Urzędy gromadzą i przetwarzają duże ilości wrażliwych danych wszystkich obywateli. Mają także dostęp do informacji i personaliów wszystkich obywateli i osób wjeżdżających na teren państwa.
Praca zdalna urzędów ujawniła nowe zagrożenia Czy nasze dane są bezpieczne?
Najwyższa Izba Kontroli przyjrzała się pracy zdalnej w urzędach.
- Praca zdalna urzędów podczas epidemii COVID-19 stwarzała nowe zagrożenia dla przetwarzanych i gromadzonych tam danych. W latach 2020-2021 aż w połowie kontrolowanych przez NIK instytucji województwa warmińsko-mazurskiego nie wprowadzono systemu zarządzania bezpieczeństwem informacji podczas pracy na odległość. Regulacje, które tam obowiązywały, dotyczyły jedynie danych osobowych - powiedział Marian Banaś, prezes NIK.
Pracodawca ma obowiązek zapewnić pracownikowi komputer tak, aby ten mógł dzięki temu pracować zdalnie. W przeciwnym wypadku, pracownik może odmówić pracy poza siedzibą przedsiębiorstwa. NIK ustalił, ilu urzędników z kontrolowanych instytucji w czasie pracy zdalnej pracowało bez użycia komputera lub przy pomocy komputerów prywatnych.
Praca w urzędzie. Jak urzędy zapewniają bezpieczeństwo danych, na których pracują?
Wymagania, jakie powinny spełniać instytucje publiczne znajdują się w rozporządzeniu z 2012 r. o Krajowych Ram Interoperacyjności. Z tego dokumentu dowiadujemy się, że urzędy powinny zapewnić bezpieczeństwo wszystkim przetwarzanym informacjom.
Tymczasem kontrolowane urzędy dbały głównie o bezpieczeństwo danych osobowych. W połowie z nich nie powstały odpowiednie systemy zarządzania bezpieczeństwem informacji.
Gdy ogłoszono stan epidemii, kancelaria premiera wydała zalecenia, jak podnieść poziom bezpieczeństwa informatycznego w administracji. Znalazły się tam informacje odnośnie:
- korzystania z domowej sieci Wi-Fi,
- wdrożenia VPN,
- wdrożenia dwuskładnikowego uwierzytelniania,
- tworzenia kopii zapasowych,
- z jakich kanałów nie korzystać do komunikacji firmowej.
Rekomendacje te nie były jednak obowiązkowe i zobowiązujące dla urzędników.
Departament Cyberbezpieczeństwa KPRM posiada dane, z których wynika, że:
- w 2020 r. miało miejsce 388 incydentów bezpieczeństwa w administracji publicznej
- w 2021r. Do sierpnia - kolejne 287 incydentów.
To jednak niepełne dane. Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego przy NASK nie ma obowiązku przekazywania szczegółowych informacji o zaistniałych incydentach.
W czasie pandemii urzędy koncentrowały się przede wszystkim na zapewnieniu pracownikom dystansu społecznego i ograniczeniu kontaktów między nimi. Wprowadzono system rotacyjny, zgodnie z którym poszczególne grupy pracowały na zmianę - jeden dzień w formie stacjonarnej i jeden dzień w formie zdalnej, ale bez dostępu do systemów teleinformatycznych.
Ponieważ kontrolowane instytucje nie były gotowe do wprowadzenia rozwiązań technicznych umożliwiających taki dostęp, praca zdalna urzędników polegała na udziale w konferencjach i szkoleniach oraz na opracowywaniu ogólnych dokumentów, bez dostępu do wewnętrznych sieci instytucji - czytamy na oficjalnej stronie Najwyższej Izby Kontroli.
Kontrola Izby objęła Kancelarię Premiera oraz 10 innych instytucji w województwie Warmińsko-Mazurskiem:
- Wojewódzki Urząd Ochrony Zabytków,
- Wojewódzki Inspektorat Farmaceutyczny,
- Izbę Administracji Skarbowej w Olsztynie,
- 5 urzędów gmin,
- 2 urzędy powiatowe.