Alarmujące wnioski z kontroli bezpieczeństwa danych przeprowadzonej przez NIK

0

Stosowane przez skontrolowane podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa. Działania realizowane w celu jego zapewnienia są prowadzone opieszale, bez z góry przygotowanego planu, a środki przeznaczane na ten cel są niewystarczające. W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce.

To kolejna z kontroli NIK dotyczących obszaru bezpieczeństwa systemów teleinformatycznych i przechowywanych w nich danych. Przypomnijmy, że 2015 r. opublikowana został informacja o wynikach kontroli Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej, która wykazała, że państwo polskie nie jest przygotowane do walki z zagrożeniami występującymi w cyberprzestrzeni. Przykłady, takie jak choćby publikacja w Internecie danych osobowych 50 mln obywateli Turcji w 2016 r., kradzież danych klientów Plus Banku w 2015 r. czy wyciek danych o kontach 5 mln użytkowników Gmail w 2014, pokazują, że zagrożenia te są realne, a konsekwencje wycieku danych poważne i mogą stanowić zagrożenie nie tylko dla wizerunku podmiotów, z których te dane wyciekły, ale przede wszystkim dla osób, których dane zostały wykradzione. Dlatego też NIK postanowiła przyjrzeć się, jak bezpieczne są dane znajdujące się w wybranych systemach informatycznych, mających istotne znaczenie dla funkcjonowania państwa.

Niestety, wnioski z tej kontroli są  alarmujące. Oto obraz sytuacji w poszczególnych obszarach. Kontrola wykazała m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

Jak czytamy w raporcie NIK, w żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości kontrolowanych jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne. Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych.

NIK zauważa, że w dobie dynamicznego wzrostu zagrożeń, zapewnienie bezpieczeństwa systemów przetwarzających istotne dla funkcjonowania państwa dane nie może być oparte na podejmowanych ad hoc, ukierunkowanych jedynie na przezwyciężanie aktualnych trudności, chaotycznie zarządzanych działaniach.

Dostrzegając działania podjęte przez Ministra Cyfryzacji w zakresie budowy systemu ochrony polskiej cyberprzestrzeni, będące odpowiedzią m.in. na wnioski sformułowane przez NIK po kontroli Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej, NIK postuluje rozszerzenie tych działań o zalecenia dla podmiotów publicznych w zakresie ochrony systemów przetwarzających dane istotne dla funkcjonowania państwa. Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.

Źródło: NIK

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ