Systemy ochrony sieci i danych stosowane w państwowych instytucjach nie zapewniają dostatecznego bezpieczeństwa – wynika z raportu Najwyższej Izby Kontroli. W efekcie istnieje ryzyko, że działanie istotnych systemów teleinformatycznych zostanie zakłócone, a zgromadzone dane trafią w niepowołane ręce.
Kontrolą objęto sześć wybranych instytucji: Ministerstwo Skarbu Państwa, Ministerstwo Spraw Wewnętrznych, Ministerstwo Sprawiedliwości, Komendę Główną Straży Granicznej, Narodowy Fundusz Zdrowia oraz Kasę Rolniczego Ubezpieczenia Rolniczego. Kontrolą objęto okres od 1 stycznia 2014 r. do 1 października 2015 r.
Jak zauważa NIK KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. W KRUS, w przeciwieństwie do pozostałych skontrolowanych jednostek, formalnie wprowadzono wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych (było to związane z działaniami podjętymi w celu uzyskania przez KRUS certyfikatu ISO 27001).
Jednakże również w systemie KRUS kontrola wykryła nieprawidłowości w postaci błędów w implementacji norm stanowiących podstawę uzyskania certyfikatu. W ocenie NIK, niektóre z nich były poważne i mogą mieć istotny, negatywny wpływ na wiele procesów bezpieczeństwa IT. Nieprawidłowości dotyczyły m.in. rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji.
W pozostałych skontrolowanych jednostkach sytuacja była znacznie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała m.in.: brak planów bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.
Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.
