Polityka i prawo
Szef NIK zarzuca administracji brak polityki cyberbezpieczeństwa
Wielu szefów instytucji w kwestii cyberbezpieczeństwa porusza się w sferze metafizycznej. Mówią: dział IT jakoś sobie poradzi. Z tak dozgonnym zaufaniem szefów do kierowników działów pierwszy raz się spotkałem. W kontrolowanych jednostkach środki przeznaczone na bezpieczeństwo informacji były wydawane w sposób intuicyjny. To słowo najczęściej przychodziło mi na myśl, gdy czytałem wyjaśnienia szefów - tak prezes NIK Krzysztof Kwiatkowski podsumował wyniki kontroli dotyczącej bezpieczeństwa rządowych baz danych. W sześciu sprawdzonych instytucjach istnieje realne ryzyko wycieku wrażliwych informacji.
Opublikowane w poniedziałek wyniki kontroli NIK dotyczyły systemów zarządzanych przez sześć instytucji: Zintegrowany system informatyczny stosowany w Ministerstwie Skarbu, Centralną ewidencję wydanych i unieważnionych dokumentów paszportowych MSW, Nową Księgę Wieczystą Ministerstwa Sprawiedliwości, Centralną Bazę Danych Straży Granicznej, Elektroniczną Weryfikację Uprawnień Świadczeniobiorców (eWUŚ) prowadzony przez NFZ oraz system FARMER obsługiwany przez KRUS. Wyniki pokazały liczne nieprawidłowości w ochronie danych i realne ryzyko, że wrażliwe informacje o obywatelach wpadną w niepowołane ręce. We wtorek podczas konferencji Cybergov wnioski z kontroli prezentował prezes Najwyższej Izby Kontroli Krzysztof Kwiatkowski.
Przypomniał, że najnowsze badanie jest efektem kontroli opublikowanej w 2015 r., w której NIK sprawdzał poziom cyberbezpieczeństwa instytucji państwowych. Okazało się, że kierownictwo najważniejszych instytucji publicznych nie było świadome niebezpieczeństw wynikające z cyberprzestrzeni.
- Biorąc pod uwagę wyniki poprzedniej kontroli postanowiliśmy przeprowadzić drugą, która miała ją niejako uzupełnić. Chcieliśmy sprawdzić, na ile bezpieczne są systemy, którymi zajmuje administracja publiczna – tłumaczył podczas Cybergov Krzysztof Kwiatkowski. - Niestety- ogólna ocena działalności nie zapewniała akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach . Mówimy absolutnie o najważniejszych systemach mówiących o stanie naszego zdrowia, własności nieruchomości, ochronie najważniejszych dokumentów, czyli paszportów - te systemy kontrolowaliśmy.
Religijny kult działu IT
Wnioski z raportu pokazują m.in. niewdrożenie systemów zarządzania informacji, ograniczoną wiedzę kierownictwa, brak niezbędnych opracować analitycznych, planów i procedur. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny, wobec braku procedur prowadzono proces intuicyjny. Z sześciu kontrolowanych jednostek tylko KRUS wprowadził system gromadzenia informacji, ale tam też były istotne nieprawidłowości. Chodziło głównie o to, że przyjęta koncepcja powierzenia zasobów KRUS operatowi zewnętrznemu nie została poprzedzona procedurami, w jaki sposób oceniać jego działania.
Połowa kontrolowanych organizacji korzystała ze wsparcia zewnętrznego przy ochronie swoich systemów. Szef NIK podkreślił, że co do zasady nie ma w tym nic złego. - Takie działania wiążą się jednak z występowaniem szeregu ryzyk. Przeniesienie zakresu odpowiedzialności na zewnętrzną to przeniesienie bieżącego zarządzania, ale nie nadzoru i kontroli – mówił Krzysztof Kwiatkowski podkreślając, że jednostki nie miały wypracowanego modelu oceny firm zewnętrznych, które zajmowały się bezpieczeństwem sieci.
Jako prawnik zawsze byłem przeciwny nadmiernej kazuistyce, ale lektura wyników tej kontroli zmusiła mnie, żebym zweryfikował swój pogląd. Precyzyjne określenie procedur, z kijem w postaci odpowiedzialności karnej powoduje, że dany obszar w sposób naturalny wzbudza zainteresowanie kierowników,
W większości kontrolowanych jednostek zagadnienia związane z bezpieczeństwem delegowano do działów IT. Brakowało systemów obowiązujących cała instytucję. – Taki model organizacyjny powoduje, że pozostałe jednostki nie czują odpowiedzialności za bezpieczeństwo danych, delegując je na dział IT. Wszelka dbałość o bezpieczeństwo spadała na pracowników tego działu. Spotkaliśmy się z określeniem pracowników IT: „a, to ci nawiedzeni ludzie” - opowiadał Kwiatkowski.
Prezes NIK zwrócił się do zgromadzonych na sali ekspertów od cyberbezpieczeństwa i pracowników działów IT. - Państwo nie wiecie nawet, jakim wyrazem wręcz religijnego zaufania jesteście obdarzani przez swoich pracodawców. Widać to, gdy czytałem wyjaśnienia kierowników jednostek. Na pytanie, czy znają procedury, odpowiadali: Nie , ale dział IT zna. Kierownicy mówili: IT sobie jakoś poradzi, na pewno mają jakiś zasób. Z tak dozgonnym zaufaniem szefów do kierowników działów pierwszy raz się spotkałem. Jesteście otoczeni niemal metafizycznym kultem – ironizował Krzysztof Kwiatkowski.
Zupełnie poważnie dodał, że w kontrolowanych instytucjach środki przeznaczone na bezpieczeństwo informacji były wydawane w sposób intuicyjny. – Słowo „intuicyjny” najczęściej przychodziło mi na myśl, gdy czytałem wyjaśnienia szefów – dodał prezes NIK.
Potrzebna nadmierna kazuistyka
Był jednak obszar odpowiednio zabezpieczony we wszystkich instytucjach. Większość kierowników ma świadomość konsekwencji wynikających z ustawy o ochronie danych osobowych. To obszar, do którego podchodzą z należytą powagą. Według szefa NIK oznacza to, że uzyskanie odpowiedniego poziomu bezpieczeństwa następuje w wyniku konkretnych przepisów prawa, które w szczegółowy sposób określają, co należy robić.
- Jako prawnik zawsze byłem przeciwny nadmiernej kazuistyce, ale lektura wyników tej kontroli zmusiła mnie, żebym zweryfikował swój pogląd. Czasami precyzyjne określenie procedur, z kijem w postaci odpowiedzialności karnej powoduje, że dany obszar w sposób naturalny zwiększa zainteresowanie kierowników, którzy przeznaczają odpowiednie środki i zasoby na to zadanie – tłumaczył szef NIK.
Jeżeli państwo chce mieć informacje o naszych chorobach, meldunkach, nieruchomościach to musi zapewnić bezpieczeństwo tych danych. Nie trzeba nikogo przekonywać, że to obszar, z którego nikt państwa polskiego nie zwolni z odpowiedzialności
Kontrolowane organizacje przeprowadzały co prawda audyty bezpieczeństwa, ale poziom realizacji zaleceń audytowych był bardzo niski.
- Im dalej od dnia przedstawienia wyników audytu, tym bardziej zaangażowanie kierowników spadało. Ciekawie było też analizować ilość spotkań zespołów do spraw bezpieczeństwa od momentów ich utworzenia przez kilka pierwszych tygodni. W pierwszym okresie ilość spotkań była największa, później stopniowo spadała. Wydawałoby się, że będzie odwrotnie, bo najpierw zespół analizuje, a potem wdraża i kontroluje, ale widać moja logika była niepodzielana przez dyrektorów jednostek – opowiadał Krzysztof Kwiatkowski.
Prezes NIK stwierdził, że główną przeszkodą jest brak regulacji i jasnych ram prawnych dotyczących cyberbezpieczeństwa. W tym kontekście pocieszające są obecne działania ministerstwa cyfryzacji.
- 90 proc. Skandynawów załatwia sprawy urzędowe przez internet. U nas systemy rządowe są wykorzystywane tylko w czterech proc przez obywateli! To katastrofa.To obszar, którym musimy się natychmiast zająć. Jeśli jednak udział e- administracji będzie wzrastał, tym bardziej musimy zadbać o bezpieczeństwo. Jeżeli państwo chce mieć informacje o naszych chorobach, meldunkach, nieruchomościach to musi zapewnić bezpieczeństwo tych danych. Nie trzeba nikogo przekonywać, że to obszar, z którego nikt państwa polskiego nie zwolni z odpowiedzialności – dodał Kwiatkowski.
Czytaj też: NIK ostro krytykuje bezpieczeństwo rządowych baz danych
Dyrektor NIK: Ignorancja szefów instytucji zagraża cyberbezpieczeństwu
Haertle: Każdego da się zhakować
Materiał sponsorowany