Wystąpienie pandemii COVID-19 i wprowadzenie szeregu ograniczeń w funkcjonowaniu państwa spowodowało znaczący wzrost liczby spraw załatwianych z wykorzystaniem ePUAP oraz PZ. Rosnące zainteresowanie e-usługami wpływa na coraz większe obciążenie platformy ePUAP. Dotychczas występowały wielokrotnie sytuacje, gdy była ona mało stabilna lub czasowo niedostępna. Zapewnienie nieprzerwanego i sprawnego działania e-usług jest więc kluczowe dla prawidłowego funkcjonowania administracji publicznej oraz państwa polskiego w przestrzeni cyfrowej. Najwyższa Izba Kontroli publikuje raport o usługach publicznych dla obywateli z wykorzystaniem platformy ePUAP i zwraca uwagę, że dla obywateli ważne jest udostępnienie przez państwo jak największej liczby usług elektronicznych obejmujących najbardziej istotne sprawy przez nich załatwiane.
NIK sprawdza, co zmieniło się po 5 latach
NIK przypomina, że podczas kontroli dot. świadczenia usług publicznych w formie elektronicznej, przeprowadzonej w 2015 r. okazało się, że wykorzystanie e-usług było niewielkie, a zdarzało się, że niektóre nie były wykorzystywane w ogóle. Część interesantów preferowała osobiste załatwianie spraw w urzędzie. Kontrolowani jako bariery wskazywali m.in. konieczność dostarczenia do urzędów niektórych dokumentów w postaci papierowej, co powodowało, że niektórych spraw nie można załatwić w formie e-usługi, tj. bez wizyty w urzędzie. Do korzystania z elektronicznej formy załatwiania spraw w urzędach nie zachęcały też stwierdzone wówczas problemy związane z dostępem do e-usług zamieszczonych na ePUAP. Inne kontrole wykazały wiele nieprawidłowości w obszarze zapewnienia bezpieczeństwa informacji w urzędach. Teraz, po kilku latach kontrolę powtórzono. W 2020 r. NIK skontrolowała Ministerstwo Cyfryzacji, Centralny Ośrodek Informatyki i 28 urzędów miast i gmin z siedmiu województw. Kontrola objęła okres od 1 stycznia 2016 r. do czasu jej zakończenia 5 listopada 2020 r.
Coraz więcej e-usług
W okresie objętym kontrolą liczba e-usług udostępnionych przez centralne organy administracji państwowej obowiązujących na terenie Polski wzrosła z 72 (1 stycznia 2016 r.) do 148 (30 czerwca 2020 r.). Minister Cyfryzacji udostępnił 30 e-usług centralnych. Podstawą określenia zapotrzebowania społecznego było badanie z 2016 r. W raporcie wskazano wówczas, że dla 61% badanych najważniejsze do załatwienia w Internecie było wydanie bądź wymiana dokumentów, dla 51% były to sprawy związane ze zdrowiem (zapisy do lekarza, konsultacje online, recepta elektroniczna), a dla 45,0% sprawy związane z rejestracją pojazdu. Ponadto, 79,8% badanych wskazało, że chciałoby otrzymywać od administracji publicznej powiadomienia o upływie terminu ważności dokumentu, a 69,9% powiadomienia o dokumencie gotowym do odbioru. Wśród udostępnionych e-usług przez ePUAP najpopularniejsza była „Sprawdź historię pojazdu”.
Rośnie liczba osób, które mają profil zaufany
Od 2016 r. ponad trzynastokrotnie wzrosła liczba osób posiadających profil zaufany. Minister Cyfryzacji kilkakrotnie przeprowadził kampanie promujące założenie takiego profilu. W kwietniu 2020 r., w związku z epidemią COVID-19, ministerstwo umożliwiło założenie tymczasowego profilu zaufanego, którego ważność wynosiła trzy miesiące. Jego założenie możliwe było za pośrednictwem Internetu, bez konieczności wizyty w urzędzie, jak też bez konieczności uwierzytelnienia się za pośrednictwem systemów bankowych. Weryfikacja tożsamości następowała w formie video-rozmowy z urzędnikiem. Do 30 czerwca 2020 r. założono 12,0 tys. tymczasowych profili zaufanych. W maju 2020 r. uruchomiona została aplikacja eDO App. umożliwiająca założenie i potwierdzenie profilu zaufanego oraz logowanie do usług e-administracji z wykorzystaniem e-dowodu oraz technologii komunikacji bliskiego zasięgu w smartfonie (tzw. NFC). Do dnia 2 lipca 2020 r. aplikację pobrano 44 tys. razy i dokonano 3,8 tys. potwierdzeń profilu zaufanego za pomocą e-dowodu, a do 9 lipca 2020 r. liczba logowań e-dowodem do usług administracji wyniosła 41 tys.
Nieprawidłowości wykryte w czasie kontroli NIK
Mimo dużego zaangażowania w tworzenie systemów ePUAP i PZ ministerstwo nie ustrzegło się nieprawidłowości. Przede wszystkim nie zapewniło niezależnej oceny prawidłowości przygotowanych przez Centralny Ośrodek Cyfryzacji (COI) kalkulacji zwiększających koszty umowy na utrzymanie i rozwój ePUAP. W rezultacie zawartego aneksu do umowy dotyczącej m.in. utrzymania i rozwoju ePUAP oraz profilu zaufanego, maksymalne wynagrodzenie COI wzrosło o prawie 70 mln zł. Do kontroli nie przedłożono żadnych dokumentów potwierdzających przeprowadzenie weryfikacji wyceny przez pracowników ministerstwa lub przez niezależnych od COI ekspertów zewnętrznych. Zdaniem NIK brak takiej wyceny i bazowanie wyłącznie na kalkulacji sporządzonej przez wykonawcę usługi było działaniem nierzetelnym.
Nieprawidłowo przygotowano też zasady obliczania dostępności ePUAP oraz PZ w umowach między ministerstwem a COI. W umowach na utrzymanie tych systemów dostępność określono na poziomie 98% dla systemu ePUAP oraz 99% dla PZ. Przyjęcie takich wartości oznacza możliwość zaistnienia całkowitej niedostępności każdej z usług przez 7,3 dnia w ciągu roku dla ePUAP oraz przez 3,6 dnia dla systemu PZ.
W opinii NIK, systemy ePUAP i PZ, z uwagi na istotne znaczenie dla obywateli i dla funkcjonowania administracji publicznej, powinny mieć gwarantowaną w umowach dostępność o wartości zbliżonej do bankowych systemów informatycznych, tj. 99,9%, co jest szczególnie ważne w sytuacji epidemii COVID-19. W umowach na ich utrzymanie przyjęto zbyt wąską, zdaniem NIK, definicję incydentu krytycznego. Powoduje to, że awaria uzasadniająca klasyfikację incydentu jako krytycznego jest w praktyce trudna do zaistnienia. W konsekwencji, przypadki istotnych utrudnień w dostępie użytkowników do systemów nie były ujmowane jako incydenty krytyczne wpływające na poziom dostępności systemów. W umowach na utrzymanie systemów ustalono zbyt długie, maksymalne czasy obsługi problemów zgłoszonych przez użytkowników. Może to utrudnić korzystanie z ePUAP i PZ zarówno przez obywateli jak i urzędy.
Kolejną nieprawidłowością w zarządzaniu systemami było niepełne wdrożenie w COI Systemu Zarządzania Bezpieczeństwem Informacji. NIK nie kwestionuje starań COI co do pełnego wdrożenia normy ISO/IEC 27001. Jednak zwraca uwagę, że mimo upływu ponad czterech lat normy wciąż nie wdrożono (do czasu zakończenia kontroli). COI nie przeprowadził też kompletnych testów bezpieczeństwa ePUAP i PZ. W opinii NIK przeprowadzenie pełnych testów jest niezbędne dla potwierdzenia, że użytkowane systemy są bezpieczne. Natomiast przyjęte przez COI rozwiązania techniczne i organizacyjne zapewniają ciągłość działania systemów ePUAP i PZ w sytuacji wystąpienia znaczącej awarii lub katastrofy.
NIK sprawdziła też e-usługi w samorządach
Oprócz Ministerstwa Cyfryzacji i Centralnego Ośrodka Cyfryzacji kontrola objęła też 28 urzędów miast i gmin. Urzędy te udostępniały obywatelom od 10 do 232 usług na platformie ePUAP a sprawy wniesione drogą elektroniczną załatwiane były bez zarzutu. Świadczenie przez jednostki samorządu terytorialnego e-usług, poza wyjątkami wynikającymi z ustaw, nie jest obligatoryjne, stąd ich liczby mogą się różnić. Zdaniem NIK, należy jednak dążyć do zwiększenia liczby udostępnianych e-usług, biorąc pod uwagę sprawy najczęściej załatwiane przez obywateli.
Tylko w jednym urzędzie nie podejmowano żadnych działań w celu informowania obywateli o możliwości załatwienia spraw drogą elektroniczną co NIK oceniła jako nierzetelne. W dziewięciu urzędach informacje o możliwości załatwienia spraw drogą elektroniczną były niekompletne, mało czytelne i trudne do odnalezienia na stronach internetowych tych urzędów. Zdaniem NIK, brak skutecznych sposobów informowania o możliwości obsługi interesantów przez Internet może być jedną z przyczyn ograniczonego zainteresowania możliwością korzystania z usług publicznych w formie elektronicznej. NIK zwraca uwagę na potrzebę szerszego informowania o możliwościach i zakresie e-usług.
Czytaj też: Monitorowanie kontroli zarządczej konieczne do bieżącego rozwiązywania problemów >
W 16 urzędach brak było Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Opracowane i wdrożone w tych jednostkach regulacje nie obejmowały wszystkich informacji jakie są przetwarzane w urzędzie, lecz dotyczyły głównie ochrony danych osobowych. Kontrolowani w wyjaśnieniach wskazywali m.in., że planowane są, bądź zostały podjęte prace dla przygotowania SZBI, w tym polityki bezpieczeństwa informacji.
W 11 urzędach brakowało pełnej i aktualnej informacji o posiadanych zasobach informatycznych do przetwarzania danych. W siedmiu z tych urzędów, w których wykorzystywano oprogramowanie do ewidencjonowania sprzętu i oprogramowania wraz z ich konfiguracją stwierdzono, że ewidencja była niepełna lub dane w niej zawarte były nierzetelne. W czterech pozostałych spis urządzeń informatycznych prowadzono w formie arkusza danych lub wykazów papierowych. NIK wskazuje, że zakres informacji dostępnych w papierowym rejestrze zasobów informatycznych jest niewystarczający, gdyż nie zawiera aktualnych, pełnych informacji o posiadanych zasobach informatycznych, w tym ich rodzaju i konfiguracji. Oznacza to, że nie będzie możliwe sprawne odtworzenie infrastruktury informatycznej w przypadku katastrofy lub innego zdarzenia losowego.
W aż 16 urzędach nie przeprowadzono obowiązkowych audytów bezpieczeństwa informacji. W połowie z nich audyt nie został przeprowadzony w całym okresie objętym kontrolą, natomiast w pozostałych ośmiu audyt taki nie był przeprowadzany corocznie, lecz rzadziej.
W 12 jednostkach, w których przeprowadzono coroczny audyt sformułowano rekomendacje dotyczące wzmocnienia bezpieczeństwa przetwarzania informacji. Jako konieczne wskazywano wsparcie ze strony kierownictwa w działaniach zapewniających bezpieczeństwo informacji urzędu i zasobów IT, jako infrastruktury krytycznej dla działań IT.
NIK sprawdziła też kwestie dotyczące blokowania bądź odbierania uprawnień dostępu do systemów informatycznych. Badanie przeprowadzono na próbie 441 pracowników, którzy zakończyli zatrudnienie w okresie objętym kontrolą. Stwierdzono, że w dziewięciu urzędach konta 59 byłych pracowników były wciąż aktywne. Zgodnie z prawem takie uprawnienia powinny być odebrane bezzwłocznie. W jednym z urzędów w przypadku 11 pracowników zwłoka wynosiła od 59 do 931 dni.
W trakcie kontroli ustalono też, że ok 10% pracowników objętych innym badaniem miało możliwość zainstalowania na komputerach dowolnego oprogramowania, mimo że nie byli pracownikami służb informatycznych. Taka sytuacja może grozić nieświadomym zainstalowaniem złośliwego oprogramowania np. w czasie przeglądania stron internetowych.
Wnioski NIK po kontroli
NIK wnioskuje do Ministra Cyfryzacji (obecnie zadania ministra wykonuje Prezes Rady Ministrów), aby:
- Zmienić sposoby obliczania dostępności ePUAP i PZ.
- Zmienić definicje incydentu krytycznego dla ePUAP i PZ.
- W przypadku realizacji projektów informatycznych zapewnić rzetelną weryfikację kalkulacji kosztów, przedstawionej przez kontrahenta, przez niezależnych ekspertów własnych lub zewnętrznych posiadających kompetencje w zakresie wyceny projektów informatycznych oraz zapewnić rzetelne dokumentowania procesu negocjacji kosztów wynagrodzenia dla wykonawców.
NIK wnioskuje do Dyrektora Centralnego Ośrodka Informatyzacji, aby:
- Uwzględniać w obliczanej dostępności systemów ePUAP i PZ także incydenty niezamknięte w danym miesiącu.
- Skrócić gwarantowane czasy obsługi incydentów pilnych i standardowych dotyczących ePUAP oraz PZ.
- Określić czas reakcji na zgłoszenie dotyczące ePUAP i PZ, tj. czas, jaki może upłynąć od zarejestrowania zgłoszenia w systemie do rozpoczęcia jego obsługi.
- Wprowadzić zmiany w zakresie sposobu raportowania o obsłudze zgłoszeń od użytkowników ePUAP i PZ gdzie będzie uwzględniany nie tylko sam fakt przekroczenia terminu na obsługę zgłoszeń, ale również długość okresu tej obsługi.
Do prezydentów miast, burmistrzów i wójtów NIK wnioskuje by zwrócili uwagę na zapewnienie bezpieczeństwa informacji w urzędach, w szczególności na:
- Opracowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji, a w szczególności polityki bezpieczeństwa informacji.
- Prowadzenie i bieżące aktualizowanie ewidencji posiadanych zasobów informatycznych wraz z ich konfiguracją.
- Zapewnienie niezwłocznego blokowania dostępu i odbierania uprawnień do systemów informatycznych pracownikom, którzy zakończyli zatrudnienie w urzędzie.
- Zapewnienie przynajmniej raz w roku okresowego audytu bezpieczeństwa informacji.