Ponad 70% jednostek samorządowych, skontrolowanych przez Najwyższą Izbę Kontroli (NIK) w 2024 r., nie posiada planów przywracania systemów IT po awarii. Połowa nie zidentyfikowała, które z przechowywanych danych wymagają ochrony. Liczba cyfrowych incydentów w sektorze publicznym rośnie, a administracja jest jednym z najczęstszych celów cyberataków w Europie.
Już na początku 2024 r. NIK zwracało uwagę na uchybienia w zabezpieczeniach systemów informatycznych samorządów. Przeprowadzona wówczas szczegółowa analiza pod kątem cyberbezpieczeństwa wykazała nieprawidłowe przetwarzanie danych osób fizycznych o ich stanie zdrowia, sytuacji rodzinnej czy wynagrodzeniu. Głównym problemem okazało się wykorzystanie adresów e-mail w domenach publicznych bez podpisania stosownych umów gwarantujących bezpieczeństwo przetwarzanych danych. Tymczasem wyniki kontroli NIK z 2025 r. wykazały istotne nieprawidłowości w przygotowaniu do zapewnienia ciągłości działania systemów IT w aż 71% sprawdzanych jednostek samorządowych.
Ponad 110 tys. incydentów w rok. Administracja publiczna na celowniku cyberprzestępców
Jak wynika ze sprawozdania Pełnomocnika Rządu ds. Cyberbezpieczeństwa za 2024 rok, liczba zidentyfikowanych incydentów bezpieczeństwa teleinformatycznego w Polsce wzrosła o 23% r.r., do poziomu 111 660. Samych zgłoszeń do CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) w 2024 r. było ponad 600 tys. Sektor publiczny odnotował wzrost liczby incydentów aż o 58%, a liczba tzw. incydentów poważnych, zagrażających ciągłości działania instytucji, wzrosła o 57% r.r. Z raportu ENISA wynika, iż 19% cyberataków w Europie w 2024 r. było wymierzonych w administrację publiczną. Co więcej, aż 33% z wszystkich ataków typu DDoS – polegających na przeciążeniu systemów w celu zablokowania ich działania – dotyczyło właśnie tego sektora.
Co dalej z ochroną danych w samorządach?
Jak wskazuje NIK, wiele skontrolowanych jednostek samorządowych miało problem z tworzeniem, przechowywaniem oraz testowaniem kopii zapasowych. W wielu przypadkach brakowało także szkoleń dla pracowników odpowiedzialnych za przetwarzanie informacji, co zwiększa podatność instytucji na ataki socjotechniczne oraz ryzyko naruszenia przepisów związanych z ochroną danych.
Różnice w budżecie, jakim dysponują poszczególne jednostki samorządowe w Polsce, jest ogromna. Stąd też mogą wynikać dysproporcje w poziomach zabezpieczeń systemów. Nadzieję na zmianę tego stanu rzeczy daje m.in. program „Cyberbezpieczny Samorząd”. W 2024 roku w jego ramach blisko 2500 samorządów podpisało umowy opiewające na łączną kwotę 1,5 mld zł. Granty z programu przeznaczane są m.in. na wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, szkolenia z zakresu cyberbezpieczeństwa czy zakup sprzętu oraz oprogramowania. Do końca 2024 r. jednostkom samorządu wypłacono już 700 mln zł.
