Podczas konferencji 18-19 maja 2016 "Bezpieczeństwo danych w sektorze publicznym", zorganizowanej przez Polskie Towarzystwo Informatyczne w ramach obchodów Światowego Dnia Społeczeństwa Informacyjnego przedstawiono wyniki badania PTI dotyczącego stanu bezpieczeństwa IT w administracji samorządowej. Badanie przeprowadzono w 2015 roku na grupie 339 instytucji od urzędów marszałkowskich po urzędy gminne. Miało ono odpowiedzieć na pytanie jak wygląda zgodność systemów IT oraz systemu do zarządzania bezpieczeństwem informacji w urzędach z przepisami Rozporządzenia Rady Ministrów z 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Wyniki badania przedstawił Przemysław Jatkiewicz, rzeczoznawca PTI, audytor ISO 27001i biegły sądowy w zakresie informatyki obejmującej zagadnienia bezpieczeństwa informacji. Badanie wykazało, że zaniechania dotyczące bezpieczeństwa są w samorządach znaczące.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom

Jest to niepokojące, ponieważ administracja samorządowa stanowi najliczniejszą grupę instytucji (2500 urzędów wraz z jednostkami pomocniczymi), gdzie gromadzone są ogromne ilości istotnych informacji. Straty, jakie mogą wiązać się z naruszeniem bezpieczeństwa mogą być znaczne. Szacuje się, iż wartość pojedynczego rekordu zawierającego podstawowe dane osobowe (imię, nazwisko, telefon lub adres e-mail) wynosi 50-60 gr. Ta niewielka suma pomnożona przez liczbę mieszkańców średniego miasta daje dziesiątki, albo nawet setki tysięcy złotych. Pieniądze takie stanowić mogą pokusę nie tylko dla przestępców, ale też dla nieuczciwych urzędników.

Polityka bezpieczeństwa, ocena ryzyka i rejestry incydentów

Polityki bezpieczeństwa posiada aż 88% urzędów i byłaby to optymistyczna wiadomość, gdyby nie to, że 62% z nich jest już nieaktualnych. Skąd taka duża liczba? Ponieważ ostatnie zmiany w ustawie z 29 sierpnia 1997 roku o ochronie danych osobowych, wniesione ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, obowiązują od 1 stycznia 2015 roku, uznano, że wszystkie polityki wydane przed rokiem 2014 i nieaktualizowane w latach 2014-2015 są już nieaktualne.

Mimo iż urzędy zobowiązane są do przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji to analizę taką przeprowadziło tylko 23,89% z nich (81 jednostek), a aktualnych było jedynie 61 analiz.

Krajowe Ramy Interoperacyjności wymagają: „bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących”. Wszystkie incydenty powinny być więc rejestrowane, jednak rejestr taki prowadzi jedynie 53,69% badanych jednostek samorządowych. W ponad 39% przypadkach rejestry były puste, gdyż nie odnotowano w nich żadnego incydentu. Aktualny rejestr posiadało tylko 14% urzędów. Nie znaczy to, że naruszenia bezpieczeństwa nie występują na poziomie jednostek samorządu terytorialnego. Cześć incydentów była na tyle poważna, iż 13 urzędów zgłosiło je do zespołu CERT, Agencji Bezpieczeństwa Wewnętrznego lub prokuratury.

Grzechy inwentaryzacji i trudy normalizacji

Jeśli chodzi o obowiązkową inwentaryzację aktywów teleinformatycznych sytuacja także nie wygląda najlepiej. Wykonało ją tylko 159 urzędów (46,9%). Przy czym aktualną, a więc nie starszą iż dwuletnią inwentaryzację posiadały 103 jednostki (30,38%).

Wiarygodną i aktualną inwentaryzację posiadało jedynie 3,54% badanych organizacji.

Według wytycznych KRI urzędy powinny zapewniać szkolenia osób zaangażowanych w proces przetwarzania informacji w zakresie stosowania odpowiednich norm. Badane jednostki przeszkoliły w zakresie normy PN-ISO/IEC tylko 11% zatrudnionych (niektórzy urzędnicy byli jednak szkoleni z kilku norm).

Nie są również kupowane stosowane certyfikaty. Badane urzędy zakupiły łącznie 31 norm, przy czym najmniejszym zainteresowaniem cieszyła się norma PN-ISO/IEC 20000, dotycząca zarządzana usługami realizowanymi przez systemy teleinformatyczne. Aż 91% urzędów (309 jednostek), nie zakupiła ani jednej z nich.

Nie lepiej wygląda też kontrola zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa. Jedynie 7 urzędów przeprowadziło audyt na zgodność z normą PN-ISO/IEC 20000 (standard dla zarządzania usługami IT). Audyt dotyczący normy PN-ISO/IEC 27001 (standard zarządzania bezpieczeństwem informacji) wykonały 24 organizacje. Znacznie mniej uzyskało certyfikat, odpowiednio 3 i 10 urzędów przy czym 2 certyfikaty zarówno na zgodność z normami PN-ISO/IEC 20000 jak i PN-ISO/IEC 27001 posiadały tylko 2 urzędy.

Trudno natomiast dopatrzyć się zaniechań urzędów w kwestii ochrony danych osobowych - niemal wszystkie posiadają politykę bezpieczeństwa dotyczącą ochrony tychże danych Zdaniem autora raportu jest to wynik popularyzacji przez GIODO (Generalnego Inspektora Ochrony Danych Osobowych) przepisów i kontroli ich przestrzegania.

Rejestry incydentów bezpieczeństwa prowadzone przez jednostki samorządowe

(źródło: PTI)

Inwentaryzacje aktywów teleinformatycznych w badanych instytucjach

(źródło: PTI)

Szkolenia w zakresie stosowania norm PN-ISO/IEC

(źródło: PTI)