NIK, o której ostatnio znów głośno w polskiej polityce, przeprowadziła kontrolę dotyczącą usług na ePUAP. Nieprawidłowości nie brakowało (co chyba nie jest zaskoczeniem), i to niekiedy poważnych.

Otóż oprócz Ministerstwa Cyfryzacji i Centralnego Ośrodka Cyfryzacji kontrola objęła 28 urzędów miast i gmin. Urzędy te udostępniały obywatelom od 10 do 232 usług na platformie ePUAP. Sprawy wniesione drogą elektroniczną załatwiane były bez zarzutu – to jest pozytywna informacja.

Kolejne wnioski z raportu nie są już tak budujące.

Spis zasobów informatycznych na kartce

Jest słabo z ogarnięciem posiadanych zasobów informatycznych – wynika z kontroli.

Otóż w 11 urzędach brakowało pełnej i aktualnej informacji o posiadanych zasobach informatycznych do przetwarzania danych.

W 7 z tych urzędów, w których wykorzystywano oprogramowanie do ewidencjonowania sprzętu i oprogramowania wraz z ich konfiguracją stwierdzono, że ewidencja była niepełna lub dane w niej zawarte były nierzetelne.

W 4 pozostałych spis urządzeń informatycznych prowadzono w formie arkusza danych lub wykazów papierowych.

NIK wskazuje, że zakres informacji zapisanych na papierze jest niewystarczający, gdyż nie zawiera aktualnych, pełnych danych o posiadanych zasobach IT, w tym o ich rodzaju i konfiguracji.

Oznacza to, że w takich urzędach nie będzie możliwe sprawne odtworzenie infrastruktury informatycznej w przypadku katastrofy lub problemu – stwierdza NIK.

Brak obowiązkowych audytów bezpieczeństwa

W 16 urzędach, czyli w ponad połowie kontrolowanych, nie przeprowadzono obowiązkowych audytów bezpieczeństwa informacji. W połowie z nich nie było audytu w całym okresie objętym kontrolą, natomiast w pozostałych ośmiu nie przeprowadzano go co roku tak jak trzeba.

W 12 jednostkach, w których zrealizowano coroczny audyt, sformułowano nawet rekomendacje dotyczące wzmocnienia bezpieczeństwa przetwarzania informacji.

Otóż apeluje się w nich o wsparcie ze strony kierownictwa w działaniach zapewniających bezpieczeństwo informacji urzędu i zasobów IT.

Czego nie ma, a ma być (w planach)

W 16 urzędach brak było Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Opracowane i wdrożone w tych jednostkach regulacje nie obejmowały wszystkich informacji, jakie są przetwarzane w urzędzie, lecz dotyczyły głównie ochrony danych osobowych.

Kontrolowani wg NIK wyjaśniali m.in., że planowane są, bądź zostały podjęte prace dla przygotowania SZBI, w tym polityki bezpieczeństwa informacji.

Byli pracownicy mogą namieszać w systemach

NIK sprawdziła też kwestie dotyczące blokowania bądź odbierania uprawnień dostępu do systemów informatycznych.

Sprawdzono 441 pracowników, którzy odeszli z urzędów. Stwierdzono, że w 9 urzędach konta 59 byłych pracowników były wciąż aktywne (zgodnie z przepisami uprawnienia powinny być odebrane bezzwłocznie). W jednej lokalizacji nawet po 2,5 roku po pożegnaniu z posadą ex-pracownik miał nadal uprawnienia do korzystania z systemu informatycznego urzędu.

Instalują co chcą

Ok. 10 proc. aktualnych pracowników mogło instalować na komputerach dowolne oprogramowanie, mimo że nie byli z działu IT. Taka sytuacja może rzecz jasna grozić nieświadomym zainstalowaniem złośliwego oprogramowania.

ePUAP może (zgodnie z umową) paść na 7 dni
Co do kontroli centralnych jednostek, to stwierdzono m.in., że nieprawidłowo przygotowano zasady obliczania dostępności ePUAP oraz Profilu Zaufanego w umowach między ministerstwem a Centralnym Ośrodkiem Informatyki. Dostępność określono na poziomie 98% dla ePUAP oraz 99% dla PZ. Przyjęcie takich wartości oznacza możliwość całkowitej niedostępności każdej z usług przez 7,3 dnia w ciągu roku dla ePUAP oraz przez 3,6 dnia dla PZ – obliczył NIK.
W opinii kontrolerów oba systemy powinny mieć gwarantowaną w umowach dostępność o wartości zbliżonej do bankowych systemów informatycznych, tj. 99,9%.

Rachunek (nie wiadomo dlaczego) wzrósł o 70 mln zł
Kontrolując centralne rozwiązania NIK stwierdził, że resort cyfryzacji nie zapewnił niezależnej oceny prawidłowości przygotowanych przez COI kalkulacji zwiększających koszty umowy na utrzymanie i rozwój ePUAP. W rezultacie zawartego aneksu maksymalne wynagrodzenie COI wzrosło o prawie 70 mln zł.
Nie bardzo wiadomo, dlaczego aż tyle. Jak stwierdza NIK, do kontroli nie przedłożono żadnych dokumentów potwierdzających przeprowadzenie weryfikacji wyceny przez pracowników ministerstwa lub przez niezależnych od COI ekspertów zewnętrznych. Zdaniem NIK brak takiej wyceny i bazowanie wyłącznie na kalkulacji sporządzonej przez wykonawcę usługi było działaniem nierzetelnym.