Uruchomiony w marcu 2015 r. System Rejestrów Państwowych (SRP) to centralna baza danych, która łączy najważniejsze ewidencje, m.in. Rejestr PESEL, Rejestr Dowodów Osobistych oraz Rejestr Stanu Cywilnego. Odkąd podpięto do niego wszystkie urzędy, zastąpił lokalne systemy informatyczne. A skoro wszystkie gminy w kraju mają do niego dostęp (a wraz z nim tysiące urzędników), kwestia bezpieczeństwa danych Polaków powinna być kluczowa. Okazuje się jednak, że niekoniecznie jest.

Jak mówi nam Igor Ryciak, rzecznik Centralnego Ośrodka Informatyki (COI), od momentu uruchomienia SRP odnotowano ok. 150 zgłoszeń kwalifikowanych jako „incydenty bezpieczeństwa”. Najczęściej były to przypadki związane z tym, że urzędnik korzystający z zasobów SRP pracował na komputerze połączonym z internetem. Tymczasem jest to surowo zabronione, stacje robocze, z uwagi na bezpieczeństwo, powinny być odizolowane od ogólnodostępnej sieci. – Inne przykłady incydentów to umieszczenie niektórych danych urzędnika w chmurze publicznej, używanie komputera z czytnikiem kart w sieci domowej czy upublicznienie danych z systemu na stronach internetowych, np. w formie zrzutów ekranowych czy w filmach instruktażowych – mówi Igor Ryciak.

To jednak niejedyne zaniedbania, jakich dopuszczają się urzędnicy. Jak ustaliła Najwyższa Izba Kontroli, dochodziło do sytuacji, w których byli już pracownicy urzędów nie byli na czas pozbawiani uprawnień do korzystania z SRP. I tak np. w Urzędzie Miejskim w Przemyślu dwóm osobom uprawnienia w aplikacji Źródło (za pomocą której urzędnicy korzystają z danych zawartych w SRP) odebrano dopiero po 120 i 54 dniach od zakończenia przez nich pracy. To samo w magistracie w Białymstoku. Tam trzech pracowników zakończyło współpracę z urzędem, a mimo to dopiero po 140, 397 i 462 dniach przekazano do Ministerstwa Cyfryzacji (MC) wnioski o usunięcie ich kont z SRP. Lokalni urzędnicy tłumaczyli, że przyczyną późnego złożenia dokumentów było... przeoczenie. Ale również brak ściśle określonych terminów zamknięcia tych procedur. Co ciekawe, podobne wpadki zdarzyły się nawet Centralnemu Ośrodkowi Informatyki. Tam konta byłych pracowników zostały zablokowane po 257 i 44 dniach od momentu ich odejścia z pracy. Władze COI tłumaczyły się „zakłóceniami w przepływie informacji dotyczących ruchów kadrowych”. Zapewniają jednak, że bez dostępu do wydzielonych pomieszczeń byli pracownicy nie mogli do nich wejść i skorzystać ze stacji roboczych.

Na szczęście tego typu sytuacje nie spowodowały jak dotąd informatycznej katastrofy. – Jedyna niepokojąca sytuacja, która zakończyła się zawiadomieniem prokuratury przez MC, dotyczyła zwiększonego poboru danych z bazy PESEL w niestandardowych godzinach pracy przez niektóre kancelarie komornicze. W ubiegłym roku sprawa była szeroko opisywana w mediach – mówi Igor Ryciak z COI.

Czy ktoś wyciąga wnioski? W odpowiedzi na zarzuty NIK sekretarz stołecznego ratusza uznał, że wymóg fizycznej separacji stacji roboczych z systemem Źródło od internetu „kłóci się z logiką zapewnienia bezpieczeństwa tymże stacjom roboczym aktualizacji systemu operacyjnego, aplikacji biurowych, oprogramowania JAVA czy oprogramowania antywirusowego”. Władze miasta zapowiedziały wystąpienie do resortu cyfryzacji z apelem, by możliwe było zachowanie dostępu do sieci internetowej na stanowiskach, na których wykorzystywana jest aplikacja Źródło.

Jak ustaliliśmy, na zielone światło od ministerstwa nie ma najmniejszych szans. Co więcej, resort chce przykręcić śrubę niefrasobliwym urzędnikom. – Prowadzimy prace koncepcyjne w zakresie uregulowań prawnych, które mają na celu możliwość egzekwowania wymagań zawartych w polityce bezpieczeństwa SRP – mówi Karol Manys, rzecznik MC. Na razie nie wiadomo, kiedy prace się zakończą. Jak dodaje, w ministerstwie powołano specjalny zespół, którego głównym zadaniem jest przebudowa systemu zarządzania bezpieczeństwem informacji. – Resort wraz z COI prowadzi prace nad aktualizacją polityki bezpieczeństwa SRP, która będzie uwzględniała planowaną rozbudowę i modernizację tego systemu – zapowiada rzecznik.