Reklama

Cyberbezpieczeństwo

NIK: w polskich urzędach brakuje procedur pracy zdalnej dla bezpieczeństwa informacji

Fot. Najwyższa Izba Kontroli
Fot. Najwyższa Izba Kontroli

Praca zdalna w urzędach to nowe zagrożenia dla przetwarzanych tam danych – uważa Najwyższa Izba Kontroli. Wskazuje, że w ponad połowie kontrolowanych placówek nie wprowadzono systemu zarządzania bezpieczeństwem informacji podczas pracy zdalnej.

Reklama

Z przeprowadzonej przez NIK kontroli wynika, że pomimo obowiązujących przepisów, od stycznia 2020 roku do grudnia 2021 roku w połowie kontrolowanych urzędów nie wprowadzono systemu zarządzania bezpieczeństwem informacji podczas pracy na odległość.

Reklama

Jakie placówki objęto kontrolą?

Reklama

Kontrola NIK objęła liczne instytucje publiczne, takie jak Kancelaria Prezesa Rady Ministrów, a także 10 instytucji w woj. Warmińsko-Mazurskim: Wojewódzki Urząd Ochrony Zabytków, Wojewódzki Inspektorat Farmaceutyczny i Izbę Administracji Skarbowej w Olsztynie. Skontrolowano również 5 urzędów gmin i 2 urzędy powiatowe.

„Jednym z kryteriów wyboru tych instytucji były informacje dotyczące zakresu pracy zdalnej w okresie od 8 marca 2020 r. do 31 marca 2021 r. zebrane przez NIK w 142 urzędach regionu. W niemal 50 z nich zdalnie pracowało ponad trzy czwarte zatrudnionych tam osób" – podkreślono w raporcie NIK.

Obowiązujące w kontrolowanych urzędach regulacje dotyczyły jedynie danych osobowych, a część instytucji nie przestrzegała nawet własnych zasad związanych z pracą na indywidualnych kontach systemu operacyjnego, szyfrowaniem twardych dysków czy postępowaniem z zewnętrznymi nośnikami danych – czytamy.

Brak nadzoru ze strony KPRM

NIK wskazuje, że KPRM nie monitorowała zarówno skali wprowadzenia pracy zdalnej w instytucjach publicznych, ani kwestii związanych z bezpieczeństwem przetwarzanych podczas niej danych. 

Czytaj też

W raporcie podkreślono jednak, że z powodu likwidacji Ministerstwa Cyfryzacji, to KPRM właśnie jest odpowiedzialna za pełnienie obowiązków tego resortu.

Bezpieczeństwo danych to nie tylko dane osobowe

NIK ocenia, że skontrolowane instytucje dbały przede wszystkim o bezpieczeństwo danych osobowych. „W połowie skontrolowanych urzędów nie opracowano i nie wdrożono systemu zarządzania bezpieczeństwem informacji, który powinien określać sposób postępowania właściwy dla każdego rodzaju przetwarzanych informacji" – napisano w raporcie.

Rekomendacje w zakresie bezpieczeństwa opublikowane przez KPRM nie nakładały obowiązków ani na urzędy, ani na samą Kancelarię Prezesa Rady Ministrów, ani na Pełnomocnika Rządu ds. Cyberbezpieczeństwa – zauważa NIK.

„W efekcie kancelaria premiera w bardzo ograniczonym zakresie sprawdzała, w jaki sposób instytucje publiczne korzystały z zaleceń" – wskazuje audytor i dodaje, że skontrolowano pod tym kątem jedynie Ministerstwo Rodziny i Polityki Społecznej. Według NIK, KPRM nie dysponowała również informacjami na temat skali wprowadzenia pracy zdalnej w urzędach i zapewnienia przez nie bezpieczeństwa informacjom przetwarzanym podczas pracy zdalnej.

Czytaj też

Informacje takie mogłyby pomóc we wcześniejszym rozpoznaniu zagrożeń i formułowaniu dodatkowych ostrzeżeń oraz rekomendacji, a to podniosłoby poziom cyberbezpieczeństwa – twierdzi Najwyższa Izba Kontroli.

Co mówią dane KPRM?

Raport NIK przywołuje dane Departamentu Cyberbezpieczeństwa KPRM, z których wynika, że w 2020 roku doszło do 388 incydentów w administracji publicznej, a tylko do sierpnia – do 287. 

„Informacje te są jednak niepełne, ponieważ Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego prowadzony przez NASK nie ma obowiązku przekazywania KPRM szczegółowych informacji o takich incydentach" – czytamy w opracowaniu NIK.

Jak pracował zdalnie polski urząd?

Z danych NIK wynika, że podstawowymi kanałami przesyłania informacji podczas pracy zdalnej w polskich urzędach były poczta elektroniczna oraz szyfrowane połączenie VPN, umożliwiające dostęp do pulpitu zdalnego komputerów stacjonarnych znajdujących się w urzędach.

Załączniki zawierające informacje chronione, takie jak np. dane osobowe, wymagały szyfrowania i zabezpieczenia hasłem, które należało przekazać adresatowi innym kanałem łączności (telefon, SMS). 

Co ciekawe, w trzech kontrolowanych urzędach dopuszczono możliwość wykorzystywania do pracy prywatnych kont email. W dwóch określono warunki, jakie należało spełnić, aby z tej możliwości można było korzystać: uzyskanie pisemnej zgody administratora danych lub administratora systemów informatycznych.

Czytaj też

W przypadku korzystania z VPN-ów w pięciu urzędach dopuszczono jedynie stosowanie sprzętu służbowego. W pięciu pozostałych można było korzystać również z prywatnego sprzętu, ale po spełnieniu wymagań, takich jak np. aktualizacja systemu operacyjnego, zainstalowanie programu antywirusowego, stosowanie indywidualnego konta i hasła zgodnego z przyjętą w urzędach polityką.

Brak rzetelnej oceny skuteczności rozwiązań

NIK ocenia, że trudno stwierdzić, czy zastosowanie rozwiązań ustalonych przez kontrolowane placówki w ramach procedur bezpieczeństwa przyniosło efekty. Przede wszystkim dlatego, że kierownicy tych instytucji nie dysponowali rzetelną oceną skuteczności stosowanych środków. 

„Tylko trzy na 10 urzędów przeprowadziły w badanym okresie zewnętrzny audyt bezpieczeństwa systemów informatycznych" – czytamy w raporcie. „Część jednostek zleciła audyt wewnętrzny i uwzględniła jego wyniki w przeprowadzanych analizach ryzyka. Dwa urzędu nie przeprowadziły żadnego przeglądu w tym zakresie" – napisano.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Komentarze