Prawie 70 proc. urzędów samorządowych, jakie skontrolowała NIK, nie radzi sobie z zapewnieniem bezpieczeństwa przetwarzania informacji. W ponad 80 proc. placówek stwierdzono nieprawidłowości w zarządzaniu uprawnieniami użytkowników w systemach IT. W ponad 60 proc. brakowało systemowego podejścia do zapewnienia skutecznej ochrony, ponieważ regulacje w tych jednostkach dotyczyły głównie danych osobowych i nie obejmowały bezpieczeństwa innych rekordów – według raportu NIK.

Gdy w gminie czy powiecie już ustanowiono jakieś zasady ochrony danych, okazało się, że mało kto się nimi przejmuje – w ponad połowie placówek (57 proc.) nie przestrzegano reguł uzyskiwania dostępu do systemów informatycznych. Prowadziło to do szeregu ryzykownych zaniedbań, np. stosowania krótszych niż wymagane haseł do systemów IT czy używanie komputerów z systemem operacyjnym z pominięciem gwarancji. Zapewne niewielu zdawało sobie z tego sprawę, bo w 70 proc. urzędów nie przeprowadzono obowiązkowego corocznego audytu z zakresu bezpieczeństwa informacji.

Ustalono, że blisko 75 proc. urzędów nie ma pełnej informacji o posiadanych zasobach IT, służących do przetwarzania danych. Tymczasem RODO wymaga nieustannego monitorowania tego obszaru  i szybkiej reakcji w razie naruszeń. Jednak w 1/4 urzędów kontrolerzy stwierdzili niedostosowanie regulacji wewnętrznych do przepisów RODO.

Skutek – np. w ciągu dwóch lat (2013-2014) hakerzy okradli pięć polskich gmin, w tym Jaworzno na prawie milion złotych. Jak stwierdzono, mimo upływu lat z ochroną danych w samorządach nadal jest marnie – nie nastąpiła poprawa w tym zakresie.
 

Sposoby na poprawę ochrony

Veeam radzi, by poszerzyć wiedzę o danych (jakie są dostępne, kto ma do nich dostęp, gdzie są przechowywane i przetwarzane) i stworzyć wizualną mapę wszystkich informacji posiadanych przez firmę.

Następnie konieczne jest zarządzanie danymi w chmurze – wdrożenie procedur i przepływów pracy związanych z przetwarzaniem danych osobowych. W zarządzaniu danymi najważniejsze jest to, aby wiedzieć, co się z nimi dzieje – nie tylko w samej organizacji. Zachowanie zgodności z RODO wymaga, aby zasad przestrzegały również firmy zewnętrzne i dostawcy usług, z którymi współpracuje dany podmiot.

Kiedy zyska się już wgląd w swoje dane i wdroży standardowe procesy zarządzania nimi, trzeba upewnić się, że w organizacji są zastosowane odpowiednie narzędzia ochrony. Wiedza o możliwościach narzędzi informatycznych do jej zapewnienia jest tu kluczowa. Wprowadzenie nowego podejścia do ochrony danych w firmie wymaga połączenia technik bezpieczeństwa, standardowych przepływów pracy, wewnętrznej edukacji, kontroli dostępu, rozwiązań do backupu i nie tylko.

Sam backup nie wystarczy. Jednym z największych zaniedbań administracji samorządowej są kwestie związane z tworzeniem, przechowywaniem i weryfikacją kopii zapasowych danych.

Posiadanie kopii danych to za mało, bo trzeba je jeszcze odzyskać. Konieczne jest zatem regularne testowanie jakości kopii zapasowych i możliwości ich odzyskania. Jeśli jednostka administracji samorządowej korzysta z usług dostawcy Backend-as-a-Service (BaaS), powinna zarysować takie cykliczne testowanie jako jeden z elementów umowy.

W procesach ochrony danych nie można spocząć na laurach – trzeba nieustannie oceniać i ulepszać – zaznacza Veeam.