Poziom bezpieczeństwa systemów informatycznych i usług sieciowych w urzędach w woj. podlaskim jest na niezadowalającym lub na bardzo niskim poziomie – to jeden z wniosków Najwyższej Izby Kontroli po skontrolowaniu 31 jednostek samorządowych (urzędy gmin i miast, starostwa powiatowe i ośrodki pomocy społecznej). NIK sprawdzała, w jaki sposób były chronione elektroniczne zasoby informacyjne tych jednostek.
Według NIK, jedynie w Urzędzie Miejskim w Suwałkach poziom zabezpieczeń odpowiedzialnych za autoryzację dostępu do sieci wykonano profesjonalnie, zasoby informacyjne były właściwie chronione przed nieuprawnionym dostępem, kradzieżą lub utratą, a sieć znajdowała się pod pełną kontrolą administratora.
W innych przypadkach niemal wszystkie skontrolowane jednostki nie monitorowały dostępu do informacji. Tylko w jednej prowadzono elektroniczny rejestr dostępu (co w przypadku przecieku pozwala na ustalenie źródła). W ponad połowie skontrolowanych jednostek pracownikom, którzy nie posiadają odpowiednich kwalifikacji ani zadań związanych z zarządzaniem systemami informatycznymi, nadano uprawnienia administratora systemów operacyjnych wykorzystywanych przez nich komputerów. Mieli zatem możliwość instalacji dowolnego oprogramowania oraz wprowadzania zmian w konfiguracji tych urządzeń. W ośmiu jednostkach kontrolerzy trafili na przypadki nieodebrania lub odbierania z opóźnieniem uprawnień w systemach informatycznych byłym pracownikom.
Z kolei w 12 jednostkach możliwy był nieautoryzowany dostęp do danych elektronicznych – aby go uzyskać nie trzeba było wpisywać kodów uwierzytelniających, kody były zbyt proste albo ogólnodostępne. Nie przeprowadzano także regularnych audytów wewnętrznych z zakresu bezpieczeństwa informacji, a pracownikom przetwarzającym dane nie zapewniono szkoleń z tego zakresu.
Z ustaleń kontroli wynika, że w ponad połowie skontrolowanych jednostek wykorzystywano systemy operacyjne, dla których producent zakończył udzielanie wsparcia technicznego, a więc nie było aktualizacje bezpieczeństwa. Komputery te stanowiły od 4 do 43 proc. wszystkich komputerów w poszczególnych jednostkach.
NIK ustaliła też, że większość z 31 jednostek objętych kontrolą nie przestrzegała obowiązujących do 25 maja 2018 r. przepisów dotyczących rejestracji i aktualizacji zbiorów danych osobowych w GIODO oraz zapewnienia dostępu do nich osobom upoważnionym, a administratorzy danych osobowych i powołani administratorzy bezpieczeństwa informacji nie wywiązywali się z obowiązków związanych z ochroną danych oraz nie podejmowali działań w celu przygotowania się do nowych, obowiązujących od 25 maja 2018 r. uregulowań wynikających z RODO.