NIK: Cyberbezpieczeństwo w samorządach kuleje. Ministerstwo odpowiada

Brak polityk ciągłości działania, niewystarczające zabezpieczenia fizyczne czy nieprawidłowości dotyczące kopii zapasowych – to tylko niektóre ustalenia Naczelnej Izby Kontroli, które nie napawają optymizmem.

„Większość skontrolowanych samorządów nie podejmowała skutecznych i rzetelnych działań na rzecz bezpieczeństwa informacji. NIK negatywnie oceniła przygotowanie do zapewnienia ciągłości działania systemów informatycznych w 71% urzędów, a istotne nieprawidłowości w tym zakresie wystąpiły w 23 z 24 badanych jednostek” – stwierdzono w komunikacie z 17 kwietnia br.

Ataki na samorządy

Samorządy również padają ofiarami cyberprzestępców. Z racji na zakres przetwarzanych informacji, jednostki mogą zawierać wiele danych osobowych. Dobrym przykładem był zeszłoroczny atak ransomware na Starostwo Powiatowe w Jędrzejowie, gdzie zakres naruszenia ochrony obejmował m.in. numery PESEL, adresy zameldowania czy imiona rodziców.

Cyberprzestępcy twierdzili, że wykradli dane 80 tysięcy osób – dotychczas nie potwierdzono oraz nie obalono tego twierdzenia, ponieważ Starostwo „nie miało informacji”, zaś CBZC i Prokuratura nie udzieliła nam informacji dot. zakresu ew. wycieku danych z racji na prowadzone czynności.

Kolejnym naocznym przykładem są ataki na stacje uzdatniania wody (Tolkmicko, Małdyty i Sierakowo) oraz oczyszczalnie ścieków (m.in. Kuźnica, Witkowo). Z komunikatu Pełnomocnika Rządu ds. cyberbezpieczeństwa wynika, że ataki na urządzenia ICS/OT miały „realny wpływ na działanie fizycznych systemów, a jego konsekwencje były odczuwalne dla użytkowników końcowych dostarczanej usługi.”

Podczas lutowej konferencji prasowej dotyczącej projektu „Cyberbezpieczny Rząd” minister cyfryzacji przekazał, że takie ataki mogą prowadzić do przerw w dostawach wody. Zapewnił jednocześnie, że wszystkie jednostki dotknięte działaniami cyberprzestępców uzyskały wsparcie.

16 kwietnia wicepremier Krzysztof Gawkowski przekazał, że w ostatnich dniach udało się odeprzeć „17 z 18 ataków” na wodociągi i kanalizacje. Tego samego dnia udało nam się ustalić, że ofiarą prorosyjskiej grupy cyberprzestępców padła Centralna Przepompownia Ścieków w Witkowie (woj. Wielkopolskie).

Naczelna Izba Kontroli o samorządach

Raport NIK obrazuje konieczność zmian w polskich samorządach.

„Ponadto w 71% kontrolowanych urzędów stwierdzono, że nie były one przygotowane do zapewnienia ciągłości działania systemów informatycznych. Brak zapewnienia ciągłości działania w sytuacji kryzysowej (np. pożar, zalanie, ataki hakerskie, działania hybrydowe) może doprowadzić do przerwy lub do zaprzestania działalności urzędu” – stwierdzono. Kontrola obejmowała 24 jednostki.

Skalę problemu dobrze ukazuje infografika opracowana przez Izbę.

Do bezpieczeństwa informacji powinno się podchodzić systemowo: kompleksowo zarządzać posiadanymi danymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji. Oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach, istnieją także inne informacje, równie ważne, o których ochronę każdy urząd powinien zadbać samodzielnie (np. dane kontrahentów, tajemnice handlowe, konfiguracje środowiska IT).
Naczelna Izba Kontroli

Jedna trzecia skontrolowanych podmiotów (z 17 gmin i 7 starostw) nie opracowała oraz nie wdrożyła Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Połowa z nich nie wdrożyła odpowiednich zabezpieczeń fizycznych serwerowni, miała problemy dotyczące kopii zapasowych, nie miała planów zapewnienia ciągłości działania i odtworzeniowych oraz niedostatecznie chroniła posiadane informacje (lub nie przypisano im poziomu ochrony). W dziewięciu podmiotach stwierdzono nieprawidłowości dotyczące haseł dostępu do systemów informatycznych.

Apel NIK

Izba pod przewodnictwem Mariana Banasia apeluje do szefa reosrtu cyfryzacji o „stałe wsparcie jednostek samorządu terytorialnego w zakresie wdrażania rozwiązań organizacyjnych i technicznych dotyczących bezpieczeństwa informacji oraz zapewnienia ciągłości działania urzędów”.

Rekomendacje dotyczą również starostów, prezydentów miast, burmistrzów i wójtów. Wśród zaleceń znajduje się m.in.:

• opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji;
• prowadzenie okresowych analiz ryzyka utraty integralności, poufności lub dostępności informacji;
• wdrożenie rozwiązań zapewniających odpowiednie zabezpieczenie pomieszczeń serwerowni;
• regularne testowanie kopii zapasowych oraz przechowywanie ich poza miejscem wytworzenia;
• objęcie nadzorem oprogramowania instalowanego na urządzeniach mobilnych.

„Wartością dodaną kontroli było uświadomienie kierownictwu kontrolowanych urzędów, że jedynie kompleksowe zarządzanie ciągłością działania systemów informatycznych oraz bezpieczeństwem informacji umożliwia sprawne działanie w sytuacjach kryzysowych. Jest to szczególnie istotne wobec rosnących zagrożeń, w tym hybrydowych, jako element odporności państwa” – stwierdzono w zakończeniu komunikatu. Pełny raport dostępny jest na stronie NIK – zachęcamy do jego lektury.

Gorzką pigułkę można jednak zakończyć pozytywnym akcentem. „Pozytywnie należy ocenić, że we wszystkich badanych urzędach wyznaczono osoby odpowiedzialne za bezpieczeństwo informacji i ciągłość działania, IOD oraz osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa” – przekazała Naczelna Izba Kontroli w raporcie.

Odpowiedź Ministra Cyfryzacji

W raporcie zawarto również stanowisko ministra cyfryzacji. Możemy się z niego dowiedzieć, że programem „Cyberbezpieczny samorząd” zostały objęte wszystkie jednostki samorządu terytorialnego. „Łącznie jednostki samorządu terytorialnego otrzymają pomoc na kwotę 1 473 239 856,33 PLN” – stwierdzono.

Jednocześnie projekt dotyczący wsparcia przedsiębiorstw wodno-kanalizacyjnych „Cyberbezpieczne wodociągi” ma objąć 430 podmiotów.

W ramach Krajowego Systemu Cyberbezpieczeństwa objęto szkoleniem 4 800 pracowników JST, przede wszystkim w formule stacjonarnej, pt. „Jak dbać o cyberbezpieczeństwo w jednostkach samorządu terytorialnego?".
Pismo wicepremiera Krzysztofa Gawkowskiego do Prezesa NIK Mariana Banasia

Tak jak w przypadku wszystkich projektów związanych z cyberbezpieczeństwem – kluczowe jest odpowiednie wydatkowanie środków wraz z uwzględnieniem realnych potrzeb jednostek oraz stanu zastanego, który może wiązać się z tzw. „długiem technologicznym”. Miejmy nadzieję, że projekt wpłynie na poprawę stanu bezpieczeństwa naszej cyberprzestrzeni i zapewni organizacjom to, czego faktycznie potrzebują.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].