Jedynie prawda jest ciekawa

NIK: Mamy krytyczny stan cyberbezpieczeństwa

16.05.2016

"Stosowane przez skontrolowane podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa. Działania realizowane w celu jego zapewnienia są prowadzone opieszale, bez z góry przygotowanego planu, a środki przeznaczane na ten cel są niewystarczające. W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce" - podaje Najwyższa Izba Kontroli w najnowszym raporcie dotyczącym bezpieczeństwa systemów państwowych.

W 2015 r. został opublikowany przez NIK raport dot. realizacji przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej. Ocena NIK była jednoznaczna: Polska nie jest przygotowana do walki z zagrożeniami występującymi w cyberprzestrzeni. Najwyższa Izba Kontroli podaje w raporcie przykłady takich zagrożeń: „publikacja w internecie danych osobowych 50 mln obywateli Turcji w 2016 r., kradzież danych klientów Plus Banku w 2015 r. czy wyciek danych o kontach 5 mln użytkowników Gmail w 2014”. 

Nowy raport NIK jest kolejnym dowodem potwierdzającym patologie, o których mówiła podczas audytu Minister Cyfryzacji i Administracji Anna Streżyńska. 

"Stopień przygotowania oraz wdrożenia Systemu Zapewnienia Bezpieczeństwa Informacji w kontrolowanych jednostkach nie zapewniał akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych, wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i - wobec braku procedur - intuicyjny" - wskazuje raport NIK.

Badania zostały przeprowadzone w sześciu jednostkach państwowych. Tylko w jednej z nich instytucji wdrożono System Zarządzania Bezpieczeństwem Informacji był KRUS.

"W KRUS, w przeciwieństwie do pozostałych skontrolowanych jednostek, formalnie wprowadzono wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych" - podaje Izba Kontroli.

"W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa" - czytamy w raporcie.

Jak podaje NIK w instytucjach nie było wyznaczonych osób odpowiedzialnych za zapewnienie bezpieczeństwa danych co skutkowało rozmyciem odpowiedzialności.

"W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości kontrolowanych jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne. Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych" - podaje raport.

We wszystkich kontrolowanych jednostkach prowadzono audyty bezpieczeństwa. Ich wyniki nie robiły jednak większego wrażenia na kierownictwu. 

"Raporty z tych audytów stanowiły dla kierownictw kontrolowanych jednostek jedyne istotne źródło informacji o realnym stanie bezpieczeństwa, różnych aspektach jego utrzymania oraz działaniach niezbędnych do przeprowadzenia. Istotnym problemem był jednak brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań." - informuje raport Najwyższej Izby Kontroli.

kk/nik.gov.pl

[fot. Youtube/NIK]


Warto poczytać

  1. Wozekwidlowy 20.10.2017

    Cała Polska zostanie Specjalną Strefą Ekonomiczną? Ruszają konsultacje projektu

    Udzielanie pomocy publicznej w formie zwolnienia podatkowego z tytułu realizacji nowej inwestycji na terenie całej Polski, a nie na wyznaczonym terenie specjalnej strefy ekonomicznej, zakłada projekt ustawy, który Ministerstwo Rozwoju skierowało w piątek do konsultacji i uzgodnień.

  2. Kontenerowiec 20.10.2017

    Gdyński port chce pobić rekord. Jest spory wzrost przeładunków

    Przeładunki w Porcie Gdynia wzrosły w ciągu trzech kwartałów tego roku o 8,8 proc. do 15,6 mln ton - informuje zarząd portu i zapowiada, że w tym roku mogą być wyższe od ubiegłorocznego rekordu, kiedy to przeładowano 19,5 mln ton towarów.

  3. morawiecki10102017 20.10.2017

    Morawiecki zapowiada: zapełnimy lukę VAT

    W tym roku zapełnimy lukę VAT na kwotę ponad dwadzieścia miliardów złotych, a w przyszłym roku o kolejne dziesięć miliardów - mówił wicepremier Mateusz Morawiecki w czwartek w TVP Info. To jest, jak dodał, przejaw „przywrócenia powagi państwa”.

  4. Warszawa 19.10.2017

    Luka podatkowa będzie mniejsza o 13 miliardów złotych? Jest raport PwC

    Luka podatkowa w VAT w Polsce wyniesie w tym roku ok. 39 mld zł, czyli o 13 mld zł mniej niż w zeszłym roku - wynika z raportu przedstawionego w czwartek przez firmę doradczą PwC.

  5. PocztaPolska 19.10.2017

    Znakomite wyniki Poczty Polskiej. "Będziemy inwestować"

    Poczta Polska w tym roku chce zwiększyć swoje przychody aż o 600 mln zł, czyli o 12 proc. Jak powiedział Przemysław Sypniewski, prezes przedsiębiorstwa, w Wywiadzie Gospodarczym Telewizji wPolsce.pl, ten plan zostanie zrealizowany

CS148fotMINI

Czas Stefczyka 148/2017

PDF (10,17 MB)

pobierz najnowszy numer
archiwum numerów

Facebook