Wieloletnie zaniedbania dotyczące cyberbezpieczeństwa, nieświadomość i brak skutecznych procedur reagowania na zagrożenia, a także wykorzystywanie oprogramowania, które miało krytyczne luki – to główne nieprawidłowości wykryte w urzędach gmin w województwie zachodniopomorskim. W konsekwencji samorządy te nie były w stanie zapewnić skutecznej ochrony przed potencjalnymi atakami cyberprzestępców – czytamy w komunikacie Najwyższej Izby Kontroli.
W ostatnich latach notuje się stały wzrost liczby incydentów teleinformatycznych, co stawia pod znakiem zapytania bezpieczeństwo danych i infrastruktury online. Według najnowszego raportu CSIRT GOV za rok 2021 liczba zgłoszeń potencjalnych incydentów teleinformatycznych przekroczyła 762 tysiące, co stanowi znaczący wzrost w porównaniu z poprzednimi latami.
Raport wskazuje również na dramatyczny wzrost liczby incydentów zgłaszanych w województwie zachodniopomorskim, który sięgnął ponad 1000% w okresie od 2018 do 2022 roku. Szczególnie niepokojące jest to, że mimo tego znacznego wzrostu zgłoszenia pochodziły jedynie od 30 podmiotów, pomimo istnienia aż 135 gmin i powiatów w regionie.
Trzeci stopień alarmowy CRP obowiązujący od listopada 2023 do lutego 2024 roku wprowadzony z powodu zagrożenia terrorystycznego dla systemów teleinformatycznych administracji publicznej i infrastruktury krytycznej dodaje do tej sytuacji powagi.
Delegatura NIK w Szczecinie przeprowadziła kontrolę mającą na celu ocenę bezpieczeństwa teleinformatycznego jednostek samorządu terytorialnego województwa zachodniopomorskiego. Skoncentrowano się na czterech urzędach gmin o mniejszej liczbie mieszkańców, by zbadać, jak są one przygotowane na cyberzagrożenia oraz czy prawidłowo zarządzają swoim środowiskiem informatycznym, reagują na incydenty i dbają o odpowiedni poziom wiedzy pracowników na temat bezpiecznego korzystania z systemów informatycznych.
Najważniejsze ustalenia
Kontrola przeprowadzona przez Najwyższą Izbę Kontroli ujawniła poważne zaniedbania w zapewnieniu bezpieczeństwa teleinformatycznego w urzędach gminnych. Wyniki kontroli wykazały wieloletnie zaniedbania w obszarach cyberbezpieczeństwa, infrastruktury informatycznej oraz wiedzy i szkoleń pracowników.
Najistotniejsze nieprawidłowości obejmują:
- Brak kompletnych procedur zarządzania bezpieczeństwem informacji, które nie odpowiadały wymaganiom prawnym. Wielu urzędów nie było zgodnych z normą PN-ISO/IEC 27001, a także nie wyznaczyło odpowiednich osób do kontaktu z krajowym systemem cyberbezpieczeństwa.
- Niedostateczne przygotowanie w zakresie odtwarzania utraconych zasobów na wypadek cyberataku oraz niewystarczająca weryfikacja kopii zapasowych pod kątem kompletności i odtworzenia danych. W niektórych przypadkach kopie zapasowe były narażone na zainfekowanie w przypadku ataku.
- Brak zinwentaryzowanego środowiska informatycznego, stosowanie nieaktualnego oprogramowania oraz luki w oprogramowaniu umożliwiające zdalne przejęcie kontroli nad systemem przez cyberprzestępców.
- Wykorzystywanie usług chmurowych bez odpowiednich zasad i kontroli, brak skutecznego systemu zarządzania incydentami bezpieczeństwa informacji oraz brak fizycznej ochrony serwerów w niektórych urzędach.
- Pracownicy nie przeszli odpowiednich szkoleń z zakresu cyberbezpieczeństwa, co powoduje ryzyko trwałej utraty danych, ujawnienia poufnych informacji, zakłócenia w świadczeniu usług publicznych oraz możliwość wykorzystania urządzeń do działań przestępczych.
Kontrola NIK wskazuje na pilną potrzebę podjęcia działań naprawczych w celu zwiększenia poziomu bezpieczeństwa teleinformatycznego w urzędach gminnych, aby zapewnić ochronę danych obywateli oraz stabilność świadczenia usług publicznych.
Najwyższa Izba Kontroli / Mateusz Gibała
