NIK skontrolował urzędników na Podlasiu. Samorządy nie wiedzą co to RODO

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Wszelkie informacje o obywatelach, w tym dane wrażliwe, przechowywane w formie elektronicznej przez jednostki samorządowe, nie są odpowiednio zabezpieczone przed nieuprawnionym dostępem – alarmuje NIK po kontroli na Podlasiu. Dane mogą w każdej chwili zostać przejrzane, przejęte lub zniszczone. Samorządy nie wiedzą nawet, kto ma do nich dostęp, gdyż nie monitorują tych kwestii. Większość skontrolowanych jednostek nawet nie podejmuje działań minimalizujących ryzyko utraty informacji.

W województwie podlaskim NIK skontrolowała 31 jednostek samorządowych (urzędy gminy lub miast, starostwa powiatowe i ośrodki pomocy społecznej), by sprawdzić w jaki sposób były chronione elektroniczne zasoby informacyjne.

W prawie wszystkich skontrolowanych jednostkach poziom bezpieczeństwa systemów informatycznych i usług sieciowych był na niezadowalającym lub na bardzo niskim poziomie. Jedynie w Urzędzie Miejskim w Suwałkach poziom zabezpieczeń odpowiedzialnych za autoryzację dostępu do sieci wykonano profesjonalnie, zasoby informacyjne były właściwie chronione przed nieuprawnionym dostępem, kradzieżą lub utratą, a praca sieci znajdowała się pod pełną kontrolą jej administratora.

nik-bezpieczenstwo-informacji-1-obszar-kontroli

Dokumentacja i procedury dotyczące ochrony danych w większości skontrolowanych jednostek samorządowych (22 z 31) były niekompletne lub nieaktualne (nawet od ponad 10 lat). Większość podmiotów objętych kontrolą (19) ponadto nie przestrzegała tych przepisów i procedur w kwestii sposobu przechowywania i zabezpieczania danych. Przechowywane były w miejscach ogólnodostępnych, bez możliwości zamknięcia. Instytucje nie sporządzały kopii bezpieczeństwa baz danych lub tworzyły je w niewłaściwy sposób (np. nie kopiując wszystkich danych). Zdarzało się, że nośniki, na których zapisywano kopie, przechowywano w tym samym pomieszczeniu co oryginały, co w żaden sposób nie gwarantuje im bezpieczeństwa.

Niemal wszystkie skontrolowane jednostki nie monitorowały dostępu do informacji. Tylko w jednej prowadzono elektroniczny rejestr dostępu, co w przypadku przecieku pozwalało na ustalenie jego źródła. W ponad połowie pracownikom, którzy nie posiadają odpowiednich kwalifikacji ani zadań związanych z zarządzaniem systemami informatycznymi, nadano uprawnienia administratora systemów operacyjnych wykorzystywanych przez nich komputerów. Mieli oni zatem możliwość instalacji dowolnego oprogramowania oraz wprowadzania zmian w konfiguracji tych urządzeń. W ośmiu jednostkach kontrolerzy trafili na przypadki nieodebrania lub odbierania z opóźnieniem byłym pracownikom uprawnień w systemach informatycznych.

Z kolei w 12 jednostkach możliwy był nieautoryzowany dostęp do danych elektronicznych – aby go uzyskać nie trzeba było wpisywać kodów uwierzytelniających lub były one zbyt proste albo ogólnodostępne. Nie przeprowadzano także regularnych audytów wewnętrznych z zakresu bezpieczeństwa informacji, a pracownikom przetwarzającym dane nie zapewniono szkoleń z tego zakresu.

Z ustaleń kontroli wynika, że w ponad połowie skontrolowanych jednostek wykorzystywano systemy operacyjne, dla których producent zakończył udzielanie wsparcia technicznego, a więc nie były publikowane nowe aktualizacje bezpieczeństwa tych systemów. Komputery te stanowiły od 4 do 43 proc. ogółu komputerów w poszczególnych jednostkach. Stanowiło to zagrożenie dla bezpieczeństwa sieci jednostek, w których wykorzystywano takie oprogramowanie.

Większość skontrolowanych jednostek (19) nie przeprowadzała okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji. Niektóre z nich przeprowadziły je po raz pierwszy dopiero w 2017 roku. Oznacza to, że nie mają aktualnych informacji o występujących ryzykach w zakresie bezpieczeństwa.

W ponad połowie jednostek nie gromadzono bieżących informacji o posiadanym sprzęcie i oprogramowaniu służącym do przetwarzania danych, obejmujących ich rodzaj i konfigurację. Prowadzono wprawdzie ewidencję posiadanych urządzeń na potrzeby rachunkowości, ale nie zawierała ona pełnych danych o sprzęcie, programach i ich konfiguracji.

nik-bezpieczenstwo-informacji-2-najczestsze-niebezpieczenstwaNIK zwraca uwagę na niepokojące zjawisko słabego zabezpieczenia informacji w ośrodkach pomocy społecznej, które z natury rzeczy dysponują danymi wrażliwymi. W jednostkach tych stwierdzono prawie wszystkie rodzaje nieprawidłowości dotyczących bezpieczeństwa zasobów, w tym niewłaściwe zarządzanie uprawnieniami użytkowników w systemach operacyjnych, brak okresowych szkoleń, niezapewnienie właściwej autoryzacji przy logowaniu do systemów informatycznych, niewłaściwe wykonywanie i przechowywanie kopii bezpieczeństwa.

nik-bezpieczenstwo-informacji-3-problemy-w-osrodkach-pomocy-spolecznejWiększość z 31 jednostek objętych kontrolą nie przestrzegała obowiązujących do 25 maja 2018 r. przepisów dotyczących rejestracji i aktualizacji zbiorów danych osobowych w GIODO oraz zapewnienia dostępu do nich osobom upoważnionym, a administratorzy danych osobowych i powołani administratorzy bezpieczeństwa informacji w tych jednostkach, nie wywiązywali się z obowiązków związanych z ochroną danych oraz nie podejmowali działań w celu przygotowania się do nowych, obowiązujących od 25 maja 2018 r. uregulowań wynikających z RODO.

nik-bezpieczenstwo-informacji-4-problemy-dane-osobowePrzyczyną powstania nieprawidłowości była marginalizacja przez kontrolowane jednostki zadań związanych z zapewnieniem bezpieczeństwa informacji i ochrony przetwarzanych danych osobowych. Kierownicy jednostek bronili się, wskazując również brak środków na szkolenia i zakup nowej infrastruktury oraz w małych miejscowościach kadry posiadającej odpowiednie kwalifikacje.

Pomimo zmian w zakresie przetwarzania danych osobowych, wynikających z RODO, jedynie w sześciu z (31) jednostek w latach 2017 i 2018 przeszkolono pracowników (głównie administratorów bezpieczeństwa informacji) w tym zakresie.

nik-bezpieczenstwo-informacji-5-zmiany-RODOSkala i istotność stwierdzonych nieprawidłowości rodzi uzasadnione obawy co do przygotowania jednostek objętych kontrolą do wdrożenia regulacji przewidzianych w RODO i ustawie o ochronie danych osobowych, obowiązujących od 25 maja 2018 r.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

AI i prawo autorskie w firmie. Na co muszą uważać przedsiębiorcy?

Prawo autorskie przez lata kojarzyło się głównie z książkami,...

Większość polskich patentów nie jest komercjalizowana. Tylko co czwarty trafia na rynek

Jakie są losy wynalazków po uzyskaniu ochrony patentowej? Które...

AI w księgowości i podatkach. Błędna odpowiedź może słono kosztować

Już 23% firm w Polsce deklaruje wykorzystanie AI w...

Proces wygrany, reputacja przegrana? Jak przedsiębiorca powinien reagować na krytykę influencera

Spór wokół działalności internetowego twórcy Książulo oraz kolejne publiczne...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce zmian w Policji. Chodzi o odciski palców i profile DNA funkcjonariuszy

Prezes Urzędu Ochrony Danych Osobowych domaga się zmiany przepisów...

Reforma ROP do poprawy. Projekt UC100 może naruszać prawo UE

Projekt ustawy o opakowaniach i odpadach opakowaniowych (UC100) wymaga...

Nowa definicja mobbingu – czy pracodawcy rzeczywiście mają się czego obawiać?

Senat przyjął bez poprawek ustawę zmieniającą przepisy Kodeksu pracy...
Coś dla Ciebie

Wybrane kategorie