Najwyższa Izba Kontroli stwierdziła nieprawidłowości i wieloletnie zaniedbania w ochronie i przetwarzaniu danych w samorządach. Wskazuje na nieświadomość zagrożeń, brak jednoznacznych wytycznych, używanie domen publicznych bez umów gwarantujący bezpieczeństwo. W rezultacie podstawowe elementy systemu ochrony danych osobowych w jednostkach samorządowych były nieskuteczne.

NIK szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy instytucji oraz nawet kilkudziesięciu tysięcy adresów e-mail, które nie powinny być wykorzystywane do celów służbowych. Z jej analizy wynika, że 43 proc. placówek oświatowych, 32 proc. publicznych zakładów opieki zdrowotnej i 28 proc. ośrodków pomocy społecznej wykorzystuje główne adresy mailowe w domenach komercyjnych.

Na źle zabezpieczone adresy przychodziły wiadomości z ministerstw, organów nadzoru i instytucji nadrzędnych. „Wskazuje to na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów, w sposób odpowiedni zabezpieczających dane osobowe obywateli” – ocenia NIK.

Według analizy w skrzynkach e-mailowych samorządowców niewłaściwie przetwarzano różne rodzaje danych, takich jak osobowe, medyczne, z opieki społecznej, dane o zatrudnieniu i wynagrodzeniach oraz o sytuacji rodzinnej.

NIK zapowiada rozszerzenie kontroli na wszystkie samorządy i sprawdzenie innych sfer działalności publicznej.

E-mail jest kluczowy dla cyberbezpieczeństwa

Jak wskazuje ekspert Stormshielda prawidłowe zabezpieczenie emaili jest jednym z fundamentów cyberbezpieczeństwa.

„Skala zjawiska i charakter informacji, które przekazywane są w nieprawidłowy sposób, to tykająca bomba. Samorządy są dysponentem niezwykle cennych danych z perspektywy przestępców. Stwierdzone przez NIK złe praktyki, są dowodem nie tyle na niedbałość, co zupełny brak świadomości zagrożenia, że system cyberodporności budujemy po to, by chronić zgromadzone informacje. Ta sytuacja, trzeba to jasno powiedzieć, mocno sprzyja przestępcom. Niestety „afera mejlowa”, najwyraźniej niewiele nas nauczyła” – komentuje Aleksander Kostuch, inżynier Stormshielda.

Kluczowym zadaniem dla jednostek samorządu, wyłaniającym się z raportu jest zrozumienie ryzyka i podejmowanie działań zaradczych.

„Samorządy potrzebują nie tylko odpowiednich polityk bezpieczeństwa, ale przede wszystkim systemów, które będą klasyfikować pliki i przetwarzane dokumenty w zależności od ich poufności i zawartości, a także zabezpieczać przed sytuacjami, w których pracownik doprowadzi do wycieku danych” – tłumaczy Dawid Dziobek z Safetica i Dagma Bezpieczeństwo IT.

Niedawno rozstrzygnięto konkurs na Cyberbezpieczny Samorząd. Wnioski o dofinansowanie projektów, mających na celu poprawę cyberochrony, złożyło 90 proc. jednostek samorządu.

Niedawno rozstrzygnięto konkurs Cyberbezpieczny Samorząd. Ponad 2 tys. samorządów w kraju przyznano w sumie 1,5 mld zł grantów, mających na celu poprawę cyberochrony. Realizacje projektów mają zamknąć się w ciągu 2 lat.