Sordyl: Polska nie chroniła informacji wystarczająco dobrze

23 listopada 2016, 07:30 Bezpieczeństwo
cyberbezpieczeństwo

W Warszawie odbyła się IV Międzynarodowa Konferencja i Wystawa CYBER SECURITY – bezpieczeństwo ponad granicami pod patronatem portalu BiznesAlert.pl. Tomasz Sordyl, zastępca dyrektora Departamentu Porządku i Bezpieczeństwa Wewnętrznego w Najwyższej Izbie Kontroli mówił o zapewnieniu bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych. Oto omówienie jego wystąpienia.

W ubiegłym roku Najwyższa Izba Kontroli przeprowadziła kontrole w kilku jednostkach administracji centralnej. Niestety, w ocenie inspektorów Najwyższej Izby Kontroli, stopień przygotowania oraz wdrożenia Systemu Zapewnienia Bezpieczeństwa Informacji nie zapewniał akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i praktycznie – wobec braku procedur – intuicyjny.

Zgodnie z metodologią Cobit 4.1, poziom zarządzania procesem zapewnienia bezpieczeństwa w kontrolowanych jednostkach, mierzony w skali od zera do pięciu, można określić jako: „zdefiniowany” (3) – KRUS (najlepsza sytuacja, mimo wielu zaniedbań);
„powtarzalny, lecz intuicyjny” (2) – Ministerstwo Sprawiedliwości, Ministerstwo Skarbu Państwa, Narodowy Fundusz Zdrowia;
„początkowy/doraźny” (1) – Ministerstwo Spraw Wewnętrznych i Straż Graniczna.

Jeżeli chodzi o zarządzanie bezpieczeństwem, stwierdzono między innymi:

  • niewdrożenie systemów zarządzania bezpieczeństwem informacji;
  • ograniczoną wiedzę kierownictwa jednostek w zakresie konieczności ochrony bezpieczeństwa informacji i wymogów z tym związanych;
  • brak niezbędnych opracowań analitycznych, planów i procedur (incydenty, identyfikacja zadań, dystrybucji oprogramowania),

Brakowało procedur dotyczących identyfikacji ryzyka. Nie gromadzono danych niezbędnych do rzetelnego zarządzania ryzykiem. Sporadycznie podejmowano jakiekolwiek działania w zakresie szacowania ryzyka związanego z posiadaniem danych o istotnym znaczeniu dla funkcjonowania państwa.

Sytuacja nie przedstawiała się wcale lepiej pod względem zabezpieczenia informacji. Nie identyfikowano informacji najważniejszych dla funkcjonowania jednostek. Brakowało klasyfikacji informacji. Ich zabezpieczenie nie wykraczało poza minimalne, ustawowe wymogi (ustawy o ochronie danych osobowych i ustawy o ochronie informacji niejawnych).

Nie była sprecyzowana odpowiedzialność za bezpieczeństwo. Często występowały spory kompetencyjne. Zagadnienia dotyczące bezpieczeństwa informacji powierzano wyłącznie komórkom informatycznym. Przy realizacji procesu zapewnienia bezpieczeństwa korzystano z pomocy firm zewnętrznych, bez wdrożenia niezbędnych działań w celu zarządzania ryzykami z tym związanymi.

– Biorąc pod uwagę dynamiczny wzrost zagrożeń, zapewnienie bezpieczeństwa systemów IT nie może być oparte na działaniach podejmowanych ad hoc, ukierunkowanych jedynie na przezwyciężanie aktualnych trudności, chaotycznie zarządzanych. Konieczne jest opracowanie i wprowadzenie na szczeblu centralnym generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa IT, obowiązujących wszystkie podmioty publiczne. Tymczasem nie istnieją rozwiązania gwarantujące nieprzerwaną i stuprocentową skuteczność ochrony informacji. Jednak zapewnienie bezpieczeństwa informacji na zakładanym poziomie jest możliwe poprzez systemową, ciągłą realizację odpowiednich procesów – stwierdził Tomasz Sordyl.