Jak wskazuje Najwyższa Izba Kontroli, ryzyko wrogiego przejęcia ważnych danych jest realne. Izba podaje przykłady ostatnich wycieków - między innymi danych 50 mln obywateli Turcji, kradzież danych klientów jednego z banków w 2015 roku czy wyciek danych o kontach części użytkowników poczty Gmail. "konsekwencje wycieku danych są poważne i mogą stanowić zagrożenie nie tylko dla wizerunku podmiotów, z których te dane wyciekły, ale przede wszystkim dla osób, których dane zostały wykradzione" - wskazuje NIK. I właśnie dlatego od 1 stycznia 2014 roku do 1 października 2015 roku kontrolerzy wybrali się do kilku rządowych instytucji.
Kontrola Izby objęła między innymi systemy ministerstwa Skarbu Państwa, ministerstwa spraw wewnętrznych, ministerstwa sprawiedliwości, Narodowego Funduszu Zdrowia, straży granicznej i KRUS. Jak zauważają sami kontrolerzy "wnioski są alarmujące". - Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i - wobec braku procedur - intuicyjny - wyjaśnia zastrzeżenia NIK.
"Opierano się wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych" - zaznacza Izba. A to oznacza, że ewentualny atak hakerski na niektóre państwowe systemy skończyłby się kradzieżą danych i zakłóceniem funkcjonowania całego systemu.
Kontrolerzy zarzucają urzędnikom, że "świadomość potrzeby zapewnienia bezpieczeństwa informatycznego była w kontrolowanych jednostkach fragmentaryczna i ograniczona".
Na co uwagę zwrócili przedstawiciele NIK? W zbadanych instytucjach brak jest między innymi planów zapewnienia bezpieczeństwa danych, niewdrożone zostały systemy zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur. Jednocześnie NIK zwraca uwagę na "ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa".
Jedyną skontrolowaną instytucją, która może się pochwalić wdrożonym systemem bezpieczeństwa danych jest KRUS. Mimo to kontrola wykazała szereg błędów.
"Przyjęta koncepcja powierzenia zasobów KRUS wykonawcy zewnętrznemu w zakresie systemów służących realizacji podstawowych zadań ustawowych, nie została poprzedzona stosownymi analizami. Nie określono sposobu szacowania ryzyka związanego z utratą informacji w sytuacji powierzenia zasobów firmie zewnętrznej" - tłumaczy swoje wątpliwości NIK.
W pozostałych skontrolowanych jednostkach sytuacja była - jak określili to sami kontrolerzy - nieporównywalnie gorsza. "W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych" - czytamy w raporcie NIK.
To już kolejny krytyczny raport Izby na ten temat. W 2015 r. opublikowana została informacja o wynikach kontroli, która wykazała, że państwo polskie nie jest przygotowane do walki z zagrożeniami występującymi w cyberprzestrzeni.