Opinie na temat bezpieczeństwa

Jako najważniejsze zagadnienia związane z bezpieczeństwem informacji w administracji publicznej respondenci wskazują: systemy bezpieczeństwa sieciowego, systemy kontroli dostępu i politykę bezpieczeństwa. Nieco niżej oceniane są: architektura systemów bezpieczeństwa i systemy zarządzania bezpieczeństwem oraz prywatność obywateli. Do najmniej ważnych zaliczają się: kontrola działań organów ścigania, prawo i stosowanie narodowej kryptografii.

Jako osoba, która powinna być odpowiedzialna za kształtowanie polityki bezpieczeństwa informacji w administracji, zdecydowanie najczęściej wskazywany jest minister spraw wewnętrznych i administracji, choć bardzo mocno akcentowana jest również rola poszczególnych urzędów w samodzielnym działaniu na rzecz bezpieczeństwa. To ostatnie przekonanie o możliwości kształtowania polityki i unormowań w zakresie bezpieczeństwa informacji w administracji samodzielnie przez poszczególne urzędy dobitnie świadczy o zaobserwowanej już wcześniej tendencji do zamykania się urzędów i niewychodzenia z tą problematyką poza urząd lub nawet osoby zajmujące się ochroną systemów teleinformatycznych.

Za dosyć ważne uznane zostały również: centralny organ właściwy do spraw informatyzacji administracji, wyspecjalizowana komórka podległa ministrowi oraz ABW. Za najmniej ważne respondenci uznali: wyspecjalizowaną jednostkę opartą na partnerstwie publiczno-prywatnym lub organizację (stowarzyszenie) podmiotów administracji publicznej.

Jako główne przeszkody w zapewnieniu bezpieczeństwa informacji w administracji respondenci wskazują problemy związane z organizacją samych jednostek administracji publicznej. Przede wszystkim akcentowana jest słaba świadomość osób kierujących organami administracji w zakresie bezpieczeństwa informacji. Za poważne problemy uznane są też: brak wydzielonej pozycji budżetowej na bezpieczeństwo teleinformatyczne oraz brak szkoleń. Ani problemy prawne, ani tym bardziej dostęp do informacji o zagrożeniach i sposobach rozwiązywania problemów z bezpieczeństwem nie są przez respondentów postrzegane jako istotne problemy.

Metodologia

Badania bezpieczeństwa informacji w administracji publicznej zostały przeprowadzone w dniach 20 marca - 7 kwietnia 2008 roku. Ankietę internetową zamieszczoną na stronach publicstandard.pl wypełnili przedstawiciele 172 jednostek administracji rządowej i samorządowej. Ze względu na wysoki odsetek braków danych 20 jednostek zostało wykluczonych z analizy.

Zrealizowana próba

Spośród prawie 2900 instytucji zaproszonych do udziału w badaniu ankietę wypełniło jedynie 172. Część z nich (dwadzieścia) została jednak wyłączona z analizy ze względu na wysoki odsetek braków danych (ponad 40%). Ankietę wypełniło (bez wyłączonych):

• 3 naczelne organy administracji państwowej (17% spośród 18);
• 2 wojewódzkie jednostki administracji rządowej (13% spośród 16);
• 3 wojewódzkie organy administracji samorządowej (19% spośród 16);
• 29 powiatowych organów administracji samorządowej (8% spośród 379);
• 116 gminnych organów administracji samorządowej (5% spośród 2478).

Skłonność do udziału w badaniu była odmienna w różnych województwach, co również może być związane z większą bądź mniejszą dbałością o sprawy bezpieczeństwa informacji. Największy odsetek odpowiedzi był w województwie śląskim, a zdecydowanie najmniejszy w świętokrzyskim.

Ogólny poziom realizacji wyniósł ~5%, co jest wynikiem typowym dla badań internetowych realizowanych w podobny sposób. Jednocześnie jednak trzeba zauważyć, że wynik ten świadczy o bardzo niskim stopniu zainteresowania tematyką bezpieczeństwa systemów informatycznych w polskiej administracji, co samo w sobie jest wynikiem znaczącym. Odsetek realizacji jest niższy dla administracji samorządowej niż dla rządowej i maleje na niższych stopniach administracji. Zależność ta może wynikać z mniejszego zainteresowania badaną problematyką bezpieczeństwa informacji na poziomie powiatów i gmin.

Liczba zebranych ankiet nie pozwala na uogólnianie wyników dotyczących sytuacji w polskiej administracji w ogóle. Z drugiej strony, można podejrzewać, że otrzymane wyniki są w stosunku do sytuacji całościowej raczej optymistyczne, w tym sensie, że ogólny poziom bezpieczeństwa jest przypuszczalnie niższy, niż będzie to wynikać ze zrealizowanej w badaniu próby. Należy założyć, że skłonność do odpowiadania na pytania ankiety była wyższa wśród jednostek, w których bardziej dba się o bezpieczeństwo informacji. Szczególnie, że rzeczywistych wejść na stronę internetową badania (z użyciem zindywidualizowanego klucza dostępu) było ponad dwa razy więcej niż udziałów w badaniu.

Wypełniający ankietę

W zdecydowanej większości wypadków ankieta była wypełniana przez jedną osobę. W 71% ankiet wybrano tylko jedno z wyróżnionych w pytaniu stanowisk zajmowanych przez respondenta, w 19% zaznaczono dwa z nich, a w pozostałych 10% ankiet trzy lub cztery (to ostatnie wystąpiło tylko w administracji samorządowej). Niestety, na podstawie posiadanych danych nie jest możliwe odróżnienie sytuacji, w której ankietę wypełniało kilka osób, od sytuacji, w której wypełniała ją jedna osoba, ale pełniąca kilka z wymienionych w pytaniu funkcji. Analizując współwystępowanie odpowiedzi, można domyślać się, że częściej miało miejsce to drugie. W wypełnianiu najczęściej uczestniczyli administratorzy systemów teleinformatycznych oraz szefowie działów informatyki. Drugą ważną grupę stanowią administratorzy bezpieczeństwa informacji i inspektorzy bezpieczeństwa teleinformatycznego. Pełne zestawienie prezentowane jest na wykresie.

<hr/>

Założenia merytoryczne

Robert Kośla

Mirosław Maj

Piotr Rutkowski

Krzysztof Silicki

Sławomir Kosieliński

Andrzej Gontarz

Założenia metodologiczne

Dominik Batorski

Przygotowanie ankiety

Dominik Batorski

Piotr Rutkowski

Opracowanie wyników

Dominik Batorski

Tomasz Żółtak

Koordynacja projektu

Andrzej Gontarz