Jak poprawić ochronę danych w samorządach

Ostatni raport Najwyższej Izby Kontroli na temat cyberbezpieczeństwa w samorządach był dla lokalnych władz druzgocący. W wielu przypadkach okazał się jednak katalizatorem działań w kierunku pozytywnych zmian.

Pierwsze szkolenia odbyły się w listopadzie – najpierw w Podlaskiem, potem w Świętokrzyskiem i Warmińsko-Mazurskiem. Do końca roku swoje kompetencje z zakresu cyberbezpieczeństwa poszerzą samorządowcy z województwa łódzkiego i pomorskiego. Według Roberta Kośli, dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, do połowy 2020 r. szkolenie „Cyberbezpieczeństwo w samorządach” zostanie przeprowadzone w urzędach marszałkowskich wszystkich 16 województw.

– Szkolimy personel zajmujący się bezpieczeństwem teleinformatycznym, dajemy im materiały, uczymy na przykładach. Oprócz tego wspólnie z NASK-iem, który realizuje funkcję krajowego zespołu reagowania na incydenty bezpieczeństwa, pokazujemy, jak takie incydenty identyfikować, w jaki sposób je zgłaszać oraz jakie informacje należy przekazywać w ramach zgłoszenia – tłumaczy Kośla.

Na dalekim planie

Cały cykl inaugurowało na początku listopada szkolenie w podlaskim Urzędzie Marszałkowskim. – Kiedy otwierałam to szkolenie, witając gości z Warszawy, powiedziałam, że zależało mi osobiście, abyśmy byli pierwszym województwem, w którym takie szkolenie się odbędzie, ponieważ jesteśmy liderami rozwoju cyfrowej Polski – relacjonuje Agnieszka Aleksiejczuk, dyrektor Departamentu Społeczeństwa Informacyjnego UM Województwa Podlaskiego. Tłumaczy, że dla decydentów powód wyboru akurat tego urzędu jako miejsca pierwszego szkolenia z cyberbezpieczeństwa okazał się nieco inny. Otóż Podlasie jest jednym z kilku regionów w kraju, które Najwyższa Izba Kontroli skontrolowała pod kątem zarządzania bezpieczeństwem informacji w jednostkach samorządu terytorialnego. I – podobnie zresztą jak w pozostałych częściach kraju – wyniki kontroli pozostawiły sporo do życzenia. Również z tego powodu podlaskim samorządowcom postanowiono jako pierwszym dać możliwość podniesienia kompetencji i wiedzy z zakresu cyberbezpieczeństwa.

CZYTAJ TAKŻE: Inteligentne budynki zagrożone cyberatakami

„NIK negatywnie oceniła wykonywanie przez blisko 70 proc. skontrolowanych urzędów jednostek samorządu terytorialnego zadań związanych z zapewnieniem bezpieczeństwa przetwarzania informacji w okresie objętym kontrolą”. To pierwsze zdanie sekcji „Ocena ogólna” raportu NIK z maja tego roku. Kontrolerzy wypunktowali między innymi brak systemowego podejścia do zapewnienia bezpieczeństwa informacji w JST, brak analiz ryzyka i nieprowadzenie audytów bezpieczeństwa informacji, nieprzestrzeganie ustanowionych wymogów w zakresie bezpieczeństwa informacji, niedostosowanie wewnętrznych regulacji do przepisów RODO, a także brak informacji lub niepełne informacje o posiadanych zasobach informatycznych. Jeśli rozwinąć to ostatnie, to okazuje się, że w 74 proc. skontrolowanych urzędów sprzęt nie był inwentaryzowany i w praktyce nikt dokładnie nie wiedział, ile czego jest, a ile powinno być na stanie.

Generalny wniosek, jaki płynie z raportu, jest taki, że temat cyberbezpieczeństwa w samorządach albo nie istnieje, albo jest traktowany po macoszemu i spychany na dalszy plan. Wina nie zawsze leży po stronie samorządowców. Bywa, że mimo świadomości, iż o bezpieczeństwo przetwarzania danych oraz o same systemy informatyczne należałoby bardziej zadbać, brakuje na to środków. – Mamy podpisane zlecenie z zewnętrzną firmą na obsługę IT urzędu, ale na pełny etat informatyczny miasta nie stać, choć wiemy, że przydałby się taki – mówi sekretarz miasta Brańsk Joanna Witkowska.

Zawsze można jednak podnieść świadomość i postawić na edukację. To, w kwestii cyberbezpieczeństwa, sprawa fundamentalna. Jednocześnie w samorządach tej świadomości i edukacji jest niestety najczęściej bardzo mało. Według Agnieszki Aleksiejczuk obecnie jest dobry czas, by o cyberbezpieczeństwie mówić więcej i zrobić coś, czego do tej pory nie robiono: po prostu się nad tym tematem pochylić.

Pierwsze zmiany

– Na przestrzeni ostatnich 10 lat ważna była infrastruktura, budowanie sieci szerokopasmowych, intensywnie rozmawialiśmy o e-usługach, o podziale działań pomiędzy rządem a samorządem, a w ostatnich czasach rzeczywistość zmusiła nas do tego, by to cyberbezpieczeństwo stało się tematem najważniejszym, również ze względu na dalszy rozwój e-usług czy kompetencji cyfrowych – mówi dyrektor z podlaskiego Urzędu Marszałkowskiego i dodaje, że inauguracyjne szkolenie z cyberbezpieczeństwa dla samorządów było w jej ocenie udane.

CZYTAJ TAKŻE: Smart city na celowniku hakerów

Jednak szkolenia to nie wszystko. Wkrótce po publikacji raportu NIK Ministerstwo Cyfryzacji zapowiedziało szereg innych działań wspierających samorządy m.in. we wdrażaniu działań przewidzianych w ustawie z lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. – Wspólnie z NASK uruchomiliśmy program „Partnerstwo dla cyberbezpieczeństwa”, do którego przystąpiło już 12 urzędów marszałkowskich, a pierwsze ćwiczenia odbyły się w czerwcu. Opracowaliśmy też dostępne na naszych stronach poradniki dotyczące zgłaszania incydentów, a także tzw. najlepsze praktyki w zakresie cyberbezpieczeństwa, które bazują na podobnych dokumentach amerykańskich oraz na doświadczeniach krajowych zespołów – mówi Robert Kośla z Departamentu Cyberbezpieczeństwa MC.

Podkreśla, że z dbaniem o bezpieczeństwo cyfrowe jest jak z bezpieczeństwem w ruchu drogowym: użytkowników trzeba uczyć podstawowych zasad i ich edukować, jednak koniec końców to oni sami muszą je wdrożyć w codziennym życiu.