Różne instytucje funkcjonujące w Polsce nie są w ogóle przygotowane do walki z ewentualnymi cyberatakami, a dane osobowe obywateli są bardzo słabo chronione.

Stosowane systemy ochrony danych nie zapewniają ich bezpieczeństwa. Działania realizowane w celu jego zapewnienia są prowadzone opieszale, ad hoc, bez z góry przygotowanego planu. Środki przeznaczane na ten cel są niewystarczające - informuje Najwyższa Izba Kontroli (NIK) po skontrolowaniu różnych systemów informatycznych urzędów państwowych (MSW, resortu sprawiedliwości, skarbu, NFZ,Komendy Głównej Straży Granicznej czy Kasy Rolniczego Ubezpieczenia).

Już w zeszłym roku opublikowana został informacja o wynikach kontroli: "Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej", która wykazała, że państwo polskie nie jest przygotowane do walki z zagrożeniami występującymi w cyberprzestrzeni.

Przykłady, takie jak choćby publikacja w internecie danych osobowych 50 mln obywateli Turcji w 2016 r., kradzież danych klientów Plus Banku w 2015 r.

czy wyciek danych o kontach 5 mln użytkowników Gmail w 2014, pokazują, że zagrożenia te są realne, a konsekwencje wycieku danych poważne i mogą stanowić zagrożenie nie tylko dla wizerunku podmiotów, z których te dane wyciekły, ale przede wszystkim dla osób, których dane zostały wykradzione.

W KRUS np. stwierdzone nieprawidłowości dotyczyły m.in. rozbieżności pomiędzy deklarowanym, a faktycznym poziomem zabezpieczenia informacji. Budowanie systemu powierzono wykonawcy zewnętrznemu, przy czym nie określono sposobu szacowania ryzyka związanego z utratą informacji w sytuacji, w której powierza się dane osobowe firmie zewnętrznej.

W pozostałych wymienionych urzędach zabezpieczenie danych osobowych polegało wyłącznie na doraźnych działaniach, które nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia zatrudnionych informatyków. 

Kontrola wykazała również m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

Ponadto w wymienionych urzędach państwowych nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości kontrolowanych jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne. Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych.

Zdaniem kontrolerów NIK istotnym problemem był brak konsekwencji i zaangażowania kierownictw kontrolowanych urzędów, w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań.