NIK o usługach publicznych dla obywateli z wykorzystaniem platformy ePUAP

Rośnie liczba osób zainteresowanych e-usługami udostępnianymi przez administrację publiczną. Widząc tę tendencję Minister Cyfryzacji w latach 2016-2020 podejmował odpowiednie kroki w celu zwiększenia liczby dostępnych usług. Zapewnił też realizację zadań związanych z utrzymaniem i rozwojem Profilu Zaufanego  oraz platformy ePUAP - Elektronicznej Platformy Usług Administracji Publicznej, która umożliwia komunikację między obywatelami a administracją. NIK stwierdziła jednak nieprawidłowości w zarządzaniu przez Ministerstwo Cyfryzacji i Centralny Ośrodek Informatyki systemami ePUAP i PZ - głównie przy obliczaniu dostępności. Z kolei w urzędach miast i gmin nieprawidłowości dotyczyły przede wszystkim niepełnej informacji o e-usługach i trudności w ich znajdowaniu na stronach internetowych. Ponadto, w większości tych urzędów nie zapewniono należytej organizacji bezpieczeństwa informacji, co może stwarzać zagrożenie dla bezpieczeństwa przetwarzanych informacji i ciągłości pracy urzędów.

Wystąpienie pandemii COVID-19 i wprowadzenie szeregu ograniczeń w funkcjonowaniu państwa spowodowało, że w wielu przypadkach cyfrowy kontakt z administracją publiczną był jedynym możliwym. Spowodowało to znaczący wzrost liczby spraw załatwianych z wykorzystaniem ePUAP oraz PZ. Rosnące zainteresowanie e-usługami wpływa na coraz większe obciążenie platformy ePUAP. Dotychczas występowały wielokrotnie sytuacje, gdy była ona mało stabilna lub czasowo niedostępna. Zapewnienie nieprzerwanego i sprawnego działania e-usług jest więc kluczowe dla prawidłowego funkcjonowania administracji publicznej oraz państwa polskiego w przestrzeni cyfrowej. Dla obywateli ważne jest udostępnienie przez państwo jak największej liczby usług elektronicznych obejmujących najbardziej istotne sprawy przez nich załatwiane.

Liczba e-usług zrealizowanych poprzez ePUAP w latach 2016-2020 (opis grafiki poniżej)
Opis grafiki

Liczba e-usług zrealizowanych poprzez ePUAP w latach 2016-2020

  • 2016 - 265,3 tys.
  • 2017 - 3830,4 tys.
  • 2018 - 69356,6 tys.
  • 2019 - 137392,3 tys.
  • 2020 do 30 czerwca - 99439,6 tys.

Źródło: opracowanie własne NIK na podstawie danych z kontroli

Podczas kontroli dot. świadczenia usług publicznych w formie elektronicznej, przeprowadzonej w 2015 r. (Świadczenie usług publicznych w formie elektronicznej na przykładzie wybranych jednostek samorządu terytorialnego) NIK ustaliła m.in., że  wykorzystanie e-usług było niewielkie, a zdarzało się, że niektóre nie były wykorzystywane w ogóle. Część interesantów preferowała osobiste załatwianie spraw w urzędzie. Kontrolowani jako bariery wskazywali m.in. konieczność dostarczenia do urzędów niektórych dokumentów w postaci papierowej, co powodowało, że niektórych spraw nie można załatwić w formie e-usługi, tj. bez wizyty w urzędzie. Do korzystania z elektronicznej formy załatwiania spraw w urzędach nie zachęcały też stwierdzone wówczas problemy związane z dostępem do e-usług zamieszczonych na ePUAP. Inne kontrole wykazały wiele nieprawidłowości w obszarze zapewnienia bezpieczeństwa informacji w urzędach (Zarządzanie bezpieczeństwem informacji w jednostkach samorządu terytorialnego).

Najważniejsze ustalenia kontroli

W okresie objętym kontrolą liczba e-usług udostępnionych przez centralne organy administracji państwowej obowiązujących na terenie Polski wzrosła z 72 (1 stycznia 2016 r.) do 148 (30 czerwca 2020 r.). Minister Cyfryzacji udostępnił 30 e-usług centralnych. Podstawą określenia zapotrzebowania społecznego było badanie z 2016 r. W raporcie wskazano wówczas, że dla 61% badanych najważniejsze do załatwienia w Internecie było wydanie bądź wymiana dokumentów, dla 51% były to sprawy związane ze zdrowiem (zapisy do lekarza, konsultacje online, recepta elektroniczna), a dla 45,0% sprawy związane z rejestracją pojazdu. Ponadto, 79,8% badanych wskazało, że chciałoby otrzymywać od administracji publicznej powiadomienia o upływie terminu ważności dokumentu, a 69,9% powiadomienia o dokumencie gotowym do odbioru. Wśród udostępnionych e-usług przez ePUAP najpopularniejsza była „Sprawdź historię pojazdu”.

Od 2016 r. ponad trzynastokrotnie wzrosła liczba osób posiadających profil zaufany. Minister Cyfryzacji kilkakrotnie przeprowadził kampanie promujące założenie takiego profilu. W kwietniu 2020 r., w związku z epidemią COVID-19, ministerstwo umożliwiło założenie tymczasowego profilu zaufanego, którego ważność wynosiła trzy miesiące. Jego założenie możliwe było za pośrednictwem Internetu, bez konieczności wizyty w urzędzie, jak też bez konieczności uwierzytelnienia się za pośrednictwem systemów bankowych. Weryfikacja tożsamości następowała w formie video-rozmowy z urzędnikiem. Do 30 czerwca 2020 r. założono 12,0 tys. tymczasowych profili zaufanych. W maju 2020 r. uruchomiona została aplikacja eDO App. umożliwiająca założenie i potwierdzenie profilu zaufanego oraz logowanie do usług e-administracji z wykorzystaniem e-dowodu oraz technologii komunikacji bliskiego zasięgu w smartfonie (tzw. NFC). Do dnia 2 lipca 2020 r. aplikację pobrano 44 tys. razy i dokonano 3,8 tys. potwierdzeń profilu zaufanego za pomocą e-dowodu, a do 9 lipca 2020 r. liczba logowań e-dowodem do usług administracji wyniosła 41 tys.

Liczba profili zaufanych w latach 2016-2020 (opis grafiki poniżej)
Opis grafiki

Liczba profili zaufanych w latach 2016-2020 (w tys.)

  • 2016 - 654,7 tys.
  • 2017 - 1324,4 tys.
  • 2018 - 2533,0 tys.
  • 2019 - 4647,4 tys.
  • 2020 do 30 czerwca - 7226,8 tys.

Źródło: opracowanie własne NIK na podstawie danych z kontroli

Mimo dużego zaangażowania w tworzenie systemów ePUAP i PZ ministerstwo nie ustrzegło się nieprawidłowości. Przede wszystkim nie zapewniło niezależnej oceny prawidłowości przygotowanych przez Centralny Ośrodek Informatyki (COI) kalkulacji zwiększających koszty umowy na utrzymanie i rozwój ePUAP. W rezultacie zawartego aneksu do umowy dotyczącej m.in. utrzymania i rozwoju ePUAP oraz profilu zaufanego, maksymalne wynagrodzenie COI wzrosło o prawie 70 mln zł. Do kontroli nie przedłożono żadnych dokumentów potwierdzających przeprowadzenie weryfikacji wyceny przez pracowników ministerstwa lub przez niezależnych od COI ekspertów zewnętrznych. Zdaniem NIK brak takiej wyceny i bazowanie wyłącznie na kalkulacji sporządzonej przez wykonawcę usługi było działaniem nierzetelnym.

Nieprawidłowo przygotowano też zasady obliczania dostępności ePUAP oraz PZ w umowach między ministerstwem a COI. W umowach na utrzymanie tych systemów dostępność określono na poziomie 98% dla systemu ePUAP oraz 99% dla PZ. Przyjęcie takich wartości oznacza możliwość zaistnienia całkowitej niedostępności każdej z usług przez 7,3 dnia w ciągu roku dla ePUAP oraz przez 3,6 dnia dla systemu PZ.

W opinii NIK, systemy ePUAP i PZ, z uwagi na istotne znaczenie dla obywateli i dla funkcjonowania administracji publicznej, powinny mieć gwarantowaną w umowach dostępność o wartości zbliżonej do bankowych systemów informatycznych, tj. 99,9%, co jest szczególnie ważne w sytuacji epidemii COVID-19. W umowach na ich utrzymanie przyjęto zbyt wąską, zdaniem NIK, definicję incydentu krytycznego. Powoduje to, że awaria uzasadniająca klasyfikację incydentu jako krytycznego jest w praktyce trudna do zaistnienia. W konsekwencji, przypadki istotnych utrudnień w dostępie użytkowników do systemów nie były ujmowane jako incydenty krytyczne wpływające na poziom dostępności systemów. W umowach na utrzymanie systemów ustalono zbyt długie, maksymalne czasy obsługi problemów zgłoszonych przez użytkowników. Może to utrudnić korzystanie z ePUAP i PZ zarówno przez obywateli jak i urzędy.

Kolejną nieprawidłowością w zarządzaniu systemami było niepełne wdrożenie w COI Systemu Zarządzania Bezpieczeństwem Informacji. NIK nie kwestionuje starań COI co do pełnego wdrożenia normy ISO/IEC 27001. Jednak zwraca uwagę, że mimo upływu ponad czterech lat normy wciąż nie wdrożono (do czasu zakończenia kontroli). COI nie przeprowadził też kompletnych testów bezpieczeństwa ePUAP i PZ. W opinii NIK przeprowadzenie pełnych testów jest niezbędne dla potwierdzenia, że użytkowane systemy są bezpieczne. Natomiast przyjęte przez COI rozwiązania techniczne i organizacyjne zapewniają ciągłość działania systemów ePUAP i PZ w sytuacji wystąpienia znaczącej awarii lub katastrofy.

Oprócz Ministerstwa Cyfryzacji i Centralnego Ośrodka Informatyki kontrola objęła też 28 urzędów miast i gmin. Urzędy te udostępniały obywatelom od 10 do 232 usług na platformie ePUAP, a sprawy wniesione drogą elektroniczną załatwiane były bez zarzutu. Świadczenie przez jednostki samorządu terytorialnego e-usług, poza wyjątkami wynikającymi z ustaw, nie jest obligatoryjne, stąd ich liczby mogą się różnić. Zdaniem NIK, należy jednak dążyć do zwiększenia liczby udostępnianych e-usług, biorąc pod uwagę sprawy najczęściej załatwiane przez obywateli.

Liczba udostępnionych e-usług na ePUAP na dzień 31 maja 2020 r. (opis grafiki poniżej)
Opis grafiki

Liczba udostępnionych e-usług na ePUAP na dzień 31 maja 2020 r.

  • Ponad 200 usług: Pszczyna
  • Od 50 do 100 usług: Knurów, Zgorzelec, Sochaczew, Czechowice-Dziedzice, Zelów, Grajewo, Legionowo, Oborniki, Śrem
  • Poniżej 50: Gryino, Wałcz, Swarzędz, Aleksandrów Łódzki, Hajnówka, Piastów, Długołęka, Oława, Oleśnica, Opoczno, Augustów, Wolsztyn, Ząbki, Białogard, Police, Łomża, Koluszki, Myszków

Źródło: opracowanie własne NIK na podstawie danych z kontroli

Tylko w jednym urzędzie nie podejmowano żadnych działań w celu informowania obywateli o możliwości załatwienia spraw drogą elektroniczną, co NIK oceniła jako nierzetelne. W dziewięciu urzędach informacje o możliwości załatwienia spraw drogą elektroniczną były niekompletne, mało czytelne i trudne do odnalezienia na stronach internetowych tych urzędów. Zdaniem NIK, brak skutecznych sposobów informowania o możliwości obsługi interesantów przez Internet może być jedną z przyczyn ograniczonego zainteresowania możliwością korzystania z usług publicznych w formie elektronicznej. NIK zwraca uwagę na potrzebę szerszego informowania o możliwościach i zakresie e-usług.

W 16 urzędach brak było Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Opracowane i wdrożone w tych jednostkach regulacje nie obejmowały wszystkich informacji jakie są przetwarzane w urzędzie, lecz dotyczyły głównie ochrony danych osobowych. Kontrolowani w wyjaśnieniach wskazywali m.in., że planowane są, bądź zostały podjęte prace dla przygotowania SZBI, w tym polityki bezpieczeństwa informacji.

W 11 urzędach brakowało pełnej i aktualnej informacji o posiadanych zasobach informatycznych do przetwarzania danych. W siedmiu z tych urzędów, w których wykorzystywano oprogramowanie do ewidencjonowania sprzętu i oprogramowania wraz z ich konfiguracją stwierdzono, że ewidencja była niepełna lub dane w niej zawarte były nierzetelne. W czterech pozostałych spis urządzeń informatycznych prowadzono w formie arkusza danych lub wykazów papierowych. NIK wskazuje, że zakres informacji dostępnych w papierowym rejestrze zasobów informatycznych jest niewystarczający, gdyż nie zawiera aktualnych, pełnych informacji o posiadanych zasobach informatycznych, w tym ich rodzaju i konfiguracji. Oznacza to, że nie będzie możliwe sprawne odtworzenie infrastruktury informatycznej w przypadku katastrofy lub innego zdarzenia losowego.

W aż 16 urzędach nie przeprowadzono obowiązkowych audytów bezpieczeństwa informacji. W połowie z nich audyt nie został przeprowadzony w całym okresie objętym kontrolą, natomiast w pozostałych ośmiu audyt taki nie był przeprowadzany corocznie, lecz rzadziej.

W 12 jednostkach, w których przeprowadzono coroczny audyt sformułowano rekomendacje dotyczące wzmocnienia bezpieczeństwa przetwarzania informacji. Jako konieczne wskazywano wsparcie ze strony kierownictwa w działaniach zapewniających bezpieczeństwo informacji urzędu i zasobów IT, jako infrastruktury krytycznej dla działań IT.

NIK sprawdziła też kwestie dotyczące blokowania bądź odbierania uprawnień dostępu do systemów informatycznych. Badanie przeprowadzono na próbie 441 pracowników, którzy zakończyli zatrudnienie w okresie objętym kontrolą. Stwierdzono, że w dziewięciu urzędach konta 59 byłych pracowników były wciąż aktywne. Zgodnie z prawem takie uprawnienia powinny być odebrane bezzwłocznie. W jednym z urzędów w przypadku 11 pracowników zwłoka wynosiła od 59 do 931 dni.

W trakcie kontroli ustalono też, że ok 10% pracowników objętych innym badaniem miało możliwość zainstalowania na komputerach dowolnego oprogramowania, mimo że nie byli pracownikami służb informatycznych. Taka sytuacja może grozić nieświadomym zainstalowaniem złośliwego oprogramowania np. w czasie przeglądania stron internetowych.

Wnioski

NIK wnioskuje do Ministra Cyfryzacji (obecnie zadania ministra wykonuje Prezes Rady Ministrów), aby:

  • Zmienić sposoby obliczania dostępności ePUAP i PZ.
  • Zmienić definicje incydentu krytycznego dla ePUAP i PZ.
  • W przypadku realizacji projektów informatycznych zapewnić rzetelną weryfikację kalkulacji kosztów, przedstawionej przez kontrahenta, przez niezależnych ekspertów własnych lub zewnętrznych posiadających kompetencje w zakresie wyceny projektów informatycznych oraz zapewnić rzetelne dokumentowanie procesu negocjacji kosztów wynagrodzenia dla wykonawców.

NIK wnioskuje do Dyrektora Centralnego Ośrodka Informatyzacji, aby:

  • Uwzględniać w obliczanej dostępności systemów ePUAP i PZ także incydenty niezamknięte w danym miesiącu.
  • Skrócić gwarantowane czasy obsługi incydentów pilnych i standardowych dotyczących ePUAP oraz PZ.
  • Określić czas reakcji na zgłoszenie dotyczące ePUAP i PZ, tj. czas, jaki może upłynąć od zarejestrowania zgłoszenia w systemie do rozpoczęcia jego obsługi.
  • Wprowadzić zmiany w zakresie sposobu raportowania o obsłudze zgłoszeń od użytkowników ePUAP i PZ, gdzie będzie uwzględniany nie tylko sam fakt przekroczenia terminu na obsługę zgłoszeń, ale również długość okresu tej obsługi.

Do prezydentów miast, burmistrzów i wójtów NIK wnioskuje by zwrócili uwagę na zapewnienie bezpieczeństwa informacji w urzędach, w szczególności na:

  • Opracowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji, a w szczególności polityki bezpieczeństwa informacji.
  • Prowadzenie i bieżące aktualizowanie ewidencji posiadanych zasobów informatycznych wraz z ich konfiguracją.
  • Zapewnienie niezwłocznego blokowania dostępu i odbierania uprawnień do systemów informatycznych pracownikom, którzy zakończyli zatrudnienie w urzędzie.
  • Zapewnienie przynajmniej raz w roku okresowego audytu bezpieczeństwa informacji.

W 2020 r. NIK skontrolowała Ministerstwo Cyfryzacji, Centralny Ośrodek Informatyki i 28 urzędów miast i gmin z siedmiu województw. Kontrola objęła okres od 1 stycznia 2016 r. do czasu jej zakończenia 5 listopada 2020 r.

Materiały audiowizualne dla radia, TV i portali internetowych >>

Informacje o artykule

Data utworzenia:
23 kwietnia 2021 13:50
Data publikacji:
23 kwietnia 2021 13:50
Wprowadził/a:
Andrzej Gaładyk
Data ostatniej zmiany:
06 maja 2021 17:24
Ostatnio zmieniał/a:
Andrzej Gaładyk

Przeczytaj treść ponownie