Jedynie prawda jest ciekawa

Gorące tematy:

NIK: Mamy krytyczny stan cyberbezpieczeństwa

16.05.2016

"Stosowane przez skontrolowane podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa. Działania realizowane w celu jego zapewnienia są prowadzone opieszale, bez z góry przygotowanego planu, a środki przeznaczane na ten cel są niewystarczające. W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce" - podaje Najwyższa Izba Kontroli w najnowszym raporcie dotyczącym bezpieczeństwa systemów państwowych.

W 2015 r. został opublikowany przez NIK raport dot. realizacji przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej. Ocena NIK była jednoznaczna: Polska nie jest przygotowana do walki z zagrożeniami występującymi w cyberprzestrzeni. Najwyższa Izba Kontroli podaje w raporcie przykłady takich zagrożeń: „publikacja w internecie danych osobowych 50 mln obywateli Turcji w 2016 r., kradzież danych klientów Plus Banku w 2015 r. czy wyciek danych o kontach 5 mln użytkowników Gmail w 2014”. 

Nowy raport NIK jest kolejnym dowodem potwierdzającym patologie, o których mówiła podczas audytu Minister Cyfryzacji i Administracji Anna Streżyńska. 

"Stopień przygotowania oraz wdrożenia Systemu Zapewnienia Bezpieczeństwa Informacji w kontrolowanych jednostkach nie zapewniał akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych, wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i - wobec braku procedur - intuicyjny" - wskazuje raport NIK.

Badania zostały przeprowadzone w sześciu jednostkach państwowych. Tylko w jednej z nich instytucji wdrożono System Zarządzania Bezpieczeństwem Informacji był KRUS.

"W KRUS, w przeciwieństwie do pozostałych skontrolowanych jednostek, formalnie wprowadzono wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych" - podaje Izba Kontroli.

"W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa" - czytamy w raporcie.

Jak podaje NIK w instytucjach nie było wyznaczonych osób odpowiedzialnych za zapewnienie bezpieczeństwa danych co skutkowało rozmyciem odpowiedzialności.

"W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości kontrolowanych jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne. Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych" - podaje raport.

We wszystkich kontrolowanych jednostkach prowadzono audyty bezpieczeństwa. Ich wyniki nie robiły jednak większego wrażenia na kierownictwu. 

"Raporty z tych audytów stanowiły dla kierownictw kontrolowanych jednostek jedyne istotne źródło informacji o realnym stanie bezpieczeństwa, różnych aspektach jego utrzymania oraz działaniach niezbędnych do przeprowadzenia. Istotnym problemem był jednak brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań." - informuje raport Najwyższej Izby Kontroli.

kk/nik.gov.pl

[fot. Youtube/NIK]


Warto poczytać

  1. 1280px-Zamekkrolewskifasadasaska02 26.03.2017

    Warszawa: Szczyt premierów V4 i Kongres Innowatorów

    W Warszawie 27-28 marca 2017 r. odbędzie się Kongres Innowatorów Europy Środkowo-Wschodniej "Central Eastern Europe Innovators Summit" z udziałem premierów państw V4.

  2. ketchup-356438960720 26.03.2017

    GfK: Na sosy i dressingi wydaliśmy 1,3 mld zł

    - Polskie gospodarstwa domowe przeznaczyły w ubiegłym roku na zakupy produktów z kategorii sosów i dressingów niemal 1,3 mld złotych - wynika z danych firmy GfK.

  3. dzeicko-steff 25.03.2017

    Szefowa MRPiPS : Polacy nie marnotrawią środków z 500 plus

    Polacy nie marnotrawią środków z Programu 500 plus; nie potwierdziły się też obawy, że program spowoduje odpływ kobiet z rynku pracy - mówiła w sobotę minister rodziny, pracy i polityki społecznej Elżbieta Rafalska.

  4. 682928503015416cb9f5a5c729a834b9 25.03.2017

    Problem przewoźników w Zakopanem

    Nowy właściciel dworca PKS w turystycznej stolicy polskich Tatr wypowiedział umowy przewoźnikom.

  5. zegar-steff 25.03.2017

    Dziś w nocy zmiana czasu z zimowego na letni

    W nocy z soboty na niedzielę zmieniamy czas z zimowego na letni, przez co pośpimy o godzinę krócej.

  6. wegiel-stefek 25.03.2017

    ME przychylne wobec zakazu palenia węglem złej jakości

    Resort energii przychylił się do uwag organizacji ekologicznych, by wprowadzić ustawowy zakaz palenia w domowych piecach węglem złej jakości. "To krok w dobrym kierunku" - mówią ekolodzy.

  7. wies-steff 24.03.2017

    45 tys. zł za najpiękniejszą i najbardziej nowatorską wieś

    45 tys. zł otrzymają małopolskie wsie, które zwyciężą w konkursie na najpiękniejszą i najbardziej nowatorską miejscowość. Ogłosił go w piątek samorząd regionu.

  8. knf-steff 24.03.2017

    Platynowe Inwestycje SA i SouthBanco na liście ostrzeżeń publicznych

    Platynowe Inwestycje SA z siedzibą w Płocku oraz SouthBanco - to nowe firmy, wpisane w piątek przez Komisję Nadzoru Finansowego na listę ostrzeżeń publicznych - poinformowała KNF w komunikacie.

CS141fotMINI

Czas Stefczyka 141/2017

PDF (4,89 MB)

pobierz najnowszy numer
archiwum numerów

Facebook