Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Raport NIK dotyczący bezpieczeństwa w urzędach. 70% skontrolowanych urzędów nie radziło sobie z zapewnieniem bezpieczeństwa przetwarzania informacji
Wyniki kontroli NIK-u dostępne są tutaj. Czytamy tam:
Brak było systemowego podejścia kierowników urzędów do zarządzania bezpieczeństwem informacji oraz właściwego zabezpieczenia danych będących w posiadaniu urzędów. Pomimo upływu kilku lat nadal nie nastąpiła poprawa w tym zakresie, co rodzi obawy o bezpieczeństwo danych, zwłaszcza, że coraz więcej spraw obywateli załatwianych jest drogą elektroniczną, a administracja publiczna gromadzi i przetwarza coraz więcej danych w postaci elektronicznej. W ocenie NIK, blisko 70 proc. skontrolowanych urzędów (16 z 23 urzędów) nie radziło sobie z zapewnieniem bezpieczeństwa przetwarzania informacji, co Izba oceniła negatywnie.
Wymieniane grzechy są różne – od regularnej pracy użytkowników na kontach administratorów przez niewykonywanie lub nietestowanie kopii zapasowych aż po krótkie hasła czy używanie niewspieranych systemów operacyjnych (w ponad połowie jednostek!).
Zdecydowana większość nie używa szyfrowania dysków na laptopach (70%), w podobnej liczbie badanych urzędów nie wykonywano też obowiązkowych corocznych audytów bezpieczeństwa.
Są jakieś obszary o które się dba – są to dane osobowe (choć wg nas z raportu wynika, że jest to ochrona proceduralno-papierowa):
Kontrolerzy NIK stwierdzili, że w ponad 60 proc. badanych urzędów brakowało systemowego podejścia do zapewnienia bezpieczeństwa informacji, gdyż opracowane w tych jednostkach regulacje dotyczyły głównie danych osobowych i nie obejmowały bezpieczeństwa innych informacji.
Ponadto stwierdzono, że w prawie 3/4 kontrolowanych urzędów brak było pełnej i aktualnej informacji o posiadanych zasobach informatycznych służących do przetwarzania danych, co oznacza, że w przypadku wystąpienia poważnej awarii lub innego zdarzenia losowego (takiego jak zalanie, pożar czy kradzież), utrudnione będzie szybkie odtworzenie infrastruktury i zapewnienie ciągłości świadczenia usług dla obywateli.
–ms
Może to dziwne jednak zapytam. Po co urzędnikom laptopy? Żeby łatwiej wynosić wrażliwe dane z urzędu? Urzędnik to praca stacjonarna. Piece i koniec. Urzędy mają swoje siedziby a w nich urzędnicy mają swoje pokoje. To wszystko za tęgi szmal wypracowywany przez owiecz… przęciętnych obywateli.
BTW Urzędy nie chronią danych osobowych a często nimi handlują. Może nie całe urzędy ale wybrane osoby. Nie róbmy kpin. Proceder trwa od lat i jak dotąd nie słyszałem aby ktoś za to zawisł.
Oni przecież nie mają tam żadnych danych, poza bzdetami w wordzie i kalkulacjami na poziomie kalkulatora w excelu. Do tego czytanie poczty.
Skoro znasz przepadki handlowania danymi przez urzędników, to twoim OBOWIĄZKIEM jest powiadomienie prokuratury o łamaniu prawa. No ale pewnie słyszałeś tylko jakieś plotki lub w internecie tak mówią.
@zero one
Dobre pytanie :) Widuję lapki w tylu miejscach, gdzie sprawdziłby się stacjonarny komp (np standardowo w rozmaitych przychodniach, aptekach), że to nie może być przypadek ;)
Spróbuję zgadnąć, może na przykład
a) łatwiej (pozornie) wyspecyfikować przetarg na lapki niż na komp, monitor, urządzenia in/out, inne peryferia
b) mniej pracy z wciąganiem w księgi jednego lapka, niż kompa, monitora, klawiatury, każdej jednej części zamiennej
c) w razie konieczności naprawy robi się przetarg / konkurs ofert i kupuje się następnego lapka w całości, a poprzedniego utylizuje
d) zazwyczaj laptop jest od razu po kupnie wstępnie skonfigurowany i teoretycznie można zacząć na nim pracę od razu (a potem właśnie takie kwiatki jak brak bezpieczeństwa danych)
Mam takie ogólne wrażenie, że wielu ludzi myśli o laptopach jako o magicznym pudełku, które działa inaczej niż normalny komputer i na pewno się rzadziej psuje, a jeśli już, to całe naraz ;)
Od razu widać, że nie masz bladego pojęcia o firmowych PC (np. Dell) do pracy, a jedynie o składakach.
Nie ma praktycznie żadnej różnicy kiedy wyjmujesz z pudełka stacjonarnego Della od laptopa. Mowa oczywiście o oprogramowaniu.
To Ci przyjacielu odpowiem, jak pracownik właśnie urzędu. Nie wiem jak w innych jednostkach, ale u mnie praca po godzinach to norma. Często pracownicy pracują (rzeczywiście pracują) do późnych godzin nocnych. Stąd lepiej dać takiej osobie odpowiednio zabezpieczonego laptopa (szyfrowanie laptopa, praca tylko na dysku sieciowym przez VPN, monitorowanie ruchu, poblokowane porty USB, etc.) i żeby ten czas spędził jednak w domu, niż w urzędzie.
Oprócz tego wewnętrzne spotkania – salka konferencyjna, na której można dokonać prezentacji, przedstawić raport, etc.
Do tego dochodzą wyjazdy w teren, gdzie musi też wykonywać pracę. Kontrole, audyty etc. – raczej nie będzie taskać stacjonarki.
Nie wrzucajmy wszystkich urzędników do jednego worka. Poza tym – w artykule nie ma informacji ile sztuk tych laptopów jest. Może to być po jednym laptopie w 10 urzędach i na 7 z nich nie było szyfrowania. 70%.
Po tym co słyszałem od znajomych pracujących w urzędach, to jest to całkiem dobry wynik. Tam nie ma pieniędzy na sprzęt, oprogramowanie (a przecież musi być windows, nawet jeśli nikt nie ma pieniędzy na AD i komputerki leżą luźno pod biurkiem), o systemach do backupu się nie myśli (co najwyżej jakiś domowy NAS pod TV bo taniej), a zamiast admina zatrudnia się „informatyka”. Na koniec zostaje bezpieczeństwo fizyczne urządzeń i danych. No cóż, kasa drodzy państwo, kasa :)
No gdzie masz problem? Nikt normalny nie idzie pracować na informatyka w urzędzie.
A jak zatrudnią super informatyka z pensją np. 20 tys. miesięcznie, to załatwienie jakiejś sprawy w urzędzie będzie prostsze? Czy może pani z US skarbowego nie będzie na ciebie patrzeć jak na złodzieja?
Społeczeństwo wybiera rządzących, którzy produkują słabej jakości prawo. Społeczeństwo mówi: urzędy to zło, złodzieje, urzędnicy mają pracować za póldarmo lub hobbystycznie. Społeczeństwo otrzymuje usługę adekwatnej jakości. Społeczeństwo się dziwi:D Państwo z papieru i dykty trwa…
Akurat na urzędników nie idea najlepsi z najlepszych. Poza tym chcesz płacić większe podatki, to sobie płać.
Miało być tanie państwo, i jest tanie państwo. Jak teraz urzędy mają wdrożyć system cyberbezpieczeństwa, jeśli państwo przewidziało wydatki na poziomie zero? Słownie: zero, na przestrzeni dziesięciu lat. Zresztą, co my mówimy o reagowaniu na incydenty, jeśli urzędy nie wiedzą ile mają komputerów…
@Szymon
Och, niejeden dobry admin zaczynał jako „informatyk” :) De facto jak sprawdzisz zakres obowiązków, to urzędowy informatyk powinien łączyć kompetencje i admina i serwisu IT.
I zazwyczaj mógłby, gdyby
1) istniał system sensownych, obowiązkowych szkoleń dla personelu technicznego (za płace w budżetówce we własnym zakresie szkolić nie będzie się mógł),
2) dysponowałby w pewnym zakresie budżetem na sprzęt i soft (żeby na każdą myszkę nie trzeba ogłaszać przetargu)
3) oprogramowanie dedykowane dla urzędów nie było śmieciami z przetargów za najniższą cenę
Po pierwsze trzeba sobie powiedzieć, że „informatyk” w urzędach a i w większości firm a nawet małych banków to „strażak” gaszący bieżące problemy a nie administrator. Większość zatrudnia 1 (słownie: jednego) człowieka, który ma ogarnąć administrowanie siecią, serwis IT a często serwis ksero i innych „elektrotechnicznych” urządzeń od ekspresu do kawy do aktualizacji firmowej nawigacji, często też monitoring. Zdarzają się też patologie, iż człowiek taki jest też IOD-ą. Poziom niektórych szkoleń z zakresu bezpieczeństwa dla urzędów to śmiech na sali pod względem merytorycznym. Dodatkowo taki Informatyk w wielu sytuacjach jest Człowiekiem Do Wszystkiego walczącym jako Sam Przeciw Wszystkim – ile jest sytuacji iż wdraża się politykę bezpieczeństwa a przychodzi „wysoko-postawiony” i nakazuje „zrobienie” wejścia dla „Pani Grażynki – kuzynki”? O budżecie – żal wspominać. Bez sensownych nakładów, zatrudnienia większej ilości osób i dostosowania prawa (coś dla urzędów jak Rekomendacja D dla banków) bezpieczeństwo nadal będzie na takim poziomie jak jest.
Niestety, jest dokładnie tak jak mówisz.
I bardzo dobrze. nie ogarniasz ekspresu do kawy lub monitoringu, to zmień pracę.
Szkolenia są słabe, to załóż firmę i rób szkolenia. Albo zatrudnij się w Sekuraku, oni ciągle potrzebują kogoś do szkoleń.
A jak kuzynka wejdzie, to w jakim stopniu zachwieje ci to bezpieczeństw?
Jakimś cudem ta prowizorka działa.
Może prościej cofnąć się do PRL? Pozbyć się kompów i zmniejszyć liczbę urzędników i uprościć prawo.
Ze szkoleniami radzimy sobie na razie bardzo dobrze :-)