Samorz膮dy w du偶ej mierze nie identyfikowa艂y zbior贸w danych wymagaj膮cych zabezpieczenia, nie przygotowywa艂y dokument贸w kluczowych dla bezpiecze艅stwa system贸w informatycznych, a je艣li je przygotowa艂y, to nie testowa艂y zabezpiecze艅 鈥� wynika z kontroli NIK.
Najwy偶sza Izba Kontroli opublikowa艂a w czwartek informacj臋 o wynikach kontroli, kt贸rej celem by艂o zbadanie czy jednostki samorz膮du terytorialnego prawid艂owo, rzetelnie i skutecznie realizowa艂y zadania zwi膮zane z zapewnieniem bezpiecze艅stwa informacji oraz ci膮g艂o艣ci dzia艂ania system贸w informatycznych. Kontrol膮 obj臋to 24 jednostki 鈥� 17 urz臋d贸w gmin i siedem starostw powiatowych w okresie od 1 stycznia 2023 r. do 20 wrze艣nia 2024 r.
Jak wskaza艂a NIK, zabezpieczenia powinny umo偶liwi膰 zachowanie integralno艣ci, poufno艣ci i dost臋pno艣ci danych, a przygotowanie planu ci膮g艂o艣ci dzia艂ania jest niezb臋dne dla zapewnienia dzia艂ania urz臋du w sytuacji kryzysowej, np. w wypadku zaistnienia zagro偶e艅 hybrydowych.
Wed艂ug NIK, wi臋kszo艣膰 skontrolowanych samorz膮d贸w nie podejmowa艂a skutecznych i rzetelnych dzia艂a艅 na rzecz bezpiecze艅stwa informacji. NIK negatywnie oceni艂a przygotowanie do zapewnienia ci膮g艂o艣ci dzia艂ania system贸w informatycznych w 71 proc. urz臋d贸w, a istotne nieprawid艂owo艣ci w tym zakresie wyst膮pi艂y w 23 z 24 badanych jednostek.
Najcz臋艣ciej stwierdzane nieprawid艂owo艣ci to brak plan贸w zapewnienia ci膮g艂o艣ci dzia艂ania oraz plan贸w odtworzeniowych (dokument贸w okre艣laj膮cych zasoby, dzia艂ania i dane niezb臋dne do odtworzenia system贸w po wyst膮pieniu awarii), niedokonanie pe艂nej identyfikacji aktyw贸w informacyjnych wymagaj膮cych ochrony, czy niewystarczaj膮ce zabezpieczenia fizyczne serwerowni.
Inne nieprawid艂owo艣ci wyst臋powa艂y w zakresie tworzenia, przechowywania lub testowania kopii zapasowych. NIK stwierdzi艂a te偶 brak zapis贸w gwarantuj膮cych bezpiecze艅stwo informacji w umowach dotycz膮cych zakupu lub serwisu sprz臋tu komputerowego, czy oprogramowania, czy szkole艅 dla pracownik贸w zaanga偶owanych w proces przetwarzania informacji oraz nie przestrzeganie wymog贸w w zakresie hase艂 dost臋pu do system贸w informatycznych.
Zdaniem NIK w 2023 roku nie przeprowadzono obowi膮zkowego audytu z zakresu bezpiecze艅stwa informacji lub audyt przeprowadzono nierzetelnie. Nie opracowano i nie wdro偶ono r贸wnie偶 Systemu Zarz膮dzania Bezpiecze艅stwem Informacji.
艁膮cznie NIK zidentyfikowa艂a 222 nieprawid艂owo艣ci, z kt贸rych 51 usuni臋to ju偶 w trakcie kontroli.
NIK wnios艂a o sta艂e wsparcie jednostek samorz膮du terytorialnego przez ministra cyfryzacji w zakresie wdra偶ania rozwi膮za艅 organizacyjnych i technicznych dotycz膮cych bezpiecze艅stwa informacji oraz zapewnienia ci膮g艂o艣ci dzia艂ania urz臋d贸w.
Najwy偶sza Izba Kontroli wnios艂a r贸wnie偶 do starost贸w, prezydent贸w miast, burmistrz贸w i w贸jt贸w o m.in. opracowanie i wdro偶enie Systemu Zarz膮dzania Bezpiecze艅stwem Informacji, zapewnienie wykonywania okresowego przegl膮du i aktualizacji Systemu Zarz膮dzania Bezpiecze艅stwem Informacji, ustanowienie polityk ci膮g艂o艣ci dzia艂ania oraz opracowanie i wdro偶enie plan贸w zapewnienia ci膮g艂o艣ci dzia艂ania urz臋d贸w. (PAP)
akuz/ agz/
