Większość samorządów nie dba o cyberbezpieczeństwo [RAPORT]

Większość samorządów nie dba wystarczająco o cyberbezpieczeństwo; nie szkoli mieszkańców w tym zakresie, co jest sprzeczne z prawem – ocenili eksperci Krajowego Instytutu Cyberbezpieczeństwa. Źródłem problemów jest brak zaangażowania osób decyzyjnych – zaznaczyli.

Większość jednostek samorządu terytorialnego (JST), czyli gmin, powiatów, województw, nie ma wdrożonej prawidłowej dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) – wskazali w rozmowie PAP wieloletni audytorzy JST Piotr Kukla oraz Iwona Barańska, eksperci Krajowego Instytutu Cyberbezpieczeństwa, którzy przeprowadzili około 30 kontroli. Problem potwierdziła Najwyższa Izba Kontroli (NIK), w raporcie nt. kontroli cyberbezpieczeństwa, opublikowanej w połowie kwietnia. Z raportu tego wynika, że 8 z 24 skontrolowanych JST nie wdrożyło SZBI, a 71 proc. urzędów nie było przygotowanych na sytuacje kryzysowe, takie jak cyberatak czy wyciek danych.

„Systemu Zarządzania Bezpieczeństwem Informacji zawiera procedury i plany awaryjne w reakcji na incydenty cyberbezpieczeństwa. Zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa (UKSC) i rozporządzeniem o Krajowych Ramach Interoperacyjności (KRI) taką dokumentację musi posiadać każda jednostka publiczna. Audyty przeprowadzamy od 4 lat i rzadko która gmina wywiązuje się z tego obowiązku” – wskazał Piotr Kukla. Iwona Barańska dodała, że dokumenty SZBI muszą być przeglądane, weryfikowane i aktualizowane przynajmniej raz w roku.

Audytorzy podkreślili, że w praktyce najczęściej samorządy albo nie posiadają systemu, albo jest on nieaktualny. Dodali, że informatycy często nie wiedzą nawet, ile trwałoby przywracanie systemu po awarii, ponieważ nigdy tego nie testowali. Barańska wskazała na kolejny problem z SZBI, jakim jest kupowanie przez JST od prywatnych firm gotowych szablonów dokumentacji, które następnie stosuje się zarówno w urzędach, jak i podległych im jednostkach, np. szkołach, domach pomocy społecznej, transporcie zbiorowym, wodociągach itp.

Ekspertka zaznaczyła, że na rynku jest wiele firm, które oferują usługi związane z SZBI, jednak głównym kryterium wyboru, jakim kierują się JST, jest cena, do czego zresztą samorządowców obliguje prawo zamówień publicznych. „Nie są to rozwiązania szyte na miarę, często nie odzwierciedlają nawet stanu faktycznego w danym samorządzie” – podkreśliła Barańska. Dodała, że spotkała się z sytuacją, gdzie od gminy i podległych jej jednostek dostała cztery identyczne dokumentacje, które zawierały te same procedury cyberbezpieczeństwa. „Najprawdopodobniej gmina kupiła usługę i wdrożyła system, bez przeczytania go i żadnej weryfikacji” – oceniła. Zaznaczyła, że posiadanie nieaktualnej i niedostosowanej dokumentacji nie uchroni przed wyciekiem danych, a w konsekwencji przed karą finansową dla jednostki.

Barańska zaznaczyła, że oszczędność na usługach związanych z SZBI jest pozorna. „Wydatki na cyberbezpieczeństwo nie powinny być traktowana jako koszt, tylko jak inwestycja na zapewnienie ochrony przed ewentualnymi atakami” – podkreśliła. Wyjaśniła, że po audycie samorządowi przedstawiany jest raport z wykrytych nieprawidłowości wraz ze wskazówkami, co należy zmienić lub doprecyzować. „Jednak często przy następnym audycie, który ma miejsce za rok, okazuje się system wygląda tak samo, co świadczy o tym, że decydenci nie zapoznali się z raportem audytorów” – wskazała.

Audytorzy, z którymi rozmawiała PAP podkreślili, że rzadko kiedy w szkoleniach biorą osoby decyzyjne. „W większości decydenci nie mają żadnej wiedzy o tym, co się dzieje w jednostce, jeżeli chodzi o cyberbezpieczeństwo. Twierdzą, że oni się na tym nie znają i nie muszą się znać” – wskazał Kukla.

„Zaangażowanie większości wójtów, burmistrzów, prezydentów miast w te sprawy jest zerowe i to jest główny problem. W jednej z gmin usłyszeliśmy od wójta, że to ludzie głosują w wyborach, a nie systemy, więc on wychodzi do ludzi, a systemami niech się zajmie informatyk” – dodała Barańska. Eksperci zaznaczyli, że możliwości informatyków też są ograniczone, często nie są oni w stanie zajmować się wszystkimi bieżącymi sprawami IT, brać udziału w szkoleniach i jednocześnie dbać o zaawansowane cyberbezpieczeństwo.

Kukla dodał, że administratorzy IT, czyli osoby odpowiedzialne za systemy informatyczne w danej jednostce, np. w urzędzie, często nie mają świadomości wymagań, jakie są nałożone na gminę w ustawie o KSC i rozporządzeniu o KRI. „W mniejszych gminach zdarza się, że funkcję administratora pełni osoba zajmująca się na co dzień innymi obowiązkami, co przekłada się na niską świadomość w zakresie cyberbezpieczeństwa” – ocenił.

Wyjaśnił, że problem ten spowodowany jest niedoborem na rynku specjalistów cyberbezpieczeństwa, a także ograniczonymi budżetami gmin. Z tych powodów niektóre JST zlecają usługi IT zewnętrznym firmom (tzw. outsourcing). „Pamiętam przynajmniej dwa przypadki gmin, gdzie to naprawdę dobrze działało” – wskazał Kukla. Dodał, że najczęściej firma przejmuje obowiązki związane z cyberbezpieczeństwem, a urząd oznacza ten element jako „odhaczony” i nie interesuje się tym tematem.

NIK wskazała w swoim raporcie, że problemami w samorządach są także: nieprawidłowości w tworzeniu kopii zapasowych danych, niewystarczające fizyczne zabezpieczenia serwerowni (wykryto w połowie skontrolowanych gmin) oraz słabe hasła (w 9 gminach). Potwierdzają to audytorzy, z którymi rozmawiała PAP. „Bardzo rzadko zdarza się, że gminy tworzą kopie zapasowe danych, a nawet jeśli to robią, to nie testują ich, co okazuje się dopiero po incydencie, kiedy jednostka próbuje te kopie przywrócić” – wskazał Kukla. Przyznał, że często obserwuje też brak kontroli dostępu do serwerowni przez JST. Był świadkiem przypadków, gdzie serwerownie znajdowały się w pokoju socjalnym lub pracowniczym, otwartym dla wszystkich albo takie, w których klucze do pomieszczenia mógł wziąć „każdy pracownik”. Dodał, że rzadko kiedy w serwerowniach znajdują się systemy odczytu temperatury czy wilgotności albo zabezpieczenie przeciwpożarowe.

W raporcie NIK zwróciła uwagę też na problem braku szkoleń dla pracowników odpowiedzialnych za przetwarzanie danych (wykryto w 10 gminach na 24). Resort cyfryzacji w odpowiedzi na pytania PAP dotyczące tej sprawy, przekazał, że szkolenia z cyberbezpieczeństwa dla JST prowadzone są w ramach programów: „Cyberbezpieczny samorząd” (indywidualne, skierowane głównie do marszałków województw, starostów, wójtów, burmistrzów, prezydentów miast itp.), SecureV (indywidualne lub w małych grupach, skierowane m.in. parlamentarzystów, kadry kierowniczej administracji centralnej i samorządowej) oraz w formie webinarów (m.in. dla pracowników JST). Tych ostatnich szkoleń w 2025 r. odbyło się 10, a uczestniczyło w nich prawie 16 tys. osób – podało MC.

Resort wskazał ponadto, że pracuje nad pilotażem, którego celem jest zbudowanie kompetencji trenerskich w zakresie cyberbezpieczeństwa w JST. Trenerami będą mogli być co najmniej dwaj przedstawiciele JST w każdym województwie. Pod koniec 2025 r. resort planuje również uruchomić nowy projekt: Lokalnych Centrów Cyberbezpieczeństwa, które mają zapewnić kompleksowe i systemowe wsparcie dla samorządów, w tym w obsłudze incydentów i w zakresie szkoleń.

Audytorzy ocenili, że szkolenia w formie online „nie działają”. Podali przypadek wójta, który po webinarze nie był w stanie powiedzieć, o czym on był. Zdarza się też, że uczestnicy opuszczają spotkania online nawet kilka godzin po jego zakończeniu – podkreślili eksperci. „Nie słuchają szkolenia, robią w tym czasie coś innego, ale obecność mają +odfajkowaną+” – skwitowała Barańska.

Piotr Kukla oraz Iwona Barańska zwrócili jednak uwagę, że sytuacja dotycząca cyberbezpieczeństwa w samorządach poprawiła się wraz z wprowadzeniem w 2023 r. programu „Cyberbezpieczny samorząd”, a wcześniej „Cyberbezpieczna Gmina”. Oba są finansowane ze środków UE. Jak wyjaśnił Kukla, JST w ramach programów dostają środki m.in. na wymianę sprzętu IT lub wykupienie licencji na usługi cyberbezpieczeństwa. W tym drugim przypadku wsparcie ma ograniczony czas, np. dwa lata; po tym terminie gmina musi płacić za licencję sama. Zwykle nie ma budżetu, więc gminy decydują się tylko na wymianę sprzętu – wskazał Kukla.

„Jeżeli Lokalne Centra Bezpieczeństwa będą działały na tej samej zasadzie, co Cyberbezpieczny samorząd, czyli gminy czy powiaty, będą mogły ubiegać się o sfinansowanie części realizacji projektu, ale później utrzymanie będzie po ich stronie, to rozwiązanie może się nie sprawdzić. Najlepiej by było, gdyby centra polegały na obowiązkowej współpracy z resortem” – ocenił.

Jak podkreślili rozmówcy PAP, instytucje publiczne w zakresie cyberbezpieczeństwie wspiera za darmo CERT Polska. Oferuje m.in. skanowanie stron internetowych i wysyłanie powiadomień do jednostki, jeśli wykryta zostanie nieprawidłowość, np. luka bezpieczeństwa. „Instytucje publiczne rzadko kiedy korzystają z tego wsparcia. Nie chodzi nawet o to, że o nim nie wiedzą, tylko myślą np. +a po co to potrzebne, u nas na stronie i tak nic się nie dzieje+” – wskazał Kukla. Dodał, że podczas jednej z konferencji CERT Polska opowiedział o sytuacji, w której wykrył nieprawidłowości na stronie i próbował kontaktować z jednostką kilkukrotnie, mailowo i telefonicznie. Odzewu nie było, a potem gmina padła ofiarą cyberataku.

Barańska wskazała, że zgodnie z prawem JST mają także obowiązek informować mieszkańców i szkolić ich z zakresu cyberbezpieczeństwa, np. przez publikacje komunikatów czy spotkania. „Bardzo mało gmin, powiatów i miast to robi” – podkreśliła ekspertka.

Audytorzy zwrócili uwagę, że wycieki z różnych urzędów gmin w całej Polsce cały czas mają miejsce, a przechowywane są tam dane bardzo wrażliwe: imiona, nazwiska, numery PESEL, numery ksiąg wieczystych, informacje o dochodach, zatrudnieniu, numery dowodów osobistych i rejestracyjnych, stan cywilny itp. Cyberprzestępcy najczęściej szyfrują dane i je kradną, a za przywrócenie dostępu żądają opłacenia okupu w kryptowalutach.

Cyberatak najczęściej paraliżuje więc działanie urzędu co najmniej na kilka dni, a bez dostępu danych nie ma możliwości przyjmowania nowych petentów. Ekspert znaczył, że obsługa incydentu nie kończy problemów. „Jeżeli dane mieszkańców wyciekły, na pewno zostaną ponownie użyte, np. do prób wyłudzenia pieniędzy. Ktoś kupi te dane w Darknecie, a jeśli nie znajdzie się kupiec, zostaną po prostu udostępnione za darmo na forum hakerskim, skąd będzie mógł je pobrać kolejny cyberprzestępca” – zaznaczył Kukla. Mając o danym mieszkańcu bardzo dużo informacji może np. wysłać maila przygotowanego konkretnie pod niego, podszywając się pod urząd, w którym ofiara załatwiała jakąś sprawę – wyjaśnił ekspert. Dodał, że wykradzione dane mogą posłużyć też wywiadowi rosyjskiemu czy chińskiemu.

Eksperci zwrócili również uwagę, na problemy z cyberbezpieczeństwem systemów sterowania przemysłowego (ICS/OT), które odpowiadają np. za gospodarką wodno-kanalizacyjną czy pływalnie. „Systemy te często nie posiadają odpowiednich zabezpieczeń, co pozwala na dostęp i potencjalne modyfikowanie parametrów” – wyjaśnił Kukla. W minionym roku media informowały o incydentach tego typu w oczyszczalni ścieków w Kuźnicy oraz w Wydminach, a także w stacjach uzdatniania wody w Tolkmicku, Małdytach i Sierakowie.

Resort cyfryzacji informował, że pracuje nad uruchomieniem współfinansowanego ze środków KPO projektu „Cyberbezpieczne Wodociągi”, który byłby przeznaczony dla przedsiębiorstw realizujących zadania własne gminy w zakresie zbiorowego zaopatrzenia w wodę.