Chociaż powstanie i upowszechnienie internetu niesie za sobą liczne zalety, nie należy zapominać o niebezpieczeństwach związanych z funkcjonowaniem w wirtualnym świecie. Za sprawą internetu powstała nowa nieznana dotąd kategoria zagrożeń, takich jak: cyberterroryzm, kradzież danych, wojna informacyjna. W związku z tym dążenie do zapewnienia bezpieczeństwa w tym obszarze stało się priorytetem większości państw na świecie.

Coraz częstsze wykorzystywanie przez organy administracji publicznej nowoczesnych rozwiązań technologicznych wymusza zapewnienie odpowiedniego poziomu bezpieczeństwa danych przetwarzanych w systemach teleinformatycznych. Systematyczna kontrola pozwala na zweryfikowanie poprawności i rzetelności ich pracy. Na tym tle NIK przeprowadził kontrolę w sześciu organach administracji rządowej. Wśród podmiotów objętych kontrolą znalazły się:

1) Ministerstwo Skarbu Państwa,

2) Ministerstwo Spraw Wewnętrznych,

3) Ministerstwo Sprawiedliwości,

4) Komenda Główna Straży Granicznej,

5) Narodowy Fundusz Zdrowia,

6) Kasa Rolniczego Ubezpieczenia Społecznego.

W toku kontroli dążono do ustalenia, czy organy administracji publicznej we właściwy sposób zabezpieczają dane przetwarzane w systemach teleinformatycznych, czy i w jaki sposób został wdrożony System Zapewnienia Bezpieczeństwa Informacji, a także w jaki sposób organy państwowe zabezpieczają dane, którymi administrują.

Raport za 2015 r.

Zainteresowanie NIK stanem bezpieczeństwa danych przetwarzanych przez organy administracji publicznej jest związane z negatywnym raportem, jaki Izba wydała w czerwcu 2015 r. w sprawie bezpieczeństwa RP w cyberprzestrzeni, uznając je za „wysoce niezadowalające”. W raporcie wskazano, że decydenci nie są świadomi zagrożeń związanych z funkcjonowaniem w cyberprzestrzeni. W Polsce brak jest jednolitych mechanizmów zapewniających monitorowanie i przeciwdziałanie zagrożeniom w cyberprzestrzeni. Ponadto działania organów podejmowane w celu zapewnienia bezpieczeństwa mają charakter prowizoryczny, nieskoordynowany i niespójny. Wobec krytycznego raportu, z którego wynika, że Polska nie zapewnia odpowiedniego poziomu bezpieczeństwa w cyberprzestrzeni, powstała wątpliwość, czy instytucje publiczne właściwie chronią dane gromadzone w systemach teleinformatycznych. Niestety, również ten raport okazał się niekorzystny dla kontrolowanych jednostek. W trakcie kontroli ustalono, że „procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i wobec braku procedur – intuicyjny”

Co bada NIK

Najwyższa Izba Kontroli, kontrolując jednostki, brała pod uwagę:

1) sposób zarządzania bezpieczeństwem IT,

2) sposób ochrony przed złośliwym oprogramowaniem,

3) bezpieczeństwo sieciowe,

4) przygotowanie planu zapewniającego bezpieczeństwo,

5) sposób funkcjonowania systemu reagowania na incydenty,

6) sposób zarządzania kluczami kryptograficznymi oraz

7) sposób funkcjonowania procedur związanych z nadawaniem uprawnień dostępu do kontrolowanych systemów.

W zakresie wspierania bezpieczeństwa IT na poziomie wybranego systemu w jednostkach najwyżej został oceniony obszar związany z ochroną technologii zabezpieczeń, a najniżej sposób wymiany danych wrażliwych.

Spośród kontrolowanych podmiotów najwyżej oceniono sposób zabezpieczania danych przez KRUS. Wynika to przede wszystkim z wdrożenia przez jednostkę Systemu Zarządzania Bezpieczeństwem Informacji. Najniższą ocenę otrzymały Ministerstwo Spraw Wewnętrznych oraz Komeda Główna Straży Granicznej.

W ocenie NIK w większości kontrolowanych jednostek działania podejmowane na rzecz zapewnienia bezpieczeństwa danych miały charakter prowizoryczny i fragmentaryczny. Za taki stan rzeczy odpowiedzialna jest przede wszystkim niska świadomość potrzeby zapewnienia bezpieczeństwa, a także przerzucenie w większości przypadków odpowiedzialności na działy IT. Tymczasem niezbędne jest podejmowanie działań długofalowych, mających charakter prewencyjny. W większości jednostek nie opracowano planu zapewnienia bezpieczeństwa, w tych zaś, w których obowiązywał, nie spełniał należytych standardów. W żadnej z jednostek nie stosowano procedury zmiany haseł w komputerach podłączonych do sieci. Pomimo obowiązywania we wszystkich jednostkach procedur związanych z nadawaniem uprawnień dostępu do systemów teleinformatycznych w większości przypadków procedury nie gwarantowały bezpieczeństwa na oczekiwanym poziomie.

W ocenie NIK, wpływ na negatywny wynik kontroli mają nie tylko ograniczone środki materialne i kadrowe, lecz także brak wypracowania jednolitych standardów dotyczących kontrolowania, nadzorowania i uaktualniania obszarów związanych z bezpieczeństwem systemów teleinformatycznych. Prawidłowe zapewnienie bezpieczeństwa powinno uwzględniać w ocenie NIK cztery nierozerwalnie związane ze sobą procesy: planuj, wykonaj, sprawdzaj, doskonal.

Raport za 2016 r.

Wyniki raportu są zbliżone do wyników kontroli z 2015 r. dotyczącego bezpieczeństwa w cyberprzestrzeni. Podstawowy wniosek, jaki nasuwa się po ich analizie, sprowadza się do oceny działalności organów administracji publicznej jako niespójnej, chaotycznej i prowizorycznej. Polska obecnie nie jest w stanie samodzielnie skutecznie bronić się przed zagrożeniami z cyberprzestrzeni. Wpływ na taki stan rzeczy ma niewątpliwie brak jednolitych wytycznych w tym zakresie. Każdy organ administracji podejmuje samodzielne inicjatywy, które nie mają charakteru kompleksowego. Niezbędne jest wyznaczenie wspólnych ram, jednakowych dla wszystkich podmiotów. W tych zaś jednostkach, w których podejmuje się próby wdrożenia odpowiednich procedur, podczas kontroli wykryto liczne braki. Wpływ na taki stan rzeczy ma niewątpliwie brak właściwego przygotowania pracowników administracji publicznej do poruszania się w wirtualnym świecie. Przeprowadzone kontrole uświadomiły, że przedstawiciele organów administracji nie zdawali sobie sprawy, jak niebezpieczne jest funkcjonowanie w cyberprzestrzeni. W związku z tym warto tę wiedzę poszerzyć poprzez szerokie kampanie uświadamiające, czym jest wirtualny świat i w jaki sposób korzystać z jego zasobów. Dodatkowo, wiedza ta powinna zostać wzbogacona o szkolenia, podczas których pracownicy nauczyliby się w jaki sposób reagować w przypadku wystąpienia zagrożenia i jak skutecznie się chronić przed ich wystąpieniem. Zagrożenia związane z funkcjonowaniem w wirtualnym świecie mają charakter globalny, a kwestia zapewnienia bezpieczeństwa w tym obszarze stanowi wyzwanie dla każdego państwa. Przeprowadzane kontrole uświadamiają nam, że również Polska zobowiązana jest do podjęcia stosownych kroków. Liczne deklaracje w tym zakresie nie przekładają się na konkretne rozwiązania prawne. Należy mieć świadomość, że nie jesteśmy w stanie całkowicie zabezpieczyć się przed zagrożeniami w cyberprzestrzeni, niemniej jednak możliwe jest ich ograniczenie poprzez mechanizmy sprawnego przeciwdziałania, czy też reagowania w przypadku zaistnienia zagrożenia.