System Rejestrów Państwowych trzeba ciągle poprawiać, także w kwestii bezpieczeństwa - raport NIK

22-03-2017, 09:19

Załatwianie pewnych spraw w dowolnym urzędzie jest możliwe od marca 2015 roku dzięki Systemowi Rejestrów Państwowych. NIK oceniła, że przy wdrażaniu systemu zrobiono wiele błędów i zdarzały się niedociągnięcia w kwestii bezpieczeństwa.

Od marca 2015 roku Polacy mogą załatwić dowód osobisty w dowolnym urzędzie w kraju. Podobnie jest z aktami stanu cywilnego. Jest to możliwe dzięki wdrożeniu SRP, czyli Systemu Rejestrów Państwowych. Rewolucja nie poszła całkiem gładko. Choć MSW chwaliło się rosnącą liczbą załatwianych spraw to petenci i urzędnicy narzekali.

Najwyższa Izba Kontroli już na początku 2016 roku zapowiadała, że przyjrzy się wdrożeniu SRP. W okresie od czerwca do października przeprowadzono kontrolę, która objęła 14 jednostek, w tym Centralny Ośrodek Informatyki (COI) oraz 13 jednostek samorządu terytorialnego. Wyboru jednostek do kontroli dokonano w sposób celowy, wybierając większe urzędy miast/miast i gmin.

Efektem kontroli jest wydany dziś raport NIK dotyczący bezpieczeństwa, funkcjonowania i użyteczności SRP. Dokument zamieszczamy w całości pod tym tekstem.

Było wiele błędów

W ocenie NIK przygotowanie i udostępnienie SRP było obarczone wieloma błędami, które przełożyły się na początkowe trudności. System uruchomiono z dwumiesięcznym opóźnieniem, a potem ujawniły się usterki i braki w funkcjonalnościach w aplikacji "Źródło". Przyczyny leżały zarówno po stronie MSW (to ono zleciło budowę), jak i Centralnego Ośrodka Informatyki. Później Minister Cyfryzacji oraz COI podjęli działania w celu wyeliminowania błędów.

Niedopięte bezpieczeństwo

NIK źle ocenił zarządzanie bezpieczeństwem SRP. Co prawda MSW wprowadziło politykę bezpieczeństwa SRP, ale zdaniem NIK "w zasadniczej części miała ona charakter deklaratywny, gdyż nie zawierała szczegółowych rozwiązań umożliwiających sprawne i skuteczne zarządzanie bezpieczeństwem SRP" .

W ośmiu urzędach miast (62% badanych) nie opracowano i nie wdrożono polityk bezpieczeństwa informacji, a w trzech (23% badanych) nie przestrzegano wymogu zablokowania dostępu do Internetu na komputerach wykorzystywanych do pracy z SRP.

Badanie przyznanych uprawnień dostępu do aplikacji „Źródło”, dokonane na łącznej próbie 177 pracowników kontrolowanych urzędów, wykazało, że w przypadku ośmiu osób 78 (5%) nadane uprawnienia były nieadekwatne do zadań określonych w zakresach czynności tych osób. Przykładowo w Urzędzie Miejskim w Łomży dwóm pracownikom przypisano w aplikacji „Źródło" większą liczbę ról (uprawnień), niż wynikałoby to z zakresu wykonywanych obowiązków. Z wyjaśnień Sekretarz Miasta wynika, że: "Nadanie zbyt wielu ról dwóm pracownikom (...) nastąpiło z powodu niewystarczającej znajomości funkcji Systemu".

W Urzędzie Miejskim w Przemyślu dwóm osobom (na 10 badanych) uprawnienia w aplikacji „Źródło” odebrano dopiero po 120 i 54 dniach od zakończenia przez nich pracy z tą aplikacją. W Urzędzie Miejskim w Białymstoku, w związku z zakończeniem zatrudnienia przez trzech pracowników Urzędu (użytkowników aplikacji „Źródło”), dopiero po 140, 397 i 462 dniach przekazano do Ministerstwa Cyfryzacji wnioski o usunięcie kont z SRP

Kontrola NIK wykazała też, że w jednym urzędzie nieprawidłowo przechowywano karty kryptograficzne służące do elektronicznego podpisywania dokumentów. Ponadto  w jednym urzędzie monitory usytuowane były w sposób umożliwiający wgląd do danych przez osoby nieuprawnione. Jak już wspomniano, w trzech urzędach stacje komputerowe z aplikacją „Źródło” posiadały dostęp do internetu.

Dostępność, usterki

Jeśli chodzi o dostępność SRP to w okresie od lipca 2015 do czerwca 2016 kształtowała się ona na poziomie od 99,93% do 100%. To dobrze, ale sama dostępność usług nie oznaczała braku usterek. Ponadto raporty nie uwzględniały niektórych incydentów.

Zdaniem NIK zbyt długie były ustalone okresy rozwiązywania i usuwania przez COI problemów związanych z funkcjonowaniem systemu. Przewidziany umową maksymalny czas wynosił trzy dni robocze.

Przez pierwsze 9 miesięcy rozwiązanie ponad 43% zgłoszeń zajmowało przynajmniej 1 miesiąc (w pierwszym miesiącu działania dotyczyło to aż 56% zgłoszeń). Oznacza to, że zgłoszenia nie były obsługiwane na bieżąco, a użytkownicy doświadczali utrudnień w realizacji ich bieżących zadań. Efektywność wparcia technicznego SRP ulegała stopniowej poprawie, lecz dopiero w czerwcu 2016 r. wsparcie techniczne zaczęło funkcjonować skutecznie.

Analiza zmian w SRP dokonanych w okresie od lutego 2015 r. do sierpnia 2016 r. wykazała, że większość wprowadzanych modyfikacji służyła usunięciu usterek ujawniających się po uruchomieniu SRP. Prowadzi to do wniosku, że jakość systemu w chwili uruchomienia nie była zadowalająca.

SRP i efektywność?

Po wdrożeniu Systemu Rejestrów Państwowych w kontrolowanych urzędach wystąpiły opóźnienia w wydawaniu obywatelom odpisów aktów stanu cywilnego. Główną przyczyną opóźnień było niezapewnienie przez MSW przeniesienia aktów stanu cywilnego dotychczas zgromadzonych w lokalnych systemach informatycznych do centralnego.

NIK wskazał też, że SRP byłby bardziej przydatny gdyby oferował wymianę dokumentów z ePUAP-em. Oto dlaczego.

W Urzędzie Miasta w Wałbrzychu wniosek o wydanie dowodu osobistego złożony drogą elektroniczną przez ePUAP jest drukowany w wersji papierowej, załącznik w postaci zdjęcia zapisywany jest w katalogu sieciowym i jest dostępny dla określonych użytkowników. Pracownik realizujący zadanie przechodzi stanowisko komputerowe z aplikacją „Źródło” gdzie musi ręcznie wprowadzić wydrukowany wniosek i zaimportować zdjęcie. W przypadku niezgodności danych we wniosku albo niewłaściwego formatu załączonego zdjęcia, pracownik musi wrócić na stanowisko, na którym zaimportował wniosek aby poinformować obywatela o potrzebie korekty złożonego wniosku.

Po udostępnieniu SRP, w ponad połowie kontrolowanych urzędów (w siedmiu 91 spośród 13, tj. 54%) nastąpił wzrost zatrudnienia osób zajmujących się sprawami z zakresu stanu cywilnego. Największy wzrost nastąpił w urzędzie Warszawie - z 142 do 190, tj. o 48 osób.

Minusy nie muszą zasłaniać plusów

Czytając o tych wszystkich problemach nie powinniśmy tracić z oczu korzyści, jakie przyniósł SRP. Nawet jeśli aplikacja "Źródło" miała swoje wady to jeżdżenie nawet kilkaset kilometrów do właściwego urzędu również miało swoje wady. SRP jednak pozwolił nam na przeskoczenie do epoki "odmiejscowionego urzędu" i jest to bardzo ważne.

Poza tym NIK odnotowała, że Ministerstwo Cyfryzacji i COI podjęły działania naprawcze i jakość systemu się poprawiła. Ten proces będzie można kontynuować np. poprzez opracowanie szczegółowych procedur w ramach polityki bezpieczeństwa SRP.

Poniżej raport w całości

Nik p 16 006 Rejestry Panstwowe by Dziennik Internautów on Scribd


Komentarze
comments powered by Disqus
To warto przeczytać





fot. Gkenius



fot. od dot.pr




  
znajdź w serwisie

RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.