NIK publikuje efekty kontroli dotyczące oprogramowania komputerowego w administracji publicznej

NIK publikuje efekty kontroli dotyczące oprogramowania komputerowego w administracji publicznej
Kontrola NIK wykazała, że urzędy w Polsce korzystają z oprogramowania komputerowego bez wymaganych licencji, nieaktualnego, bez wsparcia producenta, wycofanego z powodu niedostatecznych zabezpieczeń czy wręcz niebezpiecznego. Placówki dokonywały również nie zawsze uzasadnionych zakupów oprogramowania, często od niezweryfikowanych dostawców, nie monitorowały jego stanu i aktualizacji ani też legalności wykorzystania.
O autorze
2 min czytania 2024-04-29

Odbyła się pierwsza kontrola NIK w całości poświęcona stanowi oprogramowania komputerowego wykorzystywanego w krajowych placówkach administracji publicznej. Wyniknęło z niej m.in., że:

  • zdecydowana większość jednostek administracji publicznej korzystała z oprogramowania nieautoryzowanego.
  • Jednostki nie wykorzystywały efektywnie posiadanych narzędzi do monitorowania oprogramowania instalowanego na urządzeniach stacjonarnych, ponosząc niejednokrotnie wysokie wydatki związane z ich nabyciem i utrzymaniem.
  • Oprogramowanie instalowane na urządzeniach mobilnych było zupełnie poza zasięgiem nadzoru.
  • W kontrolowanych podmiotach nie prowadzono rzetelnych rejestrów zainstalowanego oprogramowania, brakowało więc wiedzy o ich stanie, poziomie aktualizacji i bezpieczeństwa oraz stopniu wykorzystania.
  • Proces planowania, nabywania i wdrażania oprogramowania nie zawsze był optymalny i prawidłowy, wskutek czego niekiedy nabywano zbyt dużą liczbę niewykorzystanych następnie licencji czy też naruszano przepisy o zamówieniach publicznych.
  • Jednostki nie zapewniły możliwości rozbudowy i utrzymania oprogramowania zintegrowanego bez ingerencji jego twórcy, co oznaczało pełne i często długookresowe uzależnienie od prywatnego licencjodawcy.
  • Ministerstwo Finansów nie zadbało o obniżenie awaryjności własnego oprogramowania ani o wdrożenie należytych zasad bezpieczeństwa oprogramowania wytwarzanego i utrzymywanego na jego rzecz.

W 88% skontrolowanych jednostek administracji publicznej kontrola stwierdziła oprogramowanie nieautoryzowane, które nie powinno być zainstalowane lub użytkowane – np. bez wymaganych licencji, bez wsparcia producenta czy w nieaktualnych wersjach, a nawet niebezpieczne.

W niemal połowie (47%) podmiotów stan oprogramowania oznaczał ryzyko poważnego niebezpieczeństwa. Stwierdzono nawet przypadki instalowania programów bez poprawek krytycznych.

LinkedIn logo
Na LinkedInie obserwuje nas ponad 100 tys. osób. Jesteś tam z nami?
Obserwuj

41% podmiotów korzystało z oprogramowania użytkowanego nielegalnie, taki sam procent – z niedopuszczonego do korzystania w danym urzędzie. Niewiele mniej, bo 35% jednostek dysponowało aplikacjami w stadium EoL, czyli wycofywanymi z powodu kresu używalności.

Słuchaj podcastu NowyMarketing

Żaden ze skontrolowanych podmiotów nie potwierdził, że na bieżąco i skutecznie sprawdza stacje robocze i udostępnione udziały sieciowe użytkowników pod kątem obecności nieautoryzowanego oprogramowania. Ponadto raport NIK informuje, że oprogramowanie na urządzeniach mobilnych pozostawało zupełnie poza nadzoremŻadna z jednostek nie zapewniła rozwiązań technicznych do monitorowania tego rodzaju oprogramowania, nie zadbała także o stosowne działania organizacyjne.

NowyMarketing logo
Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?
Rozwijaj się

Aż w 59% przypadków jednostki nie miały pełnej wiedzy co do posiadanego oprogramowania, prowadząc niekompletne spisy programów i licencji. W efekcie nie było możliwe ustalenie rzetelnej liczby faktycznie wykorzystanych, zainstalowanych programów. Powodowało to również brak możliwości ustalenia faktycznego wykorzystania posiadanego oprogramowania.

Niemal żadna jednostka (94%) nie ustanowiła i nie wdrożyła formalnych zasad zarządzania oprogramowaniem, obejmujących cały cykl jego życia i określających np. kwestie nabywania i wycofywania licencji, ewidencjonowania, inwentaryzacji i przeglądów, bezpieczeństwa i nośników instalacyjnych, monitorowania stanu użycia, ważności i legalności licencji, a także potencjalnej konieczności działań naprawczych.

Zakup licencji był dokonywany centralnie: uprawnienia do zakupów licencji albo ich zatwierdzania miała jedna, wyznaczona komórka organizacyjna. W 53% podmiotów stwierdzono na tym etapie nieprawidłowości wskazujące, że proces ten mógł nie być optymalny – m.in. nabyto licencje, które nie były wykorzystywane bądź nawet zainstalowane albo zakupione w liczbie większej, niż faktycznie była potrzebna.

Oprogramowanie typu SaaS (software as a service), całkowicie przenoszące odpowiedzialność za instalację, zarządzanie i aktualizację na dostawcę, tylko w 40% było nabywane na warunkach umożliwiających weryfikację, czy spełnia ono wymogi i potrzeby danej jednostki. Nie zawsze też sprawdzano wiarygodność dostawców.

Minister Finansów nie wyegzekwował od podmiotów wytwarzających, utrzymujących i unowocześniających oprogramowanie resortu, by ich usługi były realizowane terminowo i by obniżono awaryjność systemów.

Minister nie doprowadził również do wdrożenia zasad bezpieczeństwa oprogramowania wytwarzanego i utrzymywanego na jego rzecz, o standardzie nie niższym od obowiązującego w Ministerstwie i jednostkach resortu finansów. Nierzetelnie też przeprowadził postępowanie o udzielenie zamówienia publicznego, co skutkowało wydaniem niemal 1,5 mln zł za sam fakt wznowienia wsparcia licencji w związku z opóźnieniem w zawarciu umowy.

W spółce Aplikacje Krytyczne sp. z o.o., realizującej projekty informatyczne zarządzane przez Ministra Finansów, nie zautomatyzowano procesu monitorowania posiadanych i użytkowanych licencji. Monitoringiem nie objęto wszystkich urządzeń, na których instalowane było oprogramowanie. Wskutek wydłużonego czasu weryfikacji zainstalowanych aplikacji rosło ryzyko użytkowania nielegalnego oprogramowania, w tym korzystania z aplikacji niebezpiecznych. Poza tym zbyt wielu osobom przyznano uprawnienia do instalowania oprogramowania, co budzi niepokój z uwagi na profil działalności spółki, obligujący do stosowania najwyższych standardów zarządzania i bezpieczeństwa.

Zdjęcia: mat. pras.
Źródło: https://www.nik.gov.pl/aktualnosci/zarzadzenie-oprogramowaniem-administracja-publiczna.html