Hakerzy nie będą mieć problemów ze skutecznym atakiem na wiele ważnych instytucji decydujących o funkcjonowaniu naszego państwa.
Stosowane przez instytucje państwowe systemy ochrony danych nie zapewniają im bezpieczeństwa. Działania podejmowane dla zabezpieczenia danych są prowadzone opieszale, bez z góry przygotowanego planu, a środki przeznaczane na ten cel są niewystarczające.
W rezultacie, istnieje ryzyko, że praca istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce, co grozić może poważnymi stratami finansowymi i zakłóceniem działalności wielu urzędów.
Takie właśnie wnioski płyną z najnowszego, opublikowanego 16 maja, raportu NIK z kontroli zatytułowanej „Zapewnienie bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych”.
Jest tak jak było
Najgorsze jest chyba to, że mimo upływu czasu, sytuacja nie zmienia się na lepsze. Już w 2015 r. opublikowana został informacja o wynikach kontroli Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej, która wykazała, że państwo polskie nie jest przygotowane do walki z zagrożeniami informatycznymi.
Przykłady, takie jak choćby publikacja w internecie danych osobowych 50 mln obywateli Turcji w 2016 r., kradzież danych klientów Plus Banku w 2015 r. czy wyciek danych o kontach 5 mln użytkowników Gmail w 2014, pokazują, że zagrożenia te są realne, a konsekwencje wycieku danych – poważne. Mogą one stanowić zagrożenie i dla podmiotów, z których wyciekły, i przede wszystkim dla osób, których dane zostały wykradzione.
Obecna kontrola NIK miała sprawdzić, jak bezpieczne są dane znajdujące się w wybranych systemach informatycznych, mających istotne znaczenie dla funkcjonowania państwa. Kontrola objęła szereg ważnych urzędów: Ministerstwo Skarbu Państwa, Ministerstwo Spraw Wewnętrznych, Ministerstwo Sprawiedliwości, Komendę Główną Straży Granicznej, Narodowy Fundusz Zdrowia, Kasę Rolniczego Ubezpieczenia Społecznego.
Nie do zaakceptowania
Niestety, wnioski z kontroli są alarmujące. „Stopień przygotowania oraz wdrożenia systemu zapewnienia bezpieczeństwa informacji w kontrolowanych jednostkach nie zapewniał akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych, wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i – wobec braku procedur – intuicyjny” – stwierdza Najwyższa Izba Kontroli.
Intuicja to oczywiście cenna cecha, ale niekoniecznie tam, gdzie liczą się algorytmy matematyczne i dokładność działań, niezbędne do skutecznej ochrony ważnych danych. Wiadomo, że w przestrzeni informatycznej ze względu na szybki rozwój technologii i pomysłowość przestępców, nie można zapewnić pełnego bezpieczeństwa (dlatego warto np ograniczać korzystanie z bankowości internetowej). Jednak celem instytucji i urzędów publicznych powinno być dążenie do minimalizacji ryzyka utraty danych lub zakłócenia funkcjonowania systemów informatycznych. W podmiotach skontrolowanych przez NIK tego ryzyka nie ograniczono.
Pyrrusowy zwycięzca
Pod lupą Izby najlepiej wypadła Kasa Rolniczego Ubezpieczenia Społecznego. Była ona jedyną skontrolowaną instytucją, w której wdrożono system zarządzania bezpieczeństwem informacji. W KRUS bowiem, w przeciwieństwie do pozostałych skontrolowanych jednostek, formalnie wprowadzono wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych. Było to związane z działaniami podjętymi w celu uzyskania przez KRUS certyfikatu ISO 27001.
Jednakże również w systemie funkcjonującym w KRUS kontrola wykryła nieprawidłowości w postaci błędów w ustalaniu wymagań mających zapewniać ochronę danych. W ocenie NIK, niektóre z nich były poważne i mogą mieć istotny, negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa w Kasie.
Stwierdzone nieprawidłowości dotyczyły przede wszystkim rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji. Zasoby informatyczne KRUS powierzono wykonawcy zewnętrznemu, co jednak nie zostało poprzedzone koniecznymi analizami. Na przykład, nie określono sposobu szacowania ryzyka związanego z utratą informacji powierzonych firmie zewnętrznej.
Brakowało niemal wszystkiego
KRUS i tak jest jednak liderem na tle pozostałych skontrolowanych jednostek. W resortach skarbu, spraw wewnętrznych, sprawiedliwości, w Straży Granicznej oraz NFZ-ecie, sytuacja była niestety nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów technologii informatycznych.
Doświadczenie to jednak w tej dziedzinie zdecydowanie za mało. Dlatego różne, doraźnie prowadzone działania nie zapewniały w tych instytucjach bezpiecznego i spójnego zarządzania bezpieczeństwem danych.
„Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa. Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych” – stwierdza NIK.
Błoga nieświadomość
W kontrolowanych jednostkach brak było również świadomości, że oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach, istnieją także inne informacje, równie ważne, o których ochronę każda jednostka powinna zadbać samodzielnie. Toteż tej dbałości w ich ochronie brakowało.
„Instytucje /…/ nie widzą konieczności podejmowania innych działań związanych z bezpieczeństwem informacji niż te wprost zapisane w ustawie o ochronie informacji niejawnych oraz w ustawie o ochronie danych osobowych” – zauważa NIK.
Ta praktyka, polegająca na ograniczaniu zakresu ochrony do jedynie niektórych istotnych informacji może mieć poważne konsekwencje dla zapewnienia ciągłości działania instytucji o istotnym znaczeniu dla funkcjonowania państwa.
W żadnej ze skontrolowanych jednostek nie określono też precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych.
Faktyczna ochrona informacji ograniczała się tam jedynie do systemów informatycznych i nośników danych. Zawężało to możliwości budowania systemów ochrony informacji obejmujących całe instytucje. Ignorowano powszechną prawdę, że system ochrony jest tak skuteczny, jak jego najsłabszy element.
Warto tu zauważyć, że wiele udanych ataków hakerskich wcale nie polegało na fizycznym przełamaniu zabezpieczeń informatycznych, lecz na wykorzystaniu metod socjotechnicznych w celu uzyskania dostępu do chronionych systemów. Przyjęty w kontrolowanych jednostkach model organizacyjny powodował natomiast, że ich pracownicy nie czuli się współodpowiedzialni za ochronę informacji i uznawali jej wymagania jako nieuzasadnione utrudnienia, wynikające jedynie ze specyfiki pracy informatyków.
Przede wszystkim jednak, same kierownictwa tych instytucji, niedostatecznie zajmowały się ochroną bezpieczeństwa informacji. Skutki były zaś takie, że w praktyce odpowiedzialność za zapewnienie bezpieczeństwa informacji spoczywała głównie na wyznaczonym koordynatorze (często było to stanowisko jednoosobowe), który nie miał dostatecznych uprawnień i możliwości działania.
Zgodnie z rutyną
W kontrolowanych jednostkach wprawdzie przeprowadzano audyty stanu bezpieczeństwa informatycznego. „Istotnym problemem był jednak brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa informatycznego, utraciło początkowy impet” – podkreśla NIK.
Powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych procedur przebiegało opieszale, a w rezultacie wykonywano jedynie rutynowe zadania.
Tymczasem, w dobie ogromnego wzrostu zagrożeń związanych ze stosowaniem technologii informatycznych, zapewnienie bezpieczeństwa istotnych dla funkcjonowania państwa danych nie może być oparte na podejmowanych ad hoc, chaotycznych działaniach.
Kontrola bezpieczeństwa działania systemów informatycznych w instytucjach państwowych objęła okres od 1 stycznia 2014 r. do 1 października 2015 r. Wykryte w jej trakcie nieprawidłowości to kolejny kamyczek – a raczej głaz – który ekipa rządząca z Prawa i Sprawiedliwość z ochotą wrzuci do ogrodu swych poprzedników z PO i PSL. Ciekawe jednak, co sama zdoła zrobić, żeby naprawić zauważone zaniedbania?
