NIK oceniła poziom zarządzania procesem „zapewnienie bezpieczeństwa systemów informatycznych” w Centrali NFZ jako powtarzalne lecz intuicyjne.
Zdaniem NIK w NFZ istniała świadomość potrzeby zapewnienia bezpieczeństwa teleinformatycznego, jednak była ona fragmentaryczna i ograniczona. Rozwijana była wprawdzie polityka dotycząca bezpieczeństwa, ale nie towarzyszyły jej adekwatne narzędzia. Chociaż systemy dostarczały informacji dotyczących bezpieczeństwa, dane te nie były analizowane.
W ocenie NIK brak jednolitego i kompleksowego systemu zarządzania bezpieczeństwem informacji w Centrali NFZ utrudniał właściwą ich ochronę. Nieaktualizowanie od 2010 r. regulacji dotyczących bezpieczeństwa danych przetwarzanych w NFZ powodowało, że stosowane rozwiązania nie nadążały za zmianami w systemie prawnym, a w konsekwencji również mogły przyczyniać się do osłabienia tej ochrony. W tym kontekście Izba pozytywnie ocenia podjęte przez Fundusz działania w celu opracowania i wdrożenia Zintegrowanego Systemu Zarządzania łączącego System Zarządzania Ryzykiem, System Zarządzania Bezpieczeństwem Informacji oraz System Zarządzania Ciągłością Działania.
Zdaniem NIK w NFZ brak było całościowej polityki bezpieczeństwa informacji. Przyjęte zarządzenie z 2010 roku w sprawie bezpieczeństwa danych przetwarzanych w NFZ dotyczyło systemów przetwarzających dane osobowe. Regulacje te nie były aktualizowane, co stanowiło naruszenie wymogów określonych w § 20 ust. 2 pkt 1 rozporządzenia KRI. Zgodnie z tym przepisem zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia. NIK, jako działanie nierzetelne oceniła fakt, że w Centrali NFZ brak było skutecznie działającego systemu zarządzania bezpieczeństwem informacji.
Przeprowadzony w 2013 r. audyt bezpieczeństwa systemu informacyjnego eWUŚ wskazał, że aplikacja ta była podatna na znane błędy bezpieczeństwa oraz ujawnił istnienie ryzyka w obszarze bezpieczeństwa informacji. Przeprowadzony po trzech miesiącach audyt sprawdzający wykazał, że nie usunięto 40% podatności a 32% usunięto częściowo. W NFZ nie był prowadzony zcentralizowany rejestr incydentów, co zdaniem NIK uniemożliwiało kierownictwu stworzenie odpowiednich warunków do monitorowania stanu bezpieczeństwa jednostki. Procedury zawierające definicje incydentu, szczegółowe zasady zgłaszania rejestrowania i analizowania incydentów były w trakcie opracowywania. Brak jednolitej procedury reagowania na incydenty i jednoznacznego wskazania komórki odpowiedzialnej za reakcję, było zdaniem NIK 28 Wprowadzone Zarządzeniem Nr 12/2010/POIN Prezesa NFZ z dnia 29 stycznia 2010 r. w sprawie bezpieczeństwa danych przetwarzanych w Narodowym Funduszu Zdrowia.
W dziennikach systemu eWUŚ (logach), w okresie objętym kontrolą, ponad 180 razy pojawiał się użytkownik „root”30. W czasie trwania kontroli wdrażany był system uniemożliwiający korzystanie z tego konta, który zapewni, że zmiany konfiguracyjne będą wykonywane wyłącznie przez użytkowników imiennych. W ocenie NIK powyższa nieprawidłowość wskazuje na naruszenie § 21 ust. 1 rozporządzenia KRI zgodnie z którym rozliczalność w systemach teleinformatycznych podlega wiarygodnemu dokumentowaniu w postaci elektronicznych zapisów w dziennikach systemów (logach).
W zakresie zarządzania kontami użytkowników stwierdzono, że obowiązujące w NFZ procedury zobowiązywały komórkę kadrową do comiesięcznego przekazywania informacji o długotrwałych absencjach pracowników. Jednakże stwierdzono działania niezgodne z powyższą regulacją.
Do prezesa Narodowego Funduszu Zdrowia NIK wniosła o:
- Kontynuowanie działań związanych z wdrożeniem w NFZ Zintegrowanego Systemu Zarządzania, w szczególności w zakresie przyjęcia kompletnej i spójnej polityki bezpieczeństwa systemów informatycznych.
- Przekazywanie informacji o absencjach przekraczających 30 dni zgodnie z przyjętymi uregulowaniami wewnętrznymi.
- Zapewnienie pełnej rozliczalności systemów teleinformatycznych poprzez wyeliminowanie przypadków stosowania typowych lub domyślnych loginów administratora np. „root”.
Źródło: nik.gov.pl
