Była to pierwsza w historii kontrola NIK w całości poświęcona zarządzaniu oprogramowaniem w jednostkach administracji publicznej, a jej wyniki wykazały bardzo poważne zaniedbania.

W 88 proc. skontrolowanych jednostek kontrola stwierdziła oprogramowanie nieautoryzowane, które nie powinno być zainstalowane lub użytkowane – np. bez wymaganych licencji, bez wsparcia producenta czy w nieaktualnych wersjach, a nawet niebezpieczne. W niemal połowie (47 proc.) podmiotów jego stan poważnie zagrażał bezpieczeństwu informatycznemu jednostki - stwierdzono nawet przypadki instalowania programów bez poprawek krytycznych.

41 proc. podmiotów korzystało z oprogramowania użytkowanego nielegalnie, taki sam procent – z niedopuszczonego do korzystania w danym urzędzie. Niewiele mniej, bo 35 proc. jednostek dysponowało aplikacjami wycofywanymi z powodu kresu używalności.

Żaden ze skontrolowanych podmiotów nie potwierdził, że na bieżąco i skutecznie sprawdza stacje robocze i udostępnione udziały sieciowe użytkowników pod kątem obecności nieautoryzowanego oprogramowania. Większość jednostek deklarowała stosowanie blokady możliwości samodzielnego instalowania oprogramowania jako optymalnego mechanizmu kontrolnego. Niemniej o braku skuteczności powyższego sposobu działania świadczy fakt zdiagnozowania w toku kontroli NIK nieautoryzowanego oprogramowania.

Oprogramowanie na urządzeniach mobilnych pozostawało zupełnie poza nadzorem. Żadna z jednostek nie zapewniła rozwiązań technicznych do monitorowania tego rodzaju oprogramowania, nie zadbała także o stosowne działania organizacyjne. Część podmiotów nie miała świadomości zagrożeń i konsekwencji związanych z instalowaniem i użytkowaniem oprogramowania na urządzeniach mobilnych, uznając, że służą one użytkownikom wyłącznie do prowadzenia rozmów telefonicznych, co nie tylko narażało jednostki na kary finansowe, ale również zagrażało bezpieczeństwu przetwarzanych w ten sposób danych.

Aż w 59 proc. przypadków jednostki nie miały pełnej wiedzy co do posiadanego oprogramowania, prowadząc niekompletne spisy programów i licencji. W efekcie nie było możliwe ustalenie rzetelnej liczby faktycznie wykorzystanych, zainstalowanych programów. Powodowało to również brak możliwości ustalenia faktycznego wykorzystania posiadanego oprogramowania.

Niemal żadna jednostka (94 proc.) nie ustanowiła i nie wdrożyła formalnych zasad zarządzania oprogramowaniem, obejmujących cały cykl jego życia i określających np. kwestie nabywania i wycofywania licencji, ewidencjonowania, inwentaryzacji i przeglądów, bezpieczeństwa i nośników instalacyjnych, monitorowania stanu użycia, ważności i legalności licencji, a także potencjalnej konieczności działań naprawczych.

Zakup licencji był dokonywany centralnie: uprawnienia do zakupów licencji albo ich zatwierdzania miała jedna, wyznaczona komórka organizacyjna. W 53 proc. podmiotów stwierdzono na tym etapie nieprawidłowości wskazujące, że proces ten mógł nie być optymalny – m.in. nabyto licencje, które nie były wykorzystywane bądź nawet zainstalowane albo zakupione w liczbie większej, niż faktycznie była potrzebna. Dochodziło np. do zatwierdzania odbioru wadliwego elementu systemu informatycznego czy do nieodnowienia wsparcia licencji. Kontrolerzy stwierdzili przypadki nieprawidłowego planowania i nabywania licencji, co kłóciło się z wymogiem optymalizacji i skutkowało w sumie niegospodarnością sięgającą 12,5 mln zł.

Wśród podmiotów posługujących się zintegrowanymi systemami informatycznymi (ZSI) aż 43 proc. postępowało nieprawidłowo, m.in. naruszając przepisy ustawy o zamówieniach publicznych w zakresie zamówienia w trybie z wolnej ręki czy utrzymując niewykorzystywane moduły oprogramowania. W dziesięciu z nich nie zapewniono możliwości rozbudowy i utrzymania takiego oprogramowania bez ingerencji jego twórcy, co oznaczało pełne uzależnienie od prywatnego licencjodawcy, mogącego wymuszać na podmiocie publicznym długookresową współpracę z pozycji hegemona.

mam/