Bezpieczeństwo informacji w administracji publicznej w Polsce
- Computerworld,
- 03.06.2008
Kwestie budżetowe
Sprawy bezpieczeństwa nie są istotną pozycją w budżecie teleinformatycznym większości przebadanych instytucji. Ponad jedna czwarta z nich przeznacza na kwestie związane z bezpieczeństwem informacji (inwestycje, sprzęt, oprogramowanie, usługi, szkolenia) mniej niż 1% swojego budżetu teleinformatycznego. Jedynie 14% instytucji wydaje na bezpieczeństwo powyżej 5% budżetu teleinformatycznego i są to w większości jednostki administracji samorządowej. Warto przy tym zaznaczyć, że 71% badanych instytucji nie wyróżnia w swoim budżecie oddzielnej pozycji na wydatki teleinformatyczne. W tym właśnie należy upatrywać głównej przyczyny, że ponad jedna trzecia respondentów nie była w stanie oszacować udziału wydatków na bezpieczeństwo.
W ramach administracji rządowej budżet na bezpieczeństwo zwykle przydzielany jest centralnie lub przez instytucję nadrzędną. W ramach administracji samorządowej, o ile taka pozycja jest wyróżniona w budżecie, co do zasady jest on przydzielany miejscowo.
Zdecydowana większość, 79% instytucji, nie planuje ubiegania się w ciągu najbliższych pięciu lat o fundusze europejskie na projekty związane z bezpieczeństwem teleinformatycznym. O środki unijne zamierzają starać się tylko jednostki administracji samorządowej.
Zagrożenia i przypadki naruszeń bezpieczeństwa
Respondenci deklarują bardzo niewielką ilość incydentów naruszeń bezpieczeństwa w okresie 12 miesięcy poprzedzających badanie. Można powiedzieć, że - z wyjątkiem ataków złośliwego oprogramowania i błędów ludzkich - są to zjawiska marginalne (przynajmniej według udzielonych odpowiedzi). Wydaje się, że w wielu wypadkach respondenci ulegli pokusie przedstawiania siebie w lepszym świetle. Dwie wyróżniające się kategorie łączy pewna wspólna właściwość - wydają się nie być godzące bezpośrednio w wizerunek osoby odpowiedzialnej za bezpieczeństwo. Szczegółowe wyniki zaprezentowane są na wykresie poniżej.
Tylko 23% badanych instytucji nie wymieniło żadnego przypadku naruszenia bezpieczeństwa w okresie 12 miesięcy poprzedzających badanie. Były to wyłącznie instytucje administracji samorządowej. Częściej te, w których nie ma wydzielonej jednostki zajmującej się bezpieczeństwem IT. Może to więc oznaczać, że brak jest wiedzy o naruszeniach a nie, że takich naruszeń nie ma. Taką interpretację potwierdza również fakt, że w instytucjach, w których nie ma firewalla lub systemu antywirusowego, nie wykryto żadnych przypadków nieuprawnionego dostępu do systemu czy informacji wrażliwych. Rzeczywista skala naruszeń jest więc z pewnością większa. Niezwykle niepokojące wydaje się przekonanie o braku naruszeń wśród osób odpowiedzialnych za tę problematykę, które jednocześnie nie są w stanie w żaden sposób zweryfikować ich zaistnienia.
Co ciekawe, naruszenia bezpieczeństwa polegające na błędach ludzkich nie są w żaden sposób związane z poziomem przeszkolenia pracowników w instytucji. Może to oznaczać, że szkolenia z zakresu bezpieczeństwa informacji nie są odpowiednio prowadzone.
Na pytanie, czy instytucja była obiektem specjalnie ukierunkowanego ataku twierdząco odpowiedziało 21% respondentów. Pozytywne odpowiedzi dominowały w instytucjach administracji rządowej (aż 80% twierdzących), podczas gdy w administracji samorządowej przeważała odpowiedź "nie wiem" (76% jednostek administracji samorządowej). Nieco rzadziej odpowiedź "nie wiem" była podawana przez respondentów z instytucji, w których jest wydzielona jednostka zajmująca się bezpieczeństwem IT, 26% z nich stwierdziło, że ich organizacja była obiektem specjalnie ukierunkowanego ataku.
Działania wobec naruszeń
W odpowiedziach na pytanie o działania podjęte wobec naruszeń dominują czynności dążące do bezpośredniej poprawy stanu bezpieczeństwa: aktualizacja oprogramowania, dążenie do usunięcia luki w systemie, instalacja dodatkowego oprogramowania czy wprowadzenie nowych procedur. Relatywnie często powiadamiano też kierownictwo. Z drugiej strony, nie zanotowano ani jednego przypadku raportowania do jednostki nadrzędnej, a w badanych jednostkach administracji rządowej również powiadamiania organów ścigania czy organizacji reagujących na naruszenia. Dążenie do identyfikacji sprawcy deklarowano w co czwartej instytucji.
Generalnie, jednostki administracji rządowej oraz te, w których istnieją wydzielone jednostki zajmujące się bezpieczeństwem teleinformatycznym, znacznie częściej podejmowały różnego rodzaju działania wobec wykrytych naruszeń. Przykładowo, działania na rzecz wykrycia sprawcy naruszeń podjęto w 60% jednostek administracji rządowej i ponad połowie instytucji, w których jest specjalna jednostka odpowiadająca za bezpieczeństwo teleinformatyczne. Jedynym, acz niezwykle znaczącym wyjątkiem jest fakt, że instytucje administracji rządowej nie informują o naruszeniach ani organów ścigania, ani innych jednostek.
W 18% instytucji administracji samorządowej, w których zanotowano naruszenia, nie podjęto wobec nich żadnych działań. Takie sytuacje nie miały miejsca w administracji na szczeblu rządowym, gdzie wszystkie jednostki, w których zanotowano naruszenia, podejmowały jakieś działania.
Doniesienie do organów ścigania zostało złożone przez zaledwie sześć spośród badanych instytucji, z czego w jednej sprawie toczy się postępowanie (postawiono zarzuty), dwie umorzono z powodu niewykrycia sprawcy, jedną z uwagi na niską szkodliwość, a co do szóstej brak jest danych.
Głównym powodem niepowiadamiania organów ścigania było przeświadczenie o braku istotnych naruszeń (26% badanych instytucji). W pytaniu tym zanotowano też bardzo wysoki odsetek braków danych (aż 43%). Spośród przedstawionych respondentom powodów, jako najbardziej istotne wskazywano niewielką szkodliwość oraz przeświadczenie, że wewnętrzne procedury są wystarczające. Troska o wizerunek wskazywana jest jako najmniej istotna przyczyna (oprócz bliżej nieokreślonej kategorii inne), choć nie wydaje się to być wynikiem wiarygodnym. Brak wiary w zainteresowanie się sprawą przez organy ścigania i brak wiary w ich skuteczność nie są wskazywane jako szczególnie istotne.