Bezpieczeństwo cyfrowe w samorządach pod lupą NIK – kluczowe wnioski z raportu

Bezpieczeństwo cyfrowe w samorządach pod lupą NIK – kluczowe wnioski z raportu

autor

Czy polskie samorządy są gotowe na cyberataki, awarie systemów IT i inne kryzysy technologiczne?

17 kwietnia 2025 r. Najwyższa Izba Kontroli opublikowała raport poświęcony zapewnieniu bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych w jednostkach samorządu terytorialnego (JST).

Wyniki kontroli wskazują jednoznacznie – znaczna część urzędów nie spełnia podstawowych wymogów w zakresie cyberbezpieczeństwa i zarządzania sytuacjami kryzysowymi.

Zakres i przedmiot kontroli obejmował:

– zarówno małe gminy, jak i większe miasta;

 – objęto 24 jednostki: 17 urzędów gmin oraz 7 starostw powiatowych;

–  kontrola trwała od 1 stycznia 2023 r. do dnia zakończenia kontroli;

–  zakres: polityki bezpieczeństwa informacji, zarządzanie incydentami, ciągłość działania IT, szkolenia, systemy kopii zapasowych i zabezpieczenia fizyczne.

Wnioski:

Zidentyfikowano aż 222 nieprawidłowości, a 71% urzędów uznano za nieprzygotowane do zapewnienia ciągłości działania IT. To oznacza, że w razie poważnej awarii, wiele urzędów nie byłoby w stanie normalnie funkcjonować – co bezpośrednio uderza w Nas – mieszkańców.

Najczęstsze uchybienia:
  • Brak systemowego/kompleksowego podejścia do zarządzania bezpieczeństwem!
    Jednym z kluczowych zarzutów było niewdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)zgodnego z wymaganiami § 19 rozporządzenia KRI: w wielu jednostkach samorządu terytorialnego brakowało spójnych polityk i procedur dotyczących bezpieczeństwa informacji. W ponad połowie jednostek nie opracowano lub nie wdrożono Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), a w 71% nie ustanowiono polityk ciągłości działania. Nawet tam, gdzie powstały plany awaryjne – najczęściej nie były testowane.
  • Brak opracowanych lub nieaktualnych planów ciągłości działania i planów odtworzeniowych – w przypadku awarii lub cyberataku urzędy byłyby sparaliżowane na wiele dni.
  • Niedostateczne zabezpieczenia systemów informatycznych – w wielu przypadkach systemy informatyczne nie były odpowiednio zabezpieczone przed potencjalnymi zagrożeniami. Brakowało regularnych audytów bezpieczeństwa, a stosowane zabezpieczenia były często niewystarczające.
  • W 83% urzędów stwierdzono braki w zakresie bezpieczeństwa serwerowni, backupów, umów z dostawcami IT (bez klauzul dot. bezpieczeństwa).
  • Nieprzeprowadzanie szkoleń z zakresu bezpieczeństwa informacji (42% JST).
  • Braki w kontrolach dostępu do systemów IT – w wielu przypadkach nie stosowano zasady minimalnych uprawnień, a byli pracownicy wciąż posiadali aktywne konta.
  • Brak testów kopii zapasowych – niektóre jednostki tworzyły backupy, ale nigdy nie sprawdzały ich poprawności ani możliwości odtworzenia danych.
  • Nieaktualne systemy i oprogramowanie – w kilku urzędach wykorzystywano przestarzałe systemy operacyjne bez wsparcia producenta, co otwiera drogę dla cyberataków.
  • Luki w szkoleniach i audytach: 42% urzędów nie przeprowadziło szkoleń z zakresu bezpieczeństwa informacji, a w 37% nie zrealizowano obowiązkowego audytu bezpieczeństwa.

Zapoznając się z tym raportem, nasuwa się jedna, bardzo ważna myśl: to nie jest tylko analiza – to sygnał alarmowy!

Zwróćmy uwagę jakie potencjalne konsekwencje mogą zaistnieć w jednostkach samorządu terytorialnego z punktu widzenia  bezpieczeństwa informacji:
  • Utrata danych: brak odpowiednich zabezpieczeń może prowadzić do utraty ważnych danych, co może zakłócić działalność jednostki.
  • Naruszenie przepisów prawa: niewłaściwe zarządzanie danymi osobowymi może prowadzić do naruszenia przepisów m.in. RODO, co wiąże się z ryzykiem nałożenia kar finansowych.
  • Utrata zaufania obywateli: niewłaściwe zarządzanie danymi może prowadzić do utraty zaufania obywateli do instytucji publicznych.

Raport dość jasno i precyzyjne wskazuje: „Zidentyfikowane przez NIK zagrożenia dla prawidłowego funkcjonowania urzędów dotyczą m.in. tego, że kierownicy nie nadają należytej wagi bezpieczeństwu informacji ani zapewnieniu ciągłości działania, nie wdrażają i nie aktualizują polityk i procedur, nie zapewniają odpowiednich narzędzi IT lub nie w pełni je stosują. Skutkiem tych zaniechań może być utrata danych, a także istotne utrudnienia w obsłudze obywateli i pracy urzędów. Ataki hackerskie, katastrofy (zalanie, pożar, itp.), zagrożenia epidemiologiczne oraz wyciek lub utrata danych, w tym danych osobowych, mogą skutecznie zakłócić realizację zadań JST. Przygotowanie planu ciągłości działania jest niezbędne dla zapewnienia działania urzędu w sytuacji kryzysowej, np. w wypadku zaistnienia zagrożeń hybrydowych.”

Dlaczego ciągłość działania systemów IT w JST jest tak istotna i co właściwie oznacza?

To zagadnienie zasługuje na osobny artykuł, ale żeby w skrócie pokazać, jak dużą ma wagę, przedstawię krótką definicję oraz przykład.

Ciągłość działania IT to zdolność urzędu do reagowania na sytuacje tzw. awaryjne (awarie zasilania, ataki hackerski, zalanie serwerowni, zdarzenia losowe), tak by możliwe było szybkie wznowienie świadczenia usług lub ich kontynuowanie w trybie zastępczym.

Przykład:

Jeśli serwer ulegnie awarii – urząd powinien mieć procedury, kopie zapasowe, przeszkolony personel oraz alternatywną ścieżkę działania, która pozwoli na dalszą obsługę mieszkańców, nawet w ograniczonym zakresie.

Brak tych działań naraża mieszkańców na realne trudności, a sam urząd – na odpowiedzialność prawną i utratę zaufania społecznego.

Co w takim razie powinny zrobić samorządy?

Na podstawie raportu NIK, zgodności ze Standardami Krajowych Ram Interoperacyjnośći (KRI) oraz najlepszymi praktykami z zakresu bezpieczeństwa informacji, rekomendujemy, aby urzędy jak najszybciej m.in:

1.  Wdrożyły system zarządzania bezpieczeństwem informacji (SZBI)

  • Zgodnie z normą ISO/IEC 27001.
  • Z uwzględnieniem regularnych audytów i testów bezpieczeństwa.

2. Przeprowadziły szkolenia dla personelu – nie tylko IT, ale również pracowników administracyjnych, którzy są częstym celem ataków phishingowych

  • Z zakresu ochrony danych osobowych i reagowania na incydenty.
  • Regularne utrwalanie wiedzy w praktyce na podstawie realnych i potencjalnych scenariuszy z symulowanym naruszeniem.

3. Opracowały/wdrożyły i testował plany ciągłości działania (PCD)

  • W tym scenariusze awaryjne, odpowiedzialności oraz harmonogramy przywracania usług.
  • Uwzględnienie infrastruktury IT i procesów krytycznych (np. ePUAP,).

4. Wdrożyły skuteczne polityki zarządzania dostępem

  • systematyczne przeglądy uprawnień, automatyczne blokowanie kont nieaktywnych użytkowników.

5. Wzmocniły nadzór nad dostawcami zewnętrznymi

  • Jasne zasady współpracy, klauzule bezpieczeństwa w umowach, weryfikacja zgodności z RODO.

6. Regularnie kontrolowały i raportowały zgodności

  • Tworzenie dokumentacji dowodowej przestrzegania zasad RODO (rozliczalność), np. raport z audytu.
  • Wyznaczenie inspektora ochrony danych z realnym mandatem działania.

7. Regularnie testowały kopie zapasowe

  • Backup to nie wszystko – musi być sprawdzony, łatwo dostępny i zgodny z aktualną infrastrukturą.

8. Aktualizowały systemy

  • migracja na wspierane platformy i regularne instalowanie poprawek bezpieczeństwa.

9.  Wdrożyły rozwiązania zapewniające odpowiednie zabezpieczenie pomieszczeń serwerowni, zgodnie z § 19 ust. 2 pkt 9 obowiązującego rozporządzenia KRI;

10. Objęły nadzorem oprogramowania instalowane na urządzeniach mobilnych (komórkowe telefony służbowe/tablety).”

Raport NIK stanowi ważne przypomnienie o konieczności dbałości o bezpieczeństwo informacji w administracji publicznej. Wdrożenie odpowiednich procedur oraz zabezpieczeń jest kluczowe dla ochrony danych obywateli oraz utrzymania zaufania do instytucji publicznych.

Z perspektywy osób zajmujących się bezpieczeństwem informacji – raport ten jest alarmujący i pokazuje, że brak systemowego podejścia do ochrony danych może mieć poważne konsekwencje – przede wszystkim prawne ale i społeczne.

Włodarze muszą zapamiętać, że:
Bezpieczeństwo to proces, nie jednorazowy projekt 

W świecie, gdzie cyberzagrożenia ewoluują z dnia na dzień, cyfrowe bezpieczeństwo nie może być postrzegane jako koszt, lecz jako inwestycja w stabilność i zaufanie mieszkańców. Każdy incydent – od kradzieży danych po paraliż systemów ePUAP czy rejestrów – wpływa na życie obywateli i wizerunek urzędu.

Nie czekaj na kontrolę NIK ani na atak – działaj teraz.

Zacznij od audytu, zbuduj strategię i zadbaj o kulturę bezpieczeństwa na wszystkich poziomach.

Potrzebujesz pomocy we wdrożeniu procedur bezpieczeństwa IT w Twojej Jednostce?

Skontaktuj się z naszym zespołem – wspieramy samorządy w budowaniu odpornych i nowoczesnych systemów informatycznych.

Źródło: Zapewnienie bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych w jednostkach samorządu terytorialnego – Najwyższa Izba Kontroli

 Autor: Ewa Sobczyk | Starszy Ekspert w CompNet Sp. z o.o.