Miażdżący raport NIK. Dane milionów Polaków łatwym celem dla hakerów

Miażdżący raport NIK. Dane milionów Polaków łatwym celem dla hakerów
Miażdżący raport NIK. Dane milionów Polaków łatwym celem dla hakerów
TVN24 BiS
Miażdżący raport NIK. Dane milionów Polaków łatwym celem dla hakerówTVN24 BiS

Państwowe systemy informatyczne nie zapewniają bezpieczeństwa danych Polaków. Działania realizowane w celu zapewnienia cyberbezpieczeństwa były prowadzone opieszale, bez przygotowanego planu, a środki przeznaczane na ten cel były niewystarczające - alarmuje NIK w raporcie, do którego dotarliśmy.

ZOBACZ CAŁY RAPORT NAJWYŻSZEJ IZBY KONTROLI

Izba swoją kontrolą objęła okres od 1 stycznia 2014 do 1 października 2015 roku. Zbadała sześć wybranych instytucji i ich systemy: Ministerstwo Skarbu Państwa - Zintegrowany System Informatyczny (ZSI), Ministerstwo Spraw Wewnętrznych - Centralną ewidencję wydanych i unieważnionych dokumentów paszportowych (CEWiUDP), Ministerstwo Sprawiedliwości - Nową Księgę Wieczystą (NKW), Komendę Główną Straży Granicznej - Centralną Bazę Danych Straży Granicznej (SI NKW), Narodowy Fundusz Zdrowia oraz Kasę Rolniczego Ubezpieczenia Rolniczego - FARMER.

Jak wskazuje NIK w podsumowaniu kontroli, dane w tych systemach były chronione niewystarczająco. W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce - wskazuje Izba.

Izba negatywnie oceniła działalność podmiotów państwowych w zakresie ochrony cyberprzestrzeni RP. Jej zdaniem, nie dostrzeżono, że powstała nowa kategoria zagrożeń, wymagająca pilnej reakcji państwa.

Brak systemowych rozwiązań

W żadnej ze skontrolowanych jednostek nie opracowano rzetelnego planu zapewnienia bezpieczeństwa. Podobnie jak nie stwierdzono prawidłowo funkcjonującego systemu reagowania na incydenty związane z bezpieczeństwem informacji.

Część jednostek nie opracowała w ogóle dokumentu pełniącego rolę planu zapewnienia bezpieczeństwa, natomiast część opracowała taki dokument, jednakże został on we wszystkich przypadkach oceniony przez NIK jako nierzetelny.

Żadna z kontrolowanych jednostek nie dokonywała także wstępnego szacowania kosztów (w tym również niematerialnych) ewentualnego naruszenia bezpieczeństwa informacji.

Wyniki tej kontroli, podobnie jak wyniki poprzedniej kontroli NIK pt. Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej wskazują także na brak systemowych, kompleksowych rozwiązań dotyczących bezpieczeństwa IT - zauważa Izba.

KRUS wyjątkiem

NIK alarmuje ponadto, że procesy zapewnienia bezpieczeństwa informacji w skontrolowanych instytucjach realizowane były w sposób chaotyczny i intuicyjny.

KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. W Kasie, w przeciwieństwie do pozostałych skontrolowanych jednostek, formalnie wprowadzono wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych. Było to związane z działaniami podjętymi w celu uzyskania przez KRUS certyfikatu ISO 27001.

Choć tutaj także nie zabrakło zastrzeżeń.

W systemie funkcjonującym w KRUS kontrola wykryła nieprawidłowości w postaci błędów w implementacji wymagań norm stanowiących podstawę uzyskania certyfikatu. W ocenie NIK, niektóre z nich były poważne.

Stwierdzone nieprawidłowości dotyczyły m.in. rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji. Izba zwraca też uwagę, że powierzenie zasobów KRUS wykonawcy zewnętrznemu, nie zostało poprzedzone stosownymi analizami.

Bez porównania

W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza.

Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych - pisze NIK.

Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

Bez identyfikacji ryzyka

Zdaniem NIK, kontrolowane jednostki w ograniczonym zakresie wykorzystywały również metody identyfikacji ryzyka związanego z bezpieczeństwem informacji. W konsekwencji decyzje w sprawie wydatkowania środków na zapewnienie bezpieczeństwa informacji były podejmowane w sposób intuicyjny - pisze NIK w raporcie.

Izba wskazuje też, że istniała duża dysproporcja pomiędzy działaniami podejmowanymi dla ochrony poszczególnych grup informacji, tj. informacji objętych ustawową ochroną (niejawnych i danych osobowych) oraz innych informacji, których ochrona nie została wprost usankcjonowana w przepisach, ale które mają istotne znaczenie dla prawidłowej realizacji podstawowych zadań tych jednostek.

W jednostkach kontrolowanych brak było świadomości, że oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach prawa istnieją także inne informacje, równie ważne, o których ochronę każda jednostka powinna zadbać samodzielnie.

Najsłabsze ogniwo

Wątpliwości budzi też podział obowiązków. W żadnej ze skontrolowanych jednostek nie określono bowiem precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych.

Zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne. Podejście to zawężało, z przyczyn kompetencyjnych, możliwości budowania systemów ochrony informacji obejmujących całe instytucje, ignorując powszechną prawdę, że system ochrony jest tak skuteczny, jak jego najsłabszy element - pisze NIK. I przypomina, że wiele udanych ataków hakerskich wcale nie polegało na fizycznym przełamaniu zabezpieczeń informatycznych, lecz na wykorzystaniu metod socjotechnicznych w celu uzyskania dostępu do chronionych systemów.

Przyjęty w kontrolowanych jednostkach model organizacyjny powodował natomiast, że pozostałe komórki organizacyjne, nie czując się współodpowiedzialnymi za ochronę informacji, uznały jej wymagania jako nieuzasadnione utrudnienia, wynikające jedynie ze specyfiki pracy informatyków - wynika z raportu.

Nieaktualne oprogramowania

Istotnym problemem był także brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań - zauważa NIK.

W jednej z kontrolowanych jednostek stwierdzono, że nieprawidłowe eksploatowanie oprogramowania zabezpieczającego przed złośliwym oprogramowaniem spowodowało liczne przypadki zawirusowania stacji roboczych, docierania do pracowników e-maili z niebezpiecznymi odnośnikami, jak również funkcjonujący fragment zainstalowanej bez wiedzy użytkowników złośliwej sieci typu "botnet" obejmujący 24 komputery biurowe.

Przyczynami tych nieprawidłowości, wskazywanymi przez kontrolerów, były źle realizowane obowiązki administratora oraz brak lub nieaktualne oprogramowanie antywirusowe.

Zalecenia

W związku z licznymi zastrzeżeniami i brakiem wystarczającej naszych danych Najwyższa Izba Kontroli przygotowała zalecenia pokontrolne. Zwróciła się także z apelem do Ministra Cyfryzacji o rozszerzenie działań o zalecenia dla podmiotów publicznych w zakresie ochrony systemów przetwarzających dane istotne dla funkcjonowania państwa.

Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.

Kontrolerzy podkreślają, że w dobie dynamicznego wzrostu zagrożeń, zapewnienie bezpieczeństwa systemów przetwarzających istotne dla funkcjonowania państwa dane nie może być oparte na podejmowanych doraźnie, ukierunkowanych jedynie na przezwyciężanie aktualnych trudności, chaotycznie zarządzanych działaniach.

Zobacz: Krzysztof Kwiatkowski, Prezes NIK ostrzega przed atakami hakerów

NIK ostrzega przed atakami hakerów
NIK ostrzega przed atakami hakerów

Autor: mb / Źródło: tvn24bis.pl

Źródło zdjęcia głównego: Shutterstock

Tagi:
Raporty:
Pozostałe wiadomości

Kierowcy muszą się liczyć z dalszym wzrostem cen paliw, ponieważ ropa naftowa jest droga, a złotówka osłabia się w relacji do amerykańskiego dolara - ocenia portal e-petrol.pl. Z kolei analitycy firmy Reflex podkreślają, że najbliższe dni mogą przynieść wzrosty cen benzyny do 5 groszy na litrze i Pb 95 może kosztować w okolicach 6,60 złotych na litrze. Dodali jednak, że w okresie świąt ceny ropy jak i autogazu nie powinny się już zmienić.

Złe wieści dla kierowców. Jest taniej niż przed rokiem, ale nie potrwa to długo

Złe wieści dla kierowców. Jest taniej niż przed rokiem, ale nie potrwa to długo

Źródło:
PAP

Inflacja w Polsce w marcu wyniosła 1,9 procent rok do roku - podał Główny Urząd Statystyczny.

Inflacja poniżej kolejnego poziomu. Najnowsze dane

Inflacja poniżej kolejnego poziomu. Najnowsze dane

Źródło:
PAP

Generalna Dyrekcja Dróg Krajowych i Autostrad podpisała umowę na zaprojektowanie i wybudowanie drogi ekspresowej S74 między Cedzyną a Łagowem w województwie świętokrzyskim. To najdroższa inwestycja drogowa w historii tego regionu - podkreślono w komunikacie.

Najdroższa inwestycja drogowa w historii województwa. Podpisano umowę

Najdroższa inwestycja drogowa w historii województwa. Podpisano umowę

Źródło:
tvn24.pl

Rada nadzorcza spółki Centralny Port Komunikacyjny ogłosiła postępowanie kwalifikacyjne na prezesa i członka zarządu. Kandydaci na te stanowiska mogą przesyłać zgłoszenia do 8 kwietnia. Rozmowy kwalifikacyjne zaplanowano w dniach 11-12 kwietnia.

Prezes CPK poszukiwany. Ogłoszono konkurs

Prezes CPK poszukiwany. Ogłoszono konkurs

Źródło:
tvn24.pl

W czwartym kwartale 2023 roku oddano do użytkowania 59,1 tysiąca mieszkań, czyli o 18 procent mniej niż w czwartym kwartale rok wcześniej, ale 20 procent więcej niż w trzecim kwartale 2023 roku - poinformował w piątek Narodowy Bank Polski.

Mniej nowych mieszkań na rynku. Dwucyfrowy spadek

Mniej nowych mieszkań na rynku. Dwucyfrowy spadek

Źródło:
PAP

Lewica chce walczyć z flipperami na rynku mieszkaniowym. Przedstawiciele tego ugrupowania przygotowali projekt ustawy, który przewiduje wprowadzenie wyższych stawek podatku od czynności cywilnoprawnych w przypadku mieszkań kupowanych i odsprzedawanych w krótkim czasie. - Ustawa ma doprowadzić do uregulowania i opanowania cen mieszkań w dużych miastach - mówiła w piątek w Sejmie Magdalena Biejat, wicemarszałkini Senatu.

Lewica chce wyższych podatków dla flipperów. "Ceny mieszkań oszalały"

Lewica chce wyższych podatków dla flipperów. "Ceny mieszkań oszalały"

Źródło:
tvn24.pl

W przedświątecznym tygodniu na rynku hurtowym w Broniszach jest duży ruch w handlu, ceny importowanych warzyw i owoców oraz krajowych warzyw są niższe niż przed rokiem. Droższe są krajowe pomidory malinowe, pieczarki i jabłka - mówi ekspert rynku Maciej Kmera. Krajowe warzywa są średnio tańsze o ponad 10 proc., z kolei importowane truskawki potaniały o niemal 40 proc.

Ceny warzyw i owoców w dół. Rekordzistka jest tańsza o niemal 40 procent

Ceny warzyw i owoców w dół. Rekordzistka jest tańsza o niemal 40 procent

Źródło:
PAP

1,3 mld zł uwolnionych spod sankcji – Krajowa Administracja Skarbowa odmraża środki rosyjskich firm w Polsce, które zablokowano im w 2022 roku - podaje w piątkowym wydaniu "Rzeczpospolita". Na listę sankcyjną od 26 kwietnia 2022 r. są wpisywane działające w Polsce rosyjskie firmy lub te z rosyjskim kapitałem o strategicznym znaczeniu dla Federacji Rosyjskiej lub takie, które zagrażają integralności Ukrainy bądź produkują surowce objęte zakazami.

Rosyjskie fortuny w Polsce odmrażane. Chodzi o ponad miliard złotych

Rosyjskie fortuny w Polsce odmrażane. Chodzi o ponad miliard złotych

Źródło:
PAP

W Wielki Piątek będzie można zrobić zakupy w marketach spożywczych nawet do godz. 23. Niektóre jednak czynne będą krócej – do godziny 22.

Zakupy w Wielki Piątek. Do której będą czynne sklepy

Zakupy w Wielki Piątek. Do której będą czynne sklepy

Źródło:
PAP

Czwartkowa sesja na Wall Street zakończyła się z przewagą wzrostów głównych indeksów, a S&P 500 po raz kolejny ustanowił historyczny szczyt i jednocześnie zanotował najlepszy pierwszy kwartał od 2019 roku. Liderem zwyżek w pierwszych trzech miesiącach była Nvidia, spółka zajmująca się sztuczną inteligencją. Akcje koncernu wzrosły o 82,5 proc. w ciągu kwartału i zyskały 14,2 proc. w samym marcu.

Historyczne szczyty na giełdzie w Nowym Jorku. Spółka od sztucznej inteligencji liderem

Historyczne szczyty na giełdzie w Nowym Jorku. Spółka od sztucznej inteligencji liderem

Źródło:
PAP

W 2023 roku wzrost gospodarczy kraju wyniósł 5,3 procent - poinformował Urząd Statystyczny Ukrainy. Jak dodała agencja Reutera, w pierwszym roku rosyjskiej inwazji ukraiński PKB skurczył się prawie o jedną trzecią. W czwartek po raz pierwszy od inwazji podano roczny produkt krajowy brutto. Ukraińska gospodarka jest w dużym stopniu uzależniona od pomocy finansowej z Zachodu.

Po ogromnym spadku jest wzrost. Mimo wojny gospodarka rośnie

Po ogromnym spadku jest wzrost. Mimo wojny gospodarka rośnie

Źródło:
PAP

Od 1. kwietnia przestanie obowiązywać zerowy VAT na żywność, co oznacza powrót do wcześniejszej 5-procentowej stawki. To oznacza podwyżki cen w sklepach, jednak kilka sieci poinformowało, że zamierza utrzymać ceny na dotychczasowym poziomie.

Wyższy VAT na żywność, te same ceny. Te sieci obiecują brak podwyżek

Wyższy VAT na żywność, te same ceny. Te sieci obiecują brak podwyżek

Źródło:
PAP/tvn24.pl

Sam Bankman-Fried został skazany na 25 lat więzienia - podał Reuters. Były miliarder, który kiedyś kierował jedną z największych giełd kryptowalut na świecie - FTX, został w listopadzie uznany za winnego oszustwa i prania pieniędzy. Teraz sąd zadecydował o wymiarze kary.

Jest wyrok dla króla kryptowalut

Jest wyrok dla króla kryptowalut

Źródło:
BBC, Reuters

NCBR zaczyna działać zgodnie z prawem. Musimy naprawić wiele nieprawidłowości - przekazał dla biznesowej redakcji tvn24.pl wiceminister nauki i szkolnictwa wyższego Marek Gzik. W ten sposób skomentował sytuację firm, które muszą zwrócić dotację z Narodowego Centrum Badań i Rozwoju. - My zastaliśmy tę sytuację po poprzednikach. Po wnikliwej analizie dostaliśmy rekomendacje od prawników, by te umowy wypowiedzieć. Chodzi o zasadę - zaznaczył.

NCBR zrywa umowy z firmami, te tracą miliony złotych. Wiceminister tłumaczy: chodzi o zasadę

NCBR zrywa umowy z firmami, te tracą miliony złotych. Wiceminister tłumaczy: chodzi o zasadę

Dziś prowadzimy badania i wsłuchujemy się w głos Polaków. Mówią: nie mamy czasu dla rodziny, nie mamy czasu, żeby rodzinę założyć, nie mamy czasu na miłość, przyjaźń, na spacer, na spotkanie ze znajomym - wymieniła w programie "Fakty po Faktach" Agnieszka Dziemianowicz-Bąk, ministra rodziny, pracy i polityki społecznej. Odniosła się w ten sposób do pomysłu skrócenia tygodnia pracy.

"Nie mamy czasu na miłość". Ministra o planach skrócenia tygodnia pracy

"Nie mamy czasu na miłość". Ministra o planach skrócenia tygodnia pracy

Źródło:
tvn24.pl

Prokuratura Regionalna w Warszawie skierowała do Sądu Okręgowego w Poznaniu akt oskarżenia przeciwko 10 byłym pracownikom Idea Bank SA. Zarzuca im przestępstwa związane z bezpośrednią sprzedażą obligacji GetBack SA – poinformował rzecznik tej prokuratury prokurator Mirosław Jerzy Iwanicki.

Afera GetBack. Prokuratura kieruje akty oskarżenia w wątku wielkopolskim

Afera GetBack. Prokuratura kieruje akty oskarżenia w wątku wielkopolskim

Źródło:
PAP, tvn24.pl

Nie ma siły, która mogłaby podważyć naszą współpracę. Szukamy rozwiązań dla obu stron w sprawie rolnictwa, posunęliśmy się krok do przodu - powiedział premier Donald Tusk na konferencji prasowej po polsko-ukraińskich konsultacjach międzyresortowych. Z kolei premier Ukrainy Denys Szmyhal zapowiedział, że "Ukraina zgodziła się na pewne ograniczenia".

Tusk: zrobiliśmy krok do przodu

Tusk: zrobiliśmy krok do przodu

Źródło:
tvn24.pl, PAP

Trwają analizy dotyczące skrócenia czasu pracy w Polsce - poinformowała ministra rodziny, pracy i polityki społecznej Agnieszka Dziemianowicz-Bąk. - Ponad 100 lat po tym, jak został wprowadzony ośmiogodzinny dzień pracy, czas na następny krok - oceniła. Ministra skomentowała propozycję Polski 2050 w sprawie poluzowania zakazu handlu w niedziele, zapowiedziała także zmiany w sprawie płacy minimalnej.

"Absurdy" w płacy minimalnej. Będą zmiany

"Absurdy" w płacy minimalnej. Będą zmiany

Źródło:
tvn24.pl

W Norwegii media donoszą w czwartek o braku jajek w sklepach. Niedobory mają być spowodowane zmniejszeniem produkcji w Europie na skutek chorób drobiu oraz zwiększeniem norweskiego eksportu, który stał się opłacalny wraz ze spadkiem wartości korony.

Na świątecznych stołach może zabraknąć kluczowego produktu. " Tak źle nie było już dawno"

Na świątecznych stołach może zabraknąć kluczowego produktu. " Tak źle nie było już dawno"

Źródło:
PAP

Zespół CERT Polska w 2023 roku wpisał na listę ostrzeżeń ponad 32 tysiące adresów stron przygotowanych przez oszustów. Ich liczba wzrosła niemal czterokrotnie w porównaniu do roku wcześniej. - Przestępcy bezwzględnie wykorzystują podatność ofiar na socjotechnikę - ocenił Sebastian Kondraszuk, dyrektor CERT Polska.

"Liczba oszustw alarmująco rośnie". Tysiące stron na liście ostrzeżeń

"Liczba oszustw alarmująco rośnie". Tysiące stron na liście ostrzeżeń

Źródło:
tvn24.pl