Opublikowany raport NIK dotyczący cyberbezpieczeństwa w gminach województwa zachodniopomorskiego wskazuje, że między 2018 a 2022 r. tylko na tym obszarze liczba zgłaszanych incydentów w sektorze finansów publicznych wzrosła o ponad 1000 proc. I choć samorządy nie są najczęściej atakowaną grupą podmiotów, to jednak ataki w nie wymierzone mogą mieć poważne konsekwencje.
Dane o obywatelach
– Jednostki samorządowe dostarczają kluczowych usług cyfrowych, zarządzając istotnymi informacjami o obywatelach, takimi jak np. dane o miejscu zamieszkania, finansach, zdrowiu, sposobie życia, zainteresowaniach – tłumaczy Kamil Sadkowski, analityk laboratorium antywirusowego ESET. – To bazy danych, które dla cyberprzestępców są niezwykle atrakcyjne. Jednocześnie zakładają oni – nieraz niestety słusznie – że poziom zabezpieczenia odbiega jeszcze od standardów wdrażanych na poziomie administracji centralnej czy świadomych zagrożeń firm. Dlatego często kierują swoje akcje w stronę jednostek administracji samorządowej – dodaje.
– Gdzie przestępcy mają szukać pełnego zakresu danych o obywatelu, jeśli nie w samorządzie? A ponieważ ochrona tych informacji jest mniejsza i łatwiej je pozyskać, to tam kierowane są wektory ataku – wskazuje adwokat dr Paweł Litwiński.
I dodaje, że widać pewien problem z cyberbezpieczeństwem po stronie samorządu. – Zgadzam się z tezami stawianymi w raporcie NIK, że eufemistycznie mówiąc, mogłoby ono być poważniej traktowane. Jeśli chodzi o przyczyny, to w grę wchodzą kwestie finansowe, ale też brak wiedzy i umiejętności – tłumaczy prawnik. – Nie można ograniczać się tylko do przyjęcia odpowiednich procedur, tu powinno nastąpić wdrożenie faktycznie działających zabezpieczeń – podsumowuje.
– Dominującą przyczyną jest brak świadomości i wyobraźni. Zwykle tak jest, że najsłabszym elementem systemu jest człowiek – taki, który bezkrytycznie ulegnie atakowi phishingowemu albo nie zadba o właściwe zabezpieczenie wykorzystywanego sprzętu i oprogramowania – mówi Grzegorz Kubalski ze Związku Powiatów Polskich.
Pomoc od państwa
– Cyberprzestępcy doskonale rozpoznają też takie słabości, jak braki personelu, ograniczenia budżetowe oraz niewystarczająca świadomość zagrożeń – tłumaczy Kamil Sadowski. – Działania takie jak te podejmowane w ramach programu „Cyberbezpieczny samorząd”, powoli, ale konsekwentnie, pomagają zmieniać ten krajobraz, właściwie wydatkowane środki mogą przyczynić się do rozwinięcia infrastruktury, oprogramowania, usług wdrożeniowych, procedur czy szkolenia pracowników – dodaje.
Do wspomnianego programu zgłosiło się ponad 90 proc. jednostek samorządu terytorialnego. W jego ramach mogą liczyć na 850 tys. zł dofinansowania na rozwój cyberbezpieczeństwa.
Marek Wójcik, ekspert Związku Miast Polskich, uważa, że dużym wyzwaniem dla samorządów w najbliższym czasie będzie przejście na dokumentację elektroniczną.
– Administracja otwiera się szerzej na sieć, a to może też być pokusą dla cyberprzestępców. Może się to okazać „miękkim podbrzuszem” systemu. Ale współpracujemy w tej sprawie z resortem cyfryzacji, tak by uruchomić to w bezpieczny sposób – mówi Marek Wójcik.
Dlatego podkreśla, że ważne jest, by systemy tworzone na poziomie centralnym, ale wypełniane danymi przez samorządy (geodezja, nieruchomości, rejestr samochodów i kierowców itd.), były odpowiednio zabezpieczone, stale monitorowane, a jednocześnie na tyle elastyczne, by współpracowały z systemami tworzonymi oddolnie przez samorządy.
– Administracja na poziomie centralnym powinna dać samorządowi gotowe rozwiązania. I nie chodzi o poradniki czy wytyczne, ale o narzędzia do hostowania danych, poczty elektronicznej, czy zabezpieczenia przed cyberatakami. Nie można ograniczać się do obowiązku odpowiedniego zabezpieczenia danych, ale trzeba dać gotowe rozwiązania – konkluduje Paweł Litwiński.
prof. Grzegorz Sibiga, adwokat, partner w Traple, Konarski, Podrecki i Wspólnicy
Ocena przygotowania jednostek samorządu terytorialnego w zakresie cyberbezpieczeństwa jest niejednolita, ponieważ to bardzo zróżnicowana i ogromna grupa podmiotów (ponad 2850 gmin, miast na prawach powiatu, powiatów i województw).
Z jednej strony duże miasta wprowadzają kompleksowe zarządzanie bezpieczeństwem własnych systemów teleinformatycznych, czego przykładem jest rzeszowskie Centrum Operacji Cyberbezpieczeństwa. Z drugiej strony ciągle się okazuje, że w niewielkich gminach zdarzają się choćby przypadki korzystania przez pracowników samorządowych z prywatnej, nieodpłatnej poczty elektronicznej dla celów służbowych. Standardy i poradniki cyberbezpieczeństwa dla samorządów już istnieją (np. narodowe standardy cyberbezpieczeństwa, czy poradnik NASK „Cyberbezpieczny samorząd”), chociaż mogłyby one być jeszcze bardziej przystosowane do specyfiki małych gmin.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →