Przejdź do głównych treściPrzejdź do wyszukiwarkiPrzejdź do głównego menu
czwartek, 3 lipca 2025 14:06
Z OSTATNIEJ CHWILI:
Reklama
Reklama

Eksperci: większość samorządów nie dba o cyberbezpieczeństwo

Większość samorządów nie dba wystarczająco o cyberbezpieczeństwo; nie szkoli mieszkańców w tym zakresie, co jest sprzeczne z prawem - ocenili eksperci Krajowego Instytutu Cyberbezpieczeństwa w rozmowie z PAP. Źródłem problemów jest brak zaangażowania osób decyzyjnych - zaznaczyli.

Większość jednostek samorządu terytorialnego (JST), czyli gmin, powiatów, województw, nie ma wdrożonej prawidłowej dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) - wskazali w rozmowie PAP wieloletni audytorzy JST Piotr Kukla oraz Iwona Barańska, eksperci Krajowego Instytutu Cyberbezpieczeństwa, którzy przeprowadzili około 30 kontroli. Problem potwierdziła Najwyższa Izba Kontroli (NIK), w raporcie nt. kontroli cyberbezpieczeństwa, opublikowanej w połowie kwietnia. Z raportu tego wynika, że 8 z 24 skontrolowanych JST nie wdrożyło SZBI, a 71 proc. urzędów nie było przygotowanych na sytuacje kryzysowe, takie jak cyberatak czy wyciek danych.

Reklama

"Systemu Zarządzania Bezpieczeństwem Informacji zawiera procedury i plany awaryjne w reakcji na incydenty cyberbezpieczeństwa. Zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa (UKSC) i rozporządzeniem o Krajowych Ramach Interoperacyjności (KRI) taką dokumentację musi posiadać każda jednostka publiczna. Audyty przeprowadzamy od 4 lat i rzadko która gmina wywiązuje się z tego obowiązku" - wskazał Piotr Kukla. Iwona Barańska dodała, że dokumenty SZBI muszą być przeglądane, weryfikowane i aktualizowane przynajmniej raz w roku.

Audytorzy podkreślili, że w praktyce najczęściej samorządy albo nie posiadają systemu, albo jest on nieaktualny. Dodali, że informatycy często nie wiedzą nawet, ile trwałoby przywracanie systemu po awarii, ponieważ nigdy tego nie testowali. Barańska wskazała na kolejny problem z SZBI, jakim jest kupowanie przez JST od prywatnych firm gotowych szablonów dokumentacji, które następnie stosuje się zarówno w urzędach, jak i podległych im jednostkach, np. szkołach, domach pomocy społecznej, transporcie zbiorowym, wodociągach itp.

Ekspertka zaznaczyła, że na rynku jest wiele firm, które oferują usługi związane z SZBI, jednak głównym kryterium wyboru, jakim kierują się JST, jest cena, do czego zresztą samorządowców obliguje prawo zamówień publicznych. "Nie są to rozwiązania szyte na miarę, często nie odzwierciedlają nawet stanu faktycznego w danym samorządzie" - podkreśliła Barańska. Dodała, że spotkała się z sytuacją, gdzie od gminy i podległych jej jednostek dostała cztery identyczne dokumentacje, które zawierały te same procedury cyberbezpieczeństwa. "Najprawdopodobniej gmina kupiła usługę i wdrożyła system, bez przeczytania go i żadnej weryfikacji" - oceniła. Zaznaczyła, że posiadanie nieaktualnej i niedostosowanej dokumentacji nie uchroni przed wyciekiem danych, a w konsekwencji przed karą finansową dla jednostki.

Barańska zaznaczyła, że oszczędność na usługach związanych z SZBI jest pozorna. "Wydatki na cyberbezpieczeństwo nie powinny być traktowana jako koszt, tylko jak inwestycja na zapewnienie ochrony przed ewentualnymi atakami" - podkreśliła. Wyjaśniła, że po audycie samorządowi przedstawiany jest raport z wykrytych nieprawidłowości wraz ze wskazówkami, co należy zmienić lub doprecyzować. "Jednak często przy następnym audycie, który ma miejsce za rok, okazuje się system wygląda tak samo, co świadczy o tym, że decydenci nie zapoznali się z raportem audytorów" - wskazała.

Audytorzy, z którymi rozmawiała PAP podkreślili, że rzadko kiedy w szkoleniach biorą osoby decyzyjne. "W większości decydenci nie mają żadnej wiedzy o tym, co się dzieje w jednostce, jeżeli chodzi o cyberbezpieczeństwo. Twierdzą, że oni się na tym nie znają i nie muszą się znać" - wskazał Kukla.

"Zaangażowanie większości wójtów, burmistrzów, prezydentów miast w te sprawy jest zerowe i to jest główny problem. W jednej z gmin usłyszeliśmy od wójta, że to ludzie głosują w wyborach, a nie systemy, więc on wychodzi do ludzi, a systemami niech się zajmie informatyk" - dodała Barańska. Eksperci zaznaczyli, że możliwości informatyków też są ograniczone, często nie są oni w stanie zajmować się wszystkimi bieżącymi sprawami IT, brać udziału w szkoleniach i jednocześnie dbać o zaawansowane cyberbezpieczeństwo.

Kukla dodał, że administratorzy IT, czyli osoby odpowiedzialne za systemy informatyczne w danej jednostce, np. w urzędzie, często nie mają świadomości wymagań, jakie są nałożone na gminę w ustawie o KSC i rozporządzeniu o KRI. "W mniejszych gminach zdarza się, że funkcję administratora pełni osoba zajmująca się na co dzień innymi obowiązkami, co przekłada się na niską świadomość w zakresie cyberbezpieczeństwa" – ocenił.

Wyjaśnił, że problem ten spowodowany jest niedoborem na rynku specjalistów cyberbezpieczeństwa, a także ograniczonymi budżetami gmin. Z tych powodów niektóre JST zlecają usługi IT zewnętrznym firmom (tzw. outsourcing). "Pamiętam przynajmniej dwa przypadki gmin, gdzie to naprawdę dobrze działało" - wskazał Kukla. Dodał, że najczęściej firma przejmuje obowiązki związane z cyberbezpieczeństwem, a urząd oznacza ten element jako "odhaczony" i nie interesuje się tym tematem.

NIK wskazała w swoim raporcie, że problemami w samorządach są także: nieprawidłowości w tworzeniu kopii zapasowych danych, niewystarczające fizyczne zabezpieczenia serwerowni (wykryto w połowie skontrolowanych gmin) oraz słabe hasła (w 9 gminach). Potwierdzają to audytorzy, z którymi rozmawiała PAP. "Bardzo rzadko zdarza się, że gminy tworzą kopie zapasowe danych, a nawet jeśli to robią, to nie testują ich, co okazuje się dopiero po incydencie, kiedy jednostka próbuje te kopie przywrócić" - wskazał Kukla. Przyznał, że często obserwuje też brak kontroli dostępu do serwerowni przez JST. Był świadkiem przypadków, gdzie serwerownie znajdowały się w pokoju socjalnym lub pracowniczym, otwartym dla wszystkich albo takie, w których klucze do pomieszczenia mógł wziąć "każdy pracownik". Dodał, że rzadko kiedy w serwerowniach znajdują się systemy odczytu temperatury czy wilgotności albo zabezpieczenie przeciwpożarowe.

W raporcie NIK zwróciła uwagę też na problem braku szkoleń dla pracowników odpowiedzialnych za przetwarzanie danych (wykryto w 10 gminach na 24). Resort cyfryzacji w odpowiedzi na pytania PAP dotyczące tej sprawy, przekazał, że szkolenia z cyberbezpieczeństwa dla JST prowadzone są w ramach programów: "Cyberbezpieczny samorząd" (indywidualne, skierowane głównie do marszałków województw, starostów, wójtów, burmistrzów, prezydentów miast itp.), SecureV (indywidualne lub w małych grupach, skierowane m.in. parlamentarzystów, kadry kierowniczej administracji centralnej i samorządowej) oraz w formie webinarów (m.in. dla pracowników JST). Tych ostatnich szkoleń w 2025 r. odbyło się 10, a uczestniczyło w nich prawie 16 tys. osób - podało MC.

Resort wskazał ponadto, że pracuje nad pilotażem, którego celem jest zbudowanie kompetencji trenerskich w zakresie cyberbezpieczeństwa w JST. Trenerami będą mogli być co najmniej dwaj przedstawiciele JST w każdym województwie. Pod koniec 2025 r. resort planuje również uruchomić nowy projekt: Lokalnych Centrów Cyberbezpieczeństwa, które mają zapewnić kompleksowe i systemowe wsparcie dla samorządów, w tym w obsłudze incydentów i w zakresie szkoleń.

Audytorzy ocenili, że szkolenia w formie online "nie działają". Podali przypadek wójta, który po webinarze nie był w stanie powiedzieć, o czym on był. Zdarza się też, że uczestnicy opuszczają spotkania online nawet kilka godzin po jego zakończeniu - podkreślili eksperci. "Nie słuchają szkolenia, robią w tym czasie coś innego, ale obecność mają +odfajkowaną+" - skwitowała Barańska.

Piotr Kukla oraz Iwona Barańska zwrócili jednak uwagę, że sytuacja dotycząca cyberbezpieczeństwa w samorządach poprawiła się wraz z wprowadzeniem w 2023 r. programu "Cyberbezpieczny samorząd", a wcześniej "Cyberbezpieczna Gmina". Oba są finansowane ze środków UE. Jak wyjaśnił Kukla, JST w ramach programów dostają środki m.in. na wymianę sprzętu IT lub wykupienie licencji na usługi cyberbezpieczeństwa. W tym drugim przypadku wsparcie ma ograniczony czas, np. dwa lata; po tym terminie gmina musi płacić za licencję sama. Zwykle nie ma budżetu, więc gminy decydują się tylko na wymianę sprzętu - wskazał Kukla.

"Jeżeli Lokalne Centra Bezpieczeństwa będą działały na tej samej zasadzie, co +Cyberbezpieczny samorząd+, czyli gminy czy powiaty, będą mogły ubiegać się o sfinansowanie części realizacji projektu, ale później utrzymanie będzie po ich stronie, to rozwiązanie może się nie sprawdzić. Najlepiej by było, gdyby centra polegały na obowiązkowej współpracy z resortem" - ocenił.

Jak podkreślili rozmówcy PAP, instytucje publiczne w zakresie cyberbezpieczeństwie wspiera za darmo CERT Polska. Oferuje m.in. skanowanie stron internetowych i wysyłanie powiadomień do jednostki, jeśli wykryta zostanie nieprawidłowość, np. luka bezpieczeństwa. "Instytucje publiczne rzadko kiedy korzystają z tego wsparcia. Nie chodzi nawet o to, że o nim nie wiedzą, tylko myślą np. +a po co to potrzebne, u nas na stronie i tak nic się nie dzieje+" - wskazał Kukla. Dodał, że podczas jednej z konferencji CERT Polska opowiedział o sytuacji, w której wykrył nieprawidłowości na stronie i próbował kontaktować z jednostką kilkukrotnie, mailowo i telefonicznie. Odzewu nie było, a potem gmina padła ofiarą cyberataku.

Barańska wskazała, że zgodnie z prawem JST mają także obowiązek informować mieszkańców i szkolić ich z zakresu cyberbezpieczeństwa, np. przez publikacje komunikatów czy spotkania. "Bardzo mało gmin, powiatów i miast to robi" - podkreśliła ekspertka.

Audytorzy zwrócili uwagę, że wycieki z różnych urzędów gmin w całej Polsce cały czas mają miejsce, a przechowywane są tam dane bardzo wrażliwe: imiona, nazwiska, numery PESEL, numery ksiąg wieczystych, informacje o dochodach, zatrudnieniu, numery dowodów osobistych i rejestracyjnych, stan cywilny itp. Cyberprzestępcy najczęściej szyfrują dane i je kradną, a za przywrócenie dostępu żądają opłacenia okupu w kryptowalutach.

Cyberatak najczęściej paraliżuje więc działanie urzędu co najmniej na kilka dni, a bez dostępu danych nie ma możliwości przyjmowania nowych petentów. Ekspert znaczył, że obsługa incydentu nie kończy problemów. "Jeżeli dane mieszkańców wyciekły, na pewno zostaną ponownie użyte, np. do prób wyłudzenia pieniędzy. Ktoś kupi te dane w Darknecie, a jeśli nie znajdzie się kupiec, zostaną po prostu udostępnione za darmo na forum hakerskim, skąd będzie mógł je pobrać kolejny cyberprzestępca" - zaznaczył Kukla. Mając o danym mieszkańcu bardzo dużo informacji może np. wysłać maila przygotowanego konkretnie pod niego, podszywając się pod urząd, w którym ofiara załatwiała jakąś sprawę - wyjaśnił ekspert. Dodał, że wykradzione dane mogą posłużyć też wywiadowi rosyjskiemu czy chińskiemu.

Eksperci zwrócili również uwagę, na problemy z cyberbezpieczeństwem systemów sterowania przemysłowego (ICS/OT), które odpowiadają np. za gospodarką wodno-kanalizacyjną czy pływalnie. "Systemy te często nie posiadają odpowiednich zabezpieczeń, co pozwala na dostęp i potencjalne modyfikowanie parametrów" - wyjaśnił Kukla. W minionym roku media informowały o incydentach tego typu w oczyszczalni ścieków w Kuźnicy oraz w Wydminach, a także w stacjach uzdatniania wody w Tolkmicku, Małdytach i Sierakowie.

Resort cyfryzacji informował, że pracuje nad uruchomieniem współfinansowanego ze środków KPO projektu "Cyberbezpieczne Wodociągi", który byłby przeznaczony dla przedsiębiorstw realizujących zadania własne gminy w zakresie zbiorowego zaopatrzenia w wodę. (PAP)


Podziel się
Oceń

Napisz komentarz

Komentarze

Opinie

Mariusz StrzępekMariusz Strzępek

Pan radny Kazimierz Mordaka w niespełna rok samorządowej kadencji stał się czołowym hejterem tomaszowskiej Platformy Obywatelskiej. W pełnych pogardy wpisach poddaje krytyce każdego, kto tylko mu się z jakichś powodów nie podoba. Tymczasem radnemu brakuje podstawowej wiedzy, niezbędnej do sprawowania mandatu

Bohaterowie literaccy, komiksowi, historyczni często posiadają własne konie. Słynny ostatnio Zorro jeździł na Tornado, Don Kichot dosiada Rosynanta, Aleksander Wielki, z kolei Bucefała. Miał Kasztankę, marszałek Piłsudski. A i Napoleon był dumny ze swego Marengo. Tymczasem tomaszowscy samorządowcy mogą zasłynąć co najwyżej tym, że z własnymi końmi na rozumy się zamienili. Trochę złośliwy wstęp, ale jest odpowiedzią na złośliwości kierowane w moim kierunku, wypada więc odpłacić końskim dowcipem, bo bardziej subtelnego adresat mógłby nie zrozumieć. Tomaszowscy radni Koalicji Obywatelskiej z Rady Powiatu Tomaszowskiego takie wrażenie niestety robią. Brak wiedzy merytorycznej próbują nadrabiać internetowym hejtem. Ludzie ci oporni są na wiedze nie tylko wynikającą z lektury książek, aktów prawnych, obowiązującego orzecznictwa, ale też z doświadczenia. Można wybaczyć takie zachowanie panu Kazimierzowi Mordace, który w telewizji chwali własnego wnuczka, który nie lubi się uczyć, ale za to nauczył się jeździć ciągnikiem, ale pozostałym już chyba nie. Wszak uważają się lepszy gatunek ludzki, z pogarda traktujący otoczenie oraz każdego, kto myśli inaczej. O co chodzi? Już wyjaśniam
ReklamaSklep Medyczny Tomaszów Maz.
Reklama

Polecane

Mordaka Patrol w pogoni za Hospicjum

Mordaka Patrol w pogoni za Hospicjum

Po spektakularnym śledztwie dotyczącym domu, należącego do Prezydenta Marcina Witko, jaki pobudował sobie w Wiśle, przyszła kolej na następne. Tym razem dotyczy funkcjonowania hospicjum im Św. Filipa Neri, które prowadzi Fundacja Dwa Skrzydła, firmowana przez księdza Grzegorza Chirka. Inwestycja oddana w tym roku do użytku, na którą dofinansowanie udało się miastu pozyskać jeszcze w czasach rządów PiS, przyjmuje już pierwszych podopiecznych. Fundacja jednak działalność rozpoczęła wcześniej, prowadząc usługi hospicjum domowego. Radny Michał Kucharski postanowił w tej sprawie złożyć interpelację, w której stawia pytania, na które odpowiedź można uzyskać w 5 minut, telefonując do któregoś z wiceprezydentów lub urzędników, nigdy nie uchylających się od odpowiedzi. Tylko co pokazałoby się na Facebooku? Zdjęcie Iphona? Jeśli więc w okolicach ulicy Kępa, zobaczycie różowego trabanta, możecie być pewni, że w pobliżu czają się wywiadowcy, którzy sprawdzają źródło pochodzenia kostki brukowej, wykorzystanej do wyłożenia podjazdów i ciągów komunikacyjnych.Data dodania artykułu: Dzisiaj, 10:26 Liczba pozytywnych reakcji czytelników: 1
Kolejny konkurs na dotacje do szpitala przegranyMordaka Patrol w pogoni za HospicjumWakacje pełne atrakcji!Fundacja Nu-Med otrzymała tytuł ORGANIZACJI PRZYJAZNEJ WOLONTARIUSZOM!Za miesiąc wyruszy PielgrzymkaProkuratura pyta... miasto odpowiadaLekarz chorego nie zrozumie....Filmowy początek wakacji w kinach HeliosZapraszamy do Kina KoneseraNowe autobusy elektryczne trafią do TomaszowaWyróżnimy aktywnych społecznie - XIII edycja Konkursu Kreatywności Społecznej Lokalni NiebanalniPrzed nowym sezonem
Reklama
Reklama
Reklama
Rośnie skala agresji na polskich drogach

Rośnie skala agresji na polskich drogach

Za kilka dni zaczynają się wakacje, czyli statystycznie najniebezpieczniejszy czas na drogach. Wśród głównych przyczyn takich zdarzeń na prostych odcinkach drogi są nadmierna prędkość i jazda na zderzaku. Zarządca autostrady A4 Katowice–Kraków w ramach kampanii „Nie zderzakuj. Posłuchaj. Jedź bezpiecznie” zwraca uwagę na zjawisko agresji na polskich drogach i przypomina, że bezpieczeństwo zaczyna się od osobistych decyzji kierowcy.
Prezydent z wotum zaufania i absolutorium

Prezydent z wotum zaufania i absolutorium

Radni Rady Miejskiej udzielili wotum zaufania oraz absolutorium z wykonania budżetu za ubiegły rok Marcinowi Witko. Prezydenta wsparło 15 radnych, ośmioro zagłosowało przeciw. Wszystko wskazuje na to, większość radnych miejskich ma dosyć destrukcyjnych działań swoich kolegów i koleżanek z Koalicji Obywatelskiej, które nie służą mieszkańcom miasta, a jedynie partyjniackim potyczkom, jakie obserwujemy na co dzień na ogólnopolskiej politycznej arenie. Dwie radne już wcześniej odeszły z klubu KO, nie godząc się między innymi z blokowaniem ważnych dla tomaszowian inwestycji, takich chociażby jak Termy, które powstać miały na Błoniach. Na wczorajszej sesji także Barbara Klatka, postanowiła zagłosować inaczej niż pozostali radni jej klubu. Biorąc pod uwagę presję, jaką na radnych wywierał od początku poseł Witczak, wykazała się we wczorajszych głosowaniach silnym charakterem. Czas, by pracować dla miasta ponad partyjnymi podziałami.
Mordaka Patrol w pogoni za Hospicjum

Mordaka Patrol w pogoni za Hospicjum

Po spektakularnym śledztwie dotyczącym domu, należącego do Prezydenta Marcina Witko, jaki pobudował sobie w Wiśle, przyszła kolej na następne. Tym razem dotyczy funkcjonowania hospicjum im Św. Filipa Neri, które prowadzi Fundacja Dwa Skrzydła, firmowana przez księdza Grzegorza Chirka. Inwestycja oddana w tym roku do użytku, na którą dofinansowanie udało się miastu pozyskać jeszcze w czasach rządów PiS, przyjmuje już pierwszych podopiecznych. Fundacja jednak działalność rozpoczęła wcześniej, prowadząc usługi hospicjum domowego. Radny Michał Kucharski postanowił w tej sprawie złożyć interpelację, w której stawia pytania, na które odpowiedź można uzyskać w 5 minut, telefonując do któregoś z wiceprezydentów lub urzędników, nigdy nie uchylających się od odpowiedzi. Tylko co pokazałoby się na Facebooku? Zdjęcie Iphona? Jeśli więc w okolicach ulicy Kępa, zobaczycie różowego trabanta, możecie być pewni, że w pobliżu czają się wywiadowcy, którzy sprawdzają źródło pochodzenia kostki brukowej, wykorzystanej do wyłożenia podjazdów i ciągów komunikacyjnych.
Prokuratura pyta... miasto odpowiada

Prokuratura pyta... miasto odpowiada

Na ostatniej sesji Rady Miejskiej dowiedzieliśmy się, że Prokuratura Okręgowa w Sieradzu, która prowadzi postępowanie sprawdzające, związane z donosem, jaki na Marcina Witko, złożyli radni Kucharscy, Jabłoński oraz Mordaka, wystąpiła do urzędu miasta z zapytaniem o kontrole, jakie były prowadzone w stosunku do Tomaszowa Mazowieckiego w okresie minionych 10 lat. Magistrat przygotował odpowiedź oraz tysiące stron kopii protokołów pokontrolnych. W okresie tym, miasto było bowiem kontrolowane setki razy przez różne instytucje w tym NIK, RIO, ale i prokuratury. Nie stwierdzono w nich poważniejszych zastrzeżeń
Reklama

Wasze komentarze

Autor komentarza: jeszcze zdrowyTreść komentarza: Dlaczego personel tego pseudo szpitala nie ma plakietek z nazwiskiem i pełnioną funkcją? To ich obowiązek. Nie wiadomo z kim się rozmawia. Wstydzą się, a może boją?Źródło komentarza: Lekarz chorego nie zrozumie....Autor komentarza: ...)Treść komentarza: czterech "tenorów" sceny rady miasta dają pokaz..Źródło komentarza: Prokuratura pyta... miasto odpowiadaAutor komentarza: BartTreść komentarza: Marku, obwodnica to droga, dzięki której omijamy miasto, by nie blokować centrum. Ta droga (południowy korytarz) po prostu rozwala nam Niebieskie Źródła, Groty i Dolinę Pilicy czyniąc z niej hałaśliwe miejsce... Przebija przez miasto (Nagórzyce) nie dając mieszkańców nic w zamian. Przecież droga na Sulejów, byłaby wystarczającaŹródło komentarza: W Wolborzu chcą S12... ale przez TomaszówAutor komentarza: MieszkaniecTreść komentarza: Ciekawie gdzie będzie składowisko bateri bo z tego co wiem to w Polsce nie ma a na złomie nie przyjmują takich baterii a pożar traw do 22 albo 24 godzin i bateria sama sobie jest gorsza nisz auto spalinowe elektryczne pieceŹródło komentarza: Nowe autobusy elektryczne trafią do TomaszowaAutor komentarza: Luna...Treść komentarza: Ostatnio byłam świadkiem jak potencjalna pacjentka z osobą towarzyszącą weszli do windy i się zaczęło, że pielegniarki be,że lekarze be, że służba zdrowia be, slowa które padały, a raczej przekleństw, ja takich nie znałam. Też jestem pacjentem....proszę Państwa nie ma rejonizacji, należy pojechać do innego szpitala, w innym mieście. Po co przychodzić do naszego szpitala,a potem jojczyc. To nie wina personelu medycznego,że system tak działa.Źródło komentarza: Lekarz chorego nie zrozumie....Autor komentarza: Karol W.Treść komentarza: Powinien być jeszcze zakaz wjazdu do centrum kopciuchów, jak zielony ład to i w tym temacie. Ludzie nie wychodzą na ulice ze względu na wszechobecny smog. Nie będzie spalinowców w centrum to miasto odżyje.Źródło komentarza: Nowe autobusy elektryczne trafią do Tomaszowa
Reklama
Reklama

Napisz do nas

Zachęcamy do kontaktu z nami za pomocą formularza. Możecie dołączyć zdjęcia i inne załączniki. Podajcie swojego maila ułatwi to nam kontakt z Wami
Reklama
Reklama
Reklama