Dane osobowe w urzędach są źle chronione

Autor: Wioleta Szczygielska
Data: 23-05-2016 r.

Systemy ochrony danych osobowych stosowane w podmiotach państwowych nie zapewniają bezpieczeństwa danych – alarmuje Najwyższa Izba Kontroli. NIK przestrzega, że dane osobowe zgromadzone w tych systemach mogą trafić w niepowołane ręce.

NIK po raz kolejny skontrolował bezpieczeństwo systemów teleinformatycznych i zgromadzonych w nich danych osobowych. Podobnie jak w 2015 roku, tak i teraz okazało się, że polskie urzędy nie są przygotowane do walki z zagrożeniami występującymi w cyberprzestrzeni. NIK przeprowadził kontrolę w Ministerstwie Skarbu, Ministerstwie Spraw Wewnętrznych, Ministerstwie Sprawiedliwości, Komendzie Głównej Straży Granicznej, Narodowym Funduszu Zdrowia i Kasie Rolniczego Ubezpieczenia Społecznego.

Jak urzędy zarządzają bezpieczeństwem? Jakie są procedury bezpieczeństwa?

Stopień przygotowania oraz wdrożenia Systemu Zapewnienia Bezpieczeństwa Informacji w kontrolowanych jednostkach nie zapewniał akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych, wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i intuicyjny ze względu na brak procedur.

KRUS była jedyną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. Formalnie wprowadzono tam wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych. Było to związane z działaniami podjętymi w celu uzyskania przez KRUS certyfikatu ISO 27001. Jednak również w systemie KRUS kontrola wykryła nieprawidłowości. Dotyczyły one m.in. rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji.

W pozostałych jednostkach sytuacja była gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

Co z identyfikacją ryzyka?

Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych. W trzech skontrolowanych jednostkach proces ten był prowadzony jedynie w zakresie niezbędnym dla realizacji wymagań Polityki Ochrony Cyberprzestrzeni, przepisów o ochronie informacji niejawnych lub obowiązków związanych z operowaniem infrastrukturą krytyczną.

Czy informacje są zabezpieczone?

W kontrolowanych podmiotach nie było świadomości, że oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach prawa istnieją także inne informacje, równie ważne, o których ochronę każda jednostka powinna zadbać samodzielnie. W przeciwieństwie do normatywnie określonych wymogów dla ochrony informacji niejawnych i danych osobowych, zidentyfikowanie wszelkich innych, istotnych informacji oraz wybór metod ich chronienia jest praktycznie pozostawiony w gestii ich posiadacza. Prowadzi to do sytuacji, w których instytucje, opierając się wyłącznie na analizie aktualnie funkcjonujących przepisów, nie widzą konieczności podejmowania innych działań związanych z bezpieczeństwem informacji niż te wprost zapisane w ustawie o ochronie informacji niejawnych oraz w ustawie o ochronie danych osobowych.

Kto jest odpowiedzialny za bezpieczeństwo?

W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych osobowych. W większości kontrolowanych jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne. Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych.

W praktyce odpowiedzialność za zapewnienie bezpieczeństwa informacji spoczywała przede wszystkim na wyznaczonym koordynatorze (często było to stanowisko jednoosobowe), który nie miał dostatecznych uprawnień i możliwości do działania w sferze zarządzania procesem i skoordynowania działań związanych z zapewnieniem bezpieczeństwa w skali całej jednostki.

Źródło: Najwyższa Izba Kontroli

Wioleta Szczygielska

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 39020 )
Array ( [docId] => 39020 )