Kolejny obszar kontrolowany przez NIK – oprogramowanie komputerowe

.

Dnia 29 kwietnia 2024r. na stronie NIK ukazały się pokontrolne wykazy wystąpień pokontrolnych dokonanych w samorządach – Skrót prasowy po kontroli NIK oraz wykaz wystąpień pokontrolnych.

Kontrola dotyczyła “Zarządzanie oprogramowaniem komputerowym przez administrację publiczną”.

Kontrola została przeprowadzona przez pięć delegatur w 17 jednostkach administracji publicznej. Skontrolowano:

  • Ministerstwo Finansów,
  • Narodowy Fundusz Zdrowia – 2 oddziały,
  • 6 Urzędów Miasta,
  • 2 Urzędy Miejskie,
  • 4 Urzędy Marszałkowskie,
  • 1 Urząd Wojewódzki,
  • 1 Urząd Morski w Szczecinie.

Dodatkowo kontroli została poddana również instytucja Aplikacje Krytyczne Sp. z o.o., która współpracuje z Ministerstwem Finansów.

Niepokojące wyniki po kontroli NIK

Kontrola w jednostkach została przeprowadzona w 2022 roku i obejmowała lata 2019-2022. Wyniki nie są zbyt pozytywne, między innymi z powodu tego, że w każdej badanej jednostce stwierdzono naruszenia i żadna nie otrzymała na koniec pozytywnej oceny kontroli.

Kontrola NIK miała przede wszystkim zweryfikować:

  • monitorowanie oprogramowania na urządzeniach stacjonarnych i mobilnych;
  • źródło posiadania oprogramowań;
  • zasady zarządzania oprogramowaniem;
  • posługiwanie się zintegrowanymi systemami informatycznymi [ZSI];
  • korzystanie z oprogramowania typu SaaS;
  • aktualny stan wiedzy pracowników na temat posiadanych oprogramowań i ich cyklu życia.

Warto na samym początku zaznaczyć, że kontrola obejmowała zarówno kwestie techniczne, organizacyjne, jak i kompetencyjne w jednostkach. Sprawdzono sprzęt i jego zabezpieczenia, polityki i procedury, a także wiedzę i umiejętności pracowników urzędu dotyczące podstawowej wiedzy odnośnie do posiadanych oprogramowań oraz zweryfikowano, jakie są zainstalowane oprogramowania na służbowych sprzętach.

Najważniejsze nieprawidłowości wykryte przez NIK

Warto na samym początku zaznaczyć, że jest to pierwsza kontrola NIK, która w całości skupia się na zarządzaniu oprogramowaniem w jednostkach administracji publicznej. Z tego względu kontrola była bardzo szczegółowa, a jej wyniki stanowią bardzo ważną informację o stanie wiedzy i zabezpieczeń jednostek pod kątem stosowanych oprogramowań.

NIK wymieniło najważniejsze znalezione naruszenia, tj.:

  • Zdecydowana większość jednostek administracji publicznej korzystała z oprogramowania nieautoryzowanego.
  • Jednostki nie wykorzystywały efektywnie posiadanych narzędzi do monitorowania oprogramowania instalowanego na urządzeniach stacjonarnych, ponosząc niejednokrotnie wysokie wydatki związane z ich nabyciem i utrzymaniem.
  • Oprogramowanie instalowane na urządzeniach mobilnych było zupełnie poza zasięgiem nadzoru.
  • W kontrolowanych podmiotach nie prowadzono rzetelnych rejestrów zainstalowanego oprogramowania, brakowało więc wiedzy o ich stanie, poziomie aktualizacji i bezpieczeństwa oraz stopniu wykorzystania.
  • Proces planowania, nabywania i wdrażania oprogramowania nie zawsze był optymalny i prawidłowy, wskutek czego niekiedy nabywano zbyt dużą liczbę niewykorzystanych następnie licencji czy też naruszano przepisy o zamówieniach publicznych.
  • Jednostki nie zapewniły możliwości rozbudowy i utrzymania oprogramowania zintegrowanego bez ingerencji jego twórcy, co oznaczało pełne i często długookresowe uzależnienie od prywatnego licencjodawcy.
  • Ministerstwo Finansów nie zadbało o obniżenie awaryjności własnego oprogramowania ani o wdrożenie należytych zasad bezpieczeństwa oprogramowania wytwarzanego i utrzymywanego na jego rzecz.
Źródło: NIK

W tamtym okresie, nawet gdy panowała pandemia w Polsce, nadal należało zapewniać bezpieczeństwo w systemach teleinformatycznych. Najwyższa Izba Kontroli wykazała, że w kontrolowanych jednostkach samorządu terytorialnego należy przede wszystkim wdrożyć mechanizmy zapewniające prawidłowe zarządzanie oprogramowaniem komputerowym. Do tego można zaliczyć:

  • określenie i wprowadzenie szczegółowych zasad zarządzania oprogramowaniem/licencjami, w tym nabywania oprogramowania SaaS;
  • wprowadzenie rozwiązań technicznych zapewniających kompletność danych o posiadanych oprogramowaniach;
  • bieżące monitorowanie całego oprogramowania, niezależnie od miejsca jego instalacji, oraz dokumentowanie podejmowanych czynności, w tym działań naprawczych;
  • regularne analizowanie stopnia wykorzystania poszczególnych aplikacji.

Ponadto, dla Ministerstwa Finansów zasugerowano podjęcie działań nadzorczych nad podmiotami odpowiedzialnymi za realizację projektów i programów informatycznych, w celu:

  • skutecznego egzekwowania działań naprawczych dotyczących zidentyfikowanych problemów, które mogą negatywnie wpływać na efektywność działań związanych z tworzeniem, utrzymaniem lub modernizacją oprogramowania na rzecz jednostki zlecającej;
  • zapewnienia bezpieczeństwa informatycznego tworzonego i utrzymywanego oprogramowania, które spełnia co najmniej takie same standardy jak obowiązujące w podmiocie zlecającym;
  • opracowania i skutecznego wdrożenia w resorcie katalogu dopuszczalnego i niedopuszczalnego oprogramowania.

Dlaczego wiedza o posiadanych oprogramowaniach jest istotna?

Świadomość, jaką jednostki posiadają w zakresie zainstalowanego oprogramowania, odzwierciedla ich podejście do stosowanych mechanizmów zabezpieczeń. Badano to w różnych miejscach, tj.:

  • stacje robocze;
  • serwery;
  • laptopy;
  • urządzenia mobilne;
  • oprogramowanie chmurowe.

W badanych jednostkach tylko 41% posiadało świadomość dotyczącą stanu posiadanych oprogramowań i licencji. Zauważono, że tylko dwie jednostki wdrożyły system monitorowania oprogramowania na urządzeniach mobilnych. Co istotne, żadna jednostka nie planowała przeglądów urządzeń mobilnych użytkowników w celu wykrycia nieautoryzowanego oprogramowania. Ponadto, tylko dwie jednostki miały zainstalowane wyłącznie pożądane oprogramowanie.

Źródło: Opracowanie własne na podstawie raportu NIK

Same wyniki z powyższego wykresu świadczą o niskiej świadomości organizacji związanej z stosowaniem oprogramowania. Niewłaściwe korzystanie z oprogramowania, a także posiadanie nieodpowiedniego oprogramowania, może prowadzić nawet do utraty danych w organizacji. Stanowi to bardzo duże zagrożenie w cyberprzestrzeni, zwłaszcza z uwagi na fakt, że nieaktualne oprogramowanie posiada luki, które mogą być łatwe do wykorzystania przez cyberprzestępców. Oprogramowanie typu EOL posiada wiele takich luk, które mogą spowodować zarówno poważne wycieki danych – nawet tych wrażliwych – jak i uniemożliwić funkcjonowanie systemów w organizacjach.

Bezpieczeństwo informacji – Doering & Partnerzy

Zastanawiasz się, kto może pomóc w przygotowaniu dokumentów i dostosowaniu procedur zgodnie z obowiązującymi przepisami? Nie miałeś/aś wcześniej możliwości przeprowadzenia audytu bezpieczeństwa informacji przez zewnętrznego specjalistę? Zastanawiasz się, w jaki sposób możesz poprawić bezpieczeństwo informacji, jak i poziom cyberbezpieczeństwa w swoim urzędzie? Nie wiesz, czy pracownicy urzędu są odpowiednio wyszkoleni z zakresu cyberbezpieczeństwa?

Jeśli na któreś z tych pytań odpowiedziałeś/aś tak, to wiedz, że możesz liczyć na naszą pomoc. Skontaktuj się z nami, a chętnie Ci pomożemy.

Zapraszamy do współpracy

Zobacz nasze usługi:

Audyt bezpieczeństwa informacji

Bezpieczeństwo informacji

Audyt cyberbezpieczeństwa

Szkolenie z zakresu cyberbezpieczeństwa

Inspektor Ochrony Danych – RODO/IOD

Zobacz więcej:

Następne kontrole NIK – cyberbezpieczeństwo

Bezpieczeństwo informacji w JST

Cyberslashing – czym jest i jak się przed tym chronić

Jak zapewnić bezpieczeństwo informacji? Krok po kroku.

Szkolenie w zakresie ochrony danych na przykładzie szpitala

Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.

Cyberbezpieczny Samorząd. Jak zrealizować grant?

Jak audyt bezpieczeństwa wygląda w praktyce?

Alarmujący raport NIK o ochronie danych w urzędach

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Kategorie

Popularne wpisy

Ciekawe publikacje

Zaufali nam między innymi:

Skontaktuj się z nami

kontakt@doering-partnerzy.pl​
rodo, sygnalista: +48 600 210 513
prace b+r: +48 690 495 513​

Zobacz nasze referencje

Skip to content