Każda gmina, nawet ta najmniejsza i najbiedniejsza, jest odporna na cyberatak. Pod warunkiem, że wyłączy się jej prąd – śmieją się specjaliści od zagrożeń w sieci. Z danych CSIRT NASK, czyli Zespołu Reagowania na Incydenty Bezpieczeństwa Krajowego prowadzonego przez Naukową Akademicką Sieć Komputerową, wynika, że do września tego roku jednostki samorządu terytorialnego zgłosiły około 500 incydentów na 80 tys. ogólnych zgłoszeń. Wydaje się więc, że gminy są bezpieczne.
Dane nie oddają jednak skali zjawiska, bo po pierwsze wiele samorządów boi się zgłaszać do NASK takie zdarzenia obawiając się różnych konsekwencji, po drugie - w wielu samorządach nie ma, kto tego robić. Z obowiązkowych ankiet, które wpłynęły do Ministerstwa Cyfryzacji przy okazji realizacji programu „Cyfrowa gmina”, wynika, że w połowie gmin nie wyznaczono nawet osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, pomimo że taki obowiązek nakłada na nie art. 21 ustawy o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 r. Od 21 lutego 2022 roku przez dwa lata w urzędach obowiązywał trzeci stopień bezpieczeństwa cyberprzestrzeni CHARLIE–CRP w związku z zagrożeniem terrorystycznym (obecnie obowiązuje drugi stopień alarmowy - Bravo-CRP).
- Urzędy zgłaszają problem, gdy nie są w stanie świadczyć usług publicznych – przyznaje Monika Pieniek, z-ca dyrektora departamentu cyberbezpieczeństwa Ministerstwa Cyfryzacji.
Samorządowcy, z małych i średnich gmin podkreślają, że chętnie zatrudniliby specjalistów, ale ich na to nie stać. Więcej o tym pisaliśmy w tekście: Samorządy w niebezpieczeństwie, bo nie stać ich na cyberspecjalistów
--------------------------------------------------------
--------------------------------------------------------
Czytaj w LEX: Obowiązki jednostek samorządu terytorialnego w Krajowym Systemie Cyberbezpieczeństwa >
Samorządy boją się zgłaszać ataki
Z danych NASK wynika, że do września zgłoszono 350 incydentów w sferze phishingu, czyli próby wyłudzenia informacji drogą mailową. To najczęstsze zagrożenie zgłaszane przez JST. Do tego trzeba doliczyć 50 zgłoszonych incydentów dotyczących podszywania się pod instytucje i organy ścigania. Ofiarą takiego ataku padł m.in. w lipcu Środowiskowy Dom Pomocy Społecznej w powiecie puławskim. Osoba, podająca się za pracownika banku, skłoniła szefową placówki do zainstalowania na firmowym komputerze oraz swoim telefonie komórkowym niebezpiecznego oprogramowania. Z konta ŚDPS zniknęła cała dotacja przyznana na jego funkcjonowanie przez wojewodę lubelskiego - 150 tys. zł. Złodzieje ograbili również prywatne konto pani dyrektor, przelewając pięciocyfrową sumę. Często przestępcy podszywają się także pod burmistrza czy skarbnika gminy. W NASK przyznają, że przestępstwa te są coraz powszechniejsze.
Druga kategoria to incydenty związane ze szkodliwym oprogramowaniem. W tym roku zgłoszono już 130 incydentów. To różnego rodzaju załączniki, które są szkodliwe w swojej naturze, wykradają dane z urządzeń. W tej kategorii jest grupa szczególnie dolegliwa w skutkach, czyli oprogramowanie, które podejmuje akcje niszczenia, ale najczęściej szyfrowania danych w zamian za okup (siedem akcji w tym roku).
- To były tylko zgłoszenia, które się zmaterializowały, gdzie ta pomoc była oczekiwana. Jeśli instytucja sama jest w stanie się podnieść po takim ataku i nie ma przekroczonych określonych progów niedostępności publicznej, to takie akcje nie są nam zgłaszane - mówi Juliusz Brzostek, dyrektor do spraw cyberbezpieczeństwa NASK. Zachęca, aby JST zgłaszały wszystkie niepokojące incydenty, bo wtedy NASK może ocenić, czy to jest incydentalne zdarzenie, czy szersza kampania i wystosować ostrzeżenie do innych samorządów.
Ministerstwo podkreśla jednocześnie, że ponad 2,5 tys. samorządów (blisko 90 proc.) otrzyma w bieżącym roku wsparcie finansowe w postaci grantów finansowanych ze środków budżetu państwa oraz programu Fundusze Europejskie na Rozwój Cyfrowy 2021–2027 (FERC) Wsparcie to, łącznie 1,5 mld zł jednostki samorządu terytorialnego będą mogły wykorzystać na modernizację rozwiązań w obszarze cyberbezpieczeństwa.
Zobacz w LEX: W stronę elektronicznej administracji w gminach > >
Nowe obowiązki dla JST
Z danych, które posiada Ministerstwo Cyfryzacji, wynika, że tylko 50 proc. JST zrealizowało obowiązki w zakresie cyberbezpieczeństwa na podstawie dotychczasowych przepisów ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz paragrafu 20 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności KSC. Tymczasem samorządom dojdą kolejne - wynikające z dyrektywy NIS 2. Ministerstwo wpisało je do projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, nad którą w ubiegłym tygodniu zakończyło prace. Resort w uzasadnieniu projektu wskazuje, że dostosowanie się podmiotów publicznych, w tym jednostek samorządu terytorialnego, do wymogów dyrektywy NIS2 będzie polegało na przeglądzie już wdrożonych systemów zarządzania bezpieczeństwem informacji i uzupełnieniu dokumentacji oraz środków technicznych i organizacyjnych. A skala zmian będzie zależna od obecnej dojrzałości organizacyjnej poszczególnych podmiotów publicznych. Resort nie potrafi jednak oszacować wydatków jakie będą musiały ponieść samorządy.
Czytaj również w LEX: Cyberbezpieczeństwo kancelarii prawnych
Srogie kary dla niedostosowanych
- Zdania będą podobne, ale inaczej zostanie położny na nie nacisk. Te dotychczasowe „nie przyjęły się” w samorządach z powodu braku sankcji. Wprowadzamy więc kary, bo nie widzimy innej możliwości – wskazywała dyrektor Monika Pieniek podczas VII Forum Miast i Miasteczek.
Projekt nowelizacji ustawy przewiduje m.in. możliwość nałożenia kary (minimum 20 tys. zł) na podmiot, który nie wyznaczył osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami kluczowymi i podmiotami ważnymi lub na podmiot, który nie zapewnia użytkownikowi usługi dostępu do wiedzy pozwalającej na zrozumienie cyberzagrożeń i stosowanie skutecznych sposobów zabezpieczenia się przed tymi zagrożeniami w zakresie związanym ze świadczonymi usługami. W projekcie doprecyzowano, że karze pieniężnej podlegają podmioty kluczowe m.in. jst także wtedy, gdy ich działanie lub zaniechanie ma charakter jednorazowy. Zdaniem resortu, taki przepis pozwoli wyeliminować wątpliwości co do tego, czy np. niewykonywanie obowiązku musi mieć charakter ciągły lub powtarzalny, żeby wypełniało to znamiona czynu, za który nałożona może zostać kara pieniężna.
Projekt przewiduje, że za niewykonywanie obowiązków określonych w ustawie karze pieniężnej może podlegać także kierownik podmiotu zobowiązanego. Co więcej, kara może zostać nałożona na kierownika podmiotu niezależnie od tego czy została nałożona na JST. Kara może sięgnąć nawet 600 proc. wynagrodzenia ukaranego obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. Kary pieniężne nakładać będzie organ właściwy do spraw cyberbezpieczeństwa w drodze decyzji.
Projekt wprowadza też możliwość nakładania na podmiot okresowej kary pieniężnej. Będzie to możliwe w sytuacji, w której podmiot opóźnia się z wykonaniem czynności określonych w decyzji wydanych na podstawie art. 53 ust. 5 pkt 2–8 ustawy o KSC. Za każdy dzień opóźnienia organ właściwy do spraw cyberbezpieczeństwa będzie mógł nałożyć karę pieniężną w wysokości od 500 zł do 100 tys. zł. Zdaniem ministerstwa okresowa kara pieniężna ma stanowić narzędzie do efektywnego egzekwowania stosowania przepisów ustawy i wykonywania nałożonych na podmioty obowiązków.
Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa trafi teraz do dalszego procedowania przez właściwe komitety Rady Ministrów, a następnie zostanie skierowany do rozpatrzenia przez Radę Ministrów. Jednocześnie zostanie on skierowany do Komisji Wspólnej Rządu i Samorządu Terytorialnego. Planowane jest skierowanie projektu do prac w Sejmie jeszcze w tym roku.
Sprawdź także w LEX: Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2) > >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.