Najwyższa Izba Kontroli wydała raport z kontroli systemów ochrony danych osobowych w instytucjach państwowych. Zdaniem NIK, polskie państwo nie chroni w sposób należny danych swoich obywateli.
Kontroli poddano Ministerstwo Skarbu Państwa (Zintegrowany System Informatyczny), Ministerstwo Spraw Wewnętrznych (Centralna ewidencja wydanych i unieważnionych dokumentów paszportowych), Ministerstwo Sprawiedliwości (Nowa Księga Wieczysta), Komendę Główną Straży Granicznej (Centralna Baza Danych Straży Granicznej), Narodowy Fundusz Zdrowa (Elektroniczna Weryfikacja Uprawnień Świadczeniobiorców), Kasa Rolniczego Ubezpieczenia Społecznego (FARMER).
W przedstawionym raporcie NIK jednoznacznie stwierdził: „stosowane przez skontrolowane podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa”. W opinii NIKu jedynie KRUS spełnia wszystkie procedury dotyczące bezpieczeństwa danych. KRUS jest jedyną instytucją, w której wdrożono System Zarządzania Bezpieczeństwem Informacji. Z drugiej strony w raporcie podkreślono, że System stanowił jeden z wymogów koniecznych do uzyskania certyfikatu ISO 27001 przez KRUS. Mimo to organ kontroli wykrył nieprawidłowości w funkcjonowaniu tego narzędzia. W raporcie wskazano, że mogą one mieć „negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS”. Krytyce poddano fakt, że KRUS powierzył swoje zasoby zewnętrznej firmie bez wcześniejszej analizy możliwych do wystąpienia ryzyk związanych z outsourcingiem.
„W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza” – stwierdza NIK. W raporcie stwierdzono, że pozostałe instytucje bezpieczeństwo systemów informatycznych opierały jedynie na ogólnie znanych „dobrych praktykach” lub „doświadczeniu pracowników działów IT”.
NIK zarzucił instytucjom administracji państwowej brak precyzyjnie określonych programów zapewniania bezpieczeństwa danych oraz zaniechanie wdrożenia systemów zarządzania bezpieczeństwem informacji. Poza tym, NIK wykrył nieprawidłowości związane z brakiem niezbędnych opracowań analitycznych i procedur, włącznie z brakiem informacji o dystrybucji i użytkowaniu oprogramowania antywirusowego. Zdaniem organu, kontrolowane instytucje nie spełniały odpowiednich wymogów w zakresie nadzoru, testowania i monitorowania bezpieczeństwa. Również w opinii NIKu, poszczególne organy administracji publicznej przeznaczają zbyt małe środki na ochronę systemów IT, a podejmowane działania są prowadzone „opieszale”. Brak jasno zdefiniowanych procedur systemów bezpieczeństwa sprawia, że programy te są realizowane w sposób chaotyczny i intuicyjny.
„W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce” – stwierdza NIK.
Trzy skontrolowane instytucje wprowadziły jedynie niezbędny, minimalny zakres ochrony danych, który został oceniony przez NIK jako absolutnie niewystarczający. We wszystkich jednostkach ochrona dotyczyła tylko tych informacji, których zabezpieczenia wymaga prawo. Brak jest wprowadzania jakichkolwiek innych funkcji mających wpływ na podniesienie ochrony przed cyberzagrożeniami poza tymi wynikającymi z ustawy. W ocenie NIK jest to problem, który może zaburzać ciągłość działania „instytucji mających istotne znaczenie dla funkcjonowania państwa”.
NIK również podniósł w raporcie, że w żadnej ze skontrolowanych instytucji nie występuje osoba odpowiedzialna za bezpieczeństwo danych. Zazwyczaj odpowiedzialność jest rozproszona między pracownikami działów IT lub skupiona wokół koordynatora ds. bezpieczeństwa, którzy, jak ocenił NIK, nie mają wystarczających uprawnień i możliwości do działania w zakresie zarządzania procesami zabezpieczania danych.
Wszystko to skutkuje tym, że pieniądze na bezpieczeństwo danych wydawane są w sposób „intuicyjny” – podsumowuje Najwyższa Izba Kontroli.