Częściowa niegospodarność i brak kontroli nad zainstalowanym oprogramowaniem – zarzuciła Najwyższa Izba Kontroli krakowskim urzędnikom. UMK broni się, że nie ma wpływu na instalowane aktualizacje, a nieużywane licencje są kupione na czas nieokreślony.
Okres kontroli odnosił się do lat 2019-2022 i dotyczył zarządzania oprogramowaniem komputerowym przez administrację publiczną. Ogólna ocena jest pozytywna, ale nie zabrakło uchybień. Z większości przekonująco wytłumaczyli się krakowscy urzędnicy.
Utrata reputacji i aktualizacje
NIK zwrócił uwagę, że od listopada 2021 roku do kwietnia 2022 roku urząd zaniechał weryfikacji legalności zainstalowanego oprogramowania. Liczba pozycji nieautoryzowanego oprogramowania wzrosła z 11 na 176 badanych komputerów do 129 na sto zbadanych maszyn.
Kontrolerzy powołali biegłego, który ocenił, iż brak kompletnych zasad zarządzania licencjami powoduje m.in. brak możliwości nadzoru nad nimi.
– Istnieje ryzyko naruszeń warunków licencji lub naruszeń warunków własności intelektualnej. Możliwe są skutki finansowe (np. konieczność wypłaty odszkodowania i poniesienia kosztów prawnych) oraz skutki niefinansowe (np. utrata reputacji) – widnieje w raporcie pokontrolnym.
Dyrektor Centrum Obsługi Informatycznej UMK tłumaczył, że „w związku z wprowadzeniem stopni alarmowych Alfa-CRP, Bravo-CRP i Charlie-CRP oraz sytuacją na granicy z Białorusią podjęto decyzję o ograniczeniu operacji skanujących wewnątrz SI UMK, w celu sprawdzenia aktualnego stanu bezpieczeństwa systemów i ocenienia wpływu zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń”.
Takie tłumaczenia nie zostały zaakceptowane przez NIK. ALFA-CRP został bowiem ogłoszony w połowie lutego tego roku i nie oznaczał ograniczenia funkcjonowania mechanizmów kontrolnych oprogramowania.
Co z telefonami służbowymi?
Urzędnicy posiadają smartfony, na których również znajdują się płatne programy, z których korzystają. Urząd miasta zakupił i wdrożył narzędzie do zarządzania innymi programami i licencjami w przypadku komputerów. Komplikacje pojawiły się podczas poszukiwań podobnego programu do urządzeń mobilnych.
Z kontroli wynika, że urząd posiadał ponad 1,3 tys. kart SIM używanych do wykonywania połączeń głosowych i 225 do transmisji danych. – Urząd zakupił za 157,3 tys. złotych 1 416 licencji na narzędzia do zarządzania urządzeniami mobilnymi. W lutym 2022 r. poinformowano pracowników o konieczności jego instalacji – czytamy w raporcie.
Program miał zostać zainstalowany przez użytkowników do połowy września tego roku, w innym przypadku miały zostać zgłoszone incydenty naruszenia bezpieczeństwa informacji.
Dyrektor Centrum Obsługi Informatycznej UMK wyjaśniał, że z uwagi na procedury i testy, czas wdrożenia narzędzia był długi. Do października tego roku narzędzie zostało zainstalowane na blisko 900 urządzeniach. Jednak z uwagi na parametru niektórych z nich, jego instalacja będzie niemożliwa.
Podczas kontroli wyszło na jaw, że na komputerach zainstalowanych zostało kilkadziesiąt programów, które nie powinny się na nich znaleźć. Z wyjaśnień wynika, że „sprawcą” był najpopularniejszy system operacyjny, który wraz z aktualizacjami instaluje dodatkowe aplikacje.
– Dyrektor COI podkreślił, że często są to programy M., promujące w ten sposób swoje dodatkowe narzędzia lub gry. Podkreślił również, że najczęściej są to śmieciowe „darmówki” – widnieje w raporcie. „Darmówki” zostały odinstalowane.
NIK zauważył również kwestie nieużywanych 45 licencji i uznał to za niegospodarność. Urzędnicy wytłumaczyli, że są one wieczyste i stanowią rezerwę w przypadku wykorzystania wszystkich dostępnych licencji.