Rok temu NIK pokazał stan zabezpieczenia państwa przed cyberzagrożeniami. Wnioski nie były optymistyczne. Czy ostatnia kontrola jest konsekwencją tej zeszłorocznej?
W kontroli z zeszłego roku pokazaliśmy, jak instytucje państwa są przygotowane na nieprzewidziane zdarzenia, na cyberataki, na działania hakerów. W ostatniej zaś kontroli pokazaliśmy, jaki jest stały, funkcjonalny stopień bezpieczeństwa systemów informatycznych. Przecież te systemy odpowiadają za dane najbardziej wrażliwe. Powiedzieliśmy sobie po pesymistycznych wnioskach z poprzedniej kontroli, że państwo polskie jako całość nie jest odpowiednio przygotowane na cyberataki. Dlatego zdecydowaliśmy, że trzeba sprawdzić, jak zabezpieczone są te systemy informatyczne, które instytucje państwa wykorzystują do bieżącego załatwiania spraw obywateli, do świadczenia usług. Niestety, ze smutkiem muszę powiedzieć, że to był kolejny, dosyć pesymistyczny raport.
Czy to oznacza, istnieje realne ryzyko wycieku informacji wrażliwych dla obywatela?
Z naszej kontroli jednoznacznie wynika, że stopień zabezpieczenia tych systemów informatycznych nie daje nam gwarancji, że taki wyciek nie mógłby nastąpić. Funkcjonariusze publiczni odpowiadają tu za zabezpieczenie i administrowanie wrażliwymi danymi obywateli. Trzeba natychmiast podjąć szereg działań, żeby wkrótce można było powiedzieć: Zrobiliśmy wszystko, żeby sposób zabezpieczenia tych danych był najlepszy z możliwych. W każdej z jednostek pokazaliśmy cząstkowo, jakie decyzje podjąć, żeby podnieść poziom bezpieczeństwa.
O jakich wrażliwych danych mówimy?
Zbadaliśmy w sumie sześć systemów. W ministerstwie skarbu państwa był to system, który odpowiada za gospodarowanie mieniem skarbu państwa. W MSW program, który obsługuje wydawanie paszportów. W ministerstwie sprawiedliwości – nową księgę wieczystą, która zabezpiecza nasze stany własnościowe – mieszkań i nieruchomości. W straży granicznej badaliśmy centralną bazę danych, która wspiera realizację statutowych działań straży, w tym odprawę graniczną. W Narodowym Funduszu Zdrowia – słynny system eWUŚ, czyli weryfikację uprawnień świadczeniodawców, dzięki któremu możemy korzystać z darmowej opieki medycznej. W KRUS sprawdziliśmy system Farmer, w oparciu o który następuje wypłata rent i emerytur. Trudno wybrać bardziej kluczowe systemy z punktu widzenia obywateli.
Możemy podać przykłady złych praktyk naruszających bezpieczeństwo danych?
Jeżeli okazuje się, że bardzo delikatny zasób, za który odpowiada sprawdzana instytucja, jest możliwy do skopiowania na dowolny nośnik w sposób praktycznie niekontrolowany- to jest to sytuacja, którą trzeba natychmiast wyeliminować. Nie muszę mówić, co oznacza wyciek tego typu danych na zewnątrz.
Z czego wynikają zaniedbania? Z braku sprzętu, pracowników, ignorancji szefów jednostek?
Zaniepokoiło nas, że przy sprawach związanych z ochroną ważnych informacji bardzo często kierownicy poszczególnych jednostek mówią – to nie moja dziedzina, za to odpowiada IT. My zdecydowanie mówimy tu – nie. Za bezpieczeństwo tych danych odpowiada cała instytucja, odpowiada jej kierownik, odpowiadają wszystkie działy. Dział IT ma oczywiście swoje działania, ale nie jest jedynym odpowiedzialnym. Często w obowiązkach IT jest ochrona tych informacji, które są precyzyjnie zabezpieczone ustawą - także w postaci sankcji za nie przestrzeganie przepisów. Mowa tu np. o ochronie informacji niejawnych. Okazuje się, że te same instytucje potrafią naprawdę skutecznie chronić te informacje, które zgodnie z ustawami są informacjami niepublicznymi, a kompletnie nie radzą sobie z zasobem, który też nie może wyciec, bo dotyka wrażliwych danych dotyczących obywateli. Różnica polega wyłącznie na tym, że w tym drugim wypadku nie ma sankcji karnej za nieprzestrzeganie przepisów. To pokazuje, że jeżeli jest odpowiednia determinacja, wola działania, konsekwencja – to można robić bardzo wiele, żeby skutecznie te informacje zabezpieczyć. Oczywiście chodzi też o odpowiednie środki finansowe i zasoby ludzkie.
Czy NIK planuje kolejne kontrole w zakresie cyberbezpieczeństwa?
Tak. Będziemy się przyglądać realizacji wniosków z zeszłorocznej i tegorocznej kontroli. Stałą zasadą jest, że jeśli państwo w jakiejś dziedzinie nie działa należycie, to my przedstawiamy wyniki kontroli i zapowiadamy urzędnikom, że wrócimy sprawdzić, jak realizowane są nasze zalecenia. Chodzi o zmobilizowanie organów państwa - zwłaszcza w tym wypadku, kiedy urzędnicy odpowiadają za dane wrażliwe dla wszystkich Polek i Polaków.
Jak ocenia Pan zmiany, które ma wprowadzić strategia cyberbezpieczeństwa?
Ja patrzę z nadzieją na działania ministerstwa cyfryzacji. Przygotowane projekty aktów normatywnych napawają optymizmem. Oczywiście – przygotowanie dobrego projektu nie oznacza, że zostanie on przyjęty i wdrożony w życie. Jak będzie z realizacją tych planów – na pewno będziemy to jeszcze sprawdzać.
Czytaj też: Dyrektor NIK: Ignorancja szefów instytucji zagraża cyberbezpieczeństwu