Samorządy nie radzą sobie z cyberbezpieczeństwem

Najwyższa Izba Kontroli sprawdziła, czy samorządy zapewniają bezpieczeństwo informacji oraz działania systemów informatycznych i w jaki sposób to robią. Było źle.

Publikacja: 17.04.2025 11:34

Samorządy nie radzą sobie z zapewnieniem bezpieczeństwa przed cyberatakami

Samorządy nie radzą sobie z zapewnieniem bezpieczeństwa przed cyberatakami

Foto: Adobe Stock

To kolejna kontrola NIK dotycząca cyberbezpieczeństwa w samorządach. Niestety, jej ustalenia nie są pozytywne. Skontrolowano 24 samorządy: 17 urzędów gmin i siedem starostw powiatowych. Kontrolę przeprowadzono od 1 stycznia 2023 r. do 20 września 2024 r. W większości (ponad 90 proc.) stwierdzono nieprawidłowości w zakresie organizacji zapewnienia bezpieczeństwa przetwarzania informacji oraz zapewnienia ciągłości działania ich systemów informatycznych. W połowie przypadków nie wiadomo było dokładnie, jakie informacje wymagają ochrony lub nie przypisano im odpowiedniego poziomu ochrony. NIK określiła takie działania jako nierzetelne.

Jakie uchybienia w działaniu samorządów znalazła NIK?

Izba zaznacza, iż kompleksowe zarządzanie bezpieczeństwem informacji ma istotny wpływ na skuteczność działań administracji oraz na bezpieczeństwo danych osobowych obywateli. Niestety – jak tłumaczy Marian Banaś, prezes NIK: „Samorządy w dużej mierze nie identyfikowały danych wymagających zabezpieczenia, nieczęsto przygotowywały dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli już je przygotowały, to nie testowały skuteczności przyjętych zabezpieczeń”. NIK ustaliła, że ponad 70 proc. urzędów nie było przygotowanych do zapewnienia ciągłości działania systemów informatycznych. W sytuacji kryzysowej – np. pożaru, zalania, ataku hakerskiego czy działań hybrydowych – może to doprowadzić do przerwy lub do zaprzestania działalności urzędu.

Czytaj więcej

Raport o stanie cyberbezpieczeństwa Polski. Rekordowa liczba ataków w 2024 r.

NIK zwraca uwagę także na to, że samorządy nie zabezpieczyły serwerowni przed czynnikami zewnętrznymi. Nie prowadziły szkoleń dotyczących bezpieczeństwa danych dla pracowników urzędów. Nie zadbały także o zapisy gwarantujące poufność w umowach z dostawcami usług IT. Łącznie NIK zidentyfikowała 222 nieprawidłowości, z których 51 usunięto już w trakcie kontroli. Tylko w jednym urzędzie nie stwierdzono nieprawidłowości. Okazało się, że co trzeci samorząd nie opracował i nie wdrożył Systemu Zarządzania Bezpieczeństwem Informacji.

W 20 urzędach wykryto nieprawidłowości dotyczące: zabezpieczenia serwerowni, sporządzania kopii zapasowych, przyznawania pracownikom uprawnień do korzystania z systemów informatycznych, w tym – odbierania uprawnień po zakończeniu zatrudnienia. W 11 urzędach w umowach na zakup usług informatycznych, zakup lub serwis sprzętu komputerowego i oprogramowania, stwierdzono brak zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych przez wykonawców. W dziewięciu urzędach nie zidentyfikowano w sposób udokumentowany kluczowych elementów infrastruktury i usług IT oraz nie ustalono ich zabezpieczenia pod kątem wpływu czynników zewnętrznych.

Czytaj więcej

Minister cyfryzacji: Polska wyda rekordowo dużo na cyberbezpieczeństwo

Rządowy raport: Wsparcie dla samorządów

Informacja NIK została opublikowana dzień po przedstawieniu sprawozdania pełnomocnika rządu ds. cyberbezpieczeństwa za zeszły rok. Liczba ataków wzrosła w tym czasie o ponad jedną piątą. Krzysztof Gawkowski, minister cyfryzacji, powiedział w środę: - Rok 2024 potwierdził, że Polska jest na cyfrowej wojnie. Ze sprawozdania wynika, że samorządy i instytucje lokalne wymagają szczególnego wsparcia w zwiększaniu poziomu cyberbezpieczeństwa, co wynika z ograniczonych budżetów i dostępności specjalistów IT.

NIK zwróciła się do Ministra Cyfryzacji, by wdrożył rozwiązania zwiększające bezpieczeństwo informacji w samorządach

Wsparcie dla jednostek samorządu terytorialnego, by poprawić bezpieczeństwo cyfrowe, ma być jednym z priorytetów rządu w tym roku. Najważniejsze działania mają być powiązane z funduszem odporności i bezpieczeństwa, stworzeniem nowych platform cyfrowych oraz rozwojem infrastruktury chmurowej. Na stronie ministerstwa tak je opisano: „Jednym z kluczowych działań w tym obszarze jest migracja lokalnych usług publicznych do rozwiązań chmurowych, takich jak Rządowa Chmura Obliczeniowa (RChO) i Krajowe Centrum Przetwarzania Danych (KCPD). Chmura ma zwiększyć bezpieczeństwo danych, ograniczyć koszty i poprawić dostępność usług. Ponadto planowane jest tworzenie lokalnych zespołów reagowania (CSIRT) i centrów operacyjnych (SOC), które będą wspierać jednostki samorządu terytorialnego w reagowaniu na zagrożenia”.

Jak powinny działać samorządy?

NIK zwróciła się do Ministra Cyfryzacji, by wdrożył rozwiązania zwiększające bezpieczeństwo informacji w samorządach. Izba przedstawiła rekomendacje dla starostów, prezydentów miast, burmistrzów i wójtów:

• opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji;

• zapewnienie wykonywania okresowego przeglądu i aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji;

• ustanowienie polityk ciągłości działania oraz opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów, planów odtworzeniowych oraz zapewnienie ich okresowego testowania;

• prowadzenie okresowych analiz ryzyka utraty integralności, poufności lub dostępności informacji;

• wdrożenie rozwiązań zapewniających odpowiednie zabezpieczenie pomieszczeń serwerowni;

• regularne testowanie kopii zapasowych oraz przechowywanie ich poza miejscem wytworzenia;

• zapewnienie prowadzenia przynajmniej raz w roku okresowego audytu wewnętrznego z zakresu bezpieczeństwa informacji;

To kolejna kontrola NIK dotycząca cyberbezpieczeństwa w samorządach. Niestety, jej ustalenia nie są pozytywne. Skontrolowano 24 samorządy: 17 urzędów gmin i siedem starostw powiatowych. Kontrolę przeprowadzono od 1 stycznia 2023 r. do 20 września 2024 r. W większości (ponad 90 proc.) stwierdzono nieprawidłowości w zakresie organizacji zapewnienia bezpieczeństwa przetwarzania informacji oraz zapewnienia ciągłości działania ich systemów informatycznych. W połowie przypadków nie wiadomo było dokładnie, jakie informacje wymagają ochrony lub nie przypisano im odpowiedniego poziomu ochrony. NIK określiła takie działania jako nierzetelne.

Pozostało jeszcze 89% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Z regionów
Dzik w wielkim mieście ludzi się nie boi. Tylko łowczych
Z regionów
Dolny Śląsk infrastrukturalnym sercem Europy
Z regionów
Wybory prezydenckie: Dopisz się do spisu lub weź zaświadczenie przed wyjazdem
Z regionów
Do trójmiejskich portów wróciły statki wycieczkowe. To świetna reklama dla miast
Materiał Partnera
Nieetyczni dłużnicy w twoim regionie? Jest na nich sposób
Materiał Promocyjny
Między elastycznością a bezpieczeństwem