Niedawno Najwyższa Izba Kontroli publikowała raport na temat prowadzenia dokumentacji medycznej i okazało się, że zakłady opieki zdrowotnej są na bakier z bezpieczeństwem danych. Dotyczyło to zwłaszcza danych na papierze, które były przechowywane w niezamkniętych szafach lub pudłach. 

Wczoraj natomiast NIK opublikowała raport na temat bezpieczeństwa systemów informatycznych wykorzystywanych do realizacji zadań publicznych. Dokument znajdziecie w całości pod tym tekstem. 

Co objęła kontrola NIK?

Kontrola NIK objęła sześć instytucji: 

• Ministerstwo Skarbu Państwa, 
• Ministerstwo Spraw Wewnętrznych, 
• Ministerstwo Sprawiedliwości, 
• Komendę Główną Straży Granicznej, 
• Narodowy Fundusz Zdrowia oraz 
• Kasę Rolniczego Ubezpieczenia Rolniczego. 

Co się okazało? 

Działanie chaotyczne, mała świadomość

Niestety NIK stwierdziła, że procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny oraz... intuicyjny. Zdaniem NIK nawet świadomość potrzeby zapewnienia bezpieczeństwa informatycznego była w kontrolowanych instytucjach "fragmentaryczna i ograniczona".

Ciężar zapewnienia bezpieczeństwa spoczywał na "koordynatorze ds. bezpieczeństwa", który nie posiadał w praktyce kompetencji do zarządzania całym procesem. Czasem powoływano specjalistów i angażowano wykonawców zewnętrznych, ale zdaniem NIK odbywało się to bez analizowania czy ich usługi faktycznie odpowiadały potrzebom instytucji. 

W swoim raporcie NIK posłużyła się metodologlą Cobit 4.1, która mierzy system zarządzania procesem bezpieczeństwa w skali od 0 do 5.

• Najlepszy był KRUS, który osiągnął poziom trzeci (poziom zarządzania "zdefiniowany). 
• Ministerstwa Sprawiedliwości, Skarbu Państwa i NFZ osiągnęły poziom drugi ("powtarzalny lecz intuicyjny"). 
• MSW i Straż Graniczna osiągnęły poziom pierwszy (początkowy/doraźny). 

Choć KRUS wypadł najlepiej to NIK i tak stwierdziła pewne nieprawidłowości. W ocenie NIK, niektóre z nich były poważne i mogą mieć istotny, negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS. Przykładowo przyjęta koncepcja powierzenia zasobów KRUS wykonawcy zewnętrznemu nie została poprzedzona analizami ryzyka związanego z utratą informacji w sytuacji powierzenia zasobów firmie zewnętrznej.

Ograniczona identyfikacja ryzyka

Kontrolowane instytucje opierały się na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych.

Kontrola wykazała brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

NIK stwierdził też, że kontrolowane instytucje w ograniczonym zakresie wykorzystywały metody identyfikacji ryzyka. Poza tym istniała duża dysproporcja pomiędzy działaniami podejmowanymi dla ochrony poszczególnych grup informacji, tj. informacji objętych ustawową ochroną (niejawnych i danych osobowych) oraz innych informacji, których ochrona nie została wprost usankcjonowana w przepisach, ale które mają istotne znaczenie dla prawidłowej realizacji podstawowych zadań tych jednostek.

W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości z nich zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne. Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych.

Działania interwencyjne "tracą impet"

We wszystkich kontrolowanych jednostkach prowadzono audyty bezpieczeństwa. Raporty z tych audytów stanowiły dla kierownictw kontrolowanych jednostek jedyne istotne źródło informacji o realnym stanie bezpieczeństwa, różnych aspektach jego utrzymania oraz działaniach niezbędnych do przeprowadzenia. Niestety brakowało konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT "utraciło początkowy impet" - jak stwierdził NIK. 

NIK dostrzegł, że obecna minister cyfryzacji podjęła już pewne działania, które mają na celu zwiększenie cyberbezpieczeństwa. Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane. 

Poniżej kopia raportu NIK.

Nik p 15 042 Cyberbezpieczenstwo by Dziennik Internautów