Ponad 70 proc. jednostek samorządowych, skontrolowanych przez Najwyższą Izbę Kontroli nie posiada planów przywracania systemów IT po awarii. Połowa nie zidentyfikowała, które z przechowywanych danych wymagają ochrony. Tymczasem liczba cyfrowych incydentów w sektorze publicznym rośnie, a administracja jest jednym z najczęstszych celów cyberataków w Europie.
Już na początku 2024 r. NIK zwracała uwagę na uchybienia w zabezpieczeniach systemów informatycznych samorządów. Przeprowadzona wówczas szczegółowa analiza pod kątem cyberbezpieczeństwa wykazała nieprawidłowe przetwarzanie danych osób fizycznych o ich stanie zdrowia, sytuacji rodzinnej czy wynagrodzeniu. Głównym problemem okazało się wykorzystanie adresów e-mail w domenach publicznych bez podpisania stosownych umów gwarantujących bezpieczeństwo przetwarzanych danych. Tymczasem wyniki kontroli NIK z 2025 r. wykazały istotne nieprawidłowości w przygotowaniu do zapewnienia ciągłości działania systemów IT w aż 71% sprawdzanych jednostek samorządowych.
Ponad 110 tys. incydentów w rok. Administracja publiczna na celowniku cyberprzestępców
Jak wynika ze sprawozdania Pełnomocnika Rządu ds. Cyberbezpieczeństwa za 2024 rok, liczba zidentyfikowanych incydentów bezpieczeństwa teleinformatycznego w Polsce wzrosła o 23% r/r., do poziomu 111 660. Samych zgłoszeń do CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) w 2024 r. było ponad 600 tys. Sektor publiczny odnotował wzrost liczby incydentów aż o 58%, a liczba tzw. incydentów poważnych, zagrażających ciągłości działania instytucji, wzrosła o 57% r/r. Z raportu ENISA wynika, że 19% cyberataków w Europie w 2024 r. było wymierzonych w administrację publiczną. Co więcej, aż 33% z wszystkich ataków typu DDoS – polegających na przeciążeniu systemów w celu zablokowania ich działania – dotyczyło właśnie tego sektora. – Informacje, które są przechowywane i przetwarzane w instytucjach publicznych należą do danych szczególnej kategorii. To nie tylko imię, nazwisko czy numer PESEL, ale także wyniki badań lekarskich, informacje o zatrudnieniu, dochodach czy diagnozach psychologicznych. W przypadku wycieku takich danych ryzyko nadużyć czy kradzieży tożsamości rośnie wielokrotnie. Ochrona tych informacji powinna być priorytetowym zadaniem realizowanym przez każdą z instytucji, ponieważ w grę wchodzi nie tylko bezpieczeństwo, ale również zaufanie obywateli – wskazuje Tomasz Surdyk, ekspert ds. cyberbezpieczeństwa w firmie Kingston.
Co dalej z ochroną danych w samorządach?
Jak wskazuje NIK, wiele skontrolowanych jednostek samorządowych miało problem z tworzeniem, przechowywaniem oraz testowaniem kopii zapasowych. W wielu przypadkach brakowało także szkoleń dla pracowników odpowiedzialnych za przetwarzanie informacji, co zwiększa podatność instytucji na ataki socjotechniczne oraz ryzyko naruszenia przepisów związanych z ochroną danych.
Jak wskazuje Tomasz Surdyk, różnice w budżecie, jakim dysponują poszczególne jednostki samorządowe w Polsce, jest ogromna. Stąd też mogą wynikać dysproporcje w poziomach zabezpieczeń systemów. Nadzieję na zmianę tego stanu rzeczy daje m.in. program „Cyberbezpieczny Samorząd”. W 2024 roku w jego ramach blisko 2500 samorządów podpisało umowy opiewające na łączną kwotę 1,5 mld zł. Granty z programu przeznaczane są m.in. na wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, szkolenia z zakresu cyberbezpieczeństwa czy zakup sprzętu oraz oprogramowania.
Do końca 2024 r. jednostkom samorządu wypłacono już 700 mln zł.
– Jednym z najistotniejszych aspektów dbania o bezpieczeństwo danych jest edukowanie pracowników poprzez podnoszenie ich świadomości o czyhających zagrożeniach w cyberprzestrzeni. Niebagatelne znaczenie mają również analizy ryzyka, a także strategie tworzenia kopii zapasowych. Odpowiednio zaplanowany backup pozwala nie tylko odzyskać dane, ale również zapewnić ciągłość działania systemu w sytuacjach kryzysowych. Do ochrony informacji szczególnie wrażliwych zaleca się wykorzystanie rozwiązań, które zapewnią najwyższy poziom bezpieczeństwa w ich przechowywaniu, takie jak szyfrowane nośniki – podsumowuje Tomasz Surdyk.
Źródło: Kingston Digital Europe Co LLP / SAROTA PR
Foto: Pixabay.com //