W poniedziałek Najwyższa Izba Kontroli opublikowała raport „NIK o usługach publicznych dla obywateli z wykorzystaniem platformy ePUAP” przedstawiający wyniki przeprowadzonej w 2020 r. kontroli obejmującej 28 urzędów miast i gmin z siedmiu województw oraz Ministerstwo Cyfryzacji i Centralny Ośrodek Informatyki. Kontrola objęła okres od 1 stycznia 2016 r. do 5 listopada 2020 r.

NIK o JST: cyberbezpieczeństwo i informacja o e-usługach do poprawy

W kontrolowanych jednostkach samorządu terytorialnego NIK sprawdziła m.in. kwestię blokowania bądź odbierania uprawnień dostępu do systemów informatycznych byłym pracownikom. Badanie przeprowadzono na próbie 441 pracowników, którzy zakończyli zatrudnienie w okresie objętym kontrolą. Stwierdzono, że w dziewięciu urzędach konta 59 byłych pracowników były wciąż aktywne. Zgodnie z prawem takie uprawnienia powinny być odebrane bezzwłocznie. W jednym z urzędów w przypadku 11 pracowników zwłoka wynosiła od 59 do 931 dni.

W trakcie kontroli ustalono też, że ok 10 proc. pracowników objętych innym badaniem miało możliwość zainstalowania na komputerach dowolnego oprogramowania, mimo że nie byli pracownikami służb informatycznych. Taka sytuacja może grozić nieświadomym zainstalowaniem złośliwego oprogramowania np. w czasie przeglądania stron internetowych.

Skontrolowane urzędy udostępniały obywatelom od 10 do 232 usług na platformie ePUAP, a sprawy wniesione drogą elektroniczną załatwiane były bez zarzutu. Świadczenie przez jednostki samorządu terytorialnego e-usług, poza wyjątkami wynikającymi z ustaw, nie jest obligatoryjne, jednak zdaniem NIK, należy dążyć do zwiększenia liczby udostępnianych e-usług, biorąc pod uwagę sprawy najczęściej załatwiane przez obywateli.

Tylko w jednym urzędzie nie podejmowano żadnych działań w celu informowania obywateli o możliwości załatwienia spraw drogą elektroniczną, co NIK oceniła jako nierzetelne. W dziewięciu urzędach informacje o możliwości załatwienia spraw drogą elektroniczną były niekompletne, mało czytelne i trudne do odnalezienia na stronach internetowych tych urzędów. Zdaniem NIK, brak skutecznych sposobów informowania o możliwości obsługi interesantów przez Internet może być jedną z przyczyn ograniczonego zainteresowania możliwością korzystania z usług publicznych w formie elektronicznej. NIK zwraca uwagę na potrzebę szerszego informowania o możliwościach i zakresie e-usług.

W 16 skontrolowanych urzędach brak było Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Opracowane i wdrożone w tych jednostkach regulacje nie obejmowały wszystkich informacji jakie są przetwarzane w urzędzie, lecz dotyczyły głównie ochrony danych osobowych. Kontrolowani w wyjaśnieniach wskazywali m.in., że planowane są, bądź zostały podjęte prace dla przygotowania SZBI, w tym polityki bezpieczeństwa informacji.

W 11 urzędach brakowało pełnej i aktualnej informacji o posiadanych zasobach informatycznych do przetwarzania danych. W siedmiu z tych urzędów, w których wykorzystywano oprogramowanie do ewidencjonowania sprzętu i oprogramowania wraz z ich konfiguracją, stwierdzono, że ewidencja była niepełna lub dane w niej zawarte były nierzetelne. W czterech pozostałych spis urządzeń informatycznych prowadzono w formie arkusza danych lub wykazów papierowych. NIK wskazuje, że zakres informacji dostępnych w papierowym rejestrze zasobów informatycznych jest niewystarczający, gdyż nie zawiera aktualnych, pełnych informacji o posiadanych zasobach informatycznych, w tym ich rodzaju i konfiguracji. Oznacza to, że nie będzie możliwe sprawne odtworzenie infrastruktury informatycznej w przypadku katastrofy lub innego zdarzenia losowego.

W aż 16 urzędach nie przeprowadzono obowiązkowych audytów bezpieczeństwa informacji. W połowie z nich audyt nie został przeprowadzony w całym okresie objętym kontrolą, natomiast w pozostałych ośmiu audyt taki nie był przeprowadzany corocznie, lecz rzadziej.

W 12 jednostkach, w których przeprowadzono coroczny audyt, sformułowano rekomendacje dotyczące wzmocnienia bezpieczeństwa przetwarzania informacji. Jako konieczne wskazywano wsparcie ze strony kierownictwa w działaniach zapewniających bezpieczeństwo informacji urzędu i zasobów IT, jako infrastruktury krytycznej dla działań IT.

Zalecenia NIK dla JST

We wnioskach pokontrolnych skierowanych do prezydentów miast, burmistrzów i wójtów NIK zarekomendowała, by zwrócili oni uwagę na zapewnienie bezpieczeństwa informacji w urzędach, w szczególności na:

•    Opracowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji, a w szczególności polityki bezpieczeństwa informacji.

•    Prowadzenie i bieżące aktualizowanie ewidencji posiadanych zasobów informatycznych wraz z ich konfiguracją.

•    Zapewnienie niezwłocznego blokowania dostępu i odbierania uprawnień do systemów informatycznych pracownikom, którzy zakończyli zatrudnienie w urzędzie.

•    Zapewnienie przynajmniej raz w roku okresowego audytu bezpieczeństwa informacji.

W efekcie kontroli NIK stwierdziła też nieprawidłowości w zarządzaniu przez Ministerstwo Cyfryzacji i Centralny Ośrodek Informatyki systemami Elektronicznej Platformy Usług Administracji Publicznej
(ePUAP) i Profil Zaufany (PZ).

Zbyt niska dostępność Profilu Zaufanego oraz platformy ePUAP

Zdaniem NIK resort cyfryzacji nie zapewnił niezależnej oceny prawidłowości przygotowanych przez Centralny Ośrodek Cyfryzacji (COI) kalkulacji zwiększających koszty umowy na utrzymanie i rozwój ePUAP. W rezultacie zawartego aneksu do umowy dotyczącej m.in. utrzymania i rozwoju ePUAP oraz profilu zaufanego, maksymalne wynagrodzenie COI wzrosło o prawie 70 mln zł. Do kontroli nie przedłożono żadnych dokumentów potwierdzających przeprowadzenie weryfikacji wyceny przez pracowników ministerstwa lub przez niezależnych od COI ekspertów zewnętrznych. Zdaniem NIK brak takiej wyceny i bazowanie wyłącznie na kalkulacji sporządzonej przez wykonawcę usługi było działaniem nierzetelnym.

Według NIK nieprawidłowo przygotowano też zasady obliczania dostępności ePUAP oraz PZ w umowach między ministerstwem a COI. W umowach na utrzymanie tych systemów dostępność określono na poziomie 98 proc. dla systemu ePUAP oraz 99 proc. dla PZ, co oznacza możliwość zaistnienia całkowitej niedostępności ePUAP przez 7,3 dnia w ciągu roku oraz systemu PZ przez 3,6 dnia w roku. Tymczasem w opinii NIK, systemy ePUAP i PZ, z uwagi na istotne znaczenie dla obywateli i dla funkcjonowania administracji publicznej, powinny mieć gwarantowaną w umowach dostępność o wartości zbliżonej do bankowych systemów informatycznych, tj. 99,9 proc., co jest szczególnie ważne w trakcie epidemii COVID-19.

Kolejną nieprawidłowością w zarządzaniu systemami było niepełne wdrożenie w COI Systemu Zarządzania Bezpieczeństwem Informacji. COI nie przeprowadził też kompletnych testów bezpieczeństwa ePUAP i PZ. W opinii NIK przeprowadzenie pełnych testów jest niezbędne dla potwierdzenia, że użytkowane systemy są bezpieczne. Natomiast przyjęte przez COI rozwiązania techniczne i organizacyjne zapewniają zdaniem NIK ciągłość działania systemów ePUAP i PZ w sytuacji wystąpienia znaczącej awarii lub katastrofy.

mam/