Oprogramowanie nie zawsze legalne

Oprogramowanie komputerowe w jednostkach administracji publicznej powinno być legalne – zakupione na mocy licencji udzielonej przez twórcę lub uprawnionego dystrybutora oraz zainstalowane i aktualizowane w przewidziany w licencji sposób.

Wyniki kontroli NIK, przeprowadzonych w jednostkach administracji publicznej pokazały jednak, że nie zawsze tak jest. Zdecydowana większość skontrolowanych jednostek korzystała z oprogramowania nieautoryzowanego, nie monitorowała i nie prowadziła rzetelnych rejestrów zainstalowanego oprogramowania, nie miała więc wiedzy o ich stanie, poziomie aktualizacji i bezpieczeństwa oraz stopniu jego wykorzystania.

Te liczby mówią za siebie

W 88% skontrolowanych jednostek administracji publicznej inspektorzy stwierdzili oprogramowanie nieautoryzowane, które nie powinno być zainstalowane, ani użytkowane - np. bez wymaganych licencji i wsparcia producenta czy w nieaktualnych wersjach, a nawet niebezpieczne, a 41% podmiotów korzystało z oprogramowania niedopuszczonego do korzystania w danym urzędzie.

W niemal połowie (47%) podmiotów stan oprogramowania oznaczał ryzyko poważnego niebezpieczeństwa.

Niewiele mniej, bo 35% jednostek dysponowało aplikacjami wycofywanymi z używalności.

Aż w 59% przypadków jednostki nie miały pełnej wiedzy jakie posiadają oprogramowanie, bo prowadzone przez nich spisy programów i licencji były niekompletne.

Prawie żadna jednostka (94%) nie ustanowiła i nie wdrożyła formalnych zasad zarządzania oprogramowaniem, obejmujących cały cykl jego życia i określających np. kwestie nabywania i wycofywania licencji, ewidencjonowania, inwentaryzacji i przeglądów, bezpieczeństwa i nośników instalacyjnych, monitorowania stanu użycia, legalności licencji, a także potencjalnej konieczności działań naprawczych.

W 53% podmiotów stwierdzono nieprawidłowości już na poziomie zakupu - m.in. nabyto licencje, które w ogóle nie były wykorzystywane, a nawet zainstalowane albo zakupione w liczbie większej, niż faktyczne potrzeby. Dochodziło np. do zatwierdzania odbioru wadliwego elementu systemu informatycznego czy do nieodnowienia wsparcia licencji.

Wśród podmiotów posługujących się zintegrowanymi systemami informatycznymi (ZSI) aż 43% z nich naruszało przepisy ustawy o zamówieniach publicznych stosując np. tryb z wolnej ręki czy utrzymując niewykorzystywane moduły oprogramowania. W dziesięciu z nich nie zapewniono możliwości rozbudowy i utrzymania takiego oprogramowania bez ingerencji jego twórcy, co oznaczało pełne długotrwałe uzależnienie od licencjodawcy.

Zakupy oprogramowania całkowicie przenoszące odpowiedzialność za instalację, zarządzanie i aktualizację na dostawcę, tylko w 40% było nabywane na warunkach umożliwiających weryfikację, czy spełnia ono wymogi i potrzeby danej jednostki. Nie zawsze też sprawdzano wiarygodność dostawców.

Urządzenia mobilne poza wszelka kontrolą

Oprogramowanie na urządzeniach mobilnych pozostawało poza jakimkolwiek nadzorem. Żadna z jednostek nie zapewniła rozwiązań technicznych do monitorowania tego rodzaju oprogramowania. Część podmiotów nie miała świadomości zagrożeń i konsekwencji związanych z instalowaniem i użytkowaniem oprogramowania na urządzeniach mobilnych, uznając, że służą one użytkownikom wyłącznie do prowadzenia rozmów telefonicznych.