Bezpieczeństwo informacji w administracji publicznej w Polsce

Kwestie budżetowe

Sprawy bezpieczeństwa nie są istotną pozycją w budżecie teleinformatycznym większości przebadanych instytucji. Ponad jedna czwarta z nich przeznacza na kwestie związane z bezpieczeństwem informacji (inwestycje, sprzęt, oprogramowanie, usługi, szkolenia) mniej niż 1% swojego budżetu teleinformatycznego. Jedynie 14% instytucji wydaje na bezpieczeństwo powyżej 5% budżetu teleinformatycznego i są to w większości jednostki administracji samorządowej. Warto przy tym zaznaczyć, że 71% badanych instytucji nie wyróżnia w swoim budżecie oddzielnej pozycji na wydatki teleinformatyczne. W tym właśnie należy upatrywać głównej przyczyny, że ponad jedna trzecia respondentów nie była w stanie oszacować udziału wydatków na bezpieczeństwo.

Bezpieczeństwo informacji w administracji publicznej w Polsce

Ocena roli instytucji w kształtowaniu polityki i unormowań w zakresie bezpieczeństwa informacji w administracji

Wśród instytucji posiadających wydzieloną jednostkę do spraw bezpieczeństwa teleinformatycznego odsetek tych, w których wydatki na sprawy bezpieczeństwa stanowią ponad 10% budżetu teleinformatycznego, jest cztery razy większy niż wśród tych, które nie mają wydzielonej jednostki. Jednak z drugiej strony, instytucje w których wydatki te stanowią mniej niż 2%, to aż 71% wśród instytucji posiadających wydzielone jednostki, czyli o 10% więcej niż w grupie tych, które takich jednostek nie posiadają. Nie istnieje tu więc żadna wyraźna reguła.

W ramach administracji rządowej budżet na bezpieczeństwo zwykle przydzielany jest centralnie lub przez instytucję nadrzędną. W ramach administracji samorządowej, o ile taka pozycja jest wyróżniona w budżecie, co do zasady jest on przydzielany miejscowo.

Zdecydowana większość, 79% instytucji, nie planuje ubiegania się w ciągu najbliższych pięciu lat o fundusze europejskie na projekty związane z bezpieczeństwem teleinformatycznym. O środki unijne zamierzają starać się tylko jednostki administracji samorządowej.

Zagrożenia i przypadki naruszeń bezpieczeństwa

Respondenci deklarują bardzo niewielką ilość incydentów naruszeń bezpieczeństwa w okresie 12 miesięcy poprzedzających badanie. Można powiedzieć, że - z wyjątkiem ataków złośliwego oprogramowania i błędów ludzkich - są to zjawiska marginalne (przynajmniej według udzielonych odpowiedzi). Wydaje się, że w wielu wypadkach respondenci ulegli pokusie przedstawiania siebie w lepszym świetle. Dwie wyróżniające się kategorie łączy pewna wspólna właściwość - wydają się nie być godzące bezpośrednio w wizerunek osoby odpowiedzialnej za bezpieczeństwo. Szczegółowe wyniki zaprezentowane są na wykresie poniżej.

Tylko 23% badanych instytucji nie wymieniło żadnego przypadku naruszenia bezpieczeństwa w okresie 12 miesięcy poprzedzających badanie. Były to wyłącznie instytucje administracji samorządowej. Częściej te, w których nie ma wydzielonej jednostki zajmującej się bezpieczeństwem IT. Może to więc oznaczać, że brak jest wiedzy o naruszeniach a nie, że takich naruszeń nie ma. Taką interpretację potwierdza również fakt, że w instytucjach, w których nie ma firewalla lub systemu antywirusowego, nie wykryto żadnych przypadków nieuprawnionego dostępu do systemu czy informacji wrażliwych. Rzeczywista skala naruszeń jest więc z pewnością większa. Niezwykle niepokojące wydaje się przekonanie o braku naruszeń wśród osób odpowiedzialnych za tę problematykę, które jednocześnie nie są w stanie w żaden sposób zweryfikować ich zaistnienia.

Bezpieczeństwo informacji w administracji publicznej w Polsce

Ocena przeszkód

Co ciekawe, naruszenia bezpieczeństwa polegające na błędach ludzkich nie są w żaden sposób związane z poziomem przeszkolenia pracowników w instytucji. Może to oznaczać, że szkolenia z zakresu bezpieczeństwa informacji nie są odpowiednio prowadzone.

Na pytanie, czy instytucja była obiektem specjalnie ukierunkowanego ataku twierdząco odpowiedziało 21% respondentów. Pozytywne odpowiedzi dominowały w instytucjach administracji rządowej (aż 80% twierdzących), podczas gdy w administracji samorządowej przeważała odpowiedź "nie wiem" (76% jednostek administracji samorządowej). Nieco rzadziej odpowiedź "nie wiem" była podawana przez respondentów z instytucji, w których jest wydzielona jednostka zajmująca się bezpieczeństwem IT, 26% z nich stwierdziło, że ich organizacja była obiektem specjalnie ukierunkowanego ataku.

Działania wobec naruszeń

W odpowiedziach na pytanie o działania podjęte wobec naruszeń dominują czynności dążące do bezpośredniej poprawy stanu bezpieczeństwa: aktualizacja oprogramowania, dążenie do usunięcia luki w systemie, instalacja dodatkowego oprogramowania czy wprowadzenie nowych procedur. Relatywnie często powiadamiano też kierownictwo. Z drugiej strony, nie zanotowano ani jednego przypadku raportowania do jednostki nadrzędnej, a w badanych jednostkach administracji rządowej również powiadamiania organów ścigania czy organizacji reagujących na naruszenia. Dążenie do identyfikacji sprawcy deklarowano w co czwartej instytucji.

Generalnie, jednostki administracji rządowej oraz te, w których istnieją wydzielone jednostki zajmujące się bezpieczeństwem teleinformatycznym, znacznie częściej podejmowały różnego rodzaju działania wobec wykrytych naruszeń. Przykładowo, działania na rzecz wykrycia sprawcy naruszeń podjęto w 60% jednostek administracji rządowej i ponad połowie instytucji, w których jest specjalna jednostka odpowiadająca za bezpieczeństwo teleinformatyczne. Jedynym, acz niezwykle znaczącym wyjątkiem jest fakt, że instytucje administracji rządowej nie informują o naruszeniach ani organów ścigania, ani innych jednostek.

Bezpieczeństwo informacji w administracji publicznej w Polsce

Odsetek instytucji biorących udział w badaniu

W 18% instytucji administracji samorządowej, w których zanotowano naruszenia, nie podjęto wobec nich żadnych działań. Takie sytuacje nie miały miejsca w administracji na szczeblu rządowym, gdzie wszystkie jednostki, w których zanotowano naruszenia, podejmowały jakieś działania.

Doniesienie do organów ścigania zostało złożone przez zaledwie sześć spośród badanych instytucji, z czego w jednej sprawie toczy się postępowanie (postawiono zarzuty), dwie umorzono z powodu niewykrycia sprawcy, jedną z uwagi na niską szkodliwość, a co do szóstej brak jest danych.

Głównym powodem niepowiadamiania organów ścigania było przeświadczenie o braku istotnych naruszeń (26% badanych instytucji). W pytaniu tym zanotowano też bardzo wysoki odsetek braków danych (aż 43%). Spośród przedstawionych respondentom powodów, jako najbardziej istotne wskazywano niewielką szkodliwość oraz przeświadczenie, że wewnętrzne procedury są wystarczające. Troska o wizerunek wskazywana jest jako najmniej istotna przyczyna (oprócz bliżej nieokreślonej kategorii inne), choć nie wydaje się to być wynikiem wiarygodnym. Brak wiary w zainteresowanie się sprawą przez organy ścigania i brak wiary w ich skuteczność nie są wskazywane jako szczególnie istotne.


TOP 200