NIK: Polskie urzędy bardzo słabo chronią dane osobowe obywateli
Doraźne działania, bez planów, brak profesjonalizmu, brak odpowiednich zabezpieczeń – tak państwowe urzędy chronią dane osobowe Polaków.
Działania realizowane w celu jego zapewnienia są prowadzone opieszale, ad hoc, bez z góry przygotowanego planu. Środki przeznaczane na ten cel są niewystarczające – alarmuje Najwyższa Izba Kontroli (NIK) po skontrolowaniu różnych systemów informatycznych urzędów państwowych (MSW, resortu sprawiedliwości, skarbu, NFZ, Komendy Głównej Straży Granicznej czy Kasy Rolniczego Ubezpieczenia). Już w zeszłym roku opublikowana została informacja o wynikach kontroli, która wykazała, że państwo polskie nie jest przygotowane do walki z zagrożeniami występującymi w cyberprzestrzeni.
Tymczasem najnowszy raport NIK pokazuje, że np. w KRUS stwierdzono rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji. Budowanie systemu powierzono wykonawcy zewnętrznemu, przy czym nie określono sposobu szacowania ryzyka związanego z utratą informacji w sytuacji, w której powierza się dane osobowe firmie zewnętrznej.
W pozostałych wymienionych urzędach zabezpieczenie danych osobowych polegało wyłącznie na doraźnych działaniach, które nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych.
Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia zatrudnionych informatyków. Kontrola wykazała również m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.
Po audytach zebrania specjalistów odbywały się sporadycznie, a przygotowanie zabezpieczeń przebiegało opieszale. W efekcie przy ograniczonych finansach wymuszało to powrót do realizacji jedynie rutynowych zadań.