Profile firm
ARCADIS ARCADISBudownictwo
Sony SonyElektronika
SEG SEGOrganizacje
WHC WHCOrganizacje
Pelion S.A. Pelion S.A.Ochrona Zdrowia
SAP SAPIT
Deloitte DeloitteDoradztwo
Play PlayTelekomunikacja
Zacznij.biz Zacznij.bizOrganizacje

Informacje o obywatelach przechowywane przez instytucje samorządowe nie są bezpieczne

2018.11.07 11:06
Autor:

 

Wszelkie informacje o obywatelach, w tym dane wrażliwe, przechowywane w formie elektronicznej przez jednostki samorządowe, nie są odpowiednio zabezpieczone przed nieuprawnionym dostępem - alarmuje NIK po kontroli na Podlasiu. Dane mogą w każdej chwili zostać przejrzane, przejęte lub zniszczone. Samorządy nie wiedzą nawet, kto ma do nich dostęp, gdyż nie monitorują tych kwestii. Większość skontrolowanych jednostek nawet nie podejmuje działań minimalizujących ryzyko utraty informacji.

 

W województwie podlaskim NIK skontrolowała 31 jednostek samorządowych (urzędy gminy lub miast, starostwa powiatowe i ośrodki pomocy społecznej), by sprawdzić w jaki sposób były chronione elektroniczne zasoby informacyjne.

 

 

W prawie wszystkich skontrolowanych jednostkach poziom bezpieczeństwa systemów informatycznych i usług sieciowych był na niezadowalającym lub na bardzo niskim poziomie. Jedynie w Urzędzie Miejskim w Suwałkach poziom zabezpieczeń odpowiedzialnych za autoryzację dostępu do sieci wykonano profesjonalnie, zasoby informacyjne były właściwie chronione przed nieuprawnionym dostępem, kradzieżą lub utratą, a praca sieci znajdowała się pod pełną kontrolą jej administratora.

 

Dokumentacja i procedury dotyczące ochrony danych w większości skontrolowanych jednostek samorządowych (22 z 31) były niekompletne lub nieaktualne (nawet od ponad 10 lat). Większość podmiotów objętych kontrolą (19) ponadto nie przestrzegała tych przepisów i procedur w kwestii sposobu przechowywania i zabezpieczania danych.  Przechowywane były w miejscach ogólnodostępnych, bez możliwości zamknięcia. Instytucje  nie sporządzały kopii bezpieczeństwa baz danych lub tworzyły je w niewłaściwy sposób (np. nie kopiując wszystkich danych). Zdarzało się, że nośniki, na których zapisywano kopie, przechowywano w tym samym pomieszczeniu co oryginały, co w żaden sposób nie gwarantuje im bezpieczeństwa.

 

Niemal wszystkie skontrolowane jednostki  nie monitorowały dostępu do informacji. Tylko w jednej prowadzono elektroniczny rejestr dostępu, co w przypadku przecieku pozwalało na ustalenie jego źródła. W ponad połowie pracownikom, którzy nie posiadają odpowiednich kwalifikacji ani zadań związanych z zarządzaniem systemami informatycznymi, nadano uprawnienia administratora systemów operacyjnych wykorzystywanych przez nich komputerów. Mieli oni zatem możliwość instalacji dowolnego oprogramowania oraz wprowadzania zmian w konfiguracji tych urządzeń. W ośmiu jednostkach kontrolerzy trafili na przypadki nieodebrania lub odbierania z opóźnieniem byłym pracownikom uprawnień w systemach informatycznych.

 

Z kolei w 12 jednostkach możliwy był  nieautoryzowany dostęp do danych elektronicznych - aby go uzyskać nie trzeba było wpisywać kodów uwierzytelniających lub były one zbyt proste albo ogólnodostępne. Nie przeprowadzano także regularnych audytów wewnętrznych z zakresu bezpieczeństwa informacji, a pracownikom przetwarzającym dane nie zapewniono szkoleń z tego zakresu.

 

Z ustaleń kontroli wynika, że w ponad połowie  skontrolowanych jednostek wykorzystywano systemy operacyjne, dla których producent zakończył udzielanie wsparcia technicznego, a więc nie były publikowane nowe aktualizacje bezpieczeństwa tych systemów. Komputery te stanowiły od 4 do 43 proc. ogółu komputerów w poszczególnych jednostkach. Stanowiło to zagrożenie dla bezpieczeństwa sieci jednostek, w których wykorzystywano takie oprogramowanie.

 

Większość skontrolowanych jednostek (19) nie przeprowadzała okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji. Niektóre z nich przeprowadziły je po raz pierwszy dopiero w 2017 roku. Oznacza to, że nie mają aktualnych informacji o występujących ryzykach w zakresie bezpieczeństwa.

 

W ponad połowie jednostek nie gromadzono bieżących informacji o posiadanym sprzęcie i oprogramowaniu służącym do przetwarzania danych, obejmujących ich rodzaj i konfigurację. Prowadzono wprawdzie ewidencję posiadanych urządzeń na potrzeby rachunkowości, ale nie zawierała ona pełnych danych o sprzęcie, programach i ich konfiguracji.

 

źródło: NIK

Komenatrze
Inne
Polecane
Profile firm z podobnej branży
Redakcja Capital24.tv
Podstawowe informacje:


E-mail:
Fax:
Adres:


+48222128939
Redakcja Capital24.tv
Złota 7/18
00-019 Warszawa

Wiadomości firmowe

Rzeszowska edycja Kongresu 60 Milionów za nami Technologie
Rzeszowska edycja Kongresu 60 Milionów za nami
W dniach 28-30 sierpnia br. W G2A Arena odbyła się kolejna edycja cyklicznego już wydarzenia – Kongres 60 Milionów. więcej
Zarządzanie sferą publiczną
Zarządzanie sferą publiczną
13-14 maja br. w siedzibie Collegium Humanum- Szkole Głównej Menedżerskiej w Warszawie odbywa się Międzynarodowa Konferencja Naukowa więcej
Ambasadorka programu Nad_Zwyczajni będzie motywować Polaków
Ambasadorka programu Nad_Zwyczajni będzie motywować Polaków
Ambasadorka programu Nad_Zwyczajni i Mistrzyni Polski w biegu na 800 metrów Joanna Jóźwik będzie motywować Polaków do walki z więcej
Welconomy Forum in Toruń
Welconomy Forum in Toruń
18-19 marca w Toruniu odbędzie się XXVI edycja Welconomy Forum in Toruń więcej
Największe wydarzenie IT dla studentów i specjalistów w Polsce – Warszawskie Dni Informatyki
Największe wydarzenie IT dla studentów i specjalistów w Polsce – Warszawskie Dni Informatyki
Już 26 i 27 marca (wtorek, środa) odbędzie się X edycja Warszawskich Dni Informatyki więcej