Cyberbezpieczeństwo jednostek samorządu terytorialnego (JST) stanowi dziś jedno z ważniejszych wyzwań dla administracji publicznej. Liczba cyberataków rośnie, a metody działania cyberprzestępców okazują się coraz bardziej wyrafinowane. Lokalne instytucje pozostają strukturalnie niedostosowane do skali zagrożeń. Wyniki kontroli NIK ujawniają poważne braki, a utrzymujące się luki technologiczne i organizacyjne zwiększają ryzyko paraliżu usług publicznych, naruszeń ochrony danych osobowych oraz eskalacji incydentów związanych z infrastrukturą krytyczną. W najbliższej przyszłości istotne będzie nie tylko wdrażanie technologii i procedur, ale także zwiększanie kompetencji oraz trwała integracja z krajowym systemem cyberbezpieczeństwa. Poniżej przedstawiamy diagnozę sytuacji, mapę ryzyk oraz planowane mechanizmy wsparcia.
Cyberbezpieczeństwo samorządów w słabym stanie
W raporcie opublikowanym w kwietniu 2025 r. Najwyższa Izba Kontroli ujawniła istotne uchybienia w zakresie cyberbezpieczeństwa JST. Kontrola w 24 urzędach, gminnych i powiatowych, wykazała, iż 71% tych jednostek nie posiadało planów ciągłości działania ani procedur odtworzeniowych. W praktyce oznacza to, iż w przypadku incydentu, takiego jak awaria infrastruktury IT, pożar, zalanie czy atak ransomware, znaczna część administracji lokalnej byłaby niezdolna do szybkiego przywrócenia usług kluczowych. Brak opracowanych i wdrożonych planów skutkuje nie tylko ryzykiem przerw w świadczeniu usług, ale także zagrożeniem trwałej utraty danych oraz naruszenia przepisów dotyczących ochrony informacji i odpowiedzialności wobec obywateli.
Szczególnie niepokojące jest to, iż jedna trzecia skontrolowanych jednostek w ogóle nie wdrożyła Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), będącego podstawowym standardem ochrony informacji. choćby w tych JST, które deklarowały posiadanie SZBI, Najwyższa Izba Kontroli odnotowała brak regularnych przeglądów, aktualizacji oraz niedostosowanie systemów do przeciwdziałania realnym zagrożeniom – środki ochrony były nieadekwatne, przestarzałe lub nieskuteczne. Ponadto fizyczne zabezpieczenie infrastruktury IT również pozostawia wiele do życzenia. W ponad 80% przypadków (20 z 24 JST) stwierdzono poważne uchybienia, od nieodpowiedniego zabezpieczenia serwerowni przed zalaniem i dostępem osób nieuprawnionych po brak przechowywania kopii zapasowych w odseparowanym środowisku. Co więcej, nie testowano regularnie kopii zapasowych, co podważa ich przydatność w sytuacjach awaryjnych.
Niepokój budzi również brak elementarnych działań prewencyjnych. W blisko połowie urzędów nie zidentyfikowano wszystkich zasobów wymagających ochrony, co oznacza, iż część danych krytycznych mogła pozostawać bez nadzoru. Dodatkowo w 10 jednostkach nie prowadzono żadnych szkoleń dla pracowników z zakresu bezpieczeństwa informacji, co czyni je szczególnie podatnymi na ataki socjotechniczne, w tym phishing. Brak szkoleń i świadomości zagrożeń wśród personelu często bywa najsłabszym ogniwem systemu bezpieczeństwa.
Raport jednoznacznie pokazuje, iż cyberbezpieczeństwo w polskich JST znajduje się na alarmująco niskim poziomie, co rodzi ryzyko poważnych zakłóceń w funkcjonowaniu administracji publicznej. Zaniedbania dotyczą zarówno sfery technologicznej, jak i organizacyjnej
Skutki i wektory ataku
Atak na JST nie jest odosobnionym incydentem technologicznym. To potencjalne uderzenie w całą strukturę instytucji świadczących usługi publiczne na poziomie lokalnym. Infrastruktura IT wykorzystywana przez administrację gminną czy powiatową często opiera się na wspólnych zasobach, systemach i połączeniach sieciowych, z których równolegle korzystają urzędy, szkoły, instytucje pomocy społecznej, placówki ochrony zdrowia czy zakłady komunalne. Ze względu na wysoki stopień integracji środowisk informatycznych kompromitacja jednego systemu może błyskawicznie nastąpić w kolejnych jednostkach i wywołać efekt domina. W rezultacie choćby pozornie niewielki incydent na poziomie lokalnym może sparaliżować funkcjonowanie całego systemu samorządowego, od obsługi mieszkańców przez wypłatę świadczeń po działalność instytucji zapewniających bezpieczeństwo sanitarne i zdrowotne.
Gdy ofiarą ataku pada urząd miasta lub starostwo powiatowe, najczęściej dochodzi do zablokowania dostępu do ePUAP, systemów podatkowych i baz danych mieszkańców. W praktyce oznacza to całkowity paraliż obsługi wniosków, świadczeń i rozliczeń podatkowych, a także ryzyko naruszenia przepisów o ochronie danych osobowych, co z kolei może skutkować karami i utratą zaufania obywateli do instytucji publicznych.
Jeszcze poważniejsze konsekwencje ma zakłócenie działania ośrodków pomocy społecznej. Brak dostępu do danych o uprawnieniach i wypłatach prowadzi do opóźnień lub całkowitego wstrzymania wypłaty świadczeń socjalnych, takich jak 800+ czy zasiłki celowe. Równie wrażliwym obszarem są lokalne placówki ochrony zdrowia, np. punkty szczepień, NZOZ-y czy przychodnie, które w razie ataku tracą dostęp do dokumentacji medycznej, systemów e-rejestracji czy terminarzy.
Z osobną kategorią ryzyka wiąże się infrastruktura komunalna, której coraz więcej obiektów, jak wodociągi, stacje uzdatniania wody czy oczyszczalnie ścieków, opiera się na zdalnie sterowanych systemach SCADA. Przykłady realnych incydentów z ostatnich lat – w Tolkmicku, Sierakowie, Wydminach czy Kuźnicy – pokazują, iż cyberatak może mieć bezpośrednie i dotkliwe konsekwencje dla mieszkańców. Może prowadzić do zakłóceń w dostawie wody pitnej, utraty kontroli nad jej jakością, awarii infrastruktury technicznej oraz skażenia środowiska.
Dlaczego dochodzi do ataków? Motywacje sprawców i zagrożenia
Ataki na JST nie są dziełem przypadku. Te jednostki od kilku lat znajdują się w kręgu zainteresowania cyberprzestępców, grup hakerskich, a choćby służb wywiadowczych. Ich infrastruktura informatyczna bywa przestarzała, a poziom zabezpieczeń – ograniczony przez braki kadrowe i budżetowe. Samorządy stają się zatem celem łatwym i opłacalnym, tym bardziej jeżeli weźmie się pod uwagę, jak cenne dane przetwarzają. Motywacje atakujących są różne, ale mają wspólne mianowniki: zysk, uzyskanie przewagi lub demonstracja siły.
Najczęstszym wektorem ataku pozostaje ransomware, czyli złośliwe oprogramowanie szyfrujące dane. Po ataku przestępcy żądają okupu za ich odszyfrowanie. Dla JST oznacza to często całkowity paraliż – utratę dostępu do rejestrów mieszkańców, danych podatkowych, dokumentów księgowych czy systemów świadczeń społecznych. dokumentację medyczną i plany inwestycyjne. Takie dane trafiają później na czarny rynek lub służą do wyłudzeń i ataków tożsamościowych. Oddzielną kategorię zagrożeń stanowią operacje wywiadowcze. Służby specjalne państw trzecich mogą prowadzić długofalowe działania ukierunkowane na szpiegostwo, sabotaż lub testowanie odporności infrastruktury krytycznej.
Coraz częstsze są też kradzieże danych. Samorządy przechowują olbrzymie zbiory informacji, od danych osobowych i numerów PESEL przez numery kont bankowych aż po 6 Wodociągi, oczyszczalnie ścieków i lokalna infrastruktura energetyczna pozostają w bezpośredniej gestii JST i są integralnym elementem infrastruktury krytycznej państwa. Zakłócenie ich funkcjonowania, choćby na ograniczonym obszarze, może zostać wykorzystane jako element szerszych działań o charakterze hybrydowym.
Zagrożeniem jest także wywiad gospodarczy. Samorządy dysponują dokumentacją przetargową, danymi o zasobach naturalnych, planami zagospodarowania przestrzennego czy projektami inwestycyjnymi. Ich wyciek może być wykorzystany przez zagraniczne f irmy do przejęcia kontraktów lub nieuczciwej konkurencji.
„Cyberbezpieczny Samorząd”. Systemowe wzmocnienie cyfrowej odporności JST
W obliczu nasilających się ataków na infrastrukturę samorządową rząd uruchomił ogólnopolski, kompleksowy i długofalowy projekt „Cyberbezpieczny Samorząd”. To inicjatywa mająca na celu podniesienie poziomu bezpieczeństwa cyfrowego w JST –zwiększenie zdolności JST do zapobiegania cyberzagrożeniom, skutecznego reagowania na incydenty oraz podniesienie poziomu ochrony danych i infrastruktury IT. Wsparcie obejmuje zarówno działania techniczne, jak i organizacyjne. Na liście priorytetów znajdują się m.in. wdrożenie lub aktualizacja SZBI, opracowanie i realizacja polityk zarządzania ryzykiem, wdrażanie rozwiązań zwiększających odporność systemów oraz szkolenia personelu.
Istotnym komponentem projektu są audyty SZBI, które mają za zadanie ocenić skuteczność wdrożonych zabezpieczeń oraz potwierdzić realny wzrost poziomu ochrony informacji. Inicjatywa obejmuje wszystkie JST w Polsce, a jej finansowanie realizowane jest w formule grantowej. Taki model umożliwia samorządom elastyczne planowanie działań i dostosowanie ich do lokalnych warunków i skali zagrożeń. Środki mogą być przeznaczane nie tylko na zakup infrastruktury technicznej, ale przede wszystkim na implementację procedur, narzędzi oraz rozwój kompetencji w obszarze cyberbezpieczeństwa. Wysokość wsparcia f inansowego określono na poziomie od 200 000 zł do 850 000 zł dla gmin, do 850 000 zł dla powiatów oraz do 850 000 zł dla samorządów wojewódzkich.
Lokalne Centra Cyberbezpieczeństwa
Rosnące zagrożenia cyfrowe wymierzone w JST wymagają wdrożenia trwałych, systemowych rozwiązań ochronnych. W odpowiedzi na rekomendacje Najwyższej Izby Kontroli oraz postulaty Związku Powiatów Polskich rząd planuje uruchomienie Lokalnych Centrów Cyberbezpieczeństwa (LCC) – regionalnych struktur wspierających JST w zakresie zapobiegania incydentom informatycznym, ich detekcji oraz reagowania na nie6. Zidentyfikowane braki kadrowe, technologiczne i proceduralne sprawiają, iż wiele samorządów nie dysponuje dziś wystarczającym potencjałem do samodzielnego przeciwdziałania złożonym cyberatakom7.
Centra będą realizować wiele wzajemnie uzupełniających się zadań. Jednym z najważniejszych obszarów ich działalności będzie monitorowanie systemów informacyjnych wykorzystywanych przez JST oraz reagowanie na incydenty bezpieczeństwa. Lokalne zespoły specjalistów przejmą odpowiedzialność za bieżący nadzór nad infrastrukturą IT, identyfikację zagrożeń, analizę ryzyk oraz koordynację działań naprawczych. W przypadku wykrycia nieprawidłowości, takich jak próby phishingu, ataki ransomware czy nieautoryzowane próby dostępu, centra będą prowadzić działania operacyjne mające przywrócić ciągłość działania systemów8.
Drugim filarem działalności LCC będzie udzielanie wsparcia technicznego i doradczego. Samorządy otrzymają dostęp do specjalistycznej pomocy w zakresie prowadzenia audytów, opracowywania polityk bezpieczeństwa, wdrażania mechanizmów kontroli i zarządzania ryzykiem. Celem jest uzupełnienie braków kompetencyjnych oraz odciążenie lokalnych zespołów IT w realizacji zadań wymagających specjalistycznej wiedzy.
Trzeci obszar to działania edukacyjne. Lokalne Centra Cyberbezpieczeństwa będą odpowiedzialne za organizację szkoleń, warsztatów i konsultacji skierowanych do urzędników, nauczycieli, pracowników instytucji publicznych oraz służb technicznych. Celem tych działań jest budowanie świadomości zagrożeń cyfrowych oraz rozwój praktycznych umiejętności z zakresu ochrony danych i reagowania na incydenty.
Autor: Mikołaj Rogalewicz
Samorzady-wobec-cyfrowych-wyzwan.-Raporty-alarmuja-rzad-reaguje Samorzady-wobec-cyfrowych-wyzwan.-Raporty-alarmuja-rzad-reaguje_rozkladowki
