Bezpieczeństwo informacji w administracji publicznej w Polsce
- Computerworld,
- 03.06.2008
Kontrola dostępu do zasobów informacyjnych
We wszystkich organizacjach, oprócz jednej (na poziomie gminnym), stosowane jest logowanie się do komputerów. Logowanie do zasobów sieciowych praktykuje się w 82% instytucji, w tym we wszystkich z przebadanych jednostek administracji rządowej. Użycie systemu monitoringu i kontroli haseł deklaruje nieco ponad połowa (51%) instytucji, ale jedna z instytucji administracji rządowej nie wdrożyła takiego systemu. Niemal wszystkie instytucje, które wprowadziły system kontroli haseł, stosują logowanie do zasobów sieciowych i komputerów.
Rzadziej stosuje się karty elektroniczne lub tokeny, które są wykorzystywane głównie w ramach administracji rządowej (60% przebadanych jednostek administracji rządowej). Zabezpieczenia biometryczne stosowane są bardzo rzadko, jedynie w 5% badanych instytucji, co ciekawe wyłącznie w administracji samorządowej (na wszystkich jej szczeblach). Wszystkie instytucje stosujące zabezpieczenia biometryczne wykorzystują również karty elektroniczne/tokeny.
Stosowanie środków kontroli dostępu jest wyraźnie powiązane z użyciem zabezpieczeń technicznych i środków ochrony kryptograficznej.
Dostęp do zasobów informacyjnych częściej kontrolowany jest w instytucjach administracji rządowej oraz w tych, w których istnieje wydzielona jednostka do spraw bezpieczeństwa teleinformatycznego. W tych ostatnich zawsze stosowane jest logowanie się do komputerów, w prawie wszystkich (91%) do zasobów sieciowych. Wyraźnie częściej występują też wśród tego typu instytucji te, które wykorzystują systemy monitoringu i kontroli haseł, a także inne zabezpieczenia.
Bezpieczeństwo sieci bezprzewodowej
Aż w 61% badanych instytucji nie ma sieci bezprzewodowej (wyraźnie częściej nie jest ona dostępna w jednostkach administracji samorządowej). Wśród tych, w których jest ona wykorzystywana, 23% badanych zadeklarowało, że jest ona zdecydowanie zabezpieczona przed nieuprawnionym dostępem, a 65%, że raczej jest zabezpieczona (odpowiednio 9 i 25% wszystkich badanych jednostek). Należy jednak podkreślić, że są to czysto deklaratywne odpowiedzi, obrazujące przekonania respondentów, a niekoniecznie faktyczną jakość zabezpieczeń. W ramach administracji rządowej wskazane zostały tylko odpowiedzi "raczej tak" (oraz że nie ma sieci bezprzewodowej).
W instytucjach, w których jest wydzielona jednostka organizacyjna zajmująca się bezpieczeństwem informacji, nie tylko częściej jest sieć bezprzewodowa, ale dodatkowo respondenci z tych instytucji deklarują, że jest ona dobrze zabezpieczona (wyłącznie odpowiedzi "zdecydowanie tak" i "raczej tak"). Natomiast respondenci z instytucji, gdzie brak takiej jednostki, częściej uważają, że sieć bezprzewodowa może nie być dobrze zabezpieczona (6% takich instytucji).
Bezpieczeństwo systemu obsługi interesantów
Tylko niecałe 40% badanych instytucji posiadało system obsługi interesantów przez Internet. Trzeba jednak zaznaczyć, że respondenci zapewne w bardzo zróżnicowany sposób rozumieli pojęcie systemu obsługi przez Internet. Wydaje się bowiem mało realne, aby w 38% gmin istniała możliwość załatwienia spraw przez sieć (np. złożenia wniosku). Sytuacja ta będzie jednak coraz szybciej ulegać zmianie, ze względu na obowiązujące przepisy o ochronie danych osobowych, dlatego też poziom zabezpieczeń stosowanych w systemach obsługi interesantów staje się coraz ważniejszym zagadnieniem.
Wśród tych instytucji, które zadeklarowały posiadanie systemu obsługi interesantów, najczęściej występującym zabezpieczeniem jest SSL/TSL (61%), nieco rzadziej stosowane są walidacje formularzy (54%) oraz ochrona przed spamem i robotami (53%). Zdecydowanie rzadziej, w co czwartej instytucji posiadającej system obsługi interesantów przez Internet, występują natomiast systemy z kontrolą prywatności. 40% instytucji deklaruje stosowanie innych metod zabezpieczania systemu obsługi interesantów. Poniższy wykres przedstawia stosowanie zabezpieczeń we wszystkich badanych instytucjach (a nie tylko w tych, które mają system obsługi interesantów).
Stosowanie poszczególnych rozwiązań nie jest zbyt mocno ze sobą powiązane, ale istnieje wyraźny związek pomiędzy ilością wykorzystywanych zabezpieczeń a korzystaniem z opisanych wcześniej technicznych środków przeciwdziałania i wykrywania zagrożeń.
W przypadku zabezpieczeń systemu obsługi interesantów przez Internet związek pomiędzy istnieniem wydzielonej jednostki do spraw bezpieczeństwa teleinformatycznego a stosowanymi metodami nie jest już taki prosty. W przypadku dwóch metod, SSL/TSL i kontroli prywatności, porównanie wypada wręcz na niekorzyść instytucji posiadających wydzieloną jednostkę (aczkolwiek różnica ta jest niewielka), a odsetek instytucji stosujących walidację wypełniania formularzy jest w obu grupach bardzo zbliżony. Zdecydowanie częściej stosowana jest jednak ochrona przed spamem i robotami oraz inne metody zabezpieczeń.
Organizacja
Oprócz środków technicznych, które są stosowane w jednostkach administracji publicznej, dla zapewnienia bezpieczeństwa informacji istotne są również inne czynniki, takie jak organizacja, podział kompetencji i jasno sformułowany zakres obowiązków pracowników, a także posiadane przez nich kompetencje. Znaczenie tych czynników jest znaczące i jak pokazały to powyższe analizy organizacja, a w szczególności wydzielenie osobnej jednostki odpowiedzialnej za bezpieczeństwo teleinformatyczne, ma wpływ na poziom stosowanych zabezpieczeń technicznych. Istnienie niektórych stanowisk narzucają wymogi ustawy o ochronie informacji niejawnej (pełnomocnik ds.ochrony informacji niejawnej, inspektor bezpieczeństwa teleinformatycznego) lub ustawy o ochronie danych osobowych (administrator bezpieczeństwa informacji).
Zdecydowanie najczęściej wskazywaną osobą był administrator systemu teleinformatycznego (58%), wysoko uplasował się również szef działu informatyki (28%), co świadczy o tym, że bezpieczeństwu nie przypisano szczególnej rangi. Ten pierwszy wybór odgrywa dominującą rolę zwłaszcza w administracji samorządowej. Drugą, często wskazywaną (jednak wyraźnie rzadziej) grupę stanowisk stanowią: administrator bezpieczeństwa informacji (29%) i inspektor bezpieczeństwa teleinformatycznego (18%), czyli osoby, odpowiedzialne za realizację dosyć specyficznych wymogów wyżej wskazanych ustaw. Relatywnie często wskazywano też na kierownika jednostki (24%) i jego zastępcę (7%). Pozostałe odpowiedzi były rzadko wybierane.