyczące liczby ośrodków pomocy społecznej, w których nie były podejmowane działania dotyczące bezpieczeństwa informacji. Źródło: Opracowanie własne na podstawie wyników kontroli NIK

 

WiÄ™kszość z 31 jednostek objÄ™tych kontrolÄ… nie przestrzegaÅ‚a obowiÄ…zujÄ…cych do 25 maja 2018 r. przepisów dotyczÄ…cych rejestracji i aktualizacji zbiorów danych osobowych w GIODO oraz zapewnienia dostÄ™pu do nich osobom upoważnionym, a administratorzy danych osobowych i powoÅ‚ani administratorzy bezpieczeÅ„stwa informacji w tych jednostkach, nie wywiÄ…zywali siÄ™ z obowiÄ…zków zwiÄ…zanych z ochronÄ… danych oraz nie podejmowali dziaÅ‚aÅ„ w celu przygotowania siÄ™ do nowych, obowiÄ…zujÄ…cych od 25 maja 2018 r. uregulowaÅ„ wynikajÄ…cych z RODO.

 

Najczęściej występujące nieprawidłowości związane z ochroną danych osobowych. Źródło: Opracowanie własne na podstawie wyników kontroli NIK

 

PrzyczynÄ… powstania nieprawidÅ‚owoÅ›ci byÅ‚a marginalizacja przez kontrolowane jednostki zadaÅ„ zwiÄ…zanych z zapewnieniem bezpieczeÅ„stwa informacji i ochrony przetwarzanych danych osobowych. Kierownicy jednostek bronili siÄ™, wskazujÄ…c również brak Å›rodków na szkolenia i zakup nowej infrastruktury oraz w maÅ‚ych miejscowoÅ›ciach kadry posiadajÄ…cej odpowiednie kwalifikacje.

 

Pomimo zmian w zakresie przetwarzania danych osobowych, wynikajÄ…cych z RODO, jedynie w szeÅ›ciu z (31) jednostek w latach 2017 i 2018 przeszkolono pracowników (głównie administratorów bezpieczeÅ„stwa  informacji) w tym zakresie.

 

Główne zmiany, jakie niesie za sobą wprowadzenie z dniem 25 maja 2018 r. przepisów RODO, obrazuje poniższy diagram. Źródło: Opracowanie własne NIK na podstawie przepisów rozporządzenia RODO i ustawy o ochronie danych osobowych

 

Skala i istotność stwierdzonych nieprawidłowości rodzi uzasadnione obawy co do przygotowania jednostek objętych kontrolą do wdrożenia regulacji przewidzianych w RODO i ustawie o ochronie danych osobowych, obowiązujących od 25 maja 2018r.

 

 

 

NIK