Samorządy mają coraz większy problem z zapewnieniem cyberbezpieczeństwa. Liczba incydentów rośnie systematycznie od siedmiu lat. Z danych CSIRT NASK wynika, że w 2024 r. liczba zgłoszeń incydentów cybernetycznych w Polsce wzrosła rok do roku o 60 proc. (627 339 zgłoszeń), potwierdzonych incydentów – o 23 proc. (111 660 przypadków). Średnia dzienna liczba incydentów obsługiwanych przez NASK wzrosła z 220 do 283. Odnotowano również o 57 proc. więcej tzw. incydentów poważnych – czyli takich, które mogą wpływać na ciągłość działania instytucji. W sektorze publicznym odnotowano aż 58 proc. więcej incydentów, w samorządzie – o 53 proc. więcej. To pokazuje skalę wyzwań dla JST.

– Cyberbezpieczeństwo to już realny problem. Nie chodzi tylko o pracę urzędu, ale o coraz większą liczbę różnych urządzeń i systemów sterowanych zdalnie. Samorządy są odpowiedzialne za istotną część infrastruktury krytycznej kraju, jak wodociągi i kanalizacja. Dobry specjalista jest w stanie sparaliżować pracę przeciętnego wodociągu w ciągu 15 minut – mówił dr Grzegorz Kubalski, zastępca dyrektora biura Związku Powiatów Polskich, podczas jednego z paneli Forum Samorządowych Centrów Usług Wspólnych, którego organizatorem był Wolters Kluwer Polska.

Zobacz także szkolenie w LEX: Modrzyński Paweł, Tworzenie samorządowych centrów usług wspólnych - ewolucja, nie rewolucja>

Ograniczone budżety JST oraz brak specjalistów utrudniają skuteczne zabezpieczenie systemów w samorządach.

– Nie widzę żadnych szans, aby w każdej jednostce zatrudnić specjalistę od cyberbezpieczeństwa – przyznał Grzegorz Kubalski.

Marek Śliwiński, naczelnik w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji, podkreślił, że oszczędności w tym obszarze będą jeszcze większym problemem.

Niedomagania w tym zakresie zaczną być sankcjonowane po wejściu w życie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – zaznaczył.

Procedowana obecnie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) dość restrykcyjnie wprowadza w Polsce zapisy unijnej dyrektywy NIS2. Wymusi to zmiany w podejściu do zagadnień cyberbezpieczeństwa przez samorządy terytorialne, które już nie są w stanie wywiązać się z dotychczasowych obowiązków, a dojdą im nowe.

Zobacz szkolenie w LEX: Świtała Krzysztof, Cyberbezpieczeństwo w jednostce samorządu terytorialnego>

Przeczytaj także: Samorządowe centra usług wspólnych czeka rewolucja 4.0

Resort stawia na samoorganizację gmin

Prace nad nowelizacją ustawy o KSC trwają już ponad rok. Powstało kilka wersji projektu i koncepcji wsparcia samorządów w realizacji tych zadań. Marek Śliwiński przyznaje, że upadła koncepcja budowy ponadregionalnych struktur opartych na urzędach marszałkowskich – problemem okazało się finansowanie. Resort cyfryzacji nie chce narzucać gminom i powiatom, jak ma wyglądać podmiot odpowiedzialny za cyberbezpieczeństwo, pozostawiając im swobodę organizacyjną. Uważa, że takie podejście jest słuszne ze względu na specyfikę poszczególnych JST – ich wielkość, położenie geograficzne, stopień zaawansowania IT.

– Nie da się zastosować podejścia „jeden rozmiar dla wszystkich” – rozwiązania muszą być realistyczne i dostosowane do lokalnych warunków. Mogą to być np. spółki prawa handlowego należące do samorządu, spółki komunalne lub inne jednostki obsługujące lub obsługiwane przez samorząd. Ważne, by współpraca była trwała i przynosiła realne efekty - zaznacza Marek Śliwiński.

Współpraca ta może dotyczyć:

  1. Wspólnych zakupów: oprogramowania, sprzętu oraz usług.
  2. Monitorowania i reagowania na incydenty: monitorowanie lokalnych sieci i systemów informacyjnych, analizowanie potencjalnych zagrożeń oraz koordynacja działań w przypadku incydentów cyberbezpieczeństwa.
  3. Wsparcia technicznego: udzielanie wsparcia technicznego w zakresie oprogramowania, sprzętu oraz usług, zarządzanie serwisem oraz obsługa zgłoszeń.
  4. Edukacji i szkoleń: szkolenia zawodowe dla lokalnych pracowników, specjalistów IT i przedstawicieli instytucji publicznych.
  5. Współpracy z inicjatywami krajowymi: np. z Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego krajowego zespołu.

Ministerstwo Cyfryzacji chce określić jedynie minimalny poziom harmonizacji zadań w tym zakresie, aby nowo powstałe podmioty były w stanie realnie podnieść poziom bezpieczeństwa, skrócić czas reakcji i umożliwić szybkie przywrócenie działania systemów i usług.

Czytaj także komentarz praktyczny w LEX: Świtała Krzysztof, Obowiązki jednostek samorządu terytorialnego w Krajowym Systemie Cyberbezpieczeństwa>

 

Zmiany prawa pod tworzenie cyberCUW 

Ponadgminnej współpracy, np. w formie centrum usług wspólnych, mają też służyć zmiany w przepisach ustaw ustrojowych JST przy okazji nowelizacji ustawy o KSC. Mają one stworzyć szersze podstawy prawne m.in. do:

  • Współpracy wewnątrz JST: wprowadzenie możliwości wskazania jednej jednostki odpowiedzialnej za cyberbezpieczeństwo (postulat środowisk samorządowych: organizacji gminy, powiatu lub województwa; może to być jednostka budżetowa, spółka komunalna lub budżetowa, albo związek JST).
  • Współpracy między JST: wprowadzenie możliwości zawierania porozumień międzygminnych/powiatowych/wojewódzkich w zakresie cyberbezpieczeństwa (postulat strony samorządowej KWRIST).

Zdaniem resortu cyfryzacji to właśnie ponadgminne CUW mogłyby pełnić funkcję Lokalnego Centrum Cyberbezpieczeństwa.

– Ta nazwa nie ma oparcia w legalnej definicji w ustawie, ale chodzi o to, by współpraca między samorządami, czy to w formie związku, czy porozumienia, pozwalała lepiej zadbać o bezpieczeństwo cyfrowe – powiedział Marek Śliwiński.

Czytaj także artykuł w LEX: Chaba Dawid, Warunki cyfryzacji samorządu terytorialnego w Polsce>

Zachętą do tworzenia CyberCUW ma być ogłoszony jeszcze w tym roku konkurs z budżetem w wysokości 270 mln zł. Pieniądze na ten cel pochodzą z Funduszu Europejskiego na Rozwój Cyfrowy 2021–2027 (FERC), Działanie 2.2 – Wzmocnienie krajowego systemu cyberbezpieczeństwa. Środki będzie można wykorzystać w latach 2025–2029.

– Oczywiście nie będą to środki wystarczające na utrzymanie takiej jednostki, ale będą poważnym wsparciem dla takich działań i pozwolą samorządom wdrożyć rozwiązania, które poprawią ich bezpieczeństwo - powiedział Marek Śliwiński.

Zdaniem dr Grzegorza Kubalskiego, z powodu depopulacji małe gminy już mają problem z zapewnieniem odpowiednich kadr do obsługi zadań nałożonych na JST. Problem będzie narastał, szczególnie w tak wymagającej wiedzy segmencie jak cyberbezpieczeństwo.

– Przy tworzeniu takich mikroregionalnych CUW jest wyższy poziom trudności, także psychologicznej, ale uważam, że centra usług wspólnych dla kilku gmin, a nawet powiatów staną się koniecznością – przekonuje Grzegorz Kubalski.    

Cyberbezpieczeństwo wymusza standaryzację, a nie wszystkie gminy korzystają z tych samych rozwiązań. To także konieczność ujednolicenia procedur, co bywa trudne. Nie oznacza to jednak, że przeszkód nie da się pokonać – zaznacza  dr Paweł Modrzyński z Katedry Finansów i Rachunkowości Wydziału Zarządzania Politechniki Bydgoskiej.

Czytaj komentarz praktyczny w LEX: Przybylska Joanna, Cyberbezpieczeństwo jako element kontroli zarządczej>

 

Nowość
Cyberbezpieczeństwo. Zarys wykładu
-10%
Nowość
Cyberbezpieczeństwo. Zarys wykładu

Cezary Banasiński

Sprawdź  

Cena promocyjna: 80.09 zł

|

Cena regularna: 89 zł

|

Najniższa cena w ostatnich 30 dniach: 62.3 zł


 

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.