Raport NIK ujawnia poważne luki w cyberbezpieczeństwie samorządów

Najwyższa Izba Kontroli zbadała czy jednostki samorządu terytorialnego prawidłowo realizowały zadania związane z zapewnieniem bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych. Niestety, z ustaleń NIK wynika, że samorządy w dużej mierze nie identyfikowały zbiorów danych wymagających zabezpieczenia, nie przygotowywały dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli już, to nie testowały skuteczności przyjętych zabezpieczeń. Ponadto w 71% kontrolowanych urzędów stwierdzono, że nie były one przygotowane do zapewnienia ciągłości działania systemów informatycznych.

Kontrolą objęto 24 jednostki – 17 urzędów gmin i siedem starostw powiatowych w okresie od 1 stycznia 2023 roku do 20 września 2024 roku. Wykryte w nich nieprawidłowości polegały także na niewystarczającym zabezpieczeniu serwerowni przed czynnikami zewnętrznymi, nieprowadzeniu szkoleń dotyczących bezpieczeństwa danych dla pracowników urzędów oraz braku zapisów gwarantujących poufność w umowach z dostarczycielami usług IT. Łącznie NIK zidentyfikowała 222 nieprawidłowości, z których 51 usunięto już w trakcie kontroli. Istotne nieprawidłowości wystąpiły w 23 z 24 badanych jednostek.

Jak ustalono, połowa skontrolowanych urzędów nie w pełni identyfikowała zbiory danych wymagające ochrony lub nie przypisywała zidentyfikowanym danym odpowiedniego poziomu ochrony. Nie uwzględniano danych nie będących danymi osobowymi, co również było nierzetelne. Osiem jednostek nie opracowało i nie wdrożyło Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), a w trzech jednostkach, gdzie SZBI został ustanowiony, nie dokonano jego przeglądu pod względem adekwatności i skuteczności.

W 71% kontrolowanych urzędów brak było ustanowionych polityk ciągłości działania a w połowie nie opracowano planów ciągłości działania oraz planów odtworzeniowych (dokumentów określających zasoby, działania i dane niezbędne do odtworzenia systemów po wystąpieniu awarii). Urzędy, które przygotowały takie plany, nie poddawały ich testom, przez co nie było wiadomo, czy pozwolą na szybkie i skuteczne przywrócenie działania systemów informatycznych w przypadku awarii.

W 20 z 24 skontrolowanych urzędów nie wszystkie przyjęte rozwiązania organizacyjne i techniczne w zakresie bezpieczeństwa informacji były właściwie egzekwowane. Wykryto nieprawidłowości w zakresie:

• zabezpieczenia serwerowni,
• sporządzania kopii zapasowych,
• przyznawania pracownikom uprawnień do korzystania z systemów informatycznych,
• w tym – odbierania uprawnień po zakończeniu zatrudnienia.

W 11 urzędach, w umowach na zakup usług informatycznych, zakup lub serwis sprzętu komputerowego i oprogramowania, stwierdzono brak zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych przez wykonawców. W dziewięciu urzędach nie zidentyfikowano w sposób udokumentowany kluczowych elementów infrastruktury i usług IT oraz nie ustalono ich zabezpieczenia pod kątem wpływu czynników zewnętrznych.

W większości urzędów (71%) prowadzono okresowe analizy ryzyka utraty integralności, poufności i dostępności informacji. W 10 urzędach nie zapewniono szkoleń dla pracowników zaangażowanych w proces przetwarzania informacji, a w dziewięciu – nie przeprowadzono lub przeprowadzano nierzetelnie coroczny obowiązkowy audyt z zakresu bezpieczeństwa informacji.

Wnioski pokontrolne

NIK wnosi o stałe wsparcie jednostek samorządu terytorialnego przez Ministra Cyfryzacji w zakresie wdrażania rozwiązań organizacyjnych i technicznych, dotyczących bezpieczeństwa informacji oraz zapewnienia ciągłości działania urzędów.

Najwyższa Izba Kontroli postuluje również do starostów, prezydentów miast, burmistrzów i wójtów o:

• opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji;
• zapewnienie wykonywania okresowego przeglądu i aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji;
• ustanowienie polityk ciągłości działania oraz opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów, planów odtworzeniowych oraz zapewnienie ich okresowego testowania;
• prowadzenie okresowych analiz ryzyka utraty integralności, poufności lub dostępności informacji;
• wdrożenie rozwiązań zapewniających odpowiednie zabezpieczenie pomieszczeń serwerowni;
• regularne testowanie kopii zapasowych oraz przechowywanie ich poza miejscem wytworzenia;
• zapewnienie prowadzenia przynajmniej raz w roku okresowego audytu wewnętrznego z zakresu bezpieczeństwa informacji;
• objęcie nadzorem oprogramowania instalowanego na urządzeniach mobilnych.