NIK: zachodniopomorskie gminy nieprzygotowane na cyberzagrożenia

Wieloletnie zaniedbania dotyczące cyberbezpieczeństwa, brak skutecznych procedur reagowania na zagrożenia i wykorzystywanie oprogramowania, które miało krytyczne luki to główne nieprawidłowości wykryte w urzędach gmin w woj. zachodniopomorskim – wynika z opublikowanego w środę raportu NIK.

W raporcie Najwyższej Izby Kontroli podkreślono, że urzędy gmin w woj. zachodniopomorskim nie były przygotowane na ataki cybernetyczne. Nie zapewniły skutecznej ochrony danych, w tym danych osobowych obywateli; mogły one zostać utracone lub udostępnione osobom nieuprawnionym. Brak odpowiednich procedur i kompetencji pracowników mógł skutkować m.in. zakłóceniami w świadczeniu usług publicznych; ujawnieniem poufnych informacji lub uprawnień do innych systemów (np. bankowych); wgraniem przez cyberprzestępców oprogramowania, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt danych, w celu wyłudzenia okupu (tzw. ransomware).

Delegatura NIK w Szczecinie przeprowadziła kontrolę „Zapewnienie bezpieczeństwa teleinformatycznego przez jednostki samorządu terytorialnego województwa zachodniopomorskiego” w czterech urzędach gmin o liczbie mieszkańców do 10 tysięcy. Kontrola była uzasadniona m.in. rosnącą liczbą incydentów teleinformatycznych. W Zachodniopomorskiem liczba takich zgłoszeń okresie od 2018 do 2022 roku wzrosła ponad dziesięciokrotnie. NIK zauważyła jednocześnie, że incydenty zgłaszało tylko 30 podmiotów, a na terenie województwa zachodniopomorskiego gmin i powiatów jest 135.

W każdej z czterech skontrolowanych jednostek negatywnie oceniono zapewnienie bezpieczeństwa teleinformatycznego. NIK podkreśla, że urzędy opracowały dokumentację w zakresie cyberbezpieczeństwa, „ale w żadnym badanym przypadku nie była ona kompletna i nie odpowiadała wymaganiom określonym w przepisach prawa”. “W trzech urzędach przez prawie 4 lata (w jednym przez 2 lata) nie wyznaczono osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, która byłaby odpowiedzialna za zgłaszanie i obsługę cyberataków” – czytamy w raporcie NIK.

Autorzy raportu zwracają uwagę, że połowa skontrolowanych urzędów nie przygotowała procedury odtworzenia utraconych zasobów na wypadek cyberataku, a w jednym przypadku nie przeprowadzono testów potwierdzających skuteczność opracowanej procedury. „Urzędy co prawda tworzyły kopie zapasowe, jednak nie weryfikowały ich pod kątem kompletności i możliwości odtworzenia danych. W jednym z urzędów kopia zapasowa była tworzona w taki sposób, że w przypadku zawirusowania serwera głównego, zostałaby ona automatycznie zainfekowana” – wyjaśniają kontrolerzy.

NIK alarmuje, że „w skontrolowanych urzędach nie stworzono zinwentaryzowanego środowiska informatycznego, a w połowie przypadków wykorzystywano nieaktualne oprogramowanie”. “Natomiast luki w oprogramowaniu umożliwiały zdalne przejęcie kontroli nad systemem przez cyberprzestępców. Kontrola NIK wykazała również wykorzystywanie usług chmurowych w urzędach bez jakiegokolwiek określenia zasad i kontroli w tym zakresie” – napisano w raporcie.

W dwóch urzędach nie funkcjonował system zarządzania incydentami bezpieczeństwa informacji (identyfikacji i reagowania na ataki). W jednym – choć procedura istniała, to urząd nie rejestrował incydentów i nie zgłaszał ich do właściwych jednostek (CSIRT NASK).

Sprawdzono również, czy serwery objęto odpowiednią fizyczną ochroną. „W jednej z gmin serwer znajdował się w otwartej szafie ulokowanej w biurze (przechodnim) jednego z urzędników. To nie zapewniało chroniony przed nieuprawnionym dostępem lub nawet przypadkowym uszkodzeniem” – raportuje NIK.

Ponadto ustalono, że w żadnym ze skontrolowanych urzędów pracownicy nie przeszli odpowiednich szkoleń w zakresie cyberbezpieczeństwa. Przeprowadzone testy wiedzy wykazały, że 60 procent pracowników nie potrafiło rozpoznać sytuacji, w której mogliby stać się ofiarą phishingu; 75 procent pracowników nie znało zasad tworzenia bezpiecznego hasła; 75 procent pracowników nie potrafiło zabezpieczyć urządzeń mobilnych na wypadek kradzieży; 78 pracowników nie potrafiło rozpoznać symptomów zawirusowania komputera; 94 procent pracowników nie wiedziało, jakie podjąć czynności w przypadku zawirusowania komputera; 94 procent pracowników nie znało konsekwencji nieostrożnego wykorzystywania serwisów społecznościowych.

W ostatnich latach liczba incydentów teleinformatycznych systematycznie rośnie. W raporcie za 2021 r. CSIRT GOV (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego prowadzony przez szefa ABW) wskazał na ponad 762 tys. zgłoszeń o potencjalnym wystąpieniu incydentu teleinformatycznego. Dla porównania w 2020 r. było to nieco ponad 246 tys. zgłoszeń i niecałe 227 tys. zgłoszeń w 2019 r. W samych tylko urzędach miast i gmin zarejestrowano ponad 5,5 tys. incydentów (dane CSIRT NASK).

Od 30 listopada 2023 r. do 29 lutego 2024 r. w Polsce obowiązywał trzeci stopień alarmowy CRP (CHARLIE-CRP), wprowadzony wobec zagrożenia o charakterze terrorystycznym. Zagrożenie to dotyczy systemów teleinformatycznych administracji publicznej lub systemów, wchodzących w skład infrastruktury krytycznej.(PAP)

tma/ agz/
Fot. PAP/Rafał Guz