Najwyższa Izba Kontroli wzięła pod uwagę korzyści oraz zagrożenia wynikające z używania technologii informatycznych, które mają ułatwić wyszukiwanie, przetwarzanie, w tym możliwość wymiany informacji przez różne instytucje. Za cel audytu obrano sposób przetwarzania danych w pracy na odległość – między innymi, czy zachowywane jest bezpieczeństwo informacji, na które wskazują wytyczne SZBI (System Zarządzania Bezpieczeństwem Informacji). Rekomendacje SZBI mają szczególne znaczenie dla podmiotów realizujących zadania publiczne, ponieważ obejmuje m.in. ochronę danych osobowych i informacje niejawne.
Najwyższa Izba Kontroli przeprowadziła kontrolę zgodności pracy na odległość z rekomendacjami SZBI w dniach od 1 stycznia 2020 do 30 listopada 2021 roku. Sprawdzono, czy zapewniono należytą organizację bezpieczeństwa informacji oraz czy egzekwowano rozwiązania techniczne.
Audytowi poddano następujące jednostki:
- Kancelarię Prezesa Rady Ministrów,
- Izbę Administracji Skarbowej w Olsztynie,
- Starostwo Powiatowe w Bartoszycach,
- Starostwo Powiatowe w Gołdapi,
- Urząd Gminy Jedwabno,
- Urząd Gminy w Gietrzwałdzie,
- Urząd Miejski w Morągu,
- Urząd Miejski W Olsztynku,
- Urząd Miejski W Pasłęku,
- Wojewódzki Inspektorat Farmaceutyczny w Olsztynie,
- Wojewódzki Urząd Ochrony Zabytków w Olsztynie.
Są braki w zarządzaniu bezpieczeństwem informacji w pracy zdalnej
- Wszystkie kontrolowane jednostki posiadały ustanowione i wdrożone Polityki Ochrony Danych Osobowych.
- Wszystkie skontrolowane jednostki posiadały ustanowione i wdrożone reguły dotyczące postępowania z nośnikami danych.
- Zasady wynoszenia aktywów określono we wszystkich jednostkach. Przyjęto w nich ogólny zakaz wynoszenia dokumentacji papierowej.
- Zarządzanie incydentami bezpieczeństwa informacji realizowane było w niepełnym zakresie.
- Działania szkoleniowe w zakresie bezpieczeństwa informacji nie zapewniały pracownikom uzyskania pełnej wiedzy o zagrożeniach i sposobach przeciwdziałania ich skutkom.
- Kierownicy jednostek nie dysponowali rzetelną oceną skuteczności stosowanych rozwiązań dotyczących bezpieczeństwa informacji.
- Do udostępnienia usług sieci wewnętrznej jednostki stosowano szyfrowane połączenia VPN, zarówno w przypadku służbowych, jak i prywatnych komputerów. Faktyczny poziom bezpieczeństwa informacji był jednak niższy od zakładanego, gdyż w części jednostek nie szyfrowano dysków komputerów przenośnych, a w jednej nie skonfigurowano indywidualnych kont użytkowników.
- Połowa kontrolowanych urzędów umożliwiła wykorzystywanie sprzętu prywatnego.
Rekomendacje od Najwyższej Izby Kontroli
W celu podniesienia poziomu odporności systemów opracowane zostały Narodowe Standardy Cyberbezpieczeństwa. Jest to zbiór rekomendacji skierowanych do podmiotów mających zamiar efektywnie zarządzać systemami bezpieczeństwa informacji.
Rekomendacje dotyczą między innymi cyberhigieny w czasie pracy zdalnej:
- korzystania z domowej sieci Wi-Fi z silnym hasłem i jednocześnie nie korzystania z publicznych otwartych sieci Wi-Fi,
- wdrożenia VPN,
- dwuskładnikowego uwierzytelniania,
- tworzenia kopii zapasowych,
- nieużywania prywatnych skrzynek pocztowych, czy grup na portalach społecznościowych do komunikacji firmowej,
- stosowania się do wytycznych pracodawcy oraz wykorzystywania do pracy tylko komputera i telefonu firmowego,
- zadbanie o bezpieczeństwo urządzeń w sieci domowej,
- aktualizacje systemu urządzeń,
- pracy przy użyciu e-mail oraz komunikatorów, chmury i narzędzi do pracy zdalnej.