Samorządy mają coraz większy problem z zapewnieniem cyberbezpieczeństwa. Liczba incydentów rośnie systematycznie od siedmiu lat. Z danych CSIRT NASK wynika, że w 2024 r. liczba zgłoszeń incydentów cybernetycznych w Polsce wzrosła rok do roku o 60 proc. (627 339 zgłoszeń), potwierdzonych incydentów – o 23 proc. (111 660 przypadków). Średnia dzienna liczba incydentów obsługiwanych przez NASK wzrosła z 220 do 283. Odnotowano również o 57 proc. więcej tzw. incydentów poważnych – czyli takich, które mogą wpływać na ciągłość działania instytucji. W sektorze publicznym odnotowano aż 58 proc. więcej incydentów, w samorządzie – o 53 proc. więcej. To pokazuje skalę wyzwań dla JST.
– Cyberbezpieczeństwo to już realny problem. Nie chodzi tylko o pracę urzędu, ale o coraz większą liczbę różnych urządzeń i systemów sterowanych zdalnie. Samorządy są odpowiedzialne za istotną część infrastruktury krytycznej kraju, jak wodociągi i kanalizacja. Dobry specjalista jest w stanie sparaliżować pracę przeciętnego wodociągu w ciągu 15 minut – mówił dr Grzegorz Kubalski, zastępca dyrektora biura Związku Powiatów Polskich, podczas jednego z paneli Forum Samorządowych Centrów Usług Wspólnych, którego organizatorem był Wolters Kluwer Polska.
Zobacz także szkolenie w LEX: Modrzyński Paweł, Tworzenie samorządowych centrów usług wspólnych - ewolucja, nie rewolucja>
Ograniczone budżety JST oraz brak specjalistów utrudniają skuteczne zabezpieczenie systemów w samorządach.
– Nie widzę żadnych szans, aby w każdej jednostce zatrudnić specjalistę od cyberbezpieczeństwa – przyznał Grzegorz Kubalski.
Marek Śliwiński, naczelnik w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji, podkreślił, że oszczędności w tym obszarze będą jeszcze większym problemem.
– Niedomagania w tym zakresie zaczną być sankcjonowane po wejściu w życie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – zaznaczył.
Procedowana obecnie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) dość restrykcyjnie wprowadza w Polsce zapisy unijnej dyrektywy NIS2. Wymusi to zmiany w podejściu do zagadnień cyberbezpieczeństwa przez samorządy terytorialne, które już nie są w stanie wywiązać się z dotychczasowych obowiązków, a dojdą im nowe.
Zobacz szkolenie w LEX: Świtała Krzysztof, Cyberbezpieczeństwo w jednostce samorządu terytorialnego>
Przeczytaj także: Samorządowe centra usług wspólnych czeka rewolucja 4.0
Resort stawia na samoorganizację gmin
Prace nad nowelizacją ustawy o KSC trwają już ponad rok. Powstało kilka wersji projektu i koncepcji wsparcia samorządów w realizacji tych zadań. Marek Śliwiński przyznaje, że upadła koncepcja budowy ponadregionalnych struktur opartych na urzędach marszałkowskich – problemem okazało się finansowanie. Resort cyfryzacji nie chce narzucać gminom i powiatom, jak ma wyglądać podmiot odpowiedzialny za cyberbezpieczeństwo, pozostawiając im swobodę organizacyjną. Uważa, że takie podejście jest słuszne ze względu na specyfikę poszczególnych JST – ich wielkość, położenie geograficzne, stopień zaawansowania IT.
– Nie da się zastosować podejścia „jeden rozmiar dla wszystkich” – rozwiązania muszą być realistyczne i dostosowane do lokalnych warunków. Mogą to być np. spółki prawa handlowego należące do samorządu, spółki komunalne lub inne jednostki obsługujące lub obsługiwane przez samorząd. Ważne, by współpraca była trwała i przynosiła realne efekty - zaznacza Marek Śliwiński.
Współpraca ta może dotyczyć:
- Wspólnych zakupów: oprogramowania, sprzętu oraz usług.
- Monitorowania i reagowania na incydenty: monitorowanie lokalnych sieci i systemów informacyjnych, analizowanie potencjalnych zagrożeń oraz koordynacja działań w przypadku incydentów cyberbezpieczeństwa.
- Wsparcia technicznego: udzielanie wsparcia technicznego w zakresie oprogramowania, sprzętu oraz usług, zarządzanie serwisem oraz obsługa zgłoszeń.
- Edukacji i szkoleń: szkolenia zawodowe dla lokalnych pracowników, specjalistów IT i przedstawicieli instytucji publicznych.
- Współpracy z inicjatywami krajowymi: np. z Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego krajowego zespołu.
Ministerstwo Cyfryzacji chce określić jedynie minimalny poziom harmonizacji zadań w tym zakresie, aby nowo powstałe podmioty były w stanie realnie podnieść poziom bezpieczeństwa, skrócić czas reakcji i umożliwić szybkie przywrócenie działania systemów i usług.
Czytaj także komentarz praktyczny w LEX: Świtała Krzysztof, Obowiązki jednostek samorządu terytorialnego w Krajowym Systemie Cyberbezpieczeństwa>
Zmiany prawa pod tworzenie cyberCUW
Ponadgminnej współpracy, np. w formie centrum usług wspólnych, mają też służyć zmiany w przepisach ustaw ustrojowych JST przy okazji nowelizacji ustawy o KSC. Mają one stworzyć szersze podstawy prawne m.in. do:
-
Współpracy wewnątrz JST: wprowadzenie możliwości wskazania jednej jednostki odpowiedzialnej za cyberbezpieczeństwo (postulat środowisk samorządowych: organizacji gminy, powiatu lub województwa; może to być jednostka budżetowa, spółka komunalna lub budżetowa, albo związek JST).
-
Współpracy między JST: wprowadzenie możliwości zawierania porozumień międzygminnych/powiatowych/wojewódzkich w zakresie cyberbezpieczeństwa (postulat strony samorządowej KWRIST).
Zdaniem resortu cyfryzacji to właśnie ponadgminne CUW mogłyby pełnić funkcję Lokalnego Centrum Cyberbezpieczeństwa.
– Ta nazwa nie ma oparcia w legalnej definicji w ustawie, ale chodzi o to, by współpraca między samorządami, czy to w formie związku, czy porozumienia, pozwalała lepiej zadbać o bezpieczeństwo cyfrowe – powiedział Marek Śliwiński.
Czytaj także artykuł w LEX: Chaba Dawid, Warunki cyfryzacji samorządu terytorialnego w Polsce>
Zachętą do tworzenia CyberCUW ma być ogłoszony jeszcze w tym roku konkurs z budżetem w wysokości 270 mln zł. Pieniądze na ten cel pochodzą z Funduszu Europejskiego na Rozwój Cyfrowy 2021–2027 (FERC), Działanie 2.2 – Wzmocnienie krajowego systemu cyberbezpieczeństwa. Środki będzie można wykorzystać w latach 2025–2029.
– Oczywiście nie będą to środki wystarczające na utrzymanie takiej jednostki, ale będą poważnym wsparciem dla takich działań i pozwolą samorządom wdrożyć rozwiązania, które poprawią ich bezpieczeństwo - powiedział Marek Śliwiński.
Zdaniem dr Grzegorza Kubalskiego, z powodu depopulacji małe gminy już mają problem z zapewnieniem odpowiednich kadr do obsługi zadań nałożonych na JST. Problem będzie narastał, szczególnie w tak wymagającej wiedzy segmencie jak cyberbezpieczeństwo.
– Przy tworzeniu takich mikroregionalnych CUW jest wyższy poziom trudności, także psychologicznej, ale uważam, że centra usług wspólnych dla kilku gmin, a nawet powiatów staną się koniecznością – przekonuje Grzegorz Kubalski.
– Cyberbezpieczeństwo wymusza standaryzację, a nie wszystkie gminy korzystają z tych samych rozwiązań. To także konieczność ujednolicenia procedur, co bywa trudne. Nie oznacza to jednak, że przeszkód nie da się pokonać – zaznacza dr Paweł Modrzyński z Katedry Finansów i Rachunkowości Wydziału Zarządzania Politechniki Bydgoskiej.
Czytaj komentarz praktyczny w LEX: Przybylska Joanna, Cyberbezpieczeństwo jako element kontroli zarządczej>
----------------------------------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
