To kolejna kontrola NIK dotycząca cyberbezpieczeństwa w samorządach. Niestety, jej ustalenia nie są pozytywne. Skontrolowano 24 samorządy: 17 urzędów gmin i siedem starostw powiatowych. Kontrolę przeprowadzono od 1 stycznia 2023 r. do 20 września 2024 r. W większości (ponad 90 proc.) stwierdzono nieprawidłowości w zakresie organizacji zapewnienia bezpieczeństwa przetwarzania informacji oraz zapewnienia ciągłości działania ich systemów informatycznych. W połowie przypadków nie wiadomo było dokładnie, jakie informacje wymagają ochrony lub nie przypisano im odpowiedniego poziomu ochrony. NIK określiła takie działania jako nierzetelne.
Jakie uchybienia w działaniu samorządów znalazła NIK?
Izba zaznacza, iż kompleksowe zarządzanie bezpieczeństwem informacji ma istotny wpływ na skuteczność działań administracji oraz na bezpieczeństwo danych osobowych obywateli. Niestety – jak tłumaczy Marian Banaś, prezes NIK: „Samorządy w dużej mierze nie identyfikowały danych wymagających zabezpieczenia, nieczęsto przygotowywały dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli już je przygotowały, to nie testowały skuteczności przyjętych zabezpieczeń”. NIK ustaliła, że ponad 70 proc. urzędów nie było przygotowanych do zapewnienia ciągłości działania systemów informatycznych. W sytuacji kryzysowej – np. pożaru, zalania, ataku hakerskiego czy działań hybrydowych – może to doprowadzić do przerwy lub do zaprzestania działalności urzędu.
Czytaj więcej
23-proc. wzrost liczby zdarzeń bijących w cyberbezpieczeństwo w Polsce odnotowano w 2024 r. – wynika z opublikowanego w środę najnowszego sprawozda...
NIK zwraca uwagę także na to, że samorządy nie zabezpieczyły serwerowni przed czynnikami zewnętrznymi. Nie prowadziły szkoleń dotyczących bezpieczeństwa danych dla pracowników urzędów. Nie zadbały także o zapisy gwarantujące poufność w umowach z dostawcami usług IT. Łącznie NIK zidentyfikowała 222 nieprawidłowości, z których 51 usunięto już w trakcie kontroli. Tylko w jednym urzędzie nie stwierdzono nieprawidłowości. Okazało się, że co trzeci samorząd nie opracował i nie wdrożył Systemu Zarządzania Bezpieczeństwem Informacji.
W 20 urzędach wykryto nieprawidłowości dotyczące: zabezpieczenia serwerowni, sporządzania kopii zapasowych, przyznawania pracownikom uprawnień do korzystania z systemów informatycznych, w tym – odbierania uprawnień po zakończeniu zatrudnienia. W 11 urzędach w umowach na zakup usług informatycznych, zakup lub serwis sprzętu komputerowego i oprogramowania, stwierdzono brak zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych przez wykonawców. W dziewięciu urzędach nie zidentyfikowano w sposób udokumentowany kluczowych elementów infrastruktury i usług IT oraz nie ustalono ich zabezpieczenia pod kątem wpływu czynników zewnętrznych.
Czytaj więcej
Wydamy w 2025 roku rekordową kwotę na cyberbezpieczeństwo. To wydatki liczone w sumie w miliardach złotych. Dotyczą różnych obszarów państwa – zapo...
Rządowy raport: Wsparcie dla samorządów
Informacja NIK została opublikowana dzień po przedstawieniu sprawozdania pełnomocnika rządu ds. cyberbezpieczeństwa za zeszły rok. Liczba ataków wzrosła w tym czasie o ponad jedną piątą. Krzysztof Gawkowski, minister cyfryzacji, powiedział w środę: - Rok 2024 potwierdził, że Polska jest na cyfrowej wojnie. Ze sprawozdania wynika, że samorządy i instytucje lokalne wymagają szczególnego wsparcia w zwiększaniu poziomu cyberbezpieczeństwa, co wynika z ograniczonych budżetów i dostępności specjalistów IT.
NIK zwróciła się do Ministra Cyfryzacji, by wdrożył rozwiązania zwiększające bezpieczeństwo informacji w samorządach
Wsparcie dla jednostek samorządu terytorialnego, by poprawić bezpieczeństwo cyfrowe, ma być jednym z priorytetów rządu w tym roku. Najważniejsze działania mają być powiązane z funduszem odporności i bezpieczeństwa, stworzeniem nowych platform cyfrowych oraz rozwojem infrastruktury chmurowej. Na stronie ministerstwa tak je opisano: „Jednym z kluczowych działań w tym obszarze jest migracja lokalnych usług publicznych do rozwiązań chmurowych, takich jak Rządowa Chmura Obliczeniowa (RChO) i Krajowe Centrum Przetwarzania Danych (KCPD). Chmura ma zwiększyć bezpieczeństwo danych, ograniczyć koszty i poprawić dostępność usług. Ponadto planowane jest tworzenie lokalnych zespołów reagowania (CSIRT) i centrów operacyjnych (SOC), które będą wspierać jednostki samorządu terytorialnego w reagowaniu na zagrożenia”.
Jak powinny działać samorządy?
NIK zwróciła się do Ministra Cyfryzacji, by wdrożył rozwiązania zwiększające bezpieczeństwo informacji w samorządach. Izba przedstawiła rekomendacje dla starostów, prezydentów miast, burmistrzów i wójtów:
• opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji;
• zapewnienie wykonywania okresowego przeglądu i aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji;
• ustanowienie polityk ciągłości działania oraz opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów, planów odtworzeniowych oraz zapewnienie ich okresowego testowania;
• prowadzenie okresowych analiz ryzyka utraty integralności, poufności lub dostępności informacji;
• wdrożenie rozwiązań zapewniających odpowiednie zabezpieczenie pomieszczeń serwerowni;
• regularne testowanie kopii zapasowych oraz przechowywanie ich poza miejscem wytworzenia;
• zapewnienie prowadzenia przynajmniej raz w roku okresowego audytu wewnętrznego z zakresu bezpieczeństwa informacji;
• objęcie nadzorem oprogramowania instalowanego na urządzeniach mobilnych.
