Najwyższa Izba Kontroli sprawdziła, w jaki sposób jednostki samorządu terytorialnego wywiązywały się z obowiązków dotyczących bezpieczeństwa informacji i zapewnienia ciągłości funkcjonowania systemów IT. Kontrola objęła 24 jednostki (17 urzędów gmin oraz 7 starostw powiatowych) w okresie od 1 stycznia 2023 roku do 20 września 2024 roku.
Polska nie jest przygotowana na ataki
Z raportu wynika, że większość samorządów nie podejmowała wystarczająco skutecznych działań w zakresie ochrony informacji. NIK wskazuje, że w wielu przypadkach nie identyfikowano danych wymagających zabezpieczenia ani nie opracowywano kluczowych dokumentów związanych z bezpieczeństwem systemów informatycznych. Kontrolerzy ustalili, że aż 71 procent urzędów objętych badaniem nie było gotowych na zapewnienie ciągłości działania swoich systemów IT.
Brak zapewnienia ciągłości działania w sytuacji kryzysowej (np. pożar, zalanie, ataki hakerskie, działania hybrydowe) może doprowadzić do przerwy lub do zaprzestania działalności urzędu. Wykryte nieprawidłowości polegały także na niewystarczającym zabezpieczeniu serwerowni przed czynnikami zewnętrznymi, nieprowadzeniu szkoleń dotyczących bezpieczeństwa danych dla pracowników urzędów oraz braku zapisów gwarantujących poufność w umowach z dostarczycielami usług IT – czytamy w oficjalnym raporcie.
Na dodatek NIK wykryła 222 nieprawidłowości, z czego 51 zostało usuniętych jeszcze w trakcie trwania kontroli.
Apel NIK do Ministra Cyfryzacji
Celem kontroli było zwiększenie świadomości kierownictwa urzędów, że jedynie kompleksowe zarządzanie ciągłością działania systemów informatycznych oraz bezpieczeństwem informacji umożliwia sprawne działanie w sytuacjach kryzysowych. Ma to szczególne znaczenie w obliczu rosnących zagrożeń, w tym o charakterze hybrydowym.
W związku z zaistniałą sytuacją NIK zaapelowała do Ministra Cyfryzacji o zapewnienie stałego wsparcia dla jednostek samorządu terytorialnego w zakresie wdrażania organizacyjnych i technicznych rozwiązań związanych z bezpieczeństwem informatycznym.