To kolejna kontrola NIK dotycząca cyberbezpieczeństwa w samorządach. Niestety, jej ustalenia nie są pozytywne. Skontrolowano 24 samorządy: 17 urzędów gmin i siedem starostw powiatowych. Kontrolę przeprowadzono od 1 stycznia 2023 r. do 20 września 2024 r. W większości (ponad 90 proc.) stwierdzono nieprawidłowości w zakresie organizacji zapewnienia bezpieczeństwa przetwarzania informacji oraz zapewnienia ciągłości działania ich systemów informatycznych. W połowie przypadków nie wiadomo było dokładnie, jakie informacje wymagają ochrony lub nie przypisano im odpowiedniego poziomu ochrony. NIK określiła takie działania jako nierzetelne.
Jakie uchybienia w działaniu samorządów znalazła NIK?
Izba zaznacza, iż kompleksowe zarządzanie bezpieczeństwem informacji ma istotny wpływ na skuteczność działań administracji oraz na bezpieczeństwo danych osobowych obywateli. Niestety – jak tłumaczy Marian Banaś, prezes NIK: „Samorządy w dużej mierze nie identyfikowały danych wymagających zabezpieczenia, nieczęsto przygotowywały dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli już je przygotowały, to nie testowały skuteczności przyjętych zabezpieczeń”. NIK ustaliła, że ponad 70 proc. urzędów nie było przygotowanych do zapewnienia ciągłości działania systemów informatycznych. W sytuacji kryzysowej – np. pożaru, zalania, ataku hakerskiego czy działań hybrydowych – może to doprowadzić do przerwy lub do zaprzestania działalności urzędu.
Czytaj więcej
23-proc. wzrost liczby zdarzeń bijących w cyberbezpieczeństwo w Polsce odnotowano w 2024 r. – wyn...
NIK zwraca uwagę także na to, że samorządy nie zabezpieczyły serwerowni przed czynnikami zewnętrznymi. Nie prowadziły szkoleń dotyczących bezpieczeństwa danych dla pracowników urzędów. Nie zadbały także o zapisy gwarantujące poufność w umowach z dostawcami usług IT. Łącznie NIK zidentyfikowała 222 nieprawidłowości, z których 51 usunięto już w trakcie kontroli. Tylko w jednym urzędzie nie stwierdzono nieprawidłowości. Okazało się, że co trzeci samorząd nie opracował i nie wdrożył Systemu Zarządzania Bezpieczeństwem Informacji.
W 20 urzędach wykryto nieprawidłowości dotyczące: zabezpieczenia serwerowni, sporządzania kopii zapasowych, przyznawania pracownikom uprawnień do korzystania z systemów informatycznych, w tym – odbierania uprawnień po zakończeniu zatrudnienia. W 11 urzędach w umowach na zakup usług informatycznych, zakup lub serwis sprzętu komputerowego i oprogramowania, stwierdzono brak zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych przez wykonawców. W dziewięciu urzędach nie zidentyfikowano w sposób udokumentowany kluczowych elementów infrastruktury i usług IT oraz nie ustalono ich zabezpieczenia pod kątem wpływu czynników zewnętrznych.