Kontrola NIK pokazała, że Kancelaria Prezesa Rady Ministrów (KPRM), która pełni obowiązki Ministerstwa Cyfryzacji, nie monitorowała tego, jak podczas pracy na odległość chroniono przetwarzane mobilnie dane. Nie mając informacji o skali wykorzystania systemów teleinformatycznych w pracy zdalnej, nie mogła sprawdzać, na ile wydane przez nią zalecenia i rekomendacje są stosowane.
Z danych departamentu cyberbezpieczeństwa KPRM wynika, że w 2020 r. doszło do 388 incydentów bezpieczeństwa w administracji publicznej, a do sierpnia 2021 r. do kolejnych 287. Informacje te są jednak niepełne, ponieważ Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy nie ma obowiązku przekazywania rządowi szczegółowych informacji.
Jak w tym czasie wyglądało przestrzeganie procedur? Bardzo różnie. Część instytucji nie była przygotowana do natychmiastowego wprowadzenia narzędzi umożliwiających pracownikom zdalne wykonywanie zadań, co wymagało aktualizacji systemów zarządzania bezpieczeństwem danych. W trzech urzędach dopuszczono więc możliwość wykorzystywania w celach służbowych także prywatnych kont e-mailowych, a w dwóch – pod określonymi warunkami. W przypadku informacji przetwarzanych za pomocą szyfrowanych kanałów VPN w pięciu urzędach dopuszczono stosowanie jedynie sprzętu służbowego, a w pięciu pozostałych – także prywatnych komputerów. Tylko trzy na dziesięć urzędów przeprowadziły zewnętrzny audyt bezpieczeństwa systemów informatycznych. Część zleciła audyt wewnętrzny, dwa urzędy nie przeprowadziły żadnego przeglądu.
Zdaniem NIK pracownicy nie mieli pełnej wiedzy o zagrożeniach dotyczących bezpieczeństwa informacji w pracy na odległość. Zdobywano ją głównie dzięki samokształceniu, m.in. przez udostępnione przez pracodawców materiały. Jedynie dwie instytucje zorganizowały szkolenia na temat bezpiecznego łączenia się z siecią wewnętrzną urzędu, dwie kolejne w całym badanym okresie nie przeprowadziły żadnego.