Samorządy bezbronne przed atakami. Niepokojący raport NIK

– Samorządy w dużej mierze nie identyfikowały danych wymagających zabezpieczenia. Często nie przygotowywały też dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli już je przygotowywały, to nie testowały skuteczności przyjętych zabezpieczeń, co w sytuacji kryzysowej, jak na przykład pożar, zalanie, ataki hakerskie, działanie hybrydowe, może doprowadzić do przerwy lub zaprzestania działalności urzędu – ostrzega Marian Banaś, prezes NIK.

Przykładów, że gminy są celem, jest wiele. W styczniu tego roku hakerzy sparaliżowali działanie urzędu w Nowej Sarzynie, skutecznie szyfrując przechowywane przez urzędników dane mieszkańców. Niewiele wcześniej zaatakowano krakowski MPK, paraliżując system sprzedaży biletów. A to tylko nieliczne przykłady, gdyż, jak oceniają specjaliści, o wielu po prostu się nie dowiadujemy.

– Szczególnie w obszarze najmniejszych jednostek samorządu terytorialnego od lat nic się nie zmienia. Powiem krótko: nie jest dobrze. Po pierwsze, problemem jest świadomość włodarzy w samorządach, bo sam proces cyberataków wynika ze świadomości, czyli zauważenia takiego ataku i zgłoszenia go odpowiednim służbom – mówi Mariusz Marszał, wicedyrektor biura Związku Gmin Wiejskich.

Tymczasem wójtowie oraz prezydenci mniejszych miast niejednokrotnie mogą przez długi czas nawet nie wiedzieć, że doszło do jakiegoś ataku. Aby go wykryć, konieczne byłoby zatrudnianie wysoko opłacanych specjalistów, na co znów samorządów nie stać. W ocenie Mariusza Marszała odpowiednie rozwiązania prawne w Polsce są, choćby w postaci rozporządzenia Krajowe Ramy Interoperacyjności, które zobowiązuje gminy do wdrażania systemów bezpieczeństwa. Jednak prawo sobie, a realia sobie, nawet jeśli w jakiejś gminie zainwestuje się duże pieniądze w zakup nowoczesnego serwera czy systemu ochrony.

– Cały czas trzeba edukować kadrę, monitorować cały obszar, a takiemu wójtowi małej gminy trudno jest czasem zrozumieć, że człowiek, który jest odpowiedzialny za monitorowanie, szkolenia, chce zarabiać więcej niż on – mówi Mariusz Marszał.

Pieniądze są, ale one to nie wszystko

Znawcy tematu zaznaczają, że gminy nie są pozostawione samym sobie, a rząd przeznacza niemałe pieniądze na unowocześnianie ich systemów. Tylko w 2024 r. z programu „Cyfrowy samorząd” przyznano 1,5 mld zł na finansowanie projektów związanych z cyberbezpieczeństwem. To są jednak jednorazowe wydatki, a codzienne utrzymanie systemów spoczywa już na barkach lokalnych władz. I ten sposób zarządzania, zdaniem specjalistów, koniecznie trzeba zmienić.

– Nie wyobrażam sobie, by każda z kilku tysięcy jednostek samorządu była w stanie samodzielnie zbudować skuteczny system zapewnienia bezpieczeństwa informacji. To nie tylko niewykonalne, ale przede wszystkim niezbyt racjonalne gospodarowanie środkami – mówi Adam Haertle, specjalista ds. cyberbezpieczeństwa z portalu Zaufana Trzecia Strona.

Proponuje on, by zachęcić samorządy, aby te szukały możliwości centralizacji usług IT na poziomie krajowym czy regionalnym. Nie każda gmina bowiem musi utrzymywać własne serwery, a chociażby prowadzenie stron powierzyć można rządowej domenie gov.pl. Podobnemu rozwiązaniu wtóruje Mirosław Maj, były kierownik CERT Polska i szef Fundacji Bezpieczna Cyberprzestrzeń, uznając, że przy tak wielkim rozdrobnieniu usług pieniędzy zawsze będzie za mało.

– Ten sektor wymaga bardzo konkretnego operacyjnego pomysłu, jak go zorganizować. Być może wyjściem jest stworzenie systemu, który pozwoliłby na tworzenie centrów świadczących usługi dla samorządów – mówi Mirosław Maj.

Na pewną formę centralizacji usług informatycznych przychylnym okiem patrzy też sejmowa opozycja. W ocenie Piotra Uścińskiego, członka sejmowej komisji cyfryzacji, początkiem mogłoby być zdjęcie z barków powiatów zarządzania bezpieczeństwem systemów geodezyjnych. – W moim przekonaniu potrzebne by było zrobienie centralnego systemu, w którym samorządy nie musiałyby utrzymywać własnych serwerowni, tylko państwo by się tym zajęło – mówi poseł Uściński. ©℗