Chociaż podstawowe systemy zabezpieczeń stosowane są w administracji publicznej powszechnie, to jednak w wielu urzędach temat bezpieczeństwa informacji nie jest dobrze rozpoznany.

Dbanie o bezpieczeństwo informacji w systemach IT jest dużym wyzwaniem, gdyż w czasach szybko rozwijających się i zmieniających technologii, wielu użytkownikom trudno jest za tymi zmianami nadążyć. Wiele nowych działań i zachowań związanych z korzystaniem z nowych technologii nie jest oczywistych nawet dla dość zaawansowanych użytkowników - w konsekwencji dbanie przez nich o bezpieczeństwo jest trudne. Z drugiej strony, stosowanie różnego rodzaju zabezpieczeń technicznych wymaga tego, aby w danej instytucji były osoby, które na tej problematyce się znają, a z tym nie zawsze jest dobrze. Wskazuje na to m.in. duży odsetek odpowiedzi "nie wiem" na niektóre pytania w badaniu Computerworld. W kontekście tego, że ankietę wypełniały osoby odpowiedzialne za bezpieczeństwo IT, świadczy to o poważnych problemach z dbaniem i/lub koordynowaniem zagadnień bezpieczeństwa informacji.

Wyraźnie lepiej dbają o bezpieczeństwo te jednostki administracji, w których istnieje wydzielona jednostka organizacyjna zajmująca się bezpieczeństwem. Prawdopodobnie już samo dostrzeżenie problemu bezpieczeństwa IT i uznanie istotności dbania o nie, przynosi pozytywne efekty. Odsetek takich instytucji jest jednak niewielki.

Nie wszystkie jednak działania mające na celu podniesienie poziomu bezpieczeństwa przynoszą efekty. Szczególnie ważnym przykładem jest tu prowadzenie szkoleń dla pracowników z zakresu bezpieczeństwa informacji. W co trzeciej badanej instytucji przeszkoleni zostali wszyscy bądź zdecydowana większość pracowników, żadnych szkoleń nie przeprowadzono w prawie 30% instytucji. Okazuje się jednak, że prowadzenie szkoleń i odsetek przeszkolonych pracowników nie są w żaden sposób powiązane z faktem występowania naruszeń bezpieczeństwa spowodowanych błędami ludzkimi. Wyniki badania pokazują, iż szkolenie pracowników w żaden sposób nie przyczyniło się do podniesienia poziomu bezpieczeństwa teleinformatycznego. Nie oznacza to, że prowadzenie szkoleń zupełnie nie ma sensu - najprawdopodobniej szkolenia są robione w sposób zły bądź niewystarczający.

Dobre samopoczucie

Można odnieść wrażenie, iż wiele jednostek administracji publicznej wydaje się bagatelizować problem bezpieczeństwa informacji. Po części jest to efekt ogólnego, społecznego nastawienia, które nie sprzyja, by dbanie o tę sferę było traktowane wystarczająco poważnie. Dotychczas zdarzające się i nagłaśniane przypadki naruszeń to przede wszystkim włamania do serwisów internetowych urzędów. Polegały one głównie na zmienianiu treści tychże stron. Publiczna reakcja na takie działania nie przybierała raczej poważnego charakteru i nie wywoływała większej debaty o stanie bezpieczeństwa informacji.

Być może sytuacja ulegnie zmianie, kiedy przejęte zostaną ważne informacje czy dane. Wtedy też reakcja opinii publicznej może być już zupełnie inna. Wydarzenia, takie jak zeszłoroczne zagubienie w Wielkiej Brytanii danych osobowych 25 mln osób uprawnionych do otrzymywania zasiłku wychowawczego na dzieci, są groźne nie tylko z powodu możliwości nielegalnego wykorzystania tych danych, ale również ze względu na utratę wiarygodności instytucji.

Mogłoby się wydawać, że problematyka bezpieczeństwa w sieciach teleinformatycznych administracji publicznej, jako obszar stosunkowo nowy, wymaga wymiany informacji i wiedzy o zagrożeniach oraz doświadczeń w zapobieganiu im i zwalczaniu. Niestety, panuje tutaj całkiem inny model zachowań. Naruszenia bezpieczeństwa często się bagatelizuje, bardzo silna jest również tendencja do nieinformowania innych jednostek (także zwierzchników) o problemach. Wyraźnie widoczny jest brak współpracy jednostek administracji publicznej między sobą oraz z innymi organizacjami zajmującymi się bezpieczeństwem. Przekonanie, że jednostka poradzi sobie sama, jest oczywiście wygodne z punktu widzenia pracowników zajmujących się bezpieczeństwem informacji. Niechęć do współpracy jest jednak bardzo poważną barierą w rozprzestrzenianiu się wiedzy o zagrożeniach i dobrych praktyk w przeciwdziałaniu im.

Mądrzy przed szkodą

Należy podkreślić, że zapewnienie bezpieczeństwa informacji w administracji jest problemem wielopoziomowym. Możemy wyróżnić cztery podstawowe grupy problemów. Dotyczą one: świadomości i uznania wagi problemu bezpieczeństwa informacji; wiedzy i odpowiednich kompetencji osób odpowiedzialnych i pracowników; działań na rzecz wykrywania i ścigania sprawców naruszeń; skłonności do współdziałania z innymi jednostkami w celu poprawy bezpieczeństwa. Badanie Computerworld pokazało, że we wszystkich tych obszarach jest jeszcze wiele do zrobienia.

Wiele instytucji administracji publicznej wydaje się nie postrzegać dbania o bezpieczeństwo informacji za istotne zagadnienie. Umiejscowienie odpowiedzialności za ten obszar w strukturze organizacyjnej jest bardzo różne. Wyraźnie widoczne są przypadki braków w wiedzy osób odpowiedzialnych za bezpieczeństwo oraz nieskuteczność szkoleń prowadzonych z tego zakresu. Działania na rzecz wykrycia sprawcy są rzadkie, a jeszcze rzadziej ma miejsce zgłaszanie przypadków naruszeń do organów ścigania. Ewidentny jest również brak skłonności do współpracy pomiędzy jednostkami, tendencja do niedzielenia się informacją o naruszeniach bezpieczeństwa i niechęć do korzystania z zewnętrznej pomocy.

Osobiście mam nadzieję, że badania przeprowadzone przez Computerworld przyczynią się do podniesienia poziomu bezpieczeństwa informacji w administracji publicznej. Jeśli nie zadba się o to teraz, to można spodziewać się, że prędzej czy później zdarzy się jakieś poważne naruszenie bezpieczeństwa. Byłoby jednak dobrze, żebyśmy nie musieli odwoływać się do powiedzenia "mądry Polak po szkodzie".

Dr Dominik Batorski jest socjologiem, pracuje w Interdyscyplinarnym Centrum Modelowania Matematycznego i Komputerowego ICM na Uniwersytecie Warszawskim.