Karta z chipem dla urzędnika jest zalecana
W czerwcu 2015 r. Komitet Rady Ministrów do Spraw Cyfryzacji przyjął rekomendacje w sprawie środków identyfikacji w administracji publicznej. Zalecają one m.in. stosowanie certyfikatów cyfrowych do logowania się i podpisywania poczty elektronicznej.
Komitet Rady Ministrów do Spraw Cyfryzacji to organ pomocniczy Rady Ministrów i Premiera. Zajmuje się on m.in. opiniowaniem projektów dokumentów rządowych dotyczących informatyzacji administracji publicznej oraz wdrażaniem rozwiązań informatycznych dotyczących edukacji, ochrony zdrowia i podpisu elektronicznego. W czerwcu 2015 r Komitet przyjął ciekawą rekomendację dotyczącą stosowania środków identyfikacji w administracji publicznej.
Paragraf 20 pkt. 2 rozporządzenia w sprawie Krajowych Ram Interoperacyjności nakłada na kierowników podmiotów publicznych obowiązki zapewnienia środków uniemożliwiających nieautoryzowany dostęp [do informacji – red.] na poziomie systemów operacyjnych oraz zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu na przykład jej modyfikacje. W związku z tym, że z realizacją tych zapisów KRI nie jest najlepiej, KRMC zdecydował się na wskazanie najlepszych praktyk w zakresie środków identyfikacji, które należy zastosować przy dostępie pracowników do systemów back office, jak również podniesienia bezpieczeństwa przy wymianie korespondencji elektronicznej pomiędzy podmiotami publicznymi.
NIK, ze względu na liczne nieprawidłowości, ogólnie negatywnie ocenia działania burmistrzów i prezydentów miast w zakresie zarządzania bezpieczeństwem informacji w urzędach.
Zaleca się, by do końca 2016 roku podmioty publiczne wdrożyły mechanizmy uwierzytelniania wykorzystujące infrastrukturę klucza publicznego (certyfikaty X.509) wraz z zastosowaniem kart inteligentnych do przechowywania kluczy prywatnych. Karty te powinny być również wykorzystywane na potrzeby kontroli fizycznego dostępu do budynków. Dodatkowo KRMC rekomenduje wprowadzenie mechanizmu zapewnienia integralności i autentyczności korespondencji elektronicznej e-mail, wysyłanej z podmiotów publicznych za pomocą podpisywania jej przy użyciu niekwalifikowanych certyfikatów elektronicznych. Urzędy powinny też odejść od praktyki wykorzystywania przy uwierzytelnianiu kluczy i certyfikatów przeznaczonych do podpisu elektronicznego.
Pieniędzy na realizację wspomnianych wytycznych kierownicy placówek muszą jednak szukać samodzielnie – we własnych budżetach lub w Regionalnych Programach Operacyjnych. W końcu chodzi o bezpieczeństwo „ich” jednostek.