NIK opublikowała raport z kontroli dotyczącej pracy zdalnej w urzędach. Zdaniem Izby jednostki skoncentrowały się głównie na ochronie danych osobowych. Pozostałe informacje nie były wystarczająco zabezpieczone.
Najwyższa Izba Kontroli sprawdziła m.in. wybrane urzędy gminne i powiatowe województwa warmińsko- mazurskiego w zakresie bezpieczeństwa danych oraz organizacji pracy zdalnej podczas pandemii. Zdaniem NIK kontrolowane jednostki skoncentrowały się głównie na ochronie danych osobowych i nie zadbały wystarczająco o bezpieczeństwo pozostałych informacji.
„System zarządzania bezpieczeństwem informacji w pracy na odległość nie był prawidłowo zorganizowany, gdyż nie zapewniał właściwego poziomu bezpieczeństwa każdego rodzaju danych. Wprawdzie w kontrolowanych jednostkach ustanawiano i wdrażano zasady w tym zakresie, niemniej często nie były one przestrzegane oraz aktualizowane” – czytamy w sprawozdaniu pokontrolnym NIK.
Według Izby niewłaściwie zarządzano bezpieczeństwem informacji, ponieważ w połowie skontrolowanych podmiotów „nie wdrożono wymaganego przepisami rozporządzenia KRI systemu zarządzania bezpieczeństwem informacji (SZBI), w którym należało określić sposób postępowania ze wszystkimi kategoriami przetwarzanych informacji”.
Urzędy nie prowadziły szkoleń pracowników w zakresie bezpieczeństwa informacji a jedynie udostępniały materiały do samokształcenia.
Jak wskazuje Izba połowa kontrolowanych jednostek zezwoliła pracownikom na korzystanie w pracy zdalnej z komputerów prywatnych. Natomiast dostęp do sieci wewnętrznej urzędów uruchomiono za pośrednictwem szyfrowanych połączeń. We wszystkich jednostkach kontrolowanych, w celu zapewnienia bezpieczeństwa informacji w pracy na odległość, stosowano szyfrowane połączenia VPN umożliwiające korzystanie z usług pulpitu zdalnego.
„Oględziny komputerów, które były przeznaczone do pracy zdalnej wykazały jednak, że nie wszystkie ustalone środki i zasady służące ochronie przetwarzanych informacji były stosowane przez kontrolowane urzędy” – czytamy w raporcie.
Zdaniem Izby, niepełne było też monitorowanie pracy zdalnej przez urząd. Pracowników rozliczano przede wszystkim z wykonania powierzonych zadań, natomiast „nie wszystkie zadania określone w regulacjach wewnętrznych związane z monitorowaniem działań mających wpływ na bezpieczeństwo informacji realizowano w pełnym zakresie”.
Kontrola NIK objęła Kancelarię Prezesa Rady Ministrów, Wojewódzki Urząd Ochrony Zabytków, Wojewódzki Inspektorat Farmaceutyczny i Izbę Administracji Skarbowej w Olsztynie, a także 5 urzędów gmin i 2 urzędy powiatowe. Jak wskazuje Izba jednym z kryteriów wyboru instytucji poddanych kontroli były informacje dotyczące zakresu pracy zdalnej w okresie od 8 marca 2020 r. do 31 marca 2021 r. zebrane w 142 urzędach regionu.
mr/