NIK: 222 nieprawidłowości w zakresie cyberbezpieczeństwa w samorządach
Jest słabo w cyberbezpieczeństwem w samorządach. W 24 sprawdzanych urzędach kontrolerzy NIK wykryli niemało problemów.
Wykryto problemy w umowach na zakup usług IT.
Aż 71 proc. urzędów kontrolowanych przez NIK nie było przygotowanych do zapewnienia ciągłości działania systemów informatycznych. Wykryto też nieprawidłowości takie jak: niewystarczające zabezpieczenie serwerowni, brak szkoleń, brak zapisów gwarantujących poufność w umowach z dostarczycielami usług IT. Łącznie NIK zidentyfikowała 222 nieprawidłowości, z których 51 usunięto w trakcie kontroli.
To efekt kontroli, w której NIK sprawdzała, czy jednostki samorządu prawidłowo, rzetelnie i skutecznie realizowały zadania zapewnienia bezpieczeństwa informacji i ciągłości działania systemów IT. Kontrolą objęto 17 urzędów gmin i 7 starostw powiatowych w okresie od 1 stycznia 2023 r. do 20 września 2024 r.
Nieprawidłowości w umowach z firmami IT
W 11 urzędach w umowach na zakup usług informatycznych, zakup lub serwis sprzętu komputerowego i oprogramowania stwierdzono brak zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych przez wykonawców. W 9 urzędach nie zidentyfikowano kluczowych elementów infrastruktury i usług IT. Ponadto nie zabezpieczono ich przed czynnikami zewnętrznymi.
Co jeszcze było nie tak jak trzeba według NIK
NIK stwierdził m.in., że rozwiązania organizacyjne i techniczne mające zapewnić bezpieczeństwo przetwarzania informacji i ciągłość działania nie były właściwe. Połowa urzędów nie w pełni identyfikowała zbiory danych wymagających ochrony.
W 71 proc. kontrolowanych urzędów stwierdzono brak polityk ciągłości działania. Połowa nie opracowała planów ciągłości działania i odtworzeniowych.
W większości jednostek (71 proc.) prowadzono okresowe analizy ryzyka utraty integralności, poufności i dostępności informacji. Do tego w 10 urzędach nie było szkoleń dla pracowników zaangażowanych w proces przetwarzania informacji. W 9 podmiotach nie przeprowadzono corocznego obowiązkowego audytu z zakresu bezpieczeństwa informacji (lub audyt był, ale nierzetelny).
Samorządy potrzebują wsparcia ministra
Biorąc pod uwagę skalę nieprawidłowości, NIK rekomenduje stałe wsparcie jednostek samorządu przez Ministra Cyfryzacji. Chodzi o pomoc we wdrażaniu rozwiązań organizacyjnych i technicznych w zakresie bezpieczeństwa IT. Wsparcia wymaga też zapewnienie ciągłości działania.
NIK zwrócił się też do starostów, prezydentów miast, burmistrzów i wójtów. M.in. o opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji oraz ich aktualizacje. Zdaniem Izby potrzebne jest też ustanowienie polityk ciągłości działania, opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów, planów odtworzeniowych i ich testowania i in.
Bezpieczeństwo cyfrowe w gminach i powiatach ma poprawić program Cyberbezpieczny Samorząd. Na wzmocnienie ochrony cyfrowej wyasygnowano w nim blisko 1,5 mld zł grantów.
Z pełnymi wynikami kontroli można zapoznać się na stronie Najwyższej Izby Kontroli.
Podobne aktualności
Młodzi eksperymentują, starsi zarabiają. Anatomia cyberprzestępczej kariery
Choć w ostatnich dwóch latach wiele uwagi poświęca się rosnącej przestępczości internetowej wśród młodych ludzi, badania wskazują, że aktywność hakerów osiąga szczyt znacznie później
Nowa strategia cyberbezpieczeństwa Polski przyjęta
Strategia określa, co zostanie zrobione i w jakich obszarach, by wzmocnić cyberbezpieczeństwo kraju, firm i obywateli.
Rosyjscy hakerzy atakują użytkowników komunikatorów Signal oraz WhatsApp
Holenderski wywiad ostrzega osoby korzystające z aplikacji Signal oraz WhatsApp przed hakerami z Rosji