Samorządy a cyberbezpieczeństwo. Trzeba zmienić myślenie i praktyki

W ramach debaty, która odbyła się w ramach konferencji Secure 2024 zastanawiano się, jak władze lokalne widzą wsparcie rządowe w zakresie cyberbezpieczeństwa oraz co administracja rządowa mogłaby zaproponować, aby poprawić lokalnie poziom zabezpieczeń.

Temat cyberbezpieczeństwa w samorządach nie jest nowy. Najwyższa Izba Kontroli już kilkakrotnie sprawdzała poziom bezpieczeństwa cyfrowego na najniższym szczeblu administracji. Na łamach CyberDefence pisaliśmy o tego typu kontrolach, które nie zakończyły się pozytywnymi wnioskami.

Skala ochrony jest wielka

Nie jest zatem niczym nadzwyczajnym, że temat ten poruszono we wtorek na konferencji Secure 2024 zorganizowanej przez NASK. Poprzedziło ją wystąpienie dotyczące programów zwiększających poziom cyberbezpieczeństwa w samorządach.

Grzegorz Hunicz z Urzędu Miasta Lublin wskazał podczas debaty, że koszty miejskie związane z cyberbezpieczeństwem w przeliczeniu na 100 tys. mieszkańców to ok. 5 mln zł rocznie. „W miastach zamieszkuje 60 proc. Polaków. Stąd ten obszar jest ważny, w kontekście tego, co chronimy i jak chronimy” – powiedział.

Co z kolei znalazło się w gronie rzeczy objętych ochroną w urzędach? W przypadku miasta wielkości Lublina mowa o 12 tys. komputerach, danych przetwarzanych przez władze lokalne, jak np. dane podatkowe, geoprzestrzenne, czy dane oświatowe.

„Z taką skalą się musimy mierzyć. Czy należy je chronić? Oczywiście, stosować najlepsze praktyki z rynku, budować unikalne kompetencje” – dodał Hunicz.

Cyberświadomość władz najważniejsza

Jak jednak mają się wymagania prawne w postaci RODO, KRI i KSC do możliwości samorządów, a zwłaszcza tych mniejszych, które z wypełnieniem wspomnianych obligacji mają problemy?

Według Grzegorza Nowaka z Centrum Cyberbezpieczeństwa i Ochrony Danych we Władysławowie, nie jest to prosta kwestia. Rozporządzenie KRI nie nakłada sankcji na podmioty niespełniające wymogów, jednak od raportu przez NIK z 2018 roku nastąpiła istotna poprawa w tym zakresie.

W kontekście RODO sporo zależy od świadomości administratorów, którzy wybierają metody ochrony danych. „Nie powiedziałbym w żadnym wypadku, że są zbyt duże wymagania ochrony wynikającej z RODO. Bardziej kwestie interpretacji” – powiedział Nowak podczas debaty.

Z kolei ustawa o KSC jego zdaniem stawia zbyt niskie wymogi samorządom, jednak nawet przy zwiększeniu wymagań poprzez nowelizację, nadal ważniejsza będzie cyberświadomość wśród włodarzy.

„Potrzeba zmiany myślenia"

Poruszono również kwestię tego, jak cała sytuacja wygląda ze strony organów centralnych. Monika Pieniek z Ministerstwa Cyfryzacji stwierdziła, że wszystkie zadania realizowane przez jednostki samorządowe powinny zostać objęte ochroną. „Absolutnie podejmujemy wszelkie działania, aby móc w samorządach poprawiać poziom cyberbezpieczeństwa” – dodała przedstawicielka resortu.

Inną sprawą było z kolei rozwiązanie problemów niewystarczających środków finansowych i kompetencji dzięki programowi Cyfrowy Samorząd i ewentualne pojawienie się kolejnych. Według Wojciecha Olszewskiego z Urzędu Marszałkowskiego Województwa Lubuskiego, sednem problemu może być stwarzanie pozorów rozwiązania.

„Wprowadzimy dużo regulacji, ale nie będzie mechanizmu, który pomoże takim wójtom z małych gmin bez ludzi, pieniędzy i technologii” – stwierdził przedstawiciel województwa lubuskiego.

Dodał również, że konieczna jest zmiana mentalności w małych ośrodkach, jak również zmiana myślenia co do rozwiązywania tego typu problemów w ogóle.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].