NIK: Ochrona danych w publicznych systemach teleinformatycznych praktycznie nie istnieje

• Stosowane państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa.
• - Istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce – alarmuje Najwyższa Izba Kontroli.
• Zdaniem NIK, konieczne jest opracowanie i wprowadzenie ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.
NIK: Ochrona danych w publicznych systemach teleinformatycznych praktycznie nie istnieje
W kontrolowanych jednostkach doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. (fot.PTWP)

To kolejna z kontroli NIK dotycząca obszaru bezpieczeństwa systemów teleinformatycznych i przechowywanych w nich danych. NIK postanowiła przyjrzeć się, jak bezpieczne są dane znajdujące się w wybranych systemach informatycznych, mających istotne znaczenie dla funkcjonowania państwa.

Czytaj też: Instytucje publiczne na celowniku hakerów

Kontrola objęła ministerstwa, NFZ, KRUS, a w nich takie systemy jak:

- Zintegrowany System Informatyczny (ZSI),
- Centralna ewidencja wydanych i unieważnionych dokumentów paszportowych (CEWiUDP),
- Nowa Księga Wieczysta (NKW),
- Centralna Baza Danych Straży Granicznej (SI NKW),
- Elektroniczna Weryfikacja Uprawnień Świadczeniobiorców (eWUŚ),
- FARMER.

Wnioski z tej kontroli są alarmujące.

Zarządzanie bezpieczeństwem i procedury bezpieczeństwa

Jak wynika z kontroli NIK, stopień przygotowania oraz wdrożenia Systemu Zapewnienia Bezpieczeństwa Informacji w kontrolowanych jednostkach nie zapewniał akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych, wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i - wobec braku procedur - intuicyjny.

KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. W przeciwieństwie do pozostałych skontrolowanych jednostek, formalnie wprowadzono wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych. Było to związane z działaniami podjętymi w celu uzyskania przez KRUS certyfikatu ISO 27001.

W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT.

Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

Identyfikacja ryzyka

Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.

W trzech skontrolowanych jednostkach proces ten był prowadzony jedynie w zakresie niezbędnym dla realizacji wymagań Polityki Ochrony Cyberprzestrzeni, przepisów o ochronie informacji niejawnych lub obowiązków związanych z operowaniem infrastrukturą krytyczną.

Te ograniczone działania nie mogły zastąpić odpowiednio przygotowanego procesu szacowania ryzyka przeprowadzonego w odniesieniu do wszystkich posiadanych i przetwarzanych informacji, z uwzględnieniem realizowanych zadań i specyfiki instytucji. Rzetelne przeprowadzenie procesu szacowania ryzyka powinno być poprzedzone m.in. doborem metodyki prac, zidentyfikowaniem aktywów i określeniem ich wartości.

 


KOMENTARZE (0)

Artykuł nie posiada jeszcze żadnych komentarzy.