Okres kontroli odnosił się do lat 2019-2022 i dotyczył zarządzania oprogramowaniem komputerowym przez administrację publiczną. Ogólna ocena jest pozytywna, ale nie zabrakło uchybień. Z większości przekonująco wytłumaczyli się krakowscy urzędnicy.

Utrata reputacji i aktualizacje

NIK zwrócił uwagę, że od listopada 2021 roku do kwietnia 2022 roku urząd zaniechał weryfikacji legalności zainstalowanego oprogramowania. Liczba pozycji nieautoryzowanego oprogramowania wzrosła z 11 na 176 badanych komputerów do 129 na sto zbadanych maszyn.

Kontrolerzy powołali biegłego, który ocenił, iż brak kompletnych zasad zarządzania licencjami powoduje m.in. brak możliwości nadzoru nad nimi.

– Istnieje ryzyko naruszeń warunków licencji lub naruszeń warunków własności intelektualnej. Możliwe są skutki finansowe (np. konieczność wypłaty odszkodowania i poniesienia kosztów prawnych) oraz skutki niefinansowe (np. utrata reputacji) – widnieje w raporcie pokontrolnym.

Dyrektor Centrum Obsługi Informatycznej UMK tłumaczył, że „w związku z wprowadzeniem stopni alarmowych Alfa-CRP, Bravo-CRP i Charlie-CRP oraz sytuacją na granicy z Białorusią podjęto decyzję o ograniczeniu operacji skanujących wewnątrz SI UMK, w celu sprawdzenia aktualnego stanu bezpieczeństwa systemów i ocenienia wpływu zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń”.

Takie tłumaczenia nie zostały zaakceptowane przez NIK. ALFA-CRP został bowiem ogłoszony w połowie lutego tego roku i nie oznaczał ograniczenia funkcjonowania mechanizmów kontrolnych oprogramowania.

Co z telefonami służbowymi?

Urzędnicy posiadają smartfony, na których również znajdują się płatne programy, z których korzystają. Urząd miasta zakupił i wdrożył narzędzie do zarządzania innymi programami i licencjami w przypadku komputerów. Komplikacje pojawiły się podczas poszukiwań podobnego programu do urządzeń mobilnych.

Z kontroli wynika, że urząd posiadał ponad 1,3 tys. kart SIM używanych do wykonywania połączeń głosowych i 225 do transmisji danych. – Urząd zakupił za 157,3 tys. złotych 1 416 licencji na narzędzia do zarządzania urządzeniami mobilnymi. W lutym 2022 r. poinformowano pracowników o konieczności jego instalacji – czytamy w raporcie.

Program miał zostać zainstalowany przez użytkowników do połowy września tego roku, w innym przypadku miały zostać zgłoszone incydenty naruszenia bezpieczeństwa informacji.

Dyrektor Centrum Obsługi Informatycznej UMK wyjaśniał, że z uwagi na procedury i testy, czas wdrożenia narzędzia był długi. Do października tego roku narzędzie zostało zainstalowane na blisko 900 urządzeniach. Jednak z uwagi na parametru niektórych z nich, jego instalacja będzie niemożliwa.

Podczas kontroli wyszło na jaw, że na komputerach zainstalowanych zostało kilkadziesiąt programów, które nie powinny się na nich znaleźć. Z wyjaśnień wynika, że „sprawcą” był najpopularniejszy system operacyjny, który wraz z aktualizacjami instaluje dodatkowe aplikacje.

– Dyrektor COI podkreślił, że często są to programy M., promujące w ten sposób swoje dodatkowe narzędzia lub gry. Podkreślił również, że najczęściej są to śmieciowe „darmówki” – widnieje w raporcie. „Darmówki” zostały odinstalowane.

NIK zauważył również kwestie nieużywanych 45 licencji i uznał to za niegospodarność. Urzędnicy wytłumaczyli, że są one wieczyste i stanowią rezerwę w przypadku wykorzystania wszystkich dostępnych licencji.