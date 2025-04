Stan cyberbezpieczeństwa w jednostkach samorządowych

Kompleksowe zarządzanie bezpieczeństwem informacji ma istotny wpływ na skuteczność działań administracji oraz na bezpieczeństwo danych osobowych obywateli. Niestety z ustaleń kontroli NIK wynika, że samorządy w dużej mierze nie identyfikowały zbiorów danych wymagających zabezpieczenia, nie przygotowywały dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli je przygotowały, to nie testowały skuteczności przyjętych zabezpieczeń.

Ponadto w 71% kontrolowanych urzędów stwierdzono, że nie były one przygotowane do zapewnienia ciągłości działania systemów informatycznych. Brak zapewnienia ciągłości działania w sytuacji kryzysowej (np. pożar, zalanie, ataki hakerskie, działania hybrydowe) może doprowadzić do przerwy lub do zaprzestania działalności urzędu.

Rosnące wyzwania cyfryzacji

W ostatnich latach obywatele mogą załatwić coraz więcej spraw w formie cyfrowej. Wzrostowi liczby zadań organów publicznych prowadzonych z użyciem systemów informatycznych towarzyszy wzrost zagrożeń dla cyberbezpieczeństwa. Dlatego coraz większym wyzwaniem staje się zapewnienie bezpieczeństwa informacji oraz zachowanie ciągłości działania pracy urzędów. Zabezpieczenia powinny umożliwić zachowanie integralności, poufności i dostępności danych.

Celem niniejszej kontroli było zbadanie czy jednostki samorządu terytorialnego prawidłowo, rzetelnie i skutecznie realizowały zadania związane z zapewnieniem bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych. Kontrolą objęto 24 jednostki - 17 urzędów gmin i siedem starostw powiatowych w okresie od 1 stycznia 2023 r. do 20 września 2024 r.

Systemowe podejście do bezpieczeństwa

Zarządzanie ciągłością działania systemów informatycznych obejmuje analizę zagrożeń i ich wpływu na działalność urzędu, i opiera się na zdefiniowaniu i wdrożeniu niezbędnych zabezpieczeń. Ciągłość działania systemów informatycznych polega na zapobieganiu niebezpiecznym zdarzeniom oraz na adekwatnym i skutecznym przeciwdziałaniu w zaistniałej sytuacji kryzysowej.

Do bezpieczeństwa informacji powinno się podchodzić systemowo: kompleksowo zarządzać posiadanymi danymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji.

Oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach, istnieją także inne informacje, równie ważne, o których ochronę każdy urząd powinien zadbać samodzielnie (np. dane kontrahentów, tajemnice handlowe, konfiguracje środowiska IT).

Zaniedbania w kontrolowanych jednostkach

Większość skontrolowanych samorządów nie podejmowała skutecznych i rzetelnych działań na rzecz bezpieczeństwa informacji. NIK negatywnie oceniła przygotowanie do zapewnienia ciągłości działania systemów informatycznych w 71% urzędów, a istotne nieprawidłowości w tym zakresie wystąpiły w 23 z 24 badanych jednostek.

Najczęściej stwierdzane nieprawidłowości to:

Brak pełnej identyfikacji zbiorów danych wymagających ochrony (50% jednostek)

Brak opracowania i wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (8 jednostek)

Brak ustanowionych polityk ciągłości działania (71% urzędów)

Brak planów ciągłości działania oraz planów odtworzeniowych (50% jednostek)

Nieprawidłowości w zabezpieczeniu serwerowni i sporządzaniu kopii zapasowych

Brak zapisów gwarantujących poufność w umowach z dostawcami IT (11 urzędów)

Brak szkoleń dla pracowników (10 urzędów)

Rekomendacje NIK

Biorąc pod uwagę skalę i zakres zidentyfikowanych nieprawidłowości, NIK wnosi o stałe wsparcie jednostek samorządu terytorialnego przez Ministra Cyfryzacji w zakresie wdrażania rozwiązań organizacyjnych i technicznych dotyczących bezpieczeństwa informacji oraz zapewnienia ciągłości działania urzędów.

Najwyższa Izba Kontroli wnosi również do starostów, prezydentów miast, burmistrzów i wójtów o:

opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji;

zapewnienie wykonywania okresowego przeglądu i aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji;

ustanowienie polityk ciągłości działania oraz opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów;

prowadzenie okresowych analiz ryzyka utraty integralności, poufności lub dostępności informacji;

wdrożenie rozwiązań zapewniających odpowiednie zabezpieczenie pomieszczeń serwerowni;

regularne testowanie kopii zapasowych oraz przechowywanie ich poza miejscem wytworzenia;

zapewnienie prowadzenia przynajmniej raz w roku okresowego audytu wewnętrznego z zakresu bezpieczeństwa informacji;

objęcie nadzorem oprogramowania instalowanego na urządzeniach mobilnych.

Kluczowe wnioski z kontroli

Wartością dodaną kontroli było uświadomienie kierownictwu kontrolowanych urzędów, że jedynie kompleksowe zarządzanie ciągłością działania systemów informatycznych oraz bezpieczeństwem informacji umożliwia sprawne działanie w sytuacjach kryzysowych. Jest to szczególnie istotne wobec rosnących zagrożeń, w tym hybrydowych, jako element odporności państwa.

Co warto zapamiętać:

71% skontrolowanych urzędów nie było przygotowanych do zapewnienia ciągłości działania systemów informatycznych. Brak Systemu Zarządzania Bezpieczeństwem Informacji to powszechny problem w samorządach. Ochroną należy objąć nie tylko dane osobowe, ale również inne wrażliwe informacje. Serwerownie i kopie zapasowe wymagają szczególnego zabezpieczenia. Pracownicy powinni być regularnie szkoleni w zakresie bezpieczeństwa informacji. Umowy z dostawcami IT muszą zawierać klauzule o zachowaniu poufności. Audyt bezpieczeństwa informacji należy przeprowadzać minimum raz w roku.

