Cyberbezpieczeństwo w samorządach kuleje - alarmujące wyniki kontroli NIK
Cezary Bunsecki 17-04-2025, 10:20
Według najnowszych ustaleń Najwyższej Izby Kontroli (NIK), samorządy w Polsce wciąż borykają się z poważnymi lukami w obszarze ochrony danych i ciągłości działania systemów IT. Kontrola objęła 24 jednostki – 17 urzędów gmin i 7 starostw powiatowych – w okresie od stycznia 2023 do września 2024 roku. Wyniki wskazują, że aż 71% skontrolowanych urzędów nie było przygotowanych do zapewnienia ciągłości działania w sytuacjach kryzysowych, takich jak ataki hakerskie czy klęski żywiołowe.
reklama
Stan cyberbezpieczeństwa w jednostkach samorządowych
Kompleksowe zarządzanie bezpieczeństwem informacji ma istotny wpływ na skuteczność działań administracji oraz na bezpieczeństwo danych osobowych obywateli. Niestety z ustaleń kontroli NIK wynika, że samorządy w dużej mierze nie identyfikowały zbiorów danych wymagających zabezpieczenia, nie przygotowywały dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli je przygotowały, to nie testowały skuteczności przyjętych zabezpieczeń.
Ponadto w 71% kontrolowanych urzędów stwierdzono, że nie były one przygotowane do zapewnienia ciągłości działania systemów informatycznych. Brak zapewnienia ciągłości działania w sytuacji kryzysowej (np. pożar, zalanie, ataki hakerskie, działania hybrydowe) może doprowadzić do przerwy lub do zaprzestania działalności urzędu.
Rosnące wyzwania cyfryzacji
W ostatnich latach obywatele mogą załatwić coraz więcej spraw w formie cyfrowej. Wzrostowi liczby zadań organów publicznych prowadzonych z użyciem systemów informatycznych towarzyszy wzrost zagrożeń dla cyberbezpieczeństwa. Dlatego coraz większym wyzwaniem staje się zapewnienie bezpieczeństwa informacji oraz zachowanie ciągłości działania pracy urzędów. Zabezpieczenia powinny umożliwić zachowanie integralności, poufności i dostępności danych.
Celem niniejszej kontroli było zbadanie czy jednostki samorządu terytorialnego prawidłowo, rzetelnie i skutecznie realizowały zadania związane z zapewnieniem bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych. Kontrolą objęto 24 jednostki - 17 urzędów gmin i siedem starostw powiatowych w okresie od 1 stycznia 2023 r. do 20 września 2024 r.
Systemowe podejście do bezpieczeństwa
Zarządzanie ciągłością działania systemów informatycznych obejmuje analizę zagrożeń i ich wpływu na działalność urzędu, i opiera się na zdefiniowaniu i wdrożeniu niezbędnych zabezpieczeń. Ciągłość działania systemów informatycznych polega na zapobieganiu niebezpiecznym zdarzeniom oraz na adekwatnym i skutecznym przeciwdziałaniu w zaistniałej sytuacji kryzysowej.
Do bezpieczeństwa informacji powinno się podchodzić systemowo: kompleksowo zarządzać posiadanymi danymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji.
Oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach, istnieją także inne informacje, równie ważne, o których ochronę każdy urząd powinien zadbać samodzielnie (np. dane kontrahentów, tajemnice handlowe, konfiguracje środowiska IT).
Zaniedbania w kontrolowanych jednostkach
Większość skontrolowanych samorządów nie podejmowała skutecznych i rzetelnych działań na rzecz bezpieczeństwa informacji. NIK negatywnie oceniła przygotowanie do zapewnienia ciągłości działania systemów informatycznych w 71% urzędów, a istotne nieprawidłowości w tym zakresie wystąpiły w 23 z 24 badanych jednostek.
Najczęściej stwierdzane nieprawidłowości to:
- Brak pełnej identyfikacji zbiorów danych wymagających ochrony (50% jednostek)
- Brak opracowania i wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (8 jednostek)
- Brak ustanowionych polityk ciągłości działania (71% urzędów)
- Brak planów ciągłości działania oraz planów odtworzeniowych (50% jednostek)
- Nieprawidłowości w zabezpieczeniu serwerowni i sporządzaniu kopii zapasowych
- Brak zapisów gwarantujących poufność w umowach z dostawcami IT (11 urzędów)
- Brak szkoleń dla pracowników (10 urzędów)
Rekomendacje NIK
Biorąc pod uwagę skalę i zakres zidentyfikowanych nieprawidłowości, NIK wnosi o stałe wsparcie jednostek samorządu terytorialnego przez Ministra Cyfryzacji w zakresie wdrażania rozwiązań organizacyjnych i technicznych dotyczących bezpieczeństwa informacji oraz zapewnienia ciągłości działania urzędów.
Najwyższa Izba Kontroli wnosi również do starostów, prezydentów miast, burmistrzów i wójtów o:
- opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji;
- zapewnienie wykonywania okresowego przeglądu i aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji;
- ustanowienie polityk ciągłości działania oraz opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów;
- prowadzenie okresowych analiz ryzyka utraty integralności, poufności lub dostępności informacji;
- wdrożenie rozwiązań zapewniających odpowiednie zabezpieczenie pomieszczeń serwerowni;
- regularne testowanie kopii zapasowych oraz przechowywanie ich poza miejscem wytworzenia;
- zapewnienie prowadzenia przynajmniej raz w roku okresowego audytu wewnętrznego z zakresu bezpieczeństwa informacji;
- objęcie nadzorem oprogramowania instalowanego na urządzeniach mobilnych.
Kluczowe wnioski z kontroli
Wartością dodaną kontroli było uświadomienie kierownictwu kontrolowanych urzędów, że jedynie kompleksowe zarządzanie ciągłością działania systemów informatycznych oraz bezpieczeństwem informacji umożliwia sprawne działanie w sytuacjach kryzysowych. Jest to szczególnie istotne wobec rosnących zagrożeń, w tym hybrydowych, jako element odporności państwa.
Co warto zapamiętać:
- 71% skontrolowanych urzędów nie było przygotowanych do zapewnienia ciągłości działania systemów informatycznych.
- Brak Systemu Zarządzania Bezpieczeństwem Informacji to powszechny problem w samorządach.
- Ochroną należy objąć nie tylko dane osobowe, ale również inne wrażliwe informacje.
- Serwerownie i kopie zapasowe wymagają szczególnego zabezpieczenia.
- Pracownicy powinni być regularnie szkoleni w zakresie bezpieczeństwa informacji.
- Umowy z dostawcami IT muszą zawierać klauzule o zachowaniu poufności.
- Audyt bezpieczeństwa informacji należy przeprowadzać minimum raz w roku.
Foto: Freepik
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
Ostatnie artykuły:
|
|
 |
|
 |
|
 |
Tematy pokrewne:
zagrożenia hybrydowe w Polsce zabezpieczenie serwerowni w urzędzie urzędy szkolenia pracowników urzędów szkolenia systemy system zarządzania bezpieczeństwem informacji serwerownie samorządy polityka bezpieczeństwa IT ochrona danych osobowych w urzędach ochrona danych kontrahentów NIK kontrola NIK cyberbezpieczeństwo dane cyberbezpieczeństwo w samorządach cyberbezpieczeństwo brak planów ciągłości działania bezpieczeństwo informacji w urzędach bezpieczeństwo cyfrowe w samorządach bezpieczeństwo backup danych w administracji błędy w zarządzaniu IT audyt IT w administracji audyt
zagrożenia hybrydowe w Polsce zabezpieczenie serwerowni w urzędzie urzędy szkolenia pracowników urzędów szkolenia systemy system zarządzania bezpieczeństwem informacji serwerownie samorządy polityka bezpieczeństwa IT ochrona danych osobowych w urzędach ochrona danych kontrahentów NIK kontrola NIK cyberbezpieczeństwo dane cyberbezpieczeństwo w samorządach cyberbezpieczeństwo brak planów ciągłości działania bezpieczeństwo informacji w urzędach bezpieczeństwo cyfrowe w samorządach bezpieczeństwo backup danych w administracji błędy w zarządzaniu IT audyt IT w administracji audyt« strona główna - do góry ^
Stopka
Publikacje
Nasze serwisy
Partnerzy
© 1998-2025 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.