Samorządy i cyberbezpieczeństwo. Kolejna weryfikacja

Hasłem ostatnich 6 miesięcy polskiej prezydencji w Radzie UE było cyberbezpieczeństwo. To właśnie w tym okresie m.in. został przyjęty Cyber Blueprint. Pomimo promocji działąń na rzecz cyberbezpieczeństwa, Polska nadal ma problem z zabezpieczeniem najniższego szczebla administracji.

W kwietniu na naszym portalu wskazaliśmy, jakie największe problemy polskich samorządów w tym aspekcie wykazał NIK w ostatnim raporcie z kontroli. Jak się okazało, w wielu gminach był nieopracowany i niewdrożony System Zarządzania Bezpieczeństwem Informacji (SZBI).

Jak wskazał Portal Samorządowy, eksperci Krajowego Instytutu Cyberbezpieczeństwa Piotr Kukla oraz Iwona Barańska przeprowadzili 30 kontroli samorządów. Podkreślają oni powagę problemów, z jakimi mierzą się samorządy.

”System Zarządzania Bezpieczeństwem Informacji zawiera procedury i plany awaryjne w reakcji na incydenty cyberbezpieczeństwa. Zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa (UKSC) i rozporządzeniem o Krajowych Ramach Interoperacyjności (KRI) taką dokumentację musi posiadać każda jednostka publiczna. Audyty przeprowadzamy od 4 lat i rzadko która gmina wywiązuje się z tego obowiązku” - wskazał w cytowanej przez Portal Samorządowy wypowiedzi Piotr Kukla z Krajowego Instytutu Cyberbezpieczeństwa.

Audytorzy zwrócili uwagę nie tylko na ignorowanie wprowadzenia powyższego systemu, ale również na nadmierne oszczędzanie, co skutkuje wdrożeniem przepisów niedostosowanych do konkretnej gminy. Jak zauważa Barańska, w kliku gminach otrzymała do weryfikacji identyczne dokumenty dotyczące SZBI i najprawdopodobniej zostały one zakupione oraz wdrożone bez jakiejkolwiek weryfikacji.

Władze samorządowe często nie zdają sobie sprawy z powagi zagrożenia, które może dotknąć ich gminę, miasto, czy powiat. Ostatni incydent, który opisywaliśmy na łamach CyberDefence24.pl dotyczył Urzędu Pracy w Żorach, który padł ofiarą ataku ransomware. Przestępcy mogli uzyskać dostęp do ponad 100 GB danych; wśród nich znalazły się m.in. listy pracowników zawierające m.in. numer PESEL i miejsce urodzenia, umowy pożyczki, umowy o pracę czy wykaz prywatnych telefonów pracowników z 2013 roku.

Przypadek Żorów jest przykładem jednego ze skuteczniejszych cyberataków. Jak wskazują audytorzy, samorządy są nieustannie na nie narażone. „Cyberatak najczęściej paraliżuje działanie urzędu co najmniej na kilka dni, a bez dostępu danych nie ma możliwości przyjmowania nowych petentów” - wyjaśniają, cytowani przez Portal Samorządowy.

Dostęp do takich danych naraża prywatność pracowników, a także bezpieczeństwo samorządu. Władze wydają się ignorować zagrożenia, czego dowodzą przytoczone przez Iwonę Barańską słowa jednego z wójtów: „to ludzie głosują w wyborach, a nie systemy, więc on wychodzi do ludzi, a systemami niech się zajmie informatyk”.

Gdzie są specjaliści?

Tu wyłania się kolejny problem dotyczący pracowników IT. Są oni przeładowani zadaniami, a czasem nawet nieświadomi obowiązków wynikających z przepisów. Dodatkowo, ze względu na ograniczone fundusze oraz niedobór specjalistów, samorządy często decydują się na outsourcing i zlecają odpowiedniej firmie zapewnienie systemu dla samorządu. Jednak mimo zatrudnienia profesjonalnych firm, zdarza się, że władze nie nadzorują jakości dostarczanych usług i w dalszym ciągu nie posiadają sprawnego systemu cyberbezpieczeństwa.

Najczęściej firma przejmuje obowiązki związane z cyberbezpieczeństwem, a urząd oznacza ten element jako "odhaczony" i nie interesuje się tym tematem.
Piotr Kukla, Krajowy Instytut Cyberbezpieczeństwa

Eksperci biją na alarm. Problem pozostaje

Audytorzy potwierdzili najważniejsze nieprawidłowości przedstawione przez NIK w kwietniu br. Mimo tego wskazują, że od wprowadzenia programów Cyberbezpieczny Samorząd oraz Cyberbezpieczna Gmina „sytuacja dotycząca cyberbezpieczeństwa w samorządach poprawiła się wraz z wprowadzeniem w 2023 r.”

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].