2 dni temu
Kontrola Najwyższej Izby Kontroli (NIK) wykazała poważne niedociągnięcia w zarządzaniu bezpieczeństwem informacji i ciągłością działania systemów informatycznych w jednostkach samorządu terytorialnego (JST). Te zaniedbania negatywnie wpływają na efektywność administracji oraz bezpieczeństwo danych osobowych obywateli.
Jak podaje NIK w 71% kontrolowanych urzędów stwierdzono, iż nie były one przygotowane do zapewnienia ciągłości działania systemów informatycznych. Brak zapewnienia ciągłości działania w sytuacji kryzysowej (np. pożar, zalanie, ataki hakerskie, działania hybrydowe) może doprowadzić do przerwy lub do zaprzestania działalności urzędu – ocenia NIK i zwraca uwagę na to, iż wykryte nieprawidłowości polegały także na niewystarczającym zabezpieczeniu serwerowni przed czynnikami zewnętrznymi, nieprowadzeniu szkoleń dotyczących bezpieczeństwa danych dla pracowników urzędów oraz braku zapisów gwarantujących poufność w umowach z dostarczycielami usług IT. Łącznie NIK zidentyfikowała 222 nieprawidłowości, z których 51 usunięto już w trakcie kontroli.
Wraz ze wzrostem dostępności usług cyfrowych wzrasta zagrożenie
W ostatnich latach obywatele mogą załatwić coraz więcej spraw w formie cyfrowej. Wzrostowi liczby zadań organów publicznych prowadzonych z użyciem systemów informatycznych towarzyszy wzrost zagrożeń dla cyberbezpieczeństwa. Dlatego coraz większym wyzwaniem staje się zapewnienie bezpieczeństwa informacji oraz zachowanie ciągłości działania pracy urzędów. Jak podkreśla NIK, zabezpieczenia powinny umożliwić zachowanie integralności, poufności i dostępności danych.
Celem kontroli NIK było zbadanie czy jednostki samorządu terytorialnego prawidłowo, rzetelnie i skutecznie realizowały zadania związane z zapewnieniem bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych. Kontrolą objęto 24 jednostki – 17 urzędów gmin i siedem starostw powiatowych w okresie od 1 stycznia 2023 r. do 20 września 2024 r.
Do bezpieczeństwa informacji powinno się podchodzić systemowo
Zarządzanie ciągłością działania systemów informatycznych obejmuje analizę zagrożeń i ich wpływu na działalność urzędu, i opiera się na zdefiniowaniu i wdrożeniu niezbędnych zabezpieczeń. Ciągłość działania systemów informatycznych polega na zapobieganiu niebezpiecznym zdarzeniom oraz na adekwatnym i skutecznym przeciwdziałaniu w zaistniałej sytuacji kryzysowej. Do bezpieczeństwa informacji powinno się podchodzić systemowo: kompleksowo zarządzać posiadanymi danymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji – podkreśla NIK. Oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach, istnieją także inne informacje, równie ważne, o których ochronę każdy urząd powinien zadbać samodzielnie (np. dane kontrahentów, tajemnice handlowe, konfiguracje środowiska IT). Praktyka ograniczania zakresu ochrony jedynie do niektórych informacji (np. tylko danych osobowych) może mieć poważne konsekwencje dla adekwatnego szacowania ryzyka, dzielenia zasobów i zapewnienia ciągłości działania systemów informatycznych urzędów. Ataki hakerskie, fizyczne zagrożenia dla infrastruktury informatycznej (zalanie, pożar itp.), oraz wyciek lub utrata danych, w tym danych osobowych, mogą skutecznie zakłócić realizację zadań samorządów. Przygotowanie planu ciągłości działania jest więc niezbędne dla zapewnienia działania urzędu w sytuacji kryzysowej, np. w wypadku zaistnienia zagrożeń hybrydowych – zwraca uwagę NIK.
Cyberbezpieczeństwo branży komunalnej
- Jakie są najczęstsze rodzaje ataków hackerskich?
- W co inwestować, żeby się przed nimi zabezpieczyć?
- Jakie obowiązki nakłada unijna Dyrektywa NIS 2 na menedżera i firmę z branży komunalnej?
Między innymi na te pytania odpowiemy podczas szkolenia online 30 maja 2025: Cyberbezpieczeństwo branży komunalnej.
Szczegóły na stronie: cyberbezpieczenstwo.abrys.pl
Zapraszamy!
Najważniejsze ustalenia kontroli NIK
W wyniku przeprowadzonych kontroli NIK ustaliła, iż większość skontrolowanych samorządów nie podejmowała skutecznych i rzetelnych działań na rzecz bezpieczeństwa informacji. NIK negatywnie oceniła przygotowanie do zapewnienia ciągłości działania systemów informatycznych w 71% urzędów, a istotne nieprawidłowości w tym zakresie wystąpiły w 23 z 24 badanych jednostek.
Przyjęte rozwiązania organizacyjne i techniczne w zakresie zapewnienia bezpieczeństwa przetwarzania informacji oraz zapewnienia ciągłości działania nie były adekwatne. Połowa skontrolowanych urzędów nie w pełni identyfikowała zbiory danych wymagających ochrony lub nie przypisywała zidentyfikowanym danym odpowiedniego poziomu ochrony. Nie uwzględniano danych nie będących danymi osobowymi, co również było nierzetelne. Osiem jednostek nie opracowało i nie wdrożyło Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), a w trzech jednostkach, gdzie SZBI został ustanowiony, nie dokonano jego przeglądu pod względem adekwatności i skuteczności, co było niezgodne z przepisami rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności.
W 71% kontrolowanych urzędów brak było ustanowionych polityk ciągłości działania a w połowie nie opracowano planów ciągłości działania oraz planów odtworzeniowych (dokumentów określających zasoby, działania i dane niezbędne do odtworzenia systemów po wystąpieniu awarii). Urzędy, które przygotowały takie plany, nie poddawały ich testom, przez co nie było wiadomo, czy pozwolą na szybkie i skuteczne przywrócenie działania systemów informatycznych w przypadku awarii.
W 20 z 24 skontrolowanych urzędów nie wszystkie przyjęte rozwiązania organizacyjne i techniczne w zakresie bezpieczeństwa informacji były adekwatnie egzekwowane. Wykryto nieprawidłowości w zakresie: zabezpieczenia serwerowni, sporządzania kopii zapasowych, przyznawania pracownikom uprawnień do korzystania z systemów informatycznych, w tym – odbierania uprawnień po zakończeniu zatrudnienia. W 11 urzędach w umowach na zakup usług informatycznych, zakup lub serwis sprzętu komputerowego i systemu stwierdzono brak zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych przez wykonawców. W dziewięciu urzędach nie zidentyfikowano w sposób udokumentowany kluczowych elementów infrastruktury i usług IT oraz nie ustalono ich zabezpieczenia pod kątem wpływu czynników zewnętrznych.
W większości urzędów (71%) prowadzono okresowe analizy ryzyka utraty integralności, poufności i dostępności informacji. W 10 urzędach nie zapewniono szkoleń dla pracowników zaangażowanych w proces przetwarzania informacji, a w dziewięciu – nie przeprowadzono lub przeprowadzano nierzetelnie coroczny obowiązkowy audyt z zakresu bezpieczeństwa informacji.
Wnioski NIK
Biorąc pod uwagę skalę i zakres zidentyfikowanych nieprawidłowości, NIK wnosi o stałe wsparcie jednostek samorządu terytorialnego przez Ministra Cyfryzacji w zakresie wdrażania rozwiązań organizacyjnych i technicznych dotyczących bezpieczeństwa informacji oraz zapewnienia ciągłości działania urzędów.
Najwyższa Izba Kontroli wnosi również do starostów, prezydentów miast, burmistrzów i wójtów o:
- opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji;
- zapewnienie wykonywania okresowego przeglądu i aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji;
- ustanowienie polityk ciągłości działania oraz opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów, planów odtworzeniowych oraz zapewnienie ich okresowego testowania;
- prowadzenie okresowych analiz ryzyka utraty integralności, poufności lub dostępności informacji;
- wdrożenie rozwiązań zapewniających odpowiednie zabezpieczenie pomieszczeń serwerowni;
- regularne testowanie kopii zapasowych oraz przechowywanie ich poza miejscem wytworzenia;
- zapewnienie prowadzenia przynajmniej raz w roku okresowego audytu wewnętrznego z zakresu bezpieczeństwa informacji;
- objęcie nadzorem systemu instalowanego na urządzeniach mobilnych.
Jak podkreśla NIK, wartością dodaną kontroli było uświadomienie kierownictwu kontrolowanych urzędów, iż jedynie kompleksowe zarządzanie ciągłością działania systemów informatycznych oraz bezpieczeństwem informacji umożliwia sprawne działanie w sytuacjach kryzysowych. Jest to szczególnie istotne wobec rosnących zagrożeń, w tym hybrydowych, jako element odporności państwa.
źródło: nik.gov.pl
Wojna hybrydowa. Cyberataki na polską infrastrukturę
![Życzenia Wielkanocne od samorządu Województwa Świętokrzyskiego [WIDEO]](https://img.ckinfo.pl/2025/04/19181913/wersja-poziom-scaled.jpg)
![Życzenia z okazji Świąt Wielkiej Nocy od Burmistrza Gminy i Miasta Chęciny Roberta Jaworskiego [WIDEO]](https://www.checiny.pl/asp/pliki/aktualnosci/ihoegpis.jpg)
![Życzenia z okazji Świąt Wielkiej Nocy od burmistrz miasta i gminy Piekoszów Teresy Jakubowskiej [WIDEO]](https://img.ckinfo.pl/2025/04/19181002/IMG_7650-scaled.jpg)
