Samorządy zaniedbują cyberbezpieczeństwo

W dobie cyfrowej transformacji administracji publicznej cyberbezpieczeństwo przestaje być tylko technicznym zagadnieniem – staje się kluczowym elementem sprawnego funkcjonowania państwa. Niestety, najnowszy raport Najwyższej Izby Kontroli (NIK) pokazuje, że wiele polskich samorządów nie radzi sobie z ochroną informacji ani z zapewnieniem ciągłości działania swoich systemów informatycznych.

Obywatele mogą dziś załatwić większość spraw urzędowych online – od złożenia wniosku o dowód, przez zgłoszenie narodzin dziecka, aż po dostęp do akt spraw administracyjnych. Ale tam, gdzie pojawia się cyfryzacja, pojawiają się też nowe ryzyka: cyberataki, awarie systemów, a nawet działania hybrydowe z potencjalnym wpływem na bezpieczeństwo państwa.

NIK skontrolowała 24 jednostki samorządu terytorialnego – 17 gmin i 7 starostw – i ujawniła aż 222 nieprawidłowości! Aż 71% urzędów nie było przygotowanych do zapewnienia ciągłości działania w przypadku awarii, ataku czy katastrofy naturalnej.
Najczęstsze zaniedbania wykazane w raporcie to:

Brak identyfikacji danych wymagających ochrony, w tym nieosobowych (np. dane kontrahentów czy konfiguracje IT).

Brak dokumentów bezpieczeństwa IT – wiele urzędów nie wdrożyło Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

Brak polityk i planów ciągłości działania – w połowie przypadków nie opracowano planów odtworzeniowych, a jeśli już istniały, to nie były testowane.

Słabe zabezpieczenia serwerowni, brak regularnych kopii zapasowych i nieodpowiednie zarządzanie dostępami pracowników do systemów.

Umowy z firmami IT bez klauzul poufności – w 11 przypadkach brakowało zabezpieczeń kontraktowych dla danych udostępnianych wykonawcom.

Brak szkoleń i audytów – w co trzecim urzędzie nie przeprowadzono obowiązkowych szkoleń z cyberbezpieczeństwa, a coroczne audyty były fikcją.

Zaniedbania w zakresie zarządzania bezpieczeństwem informacji i IT nie są tylko formalnością. Brak odpowiednich procedur i narzędzi może doprowadzić do utraty danych obywateli, zablokowania pracy urzędu, a nawet naruszenia ciągłości działania instytucji publicznej. W czasach, gdy zagrożenia hybrydowe są coraz bardziej realne, takie podejście jest po prostu nieakceptowalne.

Rekomendacje NIK w obszarze cyberbezpieczeństwa samorządów

NIK wzywa zarówno rząd, jak i lokalne władze do konkretnych działań. Kluczowe zalecenia obejmują:

Wdrożenie i regularną aktualizację SZBI.

Opracowanie polityk i planów ciągłości działania oraz ich testowanie.

Regularne analizy ryzyka i testy kopii zapasowych.

Szkolenia dla pracowników i coroczne audyty wewnętrzne.

Wzmocnienie ochrony fizycznej infrastruktury IT.

Raport NIK dobitnie pokazuje, że wiele samorządów wciąż nie traktuje cyberbezpieczeństwa z należytą powagą. Tymczasem to właśnie od niego zależy stabilność instytucji publicznych – i bezpieczeństwo obywateli.

Copyright @2024. All Rights Reserved.