Kontrola została przeprowadzona między 1 stycznia 2020 r. a 30 listopada 2021 r. Miała odpowiedzieć na pytanie, czy podmioty realizujące zadania publiczne zapewniły aktualność rozwiązań w Systemie Zarządzania Bezpieczeństwem Informacji, umożliwiających bezpieczne przetwarzanie informacji w przypadku wprowadzenia trybu pracy zdalnej. Kontrolerzy sprawdzali to w Kancelarii Prezesa Rady Ministrów, Izbie Administracji Skarbowej w Olsztynie, dwóch jednostkach wojewódzkiej administracji zespolonej, dwóch jednostkach samorządu powiatowego i pięciu jednostkach samorządu gminnego.
Grzechy na szczycie administracyjnej piramidy
Jak wskazuje NIK w raporcie, informacje są bezpieczne, jeśli ich gromadzenie odbywa się we właściwym miejscu, formie i czasie, a przekazywanie adresatom - w wyznaczonym terminie, za pomocą odpowiedniego kanału i w tajemnicy przed niepożądanymi odbiorcami. Minimalne wymagania w tym zakresie nakłada na instytucje publiczne rządowe rozporządzenie z 2012 r. dotyczące Krajowych Ram Interoperacyjności (KRI).
Wynika z niego, że urzędy powinny zapewnić bezpieczeństwo wszystkim kategoriom przetwarzanych informacji, tymczasem kontrolowane przez NIK instytucje dbały przede wszystkim o bezpieczeństwo danych osobowych. W połowie skontrolowanych urzędów nie opracowano i nie wdrożono systemu zarządzania bezpieczeństwem informacji (SZBI), który powinien określać sposób postępowania właściwy dla każdego rodzaju przetwarzanych informacji.
Część instytucji nie przestrzegała nawet własnych zasad związanych z pracą na indywidualnych kontach systemu operacyjnego, szyfrowaniem twardych dysków służbowych komputerów czy postępowaniem z zewnętrznymi nośnikami danych.
Kancelaria Prezesa Rady Ministrów (KPRM), która z powodu likwidacji resortu pełni także obowiązki Ministerstwa Cyfryzacji, nie monitorowała ani skali wprowadzenia w instytucjach publicznych pracy na odległość, ani tego, w jakim stopniu zapewniono tam bezpieczeństwo przetwarzanym mobilnie danym.
