Taka konieczność pojawiła się m.in. po grudniowym ataku hakerskim na urząd gminy w Kościerzynie, podczas którego nieznani sprawcy włamali się do serwerów, zaszyfrowali dane i żądali okupu za ich odblokowanie. Wójt Kościerzyny zawiadomił służby, dane udało się odzyskać, problem bezpieczeństwa danych musi jednak zostać rozwiązany systemowo.

 


Wielorakie skutki

Zagrożenie jest poważne, bo cyberatak powodujący paraliż systemów może wprowadzić liczne utrudnienia w działaniu urzędu, czego skutki odczują zarówno urzędnicy, jak i mieszkańcy. Urzędy mogą np. z opóźnieniem wypłacać pensje czy świadczenia, mieć problemy ze ściąganiem podatków lokalnych, utracić bazy dłużników gminy czy dane do projektów, w tym unijnych.

- Do ministerstwa cyfryzacji różnymi drogami docierają informacje o incydentach w JST związanych z zagrożeniem cyberbezpieczeństwa - mówi Wanda Buk, wiceminister cyfryzacji. Jak zaznaczyła, nie zawsze to samorządy je zgłaszają, pomimo że ustawa nakłada na nie taki obowiązek. Niewielkie gminy czy powiaty nie potrafią sobie poradzić z tymi wyzwaniami.

- Na razie na poziomie ministerstwa wiemy, że problem jest, ale nie wiemy, jaką ma skalę. Chcemy więc zebrać informacje od samorządów, co tak naprawdę się dzieje – powiedziała wiceminister. Resort chce przygotować odpowiednie narzędzia, żeby wspomóc JST w zabezpieczaniu lokalnych systemów. Do tego potrzebne jest przygotowane diagnozy. - Ta inicjatywa, jeśli się uda, ma szansę ułatwić życie szczególnie małym jednostkom samorządu, gminom wiejskim, miasteczkom czy powiatom – uważa Jan Maciej Czajkowski, współprzewodniczący zespołu ds. Społeczeństwa Informacyjnego działającego w ramach Komisji Wspólnej.

Czytaj w LEX: Obowiązki jednostek samorządu terytorialnego w Krajowym Systemie Cyberbezpieczeństwa >

Co planuje ministerstwo?

Resort cyfryzacji chce przygotować standardy dokumentacji systemu zarządzania bezpieczeństwem informacji, zwłaszcza procedur utrzymaniowych systemu teleinformatycznego. Planuje też przygotowanie standardów technologicznych bezpiecznej konfiguracji stacji roboczych i serwerów oraz wewnętrznej sieci komputerowej urzędu. W porozumieniu z organizacjami samorządowymi z kolei zamierza zinwentaryzować usługi świadczone przez urzędy, po to, by móc je przenieść do bezpiecznego środowiska zewnętrznego (np. do gov.pl).

Jak poinformował Jakub Dysarz z Departamentu Cyberbezpieczeństwa, resort przygotowuje specjalną ankietę, na podstawie której spróbuje zdiagnozować stan cyberbezpieczeństwa w urzędach JST. Jej szczegóły dopracowuje we współpracy z samorządowcami, gdyż od odpowiedzi na pytania zależy jakość wyniku uzyskanego z JST.

Jan M. Czajkowski zaproponował przeprowadzenie mini-pilotażu dotyczącego cyberbezpieczeństwa w kilku gminach wiejskich, miastach na prawach powiatu oraz w jednym województwie samorządowym. Sprawdzenie sytuacji na miejscu – w konkretnym urzędzie pozwoli bowiem ustalić stan faktyczny, a potem precyzyjnie zidentyfikować procesy i usługi on-line, których bezpieczeństwo  powinno być monitorowane.  Kolejnym krokiem będzie nakreślenie planu niezbędnych działań w sytuacji, gdy wzrasta liczba zagrożeń związanych z dużą dynamiką zmian technologicznych.

Czytaj też: Przenoszenie administracji do chmury to niższe koszty i większe cyberbezpieczeństwo>>

Konieczne inwestycje w pracowników

Czajkowski przypomniał, że w 2017 r. powstała wspólna inicjatywa ZMP, ZPP oraz sejmowej komisji ds. Samorządu Terytorialnego i Polityki Regionalnej, we współpracy z Polską Izbą Informatyki i Telekomunikacji - poświęcona cyberbezpieczeństwu. Z prac powołanego wtedy zespołu wynikało, że  największymi problemami w urzędach w tym zakresie jest zbyt mała liczba pracowników, a także ich niskie kwalifikacje. No i jak zawsze w takich przypadkach – zbyt mało pieniędzy. W tej sytuacji warto więc wprowadzić systemowe rozwiązanie ustawicznego podnoszenia kwalifikacji dla pracowników samorządowych. Powstał wówczas pomysł utworzenia instytucji, która prowadziłaby takie szkolenia dla pracowników administracji. Same JST, szczególnie te o mniejszym potencjale nie poradzą sobie z tym zadaniem.

Szkolenie online w LEX: Cyberbezpieczeństwo a ochrona danych osobowych >

Wiceminister Buk zaproponowała, że skoro Ministerstwo Cyfryzacji prowadzi w całej Polsce szkolenia w ramach Akademii Inwestycji Szerokopasmowych, to można by je poszerzyć o komponent związany z cyberbezpieczeństwem. Taki krok ułatwiłby dotarcie z potrzebną wiedzą do pracowników urzędów samorządowych.

Samorządowcy z kolei zgłosili pomysł, by wprowadzić do klasyfikacji budżetowej pozycję – wydatki JST na cyberbezpieczeństwo. Taki zapis pomógłby podnieść w samorządach rangę kwestii związanych z bezpieczeństwem w sieci

Komu zgłaszać cyberataki

W tej chwili funkcjonują dwa akty prawne, dotyczące cyberbezpieczeństwa, które nakładają na samorządy pewne zadania. Jest to ustawa o informatyzacji, która mówi o bezpieczeństwie informacji oraz ustawa o krajowym systemie cyberbezpieczeństwa - nakładająca obowiązek zgłaszania wszelkich incydentów związanych z zagrożeniem tego bezpieczeństwa, a także podejmowania ich naprawy.  Samorządy winny informować Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) funkcjonujący w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK).  Ważnym z punktu widzenia cyberbezpieczeństwa, a często nierealizowanym przez gminy/powiaty obowiązkiem jest wyznaczenie w urzędzie osoby kontaktowej. To się przydaje w sytuacji, gdy ministerstwo otrzymuje z innych niż JST źródeł wiadomość o zagrożeniu – wtedy wie, z kim w danej gminie rozmawiać. W przypadku ataku hakerskiego gminy często nie wiedzą nawet o tych aktach prawnych i zgłaszają sprawy na policję, zamiast do NASK-u, co wydłuża czas reakcji na zagrożenia.