W siedem lat po wejściu w życie unijnego rozporządzenia o ochronie danych osobowych (RODO) polskie samorządy wciąż nie są przygotowane na realne zagrożenia cyfrowe. Najnowsze kontrole Najwyższej Izby Kontroli (NIK) oraz raporty rządowe i europejskie jasno wskazują, że braki organizacyjne i technologiczne mogą prowadzić do poważnych naruszeń bezpieczeństwa danych obywateli.
W kontroli przeprowadzonej przez NIK w okresie od 1 stycznia 2023 r. do 20 września 2024 r. objęto 24 jednostki samorządu terytorialnego - 17 urzędów gmin oraz siedem starostw powiatowych. W aż 71 % skontrolowanych urzędów nie opracowano dokumentów gwarantujących ciągłość działania systemów IT w sytuacjach kryzysowych (np. awaria, atak hakerski czy zalanie serwerowni). Co więcej, połowa badanych instytucji nie przeprowadziła pełnej identyfikacji zbiorów danych wymagających ochrony ani nie przypisała im odpowiednich poziomów zabezpieczeń.
Dodatkowo w wielu urzędach brakowało:
- polityk ciągłości działania (17 na 24 jednostki),
- planów odtworzeniowych i procedur backupu (12 na 24 jednostki),
- testów skuteczności sporządzonych kopii zapasowych (12 na 24 jednostki)
Tak nieszczelna organizacja utrudnia szybkie przywrócenie sprawności usług publicznych i naraża dane osobowe na nieodwracalne utraty.
Dynamiczny wzrost cyberzagrożeń w administracji publicznej
Równocześnie z niedostatecznym przygotowaniem jednostek lokalnych, wzrasta skala ataków na infrastrukturę teleinformatyczną państwa. Według sprawozdania Pełnomocnika Rządu ds. Cyberbezpieczeństwa za 2024 rok:
- liczba realnie zidentyfikowanych incydentów wzrosła o 23 % r/r do 111 660 zgłoszeń,
- liczba raportów o możliwych naruszeniach – o 60 %, do 627 339 zgłoszeń,
- odnotowano o 58 % więcej ataków na sektor publiczny oraz o 57 % więcej incydentów poważnych, mogących paraliżować działanie instytucji.
Według danych agencji ENISA, aż 19 % wszystkich cyberataków w Europie było wymierzonych w administrację publiczną. Z kolei wśród wszystkich ataków typu DDoS (Distributed Denial of Service) sektor publiczny stanowił największy udział – 33 % takich incydentów dotyczyło jednostek państwowych.
Dlaczego dane samorządów są szczególnie narażone?
- Informacje przechowywane w urzędach to nie tylko imię, nazwisko czy numer PESEL, ale również dane o stanie zdrowia, dochodach, diagnozach psychologicznych czy informacje o zatrudnieniu – podkreśla Tomasz Surdyk, ekspert ds. cyberbezpieczeństwa w firmie Kingston. – Wyciek takich danych grozi kradzieżą tożsamości i poważnymi nadużyciami. Dlatego ochrona tych informacji to nie tylko kwestia zgodności z prawem, ale przede wszystkim zaufania obywateli.
Problem pogłębia niski poziom świadomości cyberzagrożeń wśród pracowników urzędów. NIK wykazała brak regularnych szkoleń oraz nierzetelne egzekwowanie procedur tworzenia i testowania kopii zapasowych. Bez odpowiedniego przeszkolenia personelu nawet najlepsze narzędzia mogą okazać się niewystarczające.
Program „Cyberbezpieczny Samorząd” – pierwsze efekty wsparcia
Jednym z filarów wsparcia dla lokalnych instytucji jest rządowy program „Cyberbezpieczny Samorząd”. W 2024 roku:
- blisko 2 500 samorządów podpisało umowy na łączną kwotę 1,5 mld zł,
- do końca roku wypłacono już 700 mln zł na wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), szkolenia i zakup sprzętu oraz oprogramowania.
Dzięki grantom urzędy mogą m.in. opracować polityki bezpieczeństwa, organizować warsztaty dla pracowników czy poszerzyć infrastrukturę o rozwiązania chmurowe z certyfikowanymi standardami.