NIK ostro o bezpieczeństwie danych w państwowych firmach
Stosowane przez podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa. Działania realizowane w celu jego zapewnienia są "prowadzone opieszale, bez z góry przygotowanego planu, a środki przeznaczane na ten cel są niewystarczające" - zauważa NIK w wynikach najnowszej kontroli.
Kradzieże bankowe i podszywanie się. Coraz więcej cyberprzestępstw w Polsce
W niemieckiej elektrowni atomowej wykryto wirusy komputerowe
Kontrola ujawniła, że istnieje ryzyko, że działanie istotnych systemów teleinformatycznych zostanie zakłócone, a dane w nich zgromadzone trafią w niepowołane ręce.
Najwyższa Izba Kontroli sprawdziła zabezpieczenia związane z przechowywaniem danych osobowych w takich instytucjach jak m.in. Ministerstwo Skarbu, Ministerstwo Spraw Wewnetrznych i Administracji, Ministerstwo Sprawiedliwości, Narodowy Fundusz Zdrowia i KRUS.
Tylko KRUS należycie zabezpieczony
Wnioski z kontroli, jak zauważył NIK, są "alarmujące". Tylko KRUS w pełni wdrożył System Zarządzania Bezpieczeństwem Informacji. Instytucja ta otrzymała również certyfikat ISO 27001, ale mimo tego NIK wykrył w niej nieprawidłowości - m.in. znalazł rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji.
W pozostałych skontrolowanych jednostkach sytuacja była nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT.
Długa lista zarzutów
Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.
Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.
Chronione są tylko niektóre istotne informacje
W ocenie NIK, stwierdzona w trakcie kontroli praktyka ograniczania zakresu ochrony do jedynie niektórych istotnych informacji może mieć poważne konsekwencje dla właściwego szacowania ryzyka, dzielenia zasobów, a przede wszystkim zapewnienia ciągłości działania instytucji mających istotne znaczenie dla funkcjonowania państwa.
Co więcej, w żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych.
Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.
polsatnews.pl
Czytaj więcej
Komentarze