Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Podziel się...

Pakiet wolnościowy

27 Listopad 2019 
Prawo budowlane ma się stać proobywatelskie, deregulacyjne i wolnościowe – taki cel...

Realizacja programów unijnych

27 Listopad 2019 
Portal Funduszy Europejskich opublikował dane dotyczące postępów w realizacji programów...

Zmiana ustawy o zasadach...

27 Listopad 2019 
6 listopada 2019 r. Rada Ministrów przyjęła projekt ustawy o zmianie ustawy o zasadach...

Bezpieczeństwo zasobów

Data publikacji: 04-09-2019 Autor: Jacek Orłowski

Zasoby elektroniczne w gminach, powiatach i ośrodkach pomocy społecznej nie są należycie chronione – taką diagnozę stawia Najwyższa Izba Kontroli.

 

Opublikowany w ubiegłym roku przez Najwyższą Izbę Kontroli (dalej: NIK) raport „Bezpieczeństwo elektronicznych zasobów informacyjnych w jednostkach samorządu terytorialnego w województwie podlaskim” (zob. itwa.pl/e8) obnaża wątły stan zabezpieczeń organizacyjnych i technicznych kontrolowanych jednostek. Województwo podlaskie nie jest jednak pod tym względem wyjątkowe, a krytykę zawartą we wnioskach z raportu powinny wziąć do siebie wszystkie placówki administracji publicznej. Zaniedbania trwają bowiem od lat, a zagrożenia związane z utratą poufności, ograniczeniem dostępności oraz naruszeniem integralności informacji stale się zwiększają. Jak dowodzą specjaliści firmy F-Secure, w 2017 r. sama liczba ataków z wykorzystaniem ransomware'u wzrosła o 415% rok do roku. Z kolei eksperci SonicWall szacują, że codziennie ma miejsce ok. 1100 nowych ataków hakerskich. Zmieniają się też ich cele. Przestępcom coraz częściej chodzi o zainfekowanie przedsiębiorstw i instytucji, które dysponują środkami finansowymi i danymi wrażliwymi.

 

Zaniedbania proceduralne

 

Kontrolą NIK objęto 14% podlaskich jednostek samorządu terytorialnego. Sprawdzano w nich:


1) przyjęte rozwiązania dotyczące zabezpieczenia dostępu do poszczególnych systemów informatycznych i usług sieciowych;
2) opracowanie dokumentacji i procedur dotyczących ochrony danych;
3) sposób przechowywania oraz zabezpieczenia danych oraz
4) zakres przetwarzanych danych.


W ramach kontroli badaniami objęto również sposób realizacji zadań wynikających z przepisów obowiązującej do 25 maja 2018 r. ustawy o ochronie danych osobowych. Uwagę zwrócono także, czy jednostki podejmowały działania, aby przygotować się na wejście w życie rodo z dniem 25 maja 2018 r.


W aż 22 z 31 kontrolowanych podmiotów dokumentacja i procedury związane z ochroną danych osobowych były niekompletne, tzn. nie spełniały wymogów określonych w sprawie dokumentacji przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024). Zdarzyło się nawet, że w jednej z placówek nie aktualizowano jej przez 10 lat! Jedynie siedem jednostek posiadało politykę bezpieczeństwa informacji, wymaganą od 31 maja 2012 r. przepisem § 20 ust. 1 rozporządzenia o Krajowych Ramach Interoperacyjności (dalej: KRI). Te naruszenia najczęściej tłumaczono kontrolerom NIK brakiem świadomości podlegania wskazanym regulacjom lub nieposiadaniem odpowiednich kompetencji do podjęcia takich działań. Większość kontrolowanych placówek nie przeprowadzała też obowiązkowych, corocznych audytów bezpieczeństwa informacji. Podobna sytuacja dotyczyła okresowych analiz ryzyka, utraty integralności, dostępności lub poufności informacji. W ten sposób kierownictwo placówek pozbawione było nie tylko wiedzy na temat zagrożeń, ale też rzetelnej oceny skuteczności przyjętych rozwiązań w zakresie ochrony danych. Dodajmy, że nie robiono tego albo z braku czasu (zbyt dużo innych obowiązków służbowych), albo z powodu braku wiedzy na temat przeprowadzania analizy ryzyka.

 

Brak nadzoru i… informatyków

 

„Jedynie w jednej z 31 skontrolowanych jednostek prowadzono elektroniczny rejestr dostępu do systemów informatycznych” – dowiadujemy się z raportu NIK. Oznacza to, że w pozostałych placówkach nie stosowano się w ogóle do zapisów § 20 ust. 2 pkt 7 lit. a rozporządzenia KRI. W praktyce oznacza to spore trudności w ustaleniu sprawcy lub źródła zagrożenia w wypadku zaistnienia sytuacji niepożądanej z punktu widzenia bezpieczeństwa danych. Warto więc przypomnieć, że tego rodzaju monitoring jest jednym z elementów zarządzania bezpieczeństwem informacji, zmierzającym do zapewnienia ochrony przetwarzanych informacji przed kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami.


Sporo do życzenia pod względem bezpieczeństwa w samorządach pozostawia też zakres nadawanych uprawnień i zarządzanie nimi. W większości (18 z 31) placówek do codziennej pracy wykorzystywano konta z uprawnieniami lokalnych administratorów na stacji roboczej (mimo iż nie było to potrzebne). Natomiast w siedmiu jednostkach z przywilejów administratora korzystali wszyscy pracownicy posiadający sprzęt komputerowy. Jak czytamy w raporcie NIK, „taka sytuacja narusza wymogi § 20 ust. 2 pkt 4 rozporządzenia KRI i stwarza ryzyko obniżenia skuteczności ochrony przetwarzanych danych oraz zainstalowania na komputerze złośliwego oprogramowania, umożliwiającego penetrację systemu informatycznego”. Co ciekawe, jako główną przyczynę tego naruszenia wskazywano brak informatyków w jednostkach.

 

[...]

 

Jacek Orłowski
redaktor naczelny miesięcznika „IT w Administracji” 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

All rights reserved © 2019 Presscom / Miesięcznik Przetargi Publiczne