Coraz więcej samorządów umożliwia mieszkańcom załatwianie spraw urzędowych przez internet. Wiele z nich wprowadza jednak usługi w nieuporządkowany sposób, bez odpowiednich procedur bezpieczeństwa i obowiązkowych audytów, co w niedawnym raporcie wytknęła im Najwyższa Izba Kontroli. Poniżej pokazujemy najczęstsze nieprawidłowości, a tym, którzy ich się nie ustrzegli, przedstawiamy możliwe rozwiązania.
brak odpowiedniej informacji
W części urzędów informacje o możliwości załatwienia spraw drogą elektroniczną bywają niekompletne, mało czytelne albo trudne do odnalezienia. Tymczasem brak skutecznych sposobów informowania o możliwości obsługi interesantów przez internet może być jedną z przyczyn ograniczonego zainteresowania gminnymi e-usługami. Ma to szczególne znaczenie w dobie pandemii koronawirusa.
Jak zatem właściwie powiadomić mieszkańców o sprawach, które mogą załatwić bez wychodzenia z domu? W ocenie Małgorzaty Kurowskiej, radcy prawnego w kancelarii Maruta Wachta, informacje o e-usługach powinny być odpowiednio widoczne. – Można je umieścić na banerach lub ulotkach dystrybuowanych w placówkach publicznych, bądź w formie stale przypiętej informacji na stronie internetowej urzędu. Na banerach i ulotkach mogą znaleźć się najważniejsze kwestie dotyczące e-usług. Po bardziej pogłębione informacje można odesłać mieszkańców na podstronę urzędowej witryny internetowej bądź do kompetentnego pracownika, który udzieli informacji na temat e-usług – wyjaśnia.
Mieszkańcy powinni wiedzieć, za pomocą jakich środków skorzystają z e-usługi, np. czy wystarczy im do tego zwykła poczta e-mail, czy lepszy będzie profil zaufany lub podpis elektroniczny.
Urząd powinien również poinformować, czy skorzystanie z drogi elektronicznej w danej sprawie wiąże się z jakimikolwiek benefitami dla wnioskującego, np. jego sprawa zostanie rozpatrzona szybciej albo otrzyma on powiadomienie o wydaniu decyzji drogą e-mailową lub wiadomością SMS na telefon komórkowy. Dzięki temu zainteresowany mieszkaniec będzie mógł podjąć świadomą decyzję dotyczącą tego, która droga załatwienia sprawy będzie dla niego najodpowiedniejsza.
szwankujące bezpieczeństwo
W wielu jednostkach w ogóle nie funkcjonuje System Zarządzania Bezpieczeństwem Informacji (SZBI), opisany w par. 20 ust. 1 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526; dalej: rozporządzenie o KRI).
Tam, gdzie system jest, nierzadko bywa niekompletny, bo opracowane i wdrożone w jednostkach regulacje nie obejmują wszystkich informacji, jakie są przetwarzane w urzędzie, lecz dotyczą głównie ochrony danych osobowych. Jak wyjaśnia Małgorzata Kurowska, samorządy często skupiają się na przestrzeganiu przepisów dotyczących danych osobowych, ponieważ najbardziej obawiają się kar finansowych za ich naruszenie. Te mogą sięgnąć do 100 tys. zł. – Nie można jednak zapominać, że gminy przetwarzają znacznie więcej rodzajów informacji poufnych. I w trosce o dobro mieszkańców uwzględnienie w polityce bezpieczeństwa informacji także tych danych jest niezwykle ważne – podkreśla prawniczka.
Sposobu zapewniającego ochronę w stu procentach nie ma, ale specjalistyczne oprogramowanie, sprzęt i inwestycje pozwalają uchronić się przed wyciekiem czy kradzieżą informacji. Dobrze zorganizowany System Zarządzania Bezpieczeństwem Informacji zapewnia odpowiednią ochronę wszystkich przetwarzanych przez urząd informacji poufnych, a nie tylko danych osobowych. W SZBI powinny się więc znaleźć wszystkie obowiązujące w urzędzie procedury, regulaminy, polityki bezpieczeństwa i instrukcje postępowania w przypadku zagrożeń, które dotyczą zarządzania zasobami informatycznymi oraz usprawniania zabezpieczeń.
Podpowiedzi, w jaki sposób powinien być zorganizowany SZBI, można szukać w par. 20 ust. 3 rozporządzenia KRI. Przepis ten stanowi, że system powinien być opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001104.
zapomniane audyty
Część gmin, które wdrożyły SZBI, nie przeprowadza jego obowiązkowych audytów, co jest niezgodne z par. 20 ust. 2 pkt 14 rozporządzenia KRI. System powinien być corocznie sprawdzany, by wyeliminować pojawiające się w nim nieprawidłowości. Brak podjęcia takich działań to możliwość przegapienia luki w systemie.
Tam, gdzie audyty były przeprowadzane, wykazywały np. konieczność zorganizowania lepszego wsparcia ze strony kierownictwa w działaniach zapewniających bezpieczeństwo informacji i zasobów informatycznych urzędu.
niewłaściwa ewidencja
Spora część urzędów nie ma aktualnej informacji o posiadanych zasobach informatycznych. Tam zaś, gdzie wykorzystuje się oprogramowanie do ewidencjonowania sprzętu i programów wraz z ich konfiguracją, ta ewidencja bywa niepełna lub dane w niej zawarte są nierzetelne. Z kolei zakres informacji dostępnych w papierowym rejestrze zasobów informatycznych jest niewystarczający, gdyż nie zawiera aktualnych, pełnych informacji o posiadanych zasobach informatycznych, w tym ich rodzaju i konfiguracji.
Tymczasem, jak mówi dr Mirosław Gumularz, radca prawny w kancelarii prawnej GKK, samorządy nierzadko zarządzają licznymi zasobami informatycznymi, np. systemami, sieciami, serwerowniami, stronami internetowymi jednostek, archiwami, rejestrami itp. – Ewidencja pozwala na ustalenie, jakimi dokładnie zasobami dysponuje samorząd. Ponadto wskazuje, jak te zasoby są zabezpieczone, czy są odpowiednio zaktualizowane, i czy nie wystąpiły w nich awarie – mówi prawnik. I dodaje, że brak ewidencji zasobów informatycznych grozi tym, że w razie katastrofy, wycieku danych lub poważnej awarii, jednostki mogą nie mieć wiedzy na temat tego, które systemy zostały dotknięte naruszeniem albo które pliki zostały utracone. – To zaś może znacząco utrudnić zarządzanie kryzysem i przekazywanie rzetelnych informacji do wspomagającego urząd zespołu CSIRT (ang. Computer Security Incident Response Team) NASK – mówi Mirosław Gumularz.
zbyt szerokie uprawnienia pracowników
W niektórych samorządach wciąż nie funkcjonują odpowiednie procedury dotyczące blokowania bądź odbierania uprawnień dostępu do systemów informatycznych. W części jednostek wciąż aktywne pozostają konta kilkudziesięciu byłych pracowników. Takie uprawnienia powinny być odebrane bezzwłocznie. Tymczasem NIK w swoim raporcie stwierdziła, że w jednym z urzędów, w przypadku 11 pracowników, zwłoka wynosiła od 59 do 931 dni. Teoretycznie więc przez 2,5 roku osoby nieuprawnione mogły mieć dostęp do poufnych danych przetwarzanych przez urząd.
Kolejny błąd to zezwalanie na to, by urzędnicy instalowali na służbowych komputerach dowolne oprogramowanie, co może grozić nieświadomym zainstalowaniem złośliwego oprogramowania, np. w czasie przeglądania stron internetowych. Samorządy muszą więc zadbać o to, by takie uprawnienia były dostępne jedynie dla administratorów i pracowników służb informatycznych.
– Jednostki samorządu terytorialnego muszą też wdrożyć odpowiednie procedury, które zapewniać będą niezwłoczne blokowanie dostępu i odbierania uprawnień do systemów informatycznych pracownikom, którzy zakończyli zatrudnienie w urzędzie – dodaje Mirosław Gumularz. Jego zdaniem każdy nowy pracownik powinien otrzymywać sprzęt służbowy dopiero po przygotowaniu go przez służby informatyczne. Komputer powinien być wyczyszczony z informacji, do których nie powinien mieć dostępu nowy pracownik. – To zmiany głównie organizacyjne, które nie muszą generować wysokich kosztów dla samorządów. Należy wypracować po prostu odpowiednie procedury bezpieczeństwa i ich przestrzegać w sposób ciągły – uważa Małgorzata Kurowska. Według niej uchybienia stwierdzone przez NIK wyraźnie pokazują, że samorządy nie dbają w wystarczajacym stopniu o bieżące bezpieczeństwo przetwarzanych informacji poufnych. – Wdrażanie takich zabezpieczeń to nie jest jednorazowe działanie. Tak samo jak jednorazowym działaniem nie było wdrożenie RODO. Systemy muszą być stale aktualizowane, audytowane, a procedury bezpieczeństwa dostosowane do pojawiających się nowych zagrożeń – konkluduje prawniczka. ©℗
