Jak stwierdziła NIK, samorządy nie wiedzą często, kto ma do nich dostęp, bo nie monitorują tego. Większość skontrolowanych jednostek nie podejmuje działań minimalizujących ryzyko utraty informacji.

W województwie podlaskim NIK skontrolowała 31 jednostek samorządowych (urzędy gminy lub miast, starostwa powiatowe i ośrodki pomocy społecznej), by sprawdzić w jaki sposób były chronione elektroniczne zasoby informacyjne.

Słaby poziom bezpieczeństwa

W prawie wszystkich skontrolowanych jednostkach poziom bezpieczeństwa systemów informatycznych i usług sieciowych był na niezadowalającym lub na bardzo niskim poziomie. Jedynie w Urzędzie Miejskim w Suwałkach poziom zabezpieczeń odpowiedzialnych za autoryzację dostępu do sieci wykonano profesjonalnie, zasoby informacyjne były właściwie chronione przed nieuprawnionym dostępem, kradzieżą lub utratą, a praca sieci znajdowała się pod pełną kontrolą jej administratora.

Dokumentacja i procedury dotyczące ochrony danych w większości skontrolowanych jednostek samorządowych (22 z 31) były niekompletne lub nieaktualne (nawet od ponad 10 lat). Większość podmiotów objętych kontrolą (19) nie przestrzegała tych przepisów i procedur w kwestii sposobu przechowywania i zabezpieczania danych.  Przechowywane były w miejscach ogólnodostępnych, bez możliwości zamknięcia. Instytucje  nie sporządzały kopii bezpieczeństwa baz danych lub tworzyły je w niewłaściwy sposób.

Brak monitoringu dostępu do informacji

Niemal wszystkie skontrolowane jednostki  nie monitorowały dostępu do informacji. Tylko w jednej prowadzono elektroniczny rejestr dostępu, co w przypadku przecieku pozwalało na ustalenie jego źródła. W ponad połowie jednostek pracownikom, którzy nie posiadają odpowiednich kwalifikacji ani zadań związanych z zarządzaniem systemami informatycznymi, nadano uprawnienia administratora systemów operacyjnych wykorzystywanych przez nich komputerów, mieli więc możliwość instalacji dowolnego oprogramowania oraz wprowadzania zmian w konfiguracji tych urządzeń. W 12 jednostkach możliwy był  nieautoryzowany dostęp do danych elektronicznych – aby go uzyskać nie trzeba było wpisywać kodów uwierzytelniających lub były one zbyt proste, albo ogólnodostępne. Nie przeprowadzano także regularnych audytów wewnętrznych z zakresu bezpieczeństwa informacji, a pracownikom przetwarzającym dane nie zapewniono szkoleń z tego zakresu.

 


Systemy informatyczne bez wsparcia

W ponad połowie  skontrolowanych jednostek wykorzystywano systemy operacyjne, dla których producent zakończył udzielanie wsparcia technicznego, a więc nie były publikowane nowe aktualizacje bezpieczeństwa tych systemów. Komputery te stanowiły od 4 do 43 proc. ogółu komputerów w poszczególnych jednostkach. Stanowiło to zagrożenie dla bezpieczeństwa sieci jednostek, w których wykorzystywano takie oprogramowanie.

Nie gromadzono też bieżących informacji o posiadanym sprzęcie i oprogramowaniu służącym do przetwarzania danych, obejmujących ich rodzaj i konfigurację. Ewidencja posiadanych urządzeń nie zawierała pełnych danych o sprzęcie, programach i ich konfiguracji.

Uwaga na dane wrażliwe w OPS!

NIK zwraca uwagę na niepokojące zjawisko słabego zabezpieczenia informacji w ośrodkach pomocy społecznej, które z natury rzeczy dysponują danymi wrażliwymi. W jednostkach tych stwierdzono prawie wszystkie rodzaje nieprawidłowości dotyczących bezpieczeństwa zasobów, w tym niewłaściwe zarządzanie uprawnieniami użytkowników w systemach operacyjnych, brak okresowych szkoleń, niezapewnienie właściwej autoryzacji przy logowaniu do systemów informatycznych, niewłaściwe wykonywanie i przechowywanie kopii bezpieczeństwa.

Większość z 31 jednostek objętych kontrolą nie przestrzegała obowiązujących do 25 maja 2018 r. przepisów dotyczących rejestracji i aktualizacji zbiorów danych osobowych w GIODO oraz zapewnienia dostępu do nich osobom upoważnionym, a administratorzy danych osobowych i powołani administratorzy bezpieczeństwa informacji w tych jednostkach, nie wywiązywali się z obowiązków związanych z ochroną danych oraz nie podejmowali działań w celu przygotowania się do nowych, obowiązujących od 25 maja 2018 r. uregulowań wynikających z RODO.

Czytaj też: RODO dobrą wymówką w sporze z urzędem>>

Brak pieniędzy i kadry

Przyczyną powstania nieprawidłowości była według Izby marginalizacja przez kontrolowane jednostki zadań związanych z zapewnieniem bezpieczeństwa informacji i ochrony przetwarzanych danych osobowych. Kierownicy jednostek bronili się, wskazując również brak środków na szkolenia i zakup nowej infrastruktury oraz w małych miejscowościach kadry posiadającej odpowiednie kwalifikacje.

Pomimo zmian w zakresie przetwarzania danych osobowych, wynikających z RODO, jedynie w sześciu z (31) jednostek w latach 2017 i 2018 przeszkolono pracowników (głównie administratorów bezpieczeństwa  informacji) w tym zakresie.

NIK rekomenduje do włodarzy

Najwyższa Izba Kontroli wnioskuje do starostów, prezydentów miast, burmistrzów, wójtów oraz kierowników ośrodków pomocy społecznej o właściwe do zadań nadawanie pracownikom uprawnień w systemach operacyjnych komputerów oraz wprowadzenie odpowiedniej autoryzacji dostępu do posiadanych zasobów informatycznych.

Według Izby powinny być dokonywane aktualizacje regulacji wewnętrznych uwzględniających zmiany w strukturze jednostki, prawie oraz otoczeniu zewnętrznym. Przeprowadzać należy też obowiązkowe, coroczne audyty bezpieczeństwa informacji oraz okresowe analizy ryzyka utraty integralności, dostępności lub poufności informacji.

Włodarze miast, gmin i powiatów oraz szefowie OPS powinni też monitorować dostęp do informacji przez bieżącą analizę zapisów w dziennikach systemów (logach). NIK wskazuje też na konieczność przeprowadzania regularnych szkoleń osób zaangażowanych w proces przetwarzania informacji oraz tworzenie, przechowywanie oraz testowanie kopii zapasowych zasobów informacyjnych.

Zapewnić należy zabezpieczenia infrastruktury informatycznej, uniemożliwiających dostęp osób nieuprawnionych oraz chroniących przed skutkami zdarzeń losowych (np. pożar, powódź, wichura). Za konieczne uznała też NIK wdrożenie regulacji wprowadzonych z dniem 25 maja 2018 r. przez RODO, w szczególności w zakresie zapewnienia prowadzenia rejestru czynności przetwarzania danych. Osoby, które uzyskują dostęp do danych osobowych muszą posiadać upoważnienia administratora danych osobowych.