Taka konieczność pojawiła się m.in. po grudniowym ataku hakerskim na urząd gminy w Kościerzynie, podczas którego nieznani sprawcy włamali się do serwerów, zaszyfrowali dane i żądali okupu za ich odblokowanie. Wójt Kościerzyny zawiadomił służby, dane udało się odzyskać, problem bezpieczeństwa danych musi jednak zostać rozwiązany systemowo.

 

Cezary Banasiński, Marcin Rojszczak

Sprawdź  

Cena promocyjna: 111 zł

|

Cena regularna: 111 zł

|

Najniższa cena w ostatnich 30 dniach: zł


Wielorakie skutki

Zagrożenie jest poważne, bo cyberatak powodujący paraliż systemów może wprowadzić liczne utrudnienia w działaniu urzędu, czego skutki odczują zarówno urzędnicy, jak i mieszkańcy. Urzędy mogą np. z opóźnieniem wypłacać pensje czy świadczenia, mieć problemy ze ściąganiem podatków lokalnych, utracić bazy dłużników gminy czy dane do projektów, w tym unijnych.

- Do ministerstwa cyfryzacji różnymi drogami docierają informacje o incydentach w JST związanych z zagrożeniem cyberbezpieczeństwa - mówi Wanda Buk, wiceminister cyfryzacji. Jak zaznaczyła, nie zawsze to samorządy je zgłaszają, pomimo że ustawa nakłada na nie taki obowiązek. Niewielkie gminy czy powiaty nie potrafią sobie poradzić z tymi wyzwaniami.

- Na razie na poziomie ministerstwa wiemy, że problem jest, ale nie wiemy, jaką ma skalę. Chcemy więc zebrać informacje od samorządów, co tak naprawdę się dzieje – powiedziała wiceminister. Resort chce przygotować odpowiednie narzędzia, żeby wspomóc JST w zabezpieczaniu lokalnych systemów. Do tego potrzebne jest przygotowane diagnozy. - Ta inicjatywa, jeśli się uda, ma szansę ułatwić życie szczególnie małym jednostkom samorządu, gminom wiejskim, miasteczkom czy powiatom – uważa Jan Maciej Czajkowski, współprzewodniczący zespołu ds. Społeczeństwa Informacyjnego działającego w ramach Komisji Wspólnej.

Czytaj w LEX: Obowiązki jednostek samorządu terytorialnego w Krajowym Systemie Cyberbezpieczeństwa >

Co planuje ministerstwo?

Resort cyfryzacji chce przygotować standardy dokumentacji systemu zarządzania bezpieczeństwem informacji, zwłaszcza procedur utrzymaniowych systemu teleinformatycznego. Planuje też przygotowanie standardów technologicznych bezpiecznej konfiguracji stacji roboczych i serwerów oraz wewnętrznej sieci komputerowej urzędu. W porozumieniu z organizacjami samorządowymi z kolei zamierza zinwentaryzować usługi świadczone przez urzędy, po to, by móc je przenieść do bezpiecznego środowiska zewnętrznego (np. do gov.pl).

Jak poinformował Jakub Dysarz z Departamentu Cyberbezpieczeństwa, resort przygotowuje specjalną ankietę, na podstawie której spróbuje zdiagnozować stan cyberbezpieczeństwa w urzędach JST. Jej szczegóły dopracowuje we współpracy z samorządowcami, gdyż od odpowiedzi na pytania zależy jakość wyniku uzyskanego z JST.

Jan M. Czajkowski zaproponował przeprowadzenie mini-pilotażu dotyczącego cyberbezpieczeństwa w kilku gminach wiejskich, miastach na prawach powiatu oraz w jednym województwie samorządowym. Sprawdzenie sytuacji na miejscu – w konkretnym urzędzie pozwoli bowiem ustalić stan faktyczny, a potem precyzyjnie zidentyfikować procesy i usługi on-line, których bezpieczeństwo  powinno być monitorowane.  Kolejnym krokiem będzie nakreślenie planu niezbędnych działań w sytuacji, gdy wzrasta liczba zagrożeń związanych z dużą dynamiką zmian technologicznych.

Czytaj też: Przenoszenie administracji do chmury to niższe koszty i większe cyberbezpieczeństwo>>

Konieczne inwestycje w pracowników

Czajkowski przypomniał, że w 2017 r. powstała wspólna inicjatywa ZMP, ZPP oraz sejmowej komisji ds. Samorządu Terytorialnego i Polityki Regionalnej, we współpracy z Polską Izbą Informatyki i Telekomunikacji - poświęcona cyberbezpieczeństwu. Z prac powołanego wtedy zespołu wynikało, że  największymi problemami w urzędach w tym zakresie jest zbyt mała liczba pracowników, a także ich niskie kwalifikacje. No i jak zawsze w takich przypadkach – zbyt mało pieniędzy. W tej sytuacji warto więc wprowadzić systemowe rozwiązanie ustawicznego podnoszenia kwalifikacji dla pracowników samorządowych. Powstał wówczas pomysł utworzenia instytucji, która prowadziłaby takie szkolenia dla pracowników administracji. Same JST, szczególnie te o mniejszym potencjale nie poradzą sobie z tym zadaniem.

Szkolenie online w LEX: Cyberbezpieczeństwo a ochrona danych osobowych >

Wiceminister Buk zaproponowała, że skoro Ministerstwo Cyfryzacji prowadzi w całej Polsce szkolenia w ramach Akademii Inwestycji Szerokopasmowych, to można by je poszerzyć o komponent związany z cyberbezpieczeństwem. Taki krok ułatwiłby dotarcie z potrzebną wiedzą do pracowników urzędów samorządowych.

Samorządowcy z kolei zgłosili pomysł, by wprowadzić do klasyfikacji budżetowej pozycję – wydatki JST na cyberbezpieczeństwo. Taki zapis pomógłby podnieść w samorządach rangę kwestii związanych z bezpieczeństwem w sieci

Komu zgłaszać cyberataki

W tej chwili funkcjonują dwa akty prawne, dotyczące cyberbezpieczeństwa, które nakładają na samorządy pewne zadania. Jest to ustawa o informatyzacji, która mówi o bezpieczeństwie informacji oraz ustawa o krajowym systemie cyberbezpieczeństwa - nakładająca obowiązek zgłaszania wszelkich incydentów związanych z zagrożeniem tego bezpieczeństwa, a także podejmowania ich naprawy.  Samorządy winny informować Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) funkcjonujący w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK).  Ważnym z punktu widzenia cyberbezpieczeństwa, a często nierealizowanym przez gminy/powiaty obowiązkiem jest wyznaczenie w urzędzie osoby kontaktowej. To się przydaje w sytuacji, gdy ministerstwo otrzymuje z innych niż JST źródeł wiadomość o zagrożeniu – wtedy wie, z kim w danej gminie rozmawiać. W przypadku ataku hakerskiego gminy często nie wiedzą nawet o tych aktach prawnych i zgłaszają sprawy na policję, zamiast do NASK-u, co wydłuża czas reakcji na zagrożenia.