NIK: w polskich urzędach brakuje procedur pracy zdalnej dla bezpieczeństwa informacji

Z przeprowadzonej przez NIK kontroli wynika, że pomimo obowiązujących przepisów, od stycznia 2020 roku do grudnia 2021 roku w połowie kontrolowanych urzędów nie wprowadzono systemu zarządzania bezpieczeństwem informacji podczas pracy na odległość.

Jakie placówki objęto kontrolą?

Kontrola NIK objęła liczne instytucje publiczne, takie jak Kancelaria Prezesa Rady Ministrów, a także 10 instytucji w woj. Warmińsko-Mazurskim: Wojewódzki Urząd Ochrony Zabytków, Wojewódzki Inspektorat Farmaceutyczny i Izbę Administracji Skarbowej w Olsztynie. Skontrolowano również 5 urzędów gmin i 2 urzędy powiatowe.

„Jednym z kryteriów wyboru tych instytucji były informacje dotyczące zakresu pracy zdalnej w okresie od 8 marca 2020 r. do 31 marca 2021 r. zebrane przez NIK w 142 urzędach regionu. W niemal 50 z nich zdalnie pracowało ponad trzy czwarte zatrudnionych tam osób" – podkreślono w raporcie NIK.

Obowiązujące w kontrolowanych urzędach regulacje dotyczyły jedynie danych osobowych, a część instytucji nie przestrzegała nawet własnych zasad związanych z pracą na indywidualnych kontach systemu operacyjnego, szyfrowaniem twardych dysków czy postępowaniem z zewnętrznymi nośnikami danych – czytamy.

Brak nadzoru ze strony KPRM

NIK wskazuje, że KPRM nie monitorowała zarówno skali wprowadzenia pracy zdalnej w instytucjach publicznych, ani kwestii związanych z bezpieczeństwem przetwarzanych podczas niej danych. 

W raporcie podkreślono jednak, że z powodu likwidacji Ministerstwa Cyfryzacji, to KPRM właśnie jest odpowiedzialna za pełnienie obowiązków tego resortu.

Bezpieczeństwo danych to nie tylko dane osobowe

NIK ocenia, że skontrolowane instytucje dbały przede wszystkim o bezpieczeństwo danych osobowych. „W połowie skontrolowanych urzędów nie opracowano i nie wdrożono systemu zarządzania bezpieczeństwem informacji, który powinien określać sposób postępowania właściwy dla każdego rodzaju przetwarzanych informacji" – napisano w raporcie.

Rekomendacje w zakresie bezpieczeństwa opublikowane przez KPRM nie nakładały obowiązków ani na urzędy, ani na samą Kancelarię Prezesa Rady Ministrów, ani na Pełnomocnika Rządu ds. Cyberbezpieczeństwa – zauważa NIK.

„W efekcie kancelaria premiera w bardzo ograniczonym zakresie sprawdzała, w jaki sposób instytucje publiczne korzystały z zaleceń" – wskazuje audytor i dodaje, że skontrolowano pod tym kątem jedynie Ministerstwo Rodziny i Polityki Społecznej. Według NIK, KPRM nie dysponowała również informacjami na temat skali wprowadzenia pracy zdalnej w urzędach i zapewnienia przez nie bezpieczeństwa informacjom przetwarzanym podczas pracy zdalnej.

Informacje takie mogłyby pomóc we wcześniejszym rozpoznaniu zagrożeń i formułowaniu dodatkowych ostrzeżeń oraz rekomendacji, a to podniosłoby poziom cyberbezpieczeństwa – twierdzi Najwyższa Izba Kontroli.

Co mówią dane KPRM?

Raport NIK przywołuje dane Departamentu Cyberbezpieczeństwa KPRM, z których wynika, że w 2020 roku doszło do 388 incydentów w administracji publicznej, a tylko do sierpnia – do 287. 

„Informacje te są jednak niepełne, ponieważ Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego prowadzony przez NASK nie ma obowiązku przekazywania KPRM szczegółowych informacji o takich incydentach" – czytamy w opracowaniu NIK.

Jak pracował zdalnie polski urząd?

Z danych NIK wynika, że podstawowymi kanałami przesyłania informacji podczas pracy zdalnej w polskich urzędach były poczta elektroniczna oraz szyfrowane połączenie VPN, umożliwiające dostęp do pulpitu zdalnego komputerów stacjonarnych znajdujących się w urzędach.

Załączniki zawierające informacje chronione, takie jak np. dane osobowe, wymagały szyfrowania i zabezpieczenia hasłem, które należało przekazać adresatowi innym kanałem łączności (telefon, SMS). 

Co ciekawe, w trzech kontrolowanych urzędach dopuszczono możliwość wykorzystywania do pracy prywatnych kont email. W dwóch określono warunki, jakie należało spełnić, aby z tej możliwości można było korzystać: uzyskanie pisemnej zgody administratora danych lub administratora systemów informatycznych.

W przypadku korzystania z VPN-ów w pięciu urzędach dopuszczono jedynie stosowanie sprzętu służbowego. W pięciu pozostałych można było korzystać również z prywatnego sprzętu, ale po spełnieniu wymagań, takich jak np. aktualizacja systemu operacyjnego, zainstalowanie programu antywirusowego, stosowanie indywidualnego konta i hasła zgodnego z przyjętą w urzędach polityką.

Brak rzetelnej oceny skuteczności rozwiązań

NIK ocenia, że trudno stwierdzić, czy zastosowanie rozwiązań ustalonych przez kontrolowane placówki w ramach procedur bezpieczeństwa przyniosło efekty. Przede wszystkim dlatego, że kierownicy tych instytucji nie dysponowali rzetelną oceną skuteczności stosowanych środków. 

„Tylko trzy na 10 urzędów przeprowadziły w badanym okresie zewnętrzny audyt bezpieczeństwa systemów informatycznych" – czytamy w raporcie. „Część jednostek zleciła audyt wewnętrzny i uwzględniła jego wyniki w przeprowadzanych analizach ryzyka. Dwa urzędu nie przeprowadziły żadnego przeglądu w tym zakresie" – napisano.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].