Słabo z cyberbezpieczeństwem w samorządach

NIK: 222 nieprawidłowości w zakresie cyberbezpieczeństwa w samorządach. W 24 sprawdzanych urzędach kontrolerzy NIK wykryli niemało problemów.

Aż 71 proc. urzędów kontrolowanych przez NIK nie było przygotowanych do zapewnienia ciągłości działania systemów informatycznych. Wykryto też nieprawidłowości takie jak: niewystarczające zabezpieczenie serwerowni, brak szkoleń, brak zapisów gwarantujących poufność w umowach z dostarczycielami usług IT. Łącznie NIK zidentyfikowała 222 nieprawidłowości, z których 51 usunięto w trakcie kontroli.

To efekt kontroli, w której NIK sprawdzała, czy jednostki samorządu prawidłowo, rzetelnie i skutecznie realizowały zadania zapewnienia bezpieczeństwa informacji i ciągłości działania systemów IT. Kontrolą objęto 17 urzędów gmin i 7 starostw powiatowych w okresie od 1 stycznia 2023 r. do 20 września 2024 r.

Nieprawidłowości w umowach z firmami IT

W 11 urzędach w umowach na zakup usług informatycznych, zakup lub serwis sprzętu komputerowego i oprogramowania stwierdzono brak zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych przez wykonawców. W 9 urzędach nie zidentyfikowano kluczowych elementów infrastruktury i usług IT. Ponadto nie zabezpieczono ich przed czynnikami zewnętrznymi.

Co jeszcze było nie tak jak trzeba według NIK

NIK stwierdził m.in., że rozwiązania organizacyjne i techniczne mające zapewnić bezpieczeństwo przetwarzania informacji i ciągłość działania nie były właściwe. Połowa urzędów nie w pełni identyfikowała zbiory danych wymagających ochrony.

W 71 proc. kontrolowanych urzędów stwierdzono brak polityk ciągłości działania. Połowa nie opracowała planów ciągłości działania i odtworzeniowych.

W większości jednostek (71 proc.) prowadzono okresowe analizy ryzyka utraty integralności, poufności i dostępności informacji. Do tego w 10 urzędach nie było szkoleń dla pracowników zaangażowanych w proces przetwarzania informacji. W 9 podmiotach nie przeprowadzono corocznego obowiązkowego audytu z zakresu bezpieczeństwa informacji (lub audyt był, ale nierzetelny).

Samorządy potrzebują wsparcia ministra

Biorąc pod uwagę skalę nieprawidłowości, NIK rekomenduje stałe wsparcie jednostek samorządu przez Ministra Cyfryzacji. Chodzi o pomoc we wdrażaniu rozwiązań organizacyjnych i technicznych w zakresie bezpieczeństwa IT. Wsparcia wymaga też zapewnienie ciągłości działania.

NIK zwrócił się też do starostów, prezydentów miast, burmistrzów i wójtów. M.in. o opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji oraz ich aktualizacje. Zdaniem Izby potrzebne jest też ustanowienie polityk ciągłości działania, opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów, planów odtworzeniowych i ich testowania i in.

Bezpieczeństwo cyfrowe w gminach i powiatach ma poprawić program Cyberbezpieczny Samorząd. Na wzmocnienie ochrony cyfrowej wyasygnowano w nim blisko 1,5 mld zł grantów.

Z pełnymi wynikami kontroli można zapoznać się na stronie Najwyższej Izby Kontroli.