Choć od wejścia w życie RODO minęło już siedem lat, większość polskich samorządów wciąż nie spełnia podstawowych wymagań w zakresie ochrony danych i cyberbezpieczeństwa. Najnowsze kontrole NIK ujawniają poważne braki w zabezpieczeniach systemów IT oraz alarmujący wzrost liczby cyberincydentów w sektorze publicznym. Skala zagrożeń rośnie, a skutki zaniedbań mogą dotknąć miliony obywateli.
Brak planów awaryjnych i rosnąca liczba cyberataków
Z najnowszych danych Najwyższej Izby Kontroli wynika, iż aż 71% skontrolowanych w 2024 roku jednostek samorządowych nie posiada planów przywracania systemów IT po awarii. Co więcej, połowa z nich nie zidentyfikowała, które z przechowywanych danych wymagają szczególnej ochrony. To poważny problem w sytuacji, gdy administracja publiczna staje się jednym z głównych celów cyberprzestępców w Europie.
Jak pokazują dane Pełnomocnika Rządu ds. Cyberbezpieczeństwa, w 2024 roku liczba incydentów bezpieczeństwa teleinformatycznego w Polsce wzrosła o 23% rok do roku, osiągając poziom 111 660 przypadków. Samych zgłoszeń do zespołu CSIRT było ponad 600 000. Sektor publiczny odnotował wzrost liczby incydentów aż o 58%, a liczba poważnych naruszeń zagrażających ciągłości działania instytucji wzrosła o 57%. Według raportu ENISA aż 19% cyberataków w Europie dotyczyło administracji publicznej, z czego 33% stanowiły ataki typu DDoS.
Dane obywateli w niebezpieczeństwie
Wśród informacji przechowywanych przez jednostki samorządowe znajdują się nie tylko podstawowe dane osobowe, takie jak imię, nazwisko czy numer PESEL, ale również dane szczególnie wrażliwe: wyniki badań lekarskich, informacje o dochodach, zatrudnieniu czy diagnozach psychologicznych. Eksperci alarmują, iż wyciek takich danych może prowadzić do poważnych nadużyć, w tym kradzieży tożsamości.
„Informacje, które są przechowywane i przetwarzane w instytucjach publicznych, należą do danych szczególnej kategorii. W przypadku wycieku ryzyko nadużyć czy kradzieży tożsamości rośnie wielokrotnie. Ochrona tych informacji powinna być priorytetem, ponieważ w grę wchodzi nie tylko bezpieczeństwo, ale również zaufanie obywateli” – podkreśla Tomasz Surdyk, ekspert ds. cyberbezpieczeństwa w firmie Kingston.
NIK zwraca uwagę, iż wiele jednostek miało problem z tworzeniem i testowaniem kopii zapasowych, a także ze szkoleniami dla pracowników. To z kolei zwiększa podatność instytucji na ataki socjotechniczne oraz ryzyko naruszenia przepisów o ochronie danych.
Jest nadzieja na poprawę
Na poprawę sytuacji może wpłynąć program „Cyberbezpieczny Samorząd”. W 2024 roku blisko 2 500 samorządów podpisało umowy na łączną kwotę 1,5 mld złotych, z czego do końca roku wypłacono już 700 mln zł. Granty przeznaczane są m.in. na wdrożenie systemów zarządzania bezpieczeństwem informacji, szkolenia z zakresu cyberbezpieczeństwa czy zakup niezbędnego sprzętu i oprogramowania.
Eksperci podkreślają jednak, iż najważniejsze znaczenie ma nie tylko technologia, ale przede wszystkim edukacja pracowników i budowanie świadomości zagrożeń.
„Odpowiednio zaplanowany backup pozwala nie tylko odzyskać dane, ale również zapewnić ciągłość działania systemu w sytuacjach kryzysowych. Do ochrony szczególnie wrażliwych informacji zaleca się wykorzystywanie rozwiązań gwarantujących najwyższy poziom bezpieczeństwa, takich jak szyfrowane nośniki” – dodaje Tomasz Surdyk.
Siedem lat po wejściu w życie RODO polskie samorządy wciąż stoją przed poważnymi wyzwaniami związanymi z ochroną danych i cyberbezpieczeństwem. W obliczu rosnącej liczby ataków oraz coraz większej wartości przetwarzanych informacji konieczne są nie tylko inwestycje w technologie, ale także zmiana podejścia do zarządzania ryzykiem i szkolenia kadr. Tylko konsekwentne działania mogą zagwarantować bezpieczeństwo i zaufanie obywateli w cyfrowym państwie przyszłości.
