NIK o brakach w samorządowej e-administracji

Tylko nieliczne miasta mogą pochwalić się e-administracją z prawdziwego zdarzenia. Większość nowych i zmodernizowanych miejskich systemów informatycznych współpracuje ze sobą w ograniczonym zakresie. Co gorsza, urzędnicy nie przykładają wystarczającej wagi do bezpieczeństwa przetwarzanych informacji – wynika z raportu Najwyższej Izby Kontroli. W ocenie NIK przed samorządami jeszcze dużo pracy, aby zapewnić szybką i bezpieczną wymianę informacji wewnątrz urzędu, z różnymi innymi urzędami, a przede wszystkim z obywatelami.

Zdaniem kontrolerów Polska nadal ma dużo do zrobienia w zakresie e-administracji, choć w ciągu ostatnich lat poczyniła znaczący postęp. Świadczy o tym choćby wynik badania eGovernment Benchmark, przeprowadzonego na zlecenie Komisji Europejskiej. Polska osiągnęła wskaźnik 76 proc. w zakresie dostępności on-line przydatnych usług publicznych (m.in. założenie własnej działalności gospodarczej, utrata i znalezienie pracy, zmiana miejsca zamieszkania) i uplasowała się w połowie stawki – na 12. miejscu wśród 28 badanych krajów. O ułamki – co prawda – ale jednak, wyprzedziliśmy tak rozwinięte kraje, jak Francja (75 proc.), Wielka Brytania (74 proc.) oraz Niemcy (67 proc.).

Większość ze zbadanych podczas kontroli NIK systemów informatycznych działających w urzędach w ramach e-administracji (72 z 77, tj. 93 proc.) spełniała minimalne wymogi współdziałania, określone w Krajowych Ramach Interoperacyjności. Jednak w praktyce systemy te współpracowały ze sobą w bardzo ograniczonym zakresie. Tylko 12 z nich (17 proc.) zapewniało współpracę na poziomie najbardziej zaawansowanym, co oznacza, że przekazywanie danych między systemami odbywało się w sposób automatyczny. Jedynie pięć systemów, czyli zaledwie 6 proc., bezpośrednio korzystało z danych gromadzonych w zewnętrznych bazach i rejestrach publicznych, takich jak rejestr PESEL czy też system informacji przestrzennej. Pozostałe systemy korzystały wyłącznie z własnych wewnętrznych zbiorów danych urzędów.

Tylko nieliczne urzędy miejskie mogły pochwalić się dużą liczbą e-usług przydatnych mieszkańcom. W większości kontrolowanych urzędów (17 z 24) liczba świadczonych e-usług nie przekraczała 20. Aż cztery urzędy (w Lesznie, Mińsku Mazowieckim, Stargardzie Szczecińskim i Szczecinku) świadczyły tylko jedną e-usługę, czyli obligatoryjną Elektroniczną Skrzynkę Podawczą. Ale są też w Polsce miasta, które na tym polu wybijają się ponad przeciętność – Dąbrowa Górnicza ma dostępne 144, a Mysłowice 111 e-usług. W Dąbrowie Górniczej przez internet można m.in. uzyskać poradę prawną lub odpis aktu stanu cywilnego, dostać zaświadczenie o przeznaczeniu terenu w miejscowym planie zagospodarowania przestrzennego lub określenie wymiaru podatku od nieruchomości od osób prawnych, a nawet zarejestrować posiadane zwierzęta.

Niemal we wszystkich skontrolowanych urzędach (22 z 24) podstawowym sposobem dokumentowania rozpatrywanych spraw był nadal tradycyjny system papierowy. W 18 urzędach wspomagany był on na różnych etapach przez elektroniczne systemy obiegu dokumentów. W efekcie zdarzało się, że urzędnicy powielali wykonane już wcześniej czynności, gdyż informacje były gromadzone równolegle: i w dokumentacji papierowej, i w systemie informatycznym. Wynikało to z faktu, iż większość kontrolowanych urzędów nie przeszła jeszcze na wyłącznie elektroniczny system obiegu dokumentów. W ocenie NIK samorządowcy powinni pamiętać, że istotą wprowadzania elektronicznych obiegów dokumentów jest usprawnienie i przyśpieszenie przepływu informacji i dokumentów, przy jednoczesnej minimalizacji nakładu pracy.

NIK krytycznie ocenia ogólny stan systemów zarządzania bezpieczeństwem informacji w kontrolowanych urzędach miast. Nieprawidłowości w tym obszarze stwierdzono w aż 21 z 24 skontrolowanych urzędów. Dotyczyły one przede wszystkim:
• Zarządzania uprawnieniami użytkowników w zakresie dostępu do systemów informatycznych: pracownicy dziewięciu urzędów mieli możliwość zainstalowania na komputerach dowolnego oprogramowania; w czterech urzędach pracownicy mieli uprawnienia administratora systemu, choć nie byli informatykami; zdarzały się także przypadki, że byli pracownicy nadal mieli aktywne konta w systemach informatycznych urzędów, bo zapomniano je zablokować.
• Polityki Bezpieczeństwa Informacji: w 15 z 24 kontrolowanych urzędów brakowało całościowej Polityki Bezpieczeństwa Informacji. Opracowane i wdrożone regulacje związane z zarządzeniem bezpieczeństwem informacji nie obejmowały wszystkich przetwarzanych w urzędach informacji, lecz dotyczyły głównie bezpieczeństwa danych osobowych.
• Zapisów w umowach na zakup lub serwis sprzętu komputerowego i oprogramowania: w umowach zawartych w ośmiu urzędach brakowało zapisów, które gwarantowałyby zabezpieczenie poufności informacji pozyskanych w związku z realizacją tych umów przez wykonawców.

Zdaniem NIK w dobie elektronicznej komunikacji kluczowe jest zapewnienie bezpieczeństwa informacji przetwarzanych w systemach informatycznych użytkowanych przez samorządy. W przeciwnym razie pojawia się ryzyko nieuprawnionego ich ujawnienia, co może doprowadzić do destabilizacji pracy urzędów oraz podważyć zaufanie obywateli do organów administracji publicznej.

Minister administracji i cyfryzacji nie planował i nie przeprowadzał kontroli współdziałania systemów informatycznych w podmiotach publicznych. Nie przekazał również wojewodom jednolitych kryteriów dotyczących przeprowadzenia przez nich kontroli w samorządach w zakresie działania systemów teleinformatycznych oraz rejestrów publicznych. W konsekwencji tego wojewodowie mogą w ogóle nie podejmować takich kontroli ze względu na brak szczegółowych wytycznych w tym zakresie.

Kontrola NIK wykazała również, że pomimo wątpliwości zgłaszanych przez samorządy w Ministerstwie Administracji i Cyfryzacji nie wypracowano jednoznacznego stanowiska w sprawie znaczenia terminu „istotnej modernizacji” systemu informatycznego. Jest to istotne z uwagi na obowiązek dostosowania systemów działających w poszczególnych urzędach do wymogów rozporządzenia Krajowych Ram Interoperacyjności nie później niż w dniu pierwszej istotnej modernizacji. Brak precyzyjnego określenia pojęcia „istotnej modernizacji” powoduje, że urzędnicy nie zawsze potrafią ocenić czy zakres przeprowadzanej modernizacji jest na tyle istotny, że już stwarza czy też jeszcze nie stwarza obowiązku dostosowywania systemu. W praktyce nie jest więc jasne, kiedy urzędy powinny dostosowywać swoje „stare” systemy informatyczne do współpracy z innymi systemami i rejestrami.

Ponadto kontrola NIK wykazała, że pomimo trzyletniego okresu na dostosowanie stron internetowych i biuletynów informacji publicznej do potrzeb osób niepełnosprawnych, który upływa 31 maja 2015 r., w dniu zakończenia kontroli (24 października 2014 r.) w żadnym ze skontrolowanych urzędów nie dostosowano jeszcze w pełni serwisów internetowych do tych wymagań.

Celem przepisów dotyczących interoperacyjności jest stworzenie warunków do współdziałania systemów informatycznych administracji, po to, aby zapewnić szybką wymianę informacji. Wdrożenie tych przepisów powinno przyczynić się do płynniejszej pracy urzędów, w tym przede wszystkim sprawniejszego załatwiania spraw obywateli i przedsiębiorców: na odległość, w krótszym czasie, bez żądania informacji, które już są zgromadzone w elektronicznych rejestrach państwowych.

Osiągnięcie interoperacyjności, czyli współdziałania systemów nie jest jednorazowym, lecz ciągłym procesem zależnym od wielu czynników m.in. od zmian w środowisku informatycznym. Interoperacyjności nie osiąga się jednorazowo, raz na długi czas. Proces ten wymaga stałego monitorowania przy jednoczesnym uwzględnianiu wielu czynników, m.in. stałego monitorowania zbiorów danych będących w posiadaniu urzędu lub innych instytucji publicznych, zmiany zachowań użytkowników i wprowadzania nowych programów, technologii oraz urządzeń informatycznych. Dlatego NIK skierowała wnioski pokontrolne do ministra administracji i cyfryzacji o przeprowadzanie kontroli w podmiotach publicznych w zakresie działania systemów teleinformatycznych, prowadzenia rejestrów i wymiany informacji w postaci elektronicznej, a także o doprecyzowanie znaczenia terminu „istotnej modernizacji” i określenie dla wojewodów jednolitych i spójnych kryteriów kontroli systemów i rejestrów informatycznych używanych w samorządach.

Do burmistrzów i prezydentów miast Izba wnioskuje natomiast o:
• opracowanie i wdrożenie Polityki Bezpieczeństwa Informacji oraz konsekwentne stosowanie procedur zarządzania bezpieczeństwem przetwarzanych informacji;
• przeprowadzenie, przy zakupie nowych lub modernizacji już funkcjonujących systemów informatycznych, analizy określającej stopień współdziałania (interoperacyjności) z innymi systemami, tak by możliwe było pełne wykorzystywanie danych już zgromadzonych we własnych, a także zewnętrznych systemach i rejestrach informatycznych;
• wprowadzenie w urzędach systemu elektronicznego zarządzania dokumentacją jako podstawowego sposobu dokumentowania przebiegu załatwiania i rozstrzygania spraw;
• promowanie wśród mieszkańców i przedsiębiorców korzyści płynących z elektronicznej formy komunikacji z urzędem.

Źródło: NIK