Dane były ogólnodostępne
Najnowszy raport Najwyższej Izby Kontroli nie daje powodów do zadowolenia. NIK alarmuje, że w Podlaskiem wszelkie informacje o obywatelach, w tym dane wrażliwe, przechowywane przez samorządy w formie elektronicznej nie są odpowiednio zabezpieczone przed nieuprawnionym dostępem.
Dane te mogą w każdej chwili zostać przejrzane, przejęte lub zniszczone. Samorządy nie wiedzą nawet, kto ma do nich dostęp, ponieważ nie monitorują tych kwestii. Większość skontrolowanych przez Najwyższą Izbę Kontroli jednostek (urzędy gminy lub miast, starostwa powiatowe i ośrodki pomocy społecznej) nawet nie podjęła działań minimalizujących ryzyko utraty informacji.
Systemy informatyczne są za słabe
Okazuje się również, że w większości sprawdzonych urzędów poziom bezpieczeństwa systemów informatycznych i usług sieciowych był na niezadowalającym lub na bardzo niskim poziomie.
Nieprawidłowości dotyczyły też niekompletności lub nieaktualności dokumentacji i procedur dotyczących ochrony danych. Ponadto same przepisy i procedury nie były przestrzegane.
NIK jednocześnie zwraca uwagę na to, że informacje przechowywano w miejscach ogólnodostępnych, bez możliwości zamknięcia. Instytucje za nie odpowiedzialne nie sporządzały kopii bezpieczeństwa baz danych lub tworzyły je w niewłaściwy sposób (np. nie kopiując wszystkich danych). Zdarzało się też, że nośniki, na których zapisywano kopie, trzymano w tym samym pomieszczeniu co oryginały, co w żaden sposób nie gwarantuje im bezpieczeństwa.
Co więcej, niemal wszystkie skontrolowane jednostki nie monitorowały dostępu do informacji. W ponad połowie z nich pracownikom, którzy nie posiadają odpowiednich kwalifikacji ani zadań związanych z zarządzaniem systemami informatycznymi, nadano uprawnienia administratora systemów operacyjnych wykorzystywanych przez nich komputerów. Mieli oni zatem możliwość instalacji dowolnego oprogramowania oraz wprowadzania zmian w konfiguracji tych urządzeń. Przy czym w 8 urzędach inspektorzy trafili na przypadki nieodebrania lub odbierania z opóźnieniem byłym pracownikom uprawnień w systemach informatycznych.
Bez szkoleń, audytów, a nawet zaktualizowanych komputerów
Z kolei w 12 jednostkach możliwy był nieautoryzowany dostęp do danych elektronicznych - aby go uzyskać, nie wymagano wpisywania kodów uwierzytelniających lub były one zbyt proste albo ogólnodostępne. Nie przeprowadzano także regularnych audytów wewnętrznych z zakresu bezpieczeństwa informacji, a pracownikom przetwarzającym dane nie zapewniono właściwych szkoleń.
Poza tym ustalono, że w ponad połowie skontrolowanych jednostek wykorzystywano systemy operacyjne, dla których producent zakończył udzielanie wsparcia technicznego, a więc nie były publikowane nowe aktualizacje bezpieczeństwa tych systemów. Komputery te stanowiły od 4% do 43% ogółu komputerów w poszczególnych urzędach. To zagrożenie dla bezpieczeństwa sieci jednostek, w których wykorzystywano takie oprogramowanie.
Ponadto pomimo zmian w zakresie przetwarzania danych osobowych, wynikających z RODO, jedynie w 6 z 31 instytucji w latach 2017 i 2018 przeszkolono pracowników (głównie administratorów bezpieczeństwa informacji) w tym zakresie.
NIK w swoim raporcie podkreśla, że przyczyną powstania nieprawidłowości było zmarginalizowanie przez urzędy zadań związanych z zapewnieniem bezpieczeństwa informacji i ochrony przetwarzanych danych osobowych. Z drugiej strony kierownicy jednostek bronili się i powoływali na brak środków na szkolenia i zakup nowej infrastruktury oraz - w małych miejscowościach - kadry posiadającej odpowiednie kwalifikacje.
dorota.marianska@bialystokonline.pl