Stosowane przez skontrolowane podmioty państwowe (w tym NFZ) systemy ochrony danych nie zapewniają ich bezpieczeństwa. Działania realizowane w celu jego zapewnienia są prowadzone opieszale, bez z góry przygotowanego planu, a środki przeznaczane na ten cel są niewystarczające. W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce.

nikTo kolejna z kontroli NIK dotyczących obszaru bezpieczeństwa systemów teleinformatycznych i przechowywanych w nich danych. Przypomnijmy, że 2015 r. opublikowana został informacja o wynikach kontroli Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej, która wykazała, że państwo polskie nie jest przygotowane do walki z zagrożeniami występującymi w cyberprzestrzeni. Przykłady, takie jak choćby publikacja w internecie danych osobowych 50 mln obywateli Turcji w 2016 r., kradzież danych klientów Plus Banku w 2015 r. czy wyciek danych o kontach 5 mln użytkowników Gmail w 2014, pokazują, że zagrożenia te są realne, a konsekwencje wycieku danych poważne i mogą stanowić zagrożenie nie tylko dla wizerunku podmiotów, z których te dane wyciekły, ale przede wszystkim dla osób, których dane zostały wykradzione. Dlatego też NIK postanowiła przyjrzeć się, jak bezpieczne są dane znajdujące się w wybranych systemach informatycznych, mających istotne znaczenie dla funkcjonowania państwa. Kontrola objęła:

 

JednostkaSystem objęty badaniemZadania publiczne realizowane za pomocą systemu
Narodowy Fundusz Zdrowia Elektroniczna Weryfikacja Uprawnień Świadczeniobiorców (eWUŚ) System pozwalający szerokorozumianej służbie zdrowia na weryfikację posiadanych przez pacjenta praw do świadczeń opieki zdrowotnej.

 

Niestety, wnioski z tej kontroli są  alarmujące. Oto obraz sytuacji w poszczególnych obszarach.

 

3.3.5. Narodowy Fundusz Zdrowia

W oparciu o stosowany w metodyce COBIT 4.1 Model dojrzałości, NIK oceniła poziom zarządzania procesem „zapewnienie bezpieczeństwa systemów informatycznych” w Centrali NFZ jako powtarzalne lecz intuicyjne.

W kontrolowanej jednostce istniała świadomość potrzeby zapewnienia bezpieczeństwa teleinformatycznego, jednak była ona fragmentaryczna i ograniczona. Rozwijana była wprawdzie polityka dotycząca bezpieczeństwa, ale nie towarzyszyły jej adekwatne narzędzia. Chociaż systemy dostarczały informacji dotyczących bezpieczeństwa, dane te nie były analizowane.

W ocenie NIK brak jednolitego i kompleksowego systemu zarządzania bezpieczeństwem informacji w Centrali NFZ utrudniał właściwą ich ochronę. Nieaktualizowanie od 2010 r. [1] regulacji dotyczących bezpieczeństwa danych przetwarzanych w NFZ powodowało, że stosowane rozwiązania nie nadążały za zmianami w systemie prawnym, a w konsekwencji również mogły przyczyniać się do osłabienia tej ochrony. W tym kontekście Izba pozytywnie ocenia podjęte przez Fundusz działania w celu opracowania i wdrożenia [2] Zintegrowanego Systemu Zarządzania łączącego System Zarządzania Ryzykiem, System Zarządzania Bezpieczeństwem Informacji oraz System Zarządzania Ciągłością Działania.

W NFZ brak było całościowej polityki bezpieczeństwa informacji. Przyjęte zarządzenie z 2010 roku w sprawie bezpieczeństwa danych przetwarzanych w NFZ dotyczyło systemów przetwarzających dane osobowe. Regulacje te nie były aktualizowane, co stanowiło naruszenie wymogów określonych w § 20 ust. 2 pkt 1 rozporządzenia KRI. Zgodnie z tym przepisem zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia. NIK, jako działanie nierzetelne oceniła fakt, że w Centrali NFZ brak było skutecznie działającego systemu zarządzania bezpieczeństwem informacji.

Przeprowadzony w 2013 r. audyt bezpieczeństwa systemu informacyjnego eWUŚ wskazał, że aplikacja ta była podatna na znane błędy bezpieczeństwa oraz ujawnił istnienie ryzyk w obszarze bezpieczeństwa informacji. Przeprowadzony po trzech miesiącach audyt sprawdzający wykazał, że nie usunięto 40% podatności a 32% usunięto częściowo.

W NFZ nie był prowadzony zcentralizowany rejestr incydentów, co zdaniem NIK uniemożliwiało kierownictwu stworzenie odpowiednich warunków do monitorowania stanu bezpieczeństwa jednostki. Procedury zawierające definicje incydentu, szczegółowe zasady zgłaszania rejestrowania i analizowania incydentów były w trakcie opracowywania. Brak jednolitej procedury reagowania na incydenty i jednoznacznego wskazania komórki odpowiedzialnej za reakcję, było zdaniem NIK

WAŻNIEJSZE WYNIKI KONTROLI

działaniem nierzetelnym oraz stanowiącym naruszenie wymogu określonego w § 20 ust. 2 pkt 13 rozporządzenia KRI. W obszarze ochrony przed złośliwym oprogramowaniem NIK nie stwierdziła nieprawidłowości. Systemem ochrony przed złośliwym oprogramowaniem objęto komputery stacjonarne i przenośne. W NFZ nie prowadzono klasyfikacji aktywów, w związku z powyższym nie mają one przyporządkowanych parametrów istotności i poziomów ochrony.

W dziennikach systemu eWUŚ (logach), w okresie objętym kontrolą, ponad 180 razy pojawiał się użytkownik „root” [3]. W czasie trwania kontroli wdrażany był system uniemożliwiający korzystanie z tego konta, który zapewni, że zmiany konfiguracyjne będą wykonywane wyłącznie przez użytkowników imiennych. W ocenie NIK powyższa nieprawidłowość wskazuje na naruszenie § 21 ust. 1 rozporządzenia KRI zgodnie z którym rozliczalność w systemach teleinformatycznych podlega wiarygodnemu dokumentowaniu w postaci elektronicznych zapisów w dziennikach systemów (logach).

W zakresie zarządzania kontami użytkowników stwierdzono, że obowiązujące w NFZ procedury zobowiązywały komórkę kadrową do comiesięcznego przekazywania informacji o długotrwałych absencjach pracowników. Jednakże stwierdzono działania niezgodne z powyższą regulacją.

W okresie objętym kontrolą komórka kadrowa nie przekazała 13 takich informacji. Zaniechanie poinformowania działu IT o zmianach kadrowych niesie ze sobą ryzyko dostępu osób nieuprawnionych do zasobów Centrali NFZ.

W regulacjach wewnętrznych poza ogólnymi zapisami, że w NFZ przetwarzane są dane osobowe (w tym wrażliwe) oraz inne dane prawnie chronione, w szczególności: medyczne, finansowe i kadrowe nie uregulowano zasad postępowania z danymi innymi niż osobowe. W praktyce regulacje te określały przede wszystkim przetwarzanie danych osobowych, nie regulowały zaś szczegółowo informacji chronionych rozumianych jako, informacje nie podlegające obligatoryjnemu obowiązkowi ochrony, ale które powinny być chronione ze względu na dobrze pojęty interes NFZ, pracowników NFZ lub podmiotów i instytucji, z którymi NFZ współpracuje. W powyższej dokumentacji nie dokonano klasyfikacji informacji przetwarzanych w NFZ, w tym nie zidentyfikowano danych (nie sporządzono ewidencji informacji i danych), których ochrona nie jest prawnie wymagana, a mogłyby one zostać wykorzystane przeciwko NFZ poprzez ujawnienie, zablokowanie lub zmanipulowanie. W badanym okresie w NFZ formalnie nie określono zasad identyfikacji i oznaczania danych oraz informacji, w tym danych wrażliwych czy chronionych. Z wyjaśnień uzyskanych w trakcie kontroli wynika, że takie zasady były w trakcie opracowywania. NIK oceniła jako nierzetelne nieprzypisanie informacjom odpowiedniego poziomu ochrony, zgodnego z ich wagą dla Centrali NFZ.

[1] Wprowadzone Zarządzeniem Nr 12/2010/POIN Prezesa NFZ z dnia 29 stycznia 2010 r. w sprawie bezpieczeństwa danych przetwarzanych w Narodowym Funduszu Zdrowia.

[2] Zgodnie z harmonogramem projektu wdrożenia ZSZ przeprowadzenie pełnego wdrożenia ZSZ planowane było do końca 2016 r.

[3] Tradycyjna nazwa uniksowego konta, które ma pełną kontrolę nad systemem.

 

Pałen raport: NIK o bezpieczeństwie danych - informacje szczegółowe (plik PDF)

Newsletter