Oprogramowanie w jednostkach administracji publicznej winno być pozyskane legalnie i użytkowane na mocy licencji udzielonej przez twórcę bądź uprawnionego dystrybutora. Winno być instalowane w przewidziany umową licencyjną sposób, monitorowane na bieżąco, aktualizowane według zaleceń licencjodawcy. Z uwagi na wysoki koszt nabycia oprogramowania oraz jego utrzymania i serwisowania należy dochować należytej staranności w zarządzaniu tym zasobem, w tym zapewnić jego prawidłowe i efektywne użytkowanie, a także chronić je przed atakami i awariami. Kary za naruszenie praw autorskich czy wznowienie licencji mogą sięgać nawet milionów złotych – podkreśla Najwyższa Izba Kontroli, która skontrolowała wykorzystanie oprogramowania w urzędach państwowych
To pierwsza kontrola NIK w całości poświęcona zarządzaniu oprogramowaniem w jednostkach administracji publicznej.
Kontrola wykazała szereg zaniedbań
Zdecydowana większość jednostek administracji publicznej (aż 88 proc. skontrolowanych jednostek) korzystała z oprogramowania nieautoryzowanego – podaje NIK.
Z informacji NIK wynika, że w kontrolowanych podmiotach nie prowadzono rzetelnych rejestrów zainstalowanego oprogramowania, brakowało więc wiedzy o ich stanie, poziomie aktualizacji i bezpieczeństwa oraz stopniu wykorzystania. W niemal połowie (47 proc.) podmiotów stan oprogramowania oznaczał ryzyko poważnego niebezpieczeństwa. Stwierdzono nawet przypadki instalowania programów bez poprawek krytycznych.
Proces planowania, nabywania i wdrażania oprogramowania nie zawsze był optymalny i prawidłowy, wskutek czego niekiedy nabywano zbyt dużą liczbę niewykorzystanych następnie licencji czy też naruszano przepisy o zamówieniach publicznych. Jednostki nie zapewniły też możliwości rozbudowy i utrzymania oprogramowania zintegrowanego bez ingerencji jego twórcy, co oznaczało pełne i często długookresowe uzależnienie od prywatnego licencjodawcy. Dochodziło np. do zatwierdzania odbioru wadliwego elementu systemu informatycznego czy do nieodnowienia wsparcia licencji. Kontrolerzy stwierdzili przypadki nieprawidłowego planowania i nabywania licencji, co kłóciło się z wymogiem optymalizacji i skutkowało w sumie niegospodarnością sięgającą 12,5 mln zł.
Wśród podmiotów posługujących się zintegrowanymi systemami informatycznymi (ZSI) aż 43 proc. postępowało nieprawidłowo, m.in. naruszając przepisy ustawy o zamówieniach publicznych w zakresie zamówienia w trybie z wolnej ręki czy utrzymując niewykorzystywane moduły oprogramowania.
Ministerstwo Finansów nie zadbało o obniżenie awaryjności własnego oprogramowania ani o wdrożenie należytych zasad bezpieczeństwa oprogramowania wytwarzanego i utrzymywanego na jego rzecz.
Przeczytaj także: Samorządy w niebezpieczeństwie, bo nie stać ich na cyberspecjalistów
Użytkownicy instalują nieautoryzowane oprogramowanie
Żaden ze skontrolowanych podmiotów nie potwierdził, że na bieżąco i skutecznie sprawdza stacje robocze i udostępnione udziały sieciowe użytkowników pod kątem obecności nieautoryzowanego oprogramowania. Większość jednostek deklarowała stosowanie blokady możliwości samodzielnego instalowania oprogramowania jako optymalnego mechanizmu kontrolnego. Niemniej o braku skuteczności powyższego sposobu działania świadczy fakt zdiagnozowania w toku kontroli NIK nieautoryzowanego oprogramowania.
Oprogramowanie na urządzeniach mobilnych pozostawało zupełnie poza nadzorem. Żadna z jednostek nie zapewniła rozwiązań technicznych do monitorowania tego rodzaju oprogramowania, nie zadbała także o stosowne działania organizacyjne. Część podmiotów nie miała świadomości zagrożeń i konsekwencji związanych z instalowaniem i użytkowaniem oprogramowania na urządzeniach mobilnych, uznając, że służą one użytkownikom wyłącznie do prowadzenia rozmów telefonicznych, co nie tylko narażało jednostki na kary finansowe, ale również zagrażało bezpieczeństwu przetwarzanych w ten sposób danych.
Po kontroli skierowano do rzecznika dyscypliny finansów publicznych zawiadomienia dotyczące nieprawidłowości stwierdzonych w trzech jednostkach kontrolowanych, w dwóch przypadkach dotyczące udzielania zamówień publicznych z naruszeniem przepisów dot. przesłanek stosowania zamówienia z wolnej ręki na łączną kwotę ponad 9 mln zł i w jednym w związku z zaniechaniem prowadzenia audytu wewnętrznego. Ponadto do Prezesa Urzędu Zamówień Publicznych skierowane zostało zawiadomienie dotyczące udzielania przez kontrolowaną jednostkę zamówień z naruszeniem przepisów określających przesłanki stosowania trybu zamówienia z wolnej ręki.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.