Jednostki samorządowe, ze względu na swoje skromne budżety, teoretycznie nie powinny być celami pierwszego wyboru dla gangów ransomware. Co nie zmienia faktu, że liczba cyberataków skierowanych przeciwko urzędom wykazuje tendencję wzrostową. Jak wynika z danych działającej przy NASK-u jednostki CERT, w ubiegłym roku odnotowano 1192 incydenty, co oznacza wzrost o 102 proc. w ujęciu rocznym.

– W dobie narastającej fali ataków na łańcuchy dostaw, samorządy stanowią wręcz wymarzony „punkt przesiadkowy”, z którego napastnicy mogą uderzyć w urzędy centralne lub korporacje. Nie można wykluczyć, że w jakimś sensie państwo, jako uczestnik tego łańcucha, będzie musiało stawić czoła roszczeniom pokrzywdzonym przez hakerów podmiotom – zauważa Grzegorz Szałański, lider Zespołu Produktowego Fortinet w Exclusive Networks.

Trudno powiedzieć, czy pomysłodawcy programu „Cyberbezpieczny Samorząd” brali pod uwagę takie scenariusze, co nie zmienia faktu, że dostrzegli szereg zaniedbań w zakresie samorządowej cyberochrony. Jedną z największych bolączek jest w tym przypadku brak rąk do pracy. Rzecz jasna, deficyt specjalistów ds. cyberbezpieczeństwa zdążyli odczuć nie tylko samorządowcy, ale również świat biznesu, choć sytuacja w jednostkach samorządu terytorialnego jest pod tym względem zdecydowanie gorsza.

– Niestety, brak odpowiednich fachowców dotyczy nie tylko urzędów w małych gminach, ale pojawia się również w dużych miastach. Zauważamy wysoką rotację pracowników w działach IT, a to wiąże się z ubytkiem wiedzy. W takich przypadkach urzędy często sięgają po wsparcie ze strony integratorów. O ile w większych ośrodkach można dość łatwo znaleźć odpowiedniego partnera, o tyle w mniejszych miejscowościach staje się to coraz trudniejsze – tłumaczy Paweł Kopańczuk, Commercial Sales Manager w polskim oddziale Fortinetu.

Jeśli do braków kadrowych dodać niski poziom inwestycji w systemy bezpieczeństwa IT w gminach, to wyłania się z tego dość ponury obraz. Zabezpieczenia stosowane w jednostkach samorządowych nie przypominają fortecy, a bardziej chatkę z lichą kłódką. I choć państwo nie ma recepty na rozmnożenie specjalistów ds. cyberbezpieczeństwa, to dysponuje środkami finansowymi mogącymi poprawić stan zabezpieczenia infrastruktury IT w jednostkach samorządu terytorialnego. Uruchomiony w ub. roku projekt „Cyberbezpieczny samorząd” ma być cybernetyczną tarczą chroniącą urzędy.

Samorządy nie lekceważą problemu

„Cyberbezpieczny Samorząd” jest rządowym programem realizowanym w partnerstwie z Państwowym Instytutem Badawczym NASK. Najważniejsze jego cele to wsparcie jednostek samorządu terytorialnego we wdrożeniu procedur i polityk bezpieczeństwa, zapewnienie odpowiednich narzędzi do reakcji na cyberataki i zwiększenie świadomości pracowników w kontekście cyberzagrożeń.

Projekt spotkał się z pozytywnym odzewem ze strony zainteresowanych, bowiem wnioski złożyło 90 proc. uprawnionych jednostek samorządu terytorialnego (2196 gmin, 300 powiatów i 15 województw). W rezultacie na program przeznaczono 1,5 mld zł, z czego 1,2 mld zł na infrastrukturę sprzętową i oprogramowanie oraz wdrożenia, a 183 mln zł na opracowanie procedur, certyfikację, audyty i wdrażanie systemu zarządzania bezpieczeństwem informacji. Natomiast 105 mln zł ma być przeznaczone na szkolenie pracowników. Co ważne, środki trzeba wykorzystać do końca czerwca 2026 r., a zatem każdy projekt można dobrze przemyśleć.

Złożenie wniosku dla wielu samorządowców było sporym wyzwaniem, chociażby ze względu na brak specjalistów, którzy potrafiliby prawidłowo ocenić stan zabezpieczeń i dobrać narzędzia do ich wzmocnienia. W takich sytuacjach samorządy często musiały posiłkować się wiedzą zewnętrznych ekspertów.

– Dla części gmin w Polsce wnioski, w których pojawił się wymóg audytu, były dla nich pierwszymi doświadczeniami audytorskimi, z jakim mieli do czynienia. To była bardzo cenna lekcja dla samorządowych informatyków – zauważa Grzegorz Szałański.

Również urzędnicy korzystający z usług firm zewnętrznych zdobyli cenne doświadczenia i niewykluczone, że w nieodległej przyszłości zaprocentuje to zleceniami przeprowadzenia profesjonalnego audytu.

Grzegorz Szałański, lider Zespołu Produktowego Fortinet, Exclusive Networks Grzegorz Szałański, lider Zespołu Produktowego Fortinet, Exclusive Networks  

O ile urząd niekoniecznie musi dzierżawić laptopy czy monitory, o tyle w przypadku usług bezpieczeństwa IT staje się to coraz bardziej konieczne. Problem polega na tym, że wśród samorządowców nie ma zwyczaju i kultury zlecania usług IT na zewnątrz. Wprawdzie urzędnicy nauczyli się za pośrednictwem integratorów formułować zapytania przetargowe, ale ich wiedza na temat samych rozwiązań jest ograniczona. Z punktu widzenia NIS 2 dobrą praktyką byłoby powierzenie części zadań, w tym między innymi audytów czy usług bezpieczeństwa podmiotom zewnętrznym. Niemniej zakup takich usług przez jednostki samorządowe musi być procesem łatwym do przeprowadzenia.