Kontrole przeprowadzone przez WKiAW w 2011 roku

Zespół ds. kontroli, powołany Zarządzeniem Nr 634/11 Prezydenta Miasta Szczecin z dnia 28.12.2011 r., w styczniu 2012 r. przeprowadził kontrolę w Szczecińskim Centrum Świadczeń ul. Kadłubka 12 w Szczecinie, zw. dalej SCŚ, w zakresie naruszenia ustawy z dnia 29.08.1997 r. o ochronie danych osobowych (jt. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) poprzez zamieszczenie danych osobowych pracowników jednostki na ogólnodostępnym dysku. Wyniki kontroli przedstawione zostały w protokole kontroli podpisanym w dniu 19.01.2012 r. Ocena kontrolowanego zagadnienia, wnioski i zalecenia pokontrolne zawarte zostały w wystąpieniu pokontrolnym z dnia 13.02.2012 r.

Kontroli zostały poddane procedury wewnętrzne obowiązujące w SCŚ w zakresie bezpieczeństwa przetwarzania danych osobowych oraz funkcjonalność stosowanego systemu informatycznego pod kątem ustalenia osoby odpowiedzialnej za umieszczenie na ogólnodostępnym dysku K zestawienia zawierającego dane osobowe pracowników SCŚ ze wskazaniem wysokości wynagrodzenia zasadniczego.

W wyniku kontroli ujawniono niżej wymienione nieprawidłowości i uchybienia w zakresie bezpieczeństwa danych osobowych, które powstały wskutek posiadania niewystarczających narzędzi i zabezpieczeń systemu informatycznego oraz niedostatecznej świadomości pracowników co do wagi naruszenia związanego z udostępnieniem danych osobowych.

W trakcie badania właściwości funkcjonującego w SCŚ systemu informatycznego stwierdzono brak powiązań funkcjonalnych między systemem kadrowo – płacowym (KP) „Komax” (wykorzystującym system zarządzania bazami danych Dbase), a systemem finansowo - księgowym (FK) „OTAGO" (wykorzystującym system zarządzania bazami danych Oracle), uniemożliwiający automatyczne wczytywanie danych z systemu KP do FK. Powoduje to konieczność zapisu danych wynikowych składników list płac w formie jawnego pliku i przepływ danych poza systemami KP i FK, a tym samym zwiększa ryzyko wejścia osób nieuprawnionych w posiadanie danych osobowych. Funkcjonujący system KP nie ma ponadto możliwości rejestrowania tworzonych wydruków i zestawień.

Ustalono również, że w użytkowanym systemie sieciowym brak było narzędzi systemowych rejestrujących czynności użytkownika, co uniemożliwiło ustalenie komputera i użytkownika,którydokonał zapisu pliku z danymi płacowymi na wspólnym dysku sieciowym K.

W SCŚ funkcjonował ponadto tzw. „użytkownik zbiorczy”, czyli stanowisko komputerowe w archiwum, gdzie jedno konto komputerowe mogło być wykorzystywane przez wiele osób. Ustalono, że między innymi na takim stanowisku otwierany był plik z danymi płacowymi. Tworzenie i użytkowanie takiego konta sprzyjało anonimowości działań poszczególnych użytkowników i tym samym utrudniało precyzyjne ustalenie działań konkretnych osób.

Należy wskazać, że potrzebę zakupu ostatniego modułu Zintegrowanego Systemu Informatycznego w zakresie kadr i płac Administrator Bezpieczeństwa Informacji zgłosił Dyrektor SCŚ dopiero w dniu 16.12.2011 r., w raporcie z naruszenia bezpieczeństwa systemu informatycznego w SCŚ. W związku z powyższym, w uzgodnieniu z Wydziałem Zdrowia i Polityki Społecznej prowadzącym nadzór merytoryczny nad jednostką,w dniu 29.12.2011 r. zakupiony został ww. moduł z firmy – dostawcy oprogramowania FK.Rozszerzono ponadto system operacyjny serwera sieciowego i w dniu 29.12.2011 r. zakupiono usługę Active Directory posiadającą funkcje zwiększające możliwości konfigurowania ustawień systemu, kont użytkowników i aplikacji oraz administrowania nimi. W trakcie kontroli wewnętrznej podjęto również działania w celu uniemożliwienia w archiwum SCŚ pracy wielu osób na jednym koncie użytkownika.

Ustalono ponadto, że na 43 osoby, które wiedziały o istnieniu pliku z danymi osobowymi na dysku K, jedynie 2 osoby postąpiły zgodnie z zasadami zawartymi w rozdziale 4 ust. 1 obowiązującej wszystkich pracowników SCŚ Polityki bezpieczeństwa danych osobowych, wprowadzonej Zarządzeniem Nr 2c Dyrektora SCŚ z dnia 4.05.2009 r. Zgodnie z jej wymogami, każda osoba zatrudniona przy przetwarzaniu danych osobowych - w przypadku stwierdzenia naruszenia ochrony danych osobowych, jest obowiązana niezwłocznie powiadomić o tym fakcie Administratora Bezpieczeństwa Informacji. Powyższe świadczy o niewystarczającej wiedzy pracowników w zakresie bezpieczeństwa danych osobowych oraz
o nieukształtowaniu właściwej postawy w przypadku zaistnienia sytuacji ujawnienia tych danych.

W toku kontroli nie stwierdzono natomiast odstępstw w działaniach podejmowanych, w odpowiedzi na zaistniałą sytuację,
w odniesieniu do ww. Polityki bezpieczeństwa przetwarzania danych osobowych. Dyrektor SCŚ złożyła w Prokuraturze Rejonowej Szczecin – Niebuszewo zawiadomienie o podejrzeniu popełnienia przestępstwa wraz ze sprostowaniem. Tym samym wyczerpała dostępne środki określone wewnętrznymi procedurami konieczne z punktu widzenia administratora danych – którym jest Dyrektor SCŚ – w celu wyjaśnienia sytuacji naruszenia ochrony danych osobowych.

Przedstawiając powyższe oceny i uwagi Prezydent Miasta zalecił:

1. zakończenie działań podjętych w celu doprowadzenia systemu informatycznego do stanu zapewniającego bezpieczeństwo przetwarzanych danych osobowych i administrowanie nimi,
2. szkolenie pracowników z zakresu bezpieczeństwa danych osobowych.