facebook RSS # #

12.11.2018 17:47

Polska Agencja Prasowa Serwis Samorządowy
 
2018-11-06 10:26       aktualizacja: 2018-11-06 10:36       WIADOMOŚCI
  A A A

Bez zabezpieczeń. Samorządy niedostatecznie chronią informacje o obywatelach - alarmuje NIK

Bez zabezpieczeń. Samorządy niedostatecznie chronią informacje o obywatelach - alarmuje NIK
Fot. Serwis Samorządowy PAP
Informacje o obywatelach, w tym dane wrażliwe przechowywane elektronicznie przez jednostki samorządowe, nie są odpowiednio zabezpieczone przed nieuprawnionym dostępem - alarmuje NIK po kontroli na Podlasiu.

Szczególnie niepokojące jest - w ocenie Najwyższej Izby Kontroli - słabe zabezpieczanie informacji w ośrodkach pomocy społecznej, które z natury rzeczy dysponują danymi wrażliwymi. W efekcie kontroli NIK skierowała szereg wniosków do starostów, prezydentów miast, burmistrzów, wójtów oraz kierowników ośrodków pomocy społecznej.

Izba podkreśla, że zmiany są konieczne, bo w obecnym stanie rzeczy przechowywane przez samorządy dane o obywatelach "mogą w każdej chwili zostać przejrzane, przejęte lub zniszczone". "Samorządy nie wiedzą nawet, kto ma do nich dostęp, gdyż nie monitorują tych kwestii. Większość skontrolowanych jednostek nawet nie podejmuje działań minimalizujących ryzyko utraty informacji" - głosi raport NIK po kontroli w woj. podlaskim.

Izba skontrolowała tam 31 jednostek samorządowych (urzędy gminy lub miast, starostwa powiatowe i ośrodki pomocy społecznej), by sprawdzić w jaki sposób były chronione elektroniczne zasoby informacyjne.

Według NIK, prawie wszędzie poziom bezpieczeństwa systemów informatycznych i usług sieciowych był na niezadowalającym lub bardzo niskim poziomie.

Jako przykład pozytywny Izba wskazuje Urząd Miejski w Suwałkach, gdzie "poziom zabezpieczeń odpowiedzialnych za autoryzację dostępu do sieci wykonano profesjonalnie, zasoby informacyjne były właściwie chronione przed nieuprawnionym dostępem, kradzieżą lub utratą, a praca sieci znajdowała się pod pełną kontrolą jej administratora".

Poza tym w większości skontrolowanych jednostek samorządowych (22 z 31) dokumentacja i procedury dotyczące ochrony danych były niekompletne lub nieaktualne - nawet od ponad 10 lat.

Jak podaje NIK, większość podmiotów objętych kontrolą (19) nie przestrzegała przepisów i procedur dot. przechowywania i zabezpieczania danych. Informacje o obywatelach przechowywane były w miejscach ogólnodostępnych, bez możliwości zamknięcia; instytucje nie sporządzały kopii bezpieczeństwa baz danych; zdarzało się, że nośniki, na których zapisywano kopie, przechowywano w tym samym pomieszczeniu co oryginały, co w żaden sposób nie gwarantuje im bezpieczeństwa.

Kontrola wykazała też, że jednostki samorządowe nie monitorowały dostępu do informacji.

"Tylko w jednej prowadzono elektroniczny rejestr dostępu, co w przypadku przecieku pozwalało na ustalenie jego źródła. W ponad połowie pracownikom, którzy nie posiadają odpowiednich kwalifikacji ani zadań związanych z zarządzaniem systemami informatycznymi, nadano uprawnienia administratora systemów operacyjnych wykorzystywanych przez nich komputerów. Mieli oni zatem możliwość instalacji dowolnego oprogramowania oraz wprowadzania zmian w konfiguracji tych urządzeń. W ośmiu jednostkach kontrolerzy trafili na przypadki nieodebrania lub odbierania z opóźnieniem byłym pracownikom uprawnień w systemach informatycznych" - wylicza NIK.

W 12 skontrolowanych jednostkach możliwy był nieautoryzowany dostęp do danych elektronicznych - aby go uzyskać nie trzeba było wpisywać kodów uwierzytelniających lub były one zbyt proste albo ogólnodostępne.

Ponadto, jak wykazała kontrola, nie prowadzano regularnych audytów wewnętrznych z zakresu bezpieczeństwa informacji, pracownikom przetwarzającym dane nie zapewniono szkoleń z tego zakresu, wykorzystywano systemy operacyjne, dla których producent zakończył udzielanie wsparcia technicznego.

Szczególnie niepokojące jest - w ocenie NIK - słabe zabezpieczanie informacji w ośrodkach pomocy społecznej, które z natury rzeczy dysponują danymi wrażliwymi.

"W jednostkach tych stwierdzono prawie wszystkie rodzaje nieprawidłowości dotyczących bezpieczeństwa zasobów, w tym niewłaściwe zarządzanie uprawnieniami użytkowników w systemach operacyjnych, brak okresowych szkoleń, niezapewnienie właściwej autoryzacji przy logowaniu do systemów informatycznych, niewłaściwe wykonywanie i przechowywanie kopii bezpieczeństwa" - alarmuje Izba.

W efekcie kontroli NIK wnioskuje do starostów, prezydentów miast, burmistrzów, wójtów oraz kierowników ośrodków pomocy społecznej m.in. o: przeprowadzanie obowiązkowych, corocznych audytów bezpieczeństwa informacji; regularme szkolenia osób zaangażowanych w proces przetwarzania informacji; tworzenie, przechowywanie oraz testowanie kopii zapasowych posiadanych zasobów informacyjnych.

Niezbędne jest też - w ocenie NIK - wprowadzenie odpowiedniej autoryzacji dostępu do zasobów informatycznych; zapewnienie zabezpieczeń fizycznych infrastruktury informatycznej, uniemożliwiających dostęp osób nieuprawnionych oraz zapewniających ochronę przed skutkami zdarzeń losowych jak pożar czy powódź.

NIK postuluje też wdrożenie regulacji wprowadzonych przez RODO, w szczególności prowadzenie rejestru czynności przetwarzania danych.

js/

 
KOMENTARZE: 6 PRZEJDŹ NA FORUM

DODAJ SWÓJ KOMENTARZ

 
2018-11-08 08:38:42
ASI2.0: Tu nie są winni pracownicy urzędów - uwierzcie na słowo informatycy robią wszystko, co w ich mocy aby urzędy działały! Nikt nie pyta JAK, nikt nie dotuje tej pracy (choćby stanowisko LAS - nadal jest za FREE), nikt nie nakłada wytycznych odnośnie bezpieczeństwa, więc proszę się nie dziwić że jest jak jest. Wystarczy spojrzeć na ostatni temat monitoringu sesji i przeprowadzania głosowań na sesjach - jest wytyczna, że mają być i tyle, nie ma na to pieniędzy z góry, nie ma NORM BEZPIECZEŃSTWA, nie ma WYTYCZNYCH JAK TO ZROBIĆ choćby minimalnie bezpiecznie. I w efekcie będziemy oglądać streemy na YouTube (NA PORTALU AMERYKAŃSKIM), a maszynki do głosowania są dowolnie jakie chcecie, kto co wymyśli. Gdzie tu sens i logika? Nie wspomnę już o innych kwestiach jak backup w samorządach, który sądzę byłby o wiele bardziej użyteczny niż ten streeminig sesji. Ja nie wiem jak to dalej będzie i nie wyobrażam sobie tego dalej - świat idzie na przód, nikt na nikogo ani się nie ogląda, a bezpieczeństwo administracji w Pl pozostawia wiele do życzenia, nie wspominając już usług rządowych, które chcąc nie chcąc samorządy muszą używać bez względu na to jak i czy wogóle działają. Może warto nad tym wszystkim wspólnie usiąść i np zapytać informatyków, co by im się przydało, jak oni to widzą, sadzę że wspólnie na pewno wypracowalibyśmy jakieś e-Standardy Polskiej Administracji Publicznej (eSPAP), z pewnością każdy wolałby pracować widząc co i jak ma robić, a nie tak jak teraz, każdy radzi sobie jak może, z tym co ma, i z tym na co mu pozwoli budżet.
 
2018-11-07 22:43:34
Jurkal: W GOPS 2200 ale brutto.
 
2018-11-07 18:45:45
informatyk_samorządowy: Czy naprawdę kogoś ten stan dziwi? Mnie osobiście nie. Brak pieniędzy na szeroko pojęte IT (sprzęt, szkolenia, oprogramowanie) oraz zerowe inwestycje w pracowników odpowiedzialnych zajmujących się informatyzacją dają takie właśnie efekty. 2500 - 3000 zł netto to też nie jest stawka konkurencyjna, która pozwalała by ściągnąć i utrzymać w administracji fachowców od IT. Ja osobiście znam OPSy, gdzie nie ma nikogo odpowiedzialnego za IT. Samo sobie wszystko działa, a jak się coś zepsuje to się ściąga przypadkowe osoby, niekoniecznie ogarniające temat. To jest dramat, ale bez zmian systemowych nic się nie zmieni.
 
2018-11-07 11:32:25
kol : Wcale mnie ten raport nie dziwi. I tak jest nie tylko w GOPS-ach.

Jeśli nadal w administracji samorządowej informatycy będą zarabiać w granicach 2400 netto to czego tu oczekiwać? Podnoszenia kwalifikacji też nikt nie proponuje, gdzie specjalistyczne szkolenia? Z sieci nie wszystko można się wyuczyć. Jak już jest w takim GOPS czy Urzędzie informatyk to nie oszukujmy się kto idzie do takiej pracy za 2 tys netto ? Jaka płaca taki raport może wreszcie ktoś to zrozumie – hmmm jednak sam w to już nie wieżę.
 
2018-11-07 11:25:11
Tak na zrowy rozsądek: Cyt. "Izba podkreśla, że zmiany są konieczne, bo w obecnym stanie rzeczy przechowywane przez samorządy dane o obywatelach "mogą w każdej chwili zostać przejrzane, przejęte lub zniszczone".
Ja bym nie dramatyzował. Każdy urząd przez wiele lat pracy nie miał włamania, kradzieży... i zaglądania w papiery. Nic niedobrego się nie dzieje. Nie trzeba zakładać krat i szaf pancernych aby "spełnić wymogi RODO" Nie dajmy się w tej ochronie danych osobowych zwariować.
 
2018-11-07 07:39:15
Jan Ryś: Czy w Mongolii też mają RODO? Jak nie mają to się tam na resztę życia wyprowadzam.
 
newsletter

TAGI

PARTNERZY 


  Związek Gmin Wiejskich  

KONTAKT
Polska Agencja Prasowa SA
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (+48 22) 509 22 22
Faks: (+48 22) 509 22 34
REDAKCJA SERWISU SAMORZĄDOWEGO PAP
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (22) 509 23 67
Faks: (22) 509 23 72, (22) 509 22 20
e-mail: samorzad@pap.pl
e-mail klubowy: klub@pap.pl
DZIAŁ SPRZEDAŻY I OBSŁUGI KLIENTA
Adam Michrowski
Tel.: (22) 509 29 47
Kom.: 516 363 056
a.michrowski@pap.pl
PAP Copyright © PAP SA 2013 .
Redakcja  |  O portalu  |  Licencje  |  Polityka Prywatności  |  v 1.4.25