Dane publiczne w opałach: NIK ostro krytykuje polską administrację
Kolejne wybory, kolejne rządy, a i tak wszystko pozostaje po staremu. Raport Najwyższej Izby Kontroli na temat bezpieczeństwa danych w instytucjach państwowych powinien szokować. Tymczasem fatalne wyniki chyba nie są dla nikogo jakimkolwiek zaskoczeniem.
Jestem przekonany, że większość z was za każdym razem, jak widzi gdzieś nagłówek w mediach w stylu „szokujące wyniki państwowej kontroli!” klika albo ze zrezygnowaniem, albo po to, by się pośmiać. Raport Najwyższej Izby Kontroli na temat bezpieczeństwa systemów danych wykorzystywanych przez polską administrację nie rozczarowuje. Wyniki były do przewidzenia: jest bardzo źle.
Jak donosi Business Insider Polska, przeprowadzono kontrolę w sześciu różnych instytucjach państwowych. Czy którakolwiek spełnia standardy bezpieczeństwa? Cóż, jestem pewien, że z tonu wprowadzenia do tej notki, znacie już odpowiedź. Najwięcej pochwał, choć gorzkich, zebrał KRUS. Tam przynajmniej wdrożono System Zarządzania Bezpieczeństwem Informacji. Jednak nawet tam danymi opiekuje się zewnętrzna firma wobec której nie przeprowadzono stosownej analizy w sprawie ryzyka zarządzania przez nią tak istotnymi danymi, a wdrożenie samego systemu motywowane było w zasadzie tylko chęcią uzyskania certyfikatu ISO 27001. I, żeby było jeszcze zabawniej, NIK kwestionuje podstawy uzyskania tego certyfikatu.
Im dalej, tym gorzej
Skracając obszerne podsumowanie raportu do minimum (całość znajdziecie na dole notki), NIK dyplomatycznie informuje o poleganiu w instytucjach państwowych na „doświadczeniu działu IT”, „zaufaniu” i „dobrych praktykach”. Nie brzmi to źle, jednak w przypadku tak newralgicznych danych to za mało.
NIK punktuje skontrolowane urzędy (w tym NFZ, Ministerstwo Sprawiedliwości, Ministerstwo Skarbu Państwa czy Ministerstwo Spraw Wewnętrznych) za to, że trzymają się stosownych procedur tylko i wyłącznie w przypadku, gdy jest to jednoznacznie nakazywane przez ustawy. W żadnej ze skontrolowanych urzędów nawet nie zdefiniowano kto właściwie odpowiada za bezpieczeństwo danych, zrzucając ten obowiązek automatycznie i bezmyślnie na „dział IT”, którego kompetencje zazwyczaj są niewystarczające.
Prawdę powiedziawszy, witki mi opadają. Płacimy wysokie podatki („jawne” i „ukryte”), w zamian otrzymujemy z nich relatywnie niewiele świadczeń, a jakby tego było mało, istotne dane na nasz temat lub dane dotyczące sprawnego funkcjonowania naszego kraju są traktowane w sposób dość nonszalancki. Jak dotąd nie przydarzyło się z tego tytułu jakieś większe nieszczęście. Obawiam się jednak, że to kwestia czasu.
