Samorządy nie radzą sobie z cyberbezpieczeństwem

Najwyższa Izba Kontroli sprawdziła, czy samorządy zapewniają bezpieczeństwo informacji oraz działania systemów informatycznych i w jaki sposób to robią. Było źle.

Publikacja: 17.04.2025 11:34

Samorządy nie radzą sobie z zapewnieniem bezpieczeństwa przed cyberatakami

Samorządy nie radzą sobie z zapewnieniem bezpieczeństwa przed cyberatakami

Foto: Adobe Stock

Aleksandra Fandrejewska

To kolejna kontrola NIK dotycząca cyberbezpieczeństwa w samorządach. Niestety, jej ustalenia nie są pozytywne. Skontrolowano 24 samorządy: 17 urzędów gmin i siedem starostw powiatowych. Kontrolę przeprowadzono od 1 stycznia 2023 r. do 20 września 2024 r. W większości (ponad 90 proc.) stwierdzono nieprawidłowości w zakresie organizacji zapewnienia bezpieczeństwa przetwarzania informacji oraz zapewnienia ciągłości działania ich systemów informatycznych. W połowie przypadków nie wiadomo było dokładnie, jakie informacje wymagają ochrony lub nie przypisano im odpowiedniego poziomu ochrony. NIK określiła takie działania jako nierzetelne.

Jakie uchybienia w działaniu samorządów znalazła NIK?

Izba zaznacza, iż kompleksowe zarządzanie bezpieczeństwem informacji ma istotny wpływ na skuteczność działań administracji oraz na bezpieczeństwo danych osobowych obywateli. Niestety – jak tłumaczy Marian Banaś, prezes NIK: „Samorządy w dużej mierze nie identyfikowały danych wymagających zabezpieczenia, nieczęsto przygotowywały dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli już je przygotowały, to nie testowały skuteczności przyjętych zabezpieczeń”. NIK ustaliła, że ponad 70 proc. urzędów nie było przygotowanych do zapewnienia ciągłości działania systemów informatycznych. W sytuacji kryzysowej – np. pożaru, zalania, ataku hakerskiego czy działań hybrydowych – może to doprowadzić do przerwy lub do zaprzestania działalności urzędu.

Czytaj więcej

Wicepremier i minister cyfryzacji Krzysztof Gawkowski
Biznes
Raport o stanie cyberbezpieczeństwa Polski. Rekordowa liczba ataków w 2024 r.

NIK zwraca uwagę także na to, że samorządy nie zabezpieczyły serwerowni przed czynnikami zewnętrznymi. Nie prowadziły szkoleń dotyczących bezpieczeństwa danych dla pracowników urzędów. Nie zadbały także o zapisy gwarantujące poufność w umowach z dostawcami usług IT. Łącznie NIK zidentyfikowała 222 nieprawidłowości, z których 51 usunięto już w trakcie kontroli. Tylko w jednym urzędzie nie stwierdzono nieprawidłowości. Okazało się, że co trzeci samorząd nie opracował i nie wdrożył Systemu Zarządzania Bezpieczeństwem Informacji.

W 20 urzędach wykryto nieprawidłowości dotyczące: zabezpieczenia serwerowni, sporządzania kopii zapasowych, przyznawania pracownikom uprawnień do korzystania z systemów informatycznych, w tym – odbierania uprawnień po zakończeniu zatrudnienia. W 11 urzędach w umowach na zakup usług informatycznych, zakup lub serwis sprzętu komputerowego i oprogramowania, stwierdzono brak zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych przez wykonawców. W dziewięciu urzędach nie zidentyfikowano w sposób udokumentowany kluczowych elementów infrastruktury i usług IT oraz nie ustalono ich zabezpieczenia pod kątem wpływu czynników zewnętrznych.

Czytaj więcej

Minister Krzysztof Gawkowski mówił o zagrożeniach związanych z zawirowaniami geopolitycznymi i prowa
Opinie i komentarze
Minister cyfryzacji: Polska wyda rekordowo dużo na cyberbezpieczeństwo

Rządowy raport: Wsparcie dla samorządów

Informacja NIK została opublikowana dzień po przedstawieniu sprawozdania pełnomocnika rządu ds. cyberbezpieczeństwa za zeszły rok. Liczba ataków wzrosła w tym czasie o ponad jedną piątą. Krzysztof Gawkowski, minister cyfryzacji, powiedział w środę: - Rok 2024 potwierdził, że Polska jest na cyfrowej wojnie. Ze sprawozdania wynika, że samorządy i instytucje lokalne wymagają szczególnego wsparcia w zwiększaniu poziomu cyberbezpieczeństwa, co wynika z ograniczonych budżetów i dostępności specjalistów IT.

NIK zwróciła się do Ministra Cyfryzacji, by wdrożył rozwiązania zwiększające bezpieczeństwo informacji w samorządach

Wsparcie dla jednostek samorządu terytorialnego, by poprawić bezpieczeństwo cyfrowe, ma być jednym z priorytetów rządu w tym roku. Najważniejsze działania mają być powiązane z funduszem odporności i bezpieczeństwa, stworzeniem nowych platform cyfrowych oraz rozwojem infrastruktury chmurowej. Na stronie ministerstwa tak je opisano: „Jednym z kluczowych działań w tym obszarze jest migracja lokalnych usług publicznych do rozwiązań chmurowych, takich jak Rządowa Chmura Obliczeniowa (RChO) i Krajowe Centrum Przetwarzania Danych (KCPD). Chmura ma zwiększyć bezpieczeństwo danych, ograniczyć koszty i poprawić dostępność usług. Ponadto planowane jest tworzenie lokalnych zespołów reagowania (CSIRT) i centrów operacyjnych (SOC), które będą wspierać jednostki samorządu terytorialnego w reagowaniu na zagrożenia”.

Jak powinny działać samorządy?

NIK zwróciła się do Ministra Cyfryzacji, by wdrożył rozwiązania zwiększające bezpieczeństwo informacji w samorządach. Izba przedstawiła rekomendacje dla starostów, prezydentów miast, burmistrzów i wójtów:

• opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji;

• zapewnienie wykonywania okresowego przeglądu i aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji;

• ustanowienie polityk ciągłości działania oraz opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów, planów odtworzeniowych oraz zapewnienie ich okresowego testowania;

• prowadzenie okresowych analiz ryzyka utraty integralności, poufności lub dostępności informacji;

• wdrożenie rozwiązań zapewniających odpowiednie zabezpieczenie pomieszczeń serwerowni;

• regularne testowanie kopii zapasowych oraz przechowywanie ich poza miejscem wytworzenia;

• zapewnienie prowadzenia przynajmniej raz w roku okresowego audytu wewnętrznego z zakresu bezpieczeństwa informacji;

• objęcie nadzorem oprogramowania instalowanego na urządzeniach mobilnych.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Polityka Samorządy IT Bezpieczeństwo IT Organizacje Najwyższa Izba Kontroli (NIK)

To kolejna kontrola NIK dotycząca cyberbezpieczeństwa w samorządach. Niestety, jej ustalenia nie są pozytywne. Skontrolowano 24 samorządy: 17 urzędów gmin i siedem starostw powiatowych. Kontrolę przeprowadzono od 1 stycznia 2023 r. do 20 września 2024 r. W większości (ponad 90 proc.) stwierdzono nieprawidłowości w zakresie organizacji zapewnienia bezpieczeństwa przetwarzania informacji oraz zapewnienia ciągłości działania ich systemów informatycznych. W połowie przypadków nie wiadomo było dokładnie, jakie informacje wymagają ochrony lub nie przypisano im odpowiedniego poziomu ochrony. NIK określiła takie działania jako nierzetelne.

Pozostało jeszcze 89% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
W miastach przybywa zgłoszeń od mieszkańców zaniepokojonych obecnością dzików
Z regionów
Dzik w wielkim mieście ludzi się nie boi. Tylko łowczych
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Materiał Promocyjny
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Advertisement
Dolny Śląsk infrastrukturalnym sercem Europy
Z regionów
Dolny Śląsk infrastrukturalnym sercem Europy
Pierwsza tura wyborów prezydenckich za dwa tygodnie, 18 maja
Z regionów
Wybory prezydenckie: Dopisz się do spisu lub weź zaświadczenie przed wyjazdem
W tym sezonie do Portu Gdańsk wycieczkowce będą zawijać 60 razy
Z regionów
Do trójmiejskich portów wróciły statki wycieczkowe. To świetna reklama dla miast
Fiat Ducato w leasingu 102,9% z promocyjnym ubezpieczeniem za 1% wartości auta
Materiał Promocyjny
Fiat Ducato w leasingu 102,9% z promocyjnym ubezpieczeniem za 1% wartości auta
Advertisement
dr hab. Waldemar Rogowski, główny analityk BIG InfoMonitor
Materiał Partnera
Nieetyczni dłużnicy w twoim regionie? Jest na nich sposób
Między elastycznością a bezpieczeństwem
Materiał Promocyjny
Między elastycznością a bezpieczeństwem
e-Wydanie