10 maja ujrzał światło dzienne raport z kontroli Najwyższej Izby Kontroli w zakresie zarządzania bezpieczeństwem informacji w jednostkach samorządu terytorialnego. Chociaż raport dotyczył zasad przestrzegania ochrony danych i bezpieczeństwa informacji w urzędach gmin i starostw, to jednak nietrudno jest doszukać się podobieństw do zasad, na jakich działają firmy telekomunikacyjne, czy ogólnie przedsiębiorcy. Wymagania w zakresie zapewniania ochrony danych osobowych, jakie zostały określone w RODO w znacznej mierze pozostają aktualne zarówno dla biznesu, jak i sfery publicznej. Nie jest jednak możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji. Warto zatem przyjrzeć się niektórym ze stwierdzonych przez NIK nieprawidłowościom w JST. Jak powszechnie wiadomo, trzeba się uczyć na błędach, ale lepiej uczyć się na cudzych, niż na swoich.

Nieprawidłowości w zakresie zarządzania uprawnieniami użytkowników w systemach informatycznych

Kontrolerzy NIK zwrócili uwagę na nieprawidłowości polegające na braku dokumentowania czynności związanych z zarządzaniem uprawnieniami użytkowników. Po zmianie stanowiska pracy nie udokumentowano zmiany zakresu upoważnień do przetwarzania danych oraz dostępu do systemów informatycznych. Przyznanie lub zmiana upoważnień dokonana na podstawie ustnych wniosków jest w tym zakresie niewystarczająca. Ciekawa sytuacja miała miejsca w jednym z urzędów miasta, gdzie jednemu z byłych pracowników zablokowano dostęp do systemu informatycznego po ponad 11 latach od ustania zatrudnienia, dopiero w wyniku omawianej kontroli NIK.

NIK zwróciła uwagę na konieczność dokonywania bezzwłocznej zmiany uprawnień, bądź blokowania lub odbierania uprawnień, w przypadku zmiany zadań lub ustania zatrudnienia.

Zwrócono również uwagę na to, jakie uprawnienia posiadają pracownicy na swoich komputerach służbowych. W wielu przypadkach użytkownicy, posiadali na swoim sprzęcie służbowym uprawnienia administratora systemu, w związku z tym mieli możliwość zainstalowania dowolnego oprogramowania.

Brak procedur korzystania przez pracowników z urządzeń przenośnych poza siedzibami urzędów

Kontrolerzy NIK zwracali uwagę, że w wielu urzędach nie określono szczegółowych zasad i procedur korzystania przez pracowników z urządzeń przenośnych poza siedzibami urzędów, gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość.

NIK proponuje, że biorąc pod uwagę możliwość wynoszenia sprzętu informatycznego poza siedzibę urzędu warto rozważyć zastosowanie rozwiązania polegającego na szyfrowaniu dysków twardych komputerów przenośnych, dzięki czemu w przypadku ich kradzieży lub zgubienia osoby postronne nie będą miały dostępu do danych w nich zgromadzonych.

Umowy serwisowe bez postanowień gwarantujących zabezpieczenie poufności informacji

Urzędy w zawieranych umowach na zakup usług informatycznych, zakup lub serwis sprzętu komputerowego nie zawierały odpowiednich postanowień umownych w zakresie bezpieczeństwa i poufności informacji. Na te zastrzeżenia NIK należy też spojrzeć z punktu widzenia wykonawcy czy dostawcy, którym niejednokrotnie jest właśnie podmiot świadczący usługi telekomunikacyjne. Nawet jeśli to zamawiający lub usługobiorca powinien być najbardziej zainteresowany, żeby w jego umowie takie postanowienia były zawarte to również powinien zwracać na nie uwagę dostawca. Z naruszeniem obowiązku zachowania poufności mogą wiązać się również kary umowne, a brak ich limitu w umowie, istotnie zwiększa ryzyko biznesowe podjętej współpracy.

Niewłaściwe tworzenie kopii zapasowych

Kontrolerzy NIK stwierdzili przypadki przechowywania kopii zapasowych w miejscu wytwarzania danych. Stwarza to zagrożenia, że w przypadku zdarzeń losowych, np. pożaru lub zalania, urząd może utracić zarówno dane źródłowe, jak i ich kopie zapasowe. W jednym ze starostw kopia zapasowa wszystkich danych przetwarzanych przez serwery starostwa była przesyłana do innej lokalizacji tylko raz w tygodniu, a przez pozostałe dni tygodnia kopie przechowywane były w miejscu wytwarzania danych.

Całokształt działań JST pozostawia wiele do życzenia

Całkiem nieźle natomiast poradziły sobie urzędy w obowiązkach w zakresie prowadzenia rejestru czynności przetwarzania danych osobowych, który zawierał informacje wskazane w art. 30 RODO oraz w zakresie obowiązkowego dla jednostek sfery publicznej ustanowienia inspektora ochrony danych osobowych. W niektórych jednak przypadkach osoby pełniące funkcję IODO wykonywały inne zadania i obowiązki, które mogły powodować niedozwolony konflikt interesów.

Całokształt działań kontrolnych sprowadził się jednak do negatywnej oceny blisko 70% skontrolowanych urzędów JST w zakresie zadań związanych z zapewnieniem bezpieczeństwa przetwarzania informacji.

Z pełną treścią informacji pokontrolnej NIK można zapoznać się tutaj.

Autorem wpisu jest Jarosław Straś. Specjalista z zakresu prawa handlowego i problematyki dotyczącej ochrony danych osobowych, a także obowiązków przedsiębiorców telekomunikacyjnych na rzecz obronności i bezpieczeństwa oraz realizacji przez nich projektów dotowanych ze środków UE. W Kancelarii zajmuje się głównie obsługą prawną przedsiębiorców, w tym tworzeniem i restrukturyzacją firm. Prowadzi szkolenia i audyty dotyczące stosowania przepisów RODO oraz zarządzania systemem ochrony danych osobowych. Uczestnik konsultacji społecznych projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO). Posiada certyfikat kompetencji Inspektora Ochrony Danych (luty 2018).