Zdrowie
NIK: system eWUŚ nie zapewnia bezpieczeństwa danych

NIK: system eWUŚ nie zapewnia bezpieczeństwa danych

Prawo.pl

Aktualności

Data dodania: 17.05.2016

Z kontroli NIK wynika, że systemy ochrony stosowane przez instytucje, mające istotne znaczenie dla funkcjonowania państwa, nie zapewniają bezpieczeństwa danych. Kontrola objęła między innymi Narodowy Fundusz Zdrowia i działający w jego obrębie system eWUŚ.

System eWUŚ , czyli system elektronicznej weryfikacji uprawnień świadczeniobiorców, pozwala na weryfikację posiadanych przez pacjenta praw do świadczeń opieki zdrowotnej finansowanych ze środków publicznych. Został wdrożony w roku 2013. Umożliwia za pomocą numeru PESEL pacjenta sprawdzenie jego uprawnień do świadczeń.

Kontrola objęła także Ministerstwo Skarbu Państwa (Zintegrowany System Informatyczny), Ministerstwo Spraw Wewnętrznych (centralna ewidencja wydanych i unieważnionych dokumentów paszportowych), Ministerstwo Sprawiedliwości (Nowa Księga Wieczysta), Komendę Główną Straży Granicznej (Centralna Baza Danych) oraz Kasę Rolniczego Ubezpieczenia Społecznego (system Farmer).

Z działań Najwyższej Izby Kontroli wynika, że stosowane przez skontrolowane podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa. Działania realizowane w celu jego zapewnienia są prowadzone opieszale, bez z góry przygotowanego planu, a środki przeznaczane na ten cel są niewystarczające. W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce.

NIK stwierdziła, że stopień przygotowania oraz wdrożenia Systemu Zapewnienia Bezpieczeństwa Informacji w kontrolowanych jednostkach nie zapewniał akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych, wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i - wobec braku procedur - intuicyjny.

Czytaj: GIODO: dane medyczne nie są należycie chronione>>>

KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. Było to związane z działaniami podjętymi w celu uzyskania przez KRUS certyfikatu ISO 27001. Jednak nawet w systemie funkcjonującym w KRUS kontrola wykryła nieprawidłowości w postaci błędów w implementacji wymagań norm stanowiących podstawę uzyskania certyfikatu.

W pozostałych skontrolowanych jednostkach sytuacja była nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

Kontrolowane jednostki w ograniczonym zakresie wykorzystywały także metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.

W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne. Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych.

Była to kolejna kontrola NIK dotycząca obszaru bezpieczeństwa systemów teleinformatycznych i przechowywanych w nich danych. W 2015 roku opublikowana została informacja o wynikach kontroli dotyczącej realizacji przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni, która wykazała, że państwo polskie nie jest przygotowane do walki z zagrożeniami występującymi w cyberprzestrzeni.

Przykłady, takie jak publikacja w internecie danych osobowych 50 mln obywateli Turcji w 2016 roku, kradzież danych klientów Plus Banku w 2015 roku czy wyciek danych o kontach 5 mln użytkowników Gmail w 2014 roku, pokazują, że zagrożenia te są realne, a konsekwencje wycieku danych poważne i mogą stanowić zagrożenie nie tylko dla wizerunku podmiotów, z których te dane wyciekły, ale przede wszystkim dla osób, których dane zostały wykradzione.

Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.


	Zasady i forma prowadzenia elektronicznej dokumentacji medycznej - SZKOLENIE rzetelna i aktualna wiedza

Aktualności

Data dodania: 2016-05-17

Żeby widzieć komentarze musisz:

być zalogowanym do Facebooka
mieć zaakceptowaną politykę prywatności (pliki cookies)
korzystać z przeglądarki Chrome