NIK przyjrzał się bliżej działalności Ministerstwa Skarbu Państwa, Ministerstwa Spraw Wewnętrznych, Ministerstwa Sprawiedliwości, Komendy Głównej Straży Granicznej, Narodowego Funduszu Zdrowia oraz Kasy Rolniczego Ubezpieczenia Społecznego. W każdej z tych instytucji działa inny system informatyczny. Żaden z nich nie gwarantuje odpowiedniego bezpieczeństwa danych.
„Stosowane przez skontrolowane podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa" – pisze Najwyższa Izba Kontroli w swoim dokumencie. Aby spełnić odpowiednie normy bezpieczeństwa, instytucje państwowe powinny wdrożyć System Zarządzania Bezpieczeństwem Informacji. Tak się jednak nie stało. Jedyną zbadaną jednostką, która wprowadziła ten system, okazała się Kasa Rolniczego Ubezpieczenia Społecznego. Był to jednak warunek, który KRUS musiał spełnić, aby uzyskać certyfikat ISO 27001. Inaczej nie spełniałby międzynarodowych norm dla zarządzania bezpieczeństwem informacji.
Przeczytaj również: NIK bierze się za dopalacze
Niestety, nawet w przypadku Kasy Rolniczego Ubezpieczenia Społecznego NIK wykrył wiele nieprawidłowości. Jak czytamy w raporcie izby, niektóre z tych nieprawidłowości mogły mieć „negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS". Wśród głównych zarzutów postawionych kasie znalazło się powierzenie zarządzania danymi firmie zewnętrznej bez uprzedniego przeprowadzenia stosownych analiz.
Pozostałe instytucje podczas kontroli wypadły jeszcze gorzej. W wielu przypadkach ich systemy bezpieczeństwa bazowały wyłącznie na tzw. dobrych praktykach oraz kompetencjach osób pracujących w działach IT. Jak wskazali kontrolerzy NIK, „świadomość potrzeby zapewnienia bezpieczeństwa informatycznego była w kontrolowanych jednostkach fragmentaryczna i ograniczona".
Jak podsumowuje Najwyższa Izba Kontroli, odwiedzone przez nią instytucje nie wdrażają systemów do zarządzania bezpieczeństwem informacji, nie dysponują planami umożliwiającymi zapewnienie bezpieczeństwa danych, nie posiadają odpowiednich procedur związanych z bezpieczeństwem danych, nie przeznaczają wystarczających środków finansowych na bezpieczeństwo w sieci, a nawet nie dysponują tak podstawowymi informacjami, jak szczegóły dotyczące oprogramowania antywirusowego.
Może zaitneresować cię także: NIK miażdży PLL LOT [RAPORT]
„W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce" - czytamy w opinii wydanej przez NIK. Już w zeszłym roku izba poinformowała, że polskie państwo nie jest przygotowane na ataki hakerów. Izba podaje spektakularne przykłady wycieków danych w Polsce i na świecie. Ich skutki odczuli: klienci Plus Banku, niektórzy posiadacze skrzynki email w Google a także 50 mln obywateli Turcji.
Wszystkie zbadane instytucje wprowadziły systemy bezpieczeństwa danych jedynie w tym zakresie, w którym obliguje je do tego prawo. Nie miały także wydelegowanych pracowników odpowiadających za bezpieczeństwo danych. Kontrole zostały przeprowadzone w dniach od 1 stycznia 2014 r. do 1 października 2015 roku.
Źródła: businessinsider.com.pl, money.pl
Podcasty
Playlisty tematyczne
![Nowe wakacje kredytowe 2024 [ZASADY]](https://cdn.galleries.smcloud.net/t/galleries/gf-tUWn-17PK-gfyh_wakacje-kredytowe-rzad-przyjal-projekt-ustawy-kto-bedzie-mogl-z-nich-skorzystac-300x250.jpg)
