BezpieczeństwoCyberprzestrzeń

Sordyl: Polska nie chroniła informacji wystarczająco dobrze

W Warszawie odbyła się IV Międzynarodowa Konferencja i Wystawa CYBER SECURITY – bezpieczeństwo ponad granicami pod patronatem portalu BiznesAlert.pl. Tomasz Sordyl, zastępca dyrektora Departamentu Porządku i Bezpieczeństwa Wewnętrznego w Najwyższej Izbie Kontroli mówił o zapewnieniu bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych. Oto omówienie jego wystąpienia.

W ubiegłym roku Najwyższa Izba Kontroli przeprowadziła kontrole w kilku jednostkach administracji centralnej. Niestety, w ocenie inspektorów Najwyższej Izby Kontroli, stopień przygotowania oraz wdrożenia Systemu Zapewnienia Bezpieczeństwa Informacji nie zapewniał akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i praktycznie – wobec braku procedur – intuicyjny.

Zgodnie z metodologią Cobit 4.1, poziom zarządzania procesem zapewnienia bezpieczeństwa w kontrolowanych jednostkach, mierzony w skali od zera do pięciu, można określić jako: „zdefiniowany” (3) – KRUS (najlepsza sytuacja, mimo wielu zaniedbań);
„powtarzalny, lecz intuicyjny” (2) – Ministerstwo Sprawiedliwości, Ministerstwo Skarbu Państwa, Narodowy Fundusz Zdrowia;
„początkowy/doraźny” (1) – Ministerstwo Spraw Wewnętrznych i Straż Graniczna.

Jeżeli chodzi o zarządzanie bezpieczeństwem, stwierdzono między innymi:

  • niewdrożenie systemów zarządzania bezpieczeństwem informacji;
  • ograniczoną wiedzę kierownictwa jednostek w zakresie konieczności ochrony bezpieczeństwa informacji i wymogów z tym związanych;
  • brak niezbędnych opracowań analitycznych, planów i procedur (incydenty, identyfikacja zadań, dystrybucji oprogramowania),

Brakowało procedur dotyczących identyfikacji ryzyka. Nie gromadzono danych niezbędnych do rzetelnego zarządzania ryzykiem. Sporadycznie podejmowano jakiekolwiek działania w zakresie szacowania ryzyka związanego z posiadaniem danych o istotnym znaczeniu dla funkcjonowania państwa.

Sytuacja nie przedstawiała się wcale lepiej pod względem zabezpieczenia informacji. Nie identyfikowano informacji najważniejszych dla funkcjonowania jednostek. Brakowało klasyfikacji informacji. Ich zabezpieczenie nie wykraczało poza minimalne, ustawowe wymogi (ustawy o ochronie danych osobowych i ustawy o ochronie informacji niejawnych).

Nie była sprecyzowana odpowiedzialność za bezpieczeństwo. Często występowały spory kompetencyjne. Zagadnienia dotyczące bezpieczeństwa informacji powierzano wyłącznie komórkom informatycznym. Przy realizacji procesu zapewnienia bezpieczeństwa korzystano z pomocy firm zewnętrznych, bez wdrożenia niezbędnych działań w celu zarządzania ryzykami z tym związanymi.

– Biorąc pod uwagę dynamiczny wzrost zagrożeń, zapewnienie bezpieczeństwa systemów IT nie może być oparte na działaniach podejmowanych ad hoc, ukierunkowanych jedynie na przezwyciężanie aktualnych trudności, chaotycznie zarządzanych. Konieczne jest opracowanie i wprowadzenie na szczeblu centralnym generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa IT, obowiązujących wszystkie podmioty publiczne. Tymczasem nie istnieją rozwiązania gwarantujące nieprzerwaną i stuprocentową skuteczność ochrony informacji. Jednak zapewnienie bezpieczeństwa informacji na zakładanym poziomie jest możliwe poprzez systemową, ciągłą realizację odpowiednich procesów – stwierdził Tomasz Sordyl.


Powiązane artykuły

Japońska flota może pochwalić się bronią, którą do tej pory widywaliśmy jedynie w filmach science-fiction,foto: x/ @HNlEHupY4Nr6hRM

Japonia testuje działa elektromagnetyczne. Broń jak z filmów

Japonia wyprzedziła resztę świata w pracach nad futurystycznym uzbrojeniem. Nowe zdjęcia opublikowane w mediach społecznościowych pokazują, że Marynarka Wojenna Japonii...

MON obiecuje: Umowa na 180 koreańskich czołgów do końca roku

Paweł Bejda, wiceminister obrony narodowej zadeklarował, że resort do końca roku sfinalizuje umowę na koreańskie czołgi K2. Dotyczy ona dostarczenia...

Macron rozmawiał telefonicznie z Putinem o Ukrainie i Iranie

Francuski prezydent odbył około dwugodzinną rozmowę z Władymirem Putinem. Poruszona została kwestia trwającej rosyjskiej inwazji na Ukrainę oraz irański program...

Udostępnij:

Facebook X X X