Gminy potrzebują inwestycji w cyberbezpieczeństwo. Eksperci widzą duże ryzyka wynikające z zaniedbań

Dane gromadzone przez jednostki samorządu terytorialnego mogą być bardzo niebezpiecznym narzędziem w rękach przestępców. Wykradzione mogą posłużyć do fałszowania tożsamości człowieka. Tymczasem poziom inwestycji w cyberbezpieczeństwo jest w gminach niski, a liczba ataków hakerskich na nie stale rośnie. Eksperci czekają na pozytywne skutki rządowego programu Cyberbezpieczny Samorząd. W jego ramach 1,5 mld zł trafi na inwestycje w poprawę bezpieczeństwa cybernetycznego samorządów: zarówno na poziomie sprzętu i oprogramowania, jak i kompetencji oraz procedur.

– Gminy coraz częściej stają się celem cyberataków, dlatego że mają konta bankowe. Cyberprzestępcom chodzi o to, żeby zdobyć pieniądze. W związku z tym dane, którymi operuje dana gmina oraz jej systemy, będą na celowniku przestępców. Chodzi nie tylko o dane, które można wykraść i jeszcze raz sprzedać z powrotem – w ramach okupu, co jest niezgodne z prawem w danej sytuacji. Dodatkowo trzeba pamiętać jeszcze o tym, że ktoś może czyhać na pieniądze na kontach bankowych gmin, prosić o przelew czy wystawiać lewą fakturę. Tutaj bardzo ważna informacja jest następująca: to nie jest pytanie, czy ktoś zostanie zhakowany, tylko kiedy i jak szybko, bo tam gdzie są pieniądze, są także hakerzy – mówi w wywiadzie dla agencji Newseria Innowacje Mateusz Ossowski z portalu Niebezpiecznik.pl.

Z danych CERT Polska wynika, że administracja publiczna coraz częściej jest celem ataków cyberprzestępców. W 2020 roku zanotowano 388 incydentów w nią wymierzonych, dwa lata później liczba ta wzrosła do 757, a w 2023 roku było to już 2,2 tys. incydentów (prawie 3 proc. wszystkich zgłoszeń). Jak informowało Ministerstwo Cyfryzacji przy okazji ogłaszania wyników naboru w ramach projektu Cyberbezpieczny Samorząd, w ogólnej liczbie ponad 80 tys. incydentów zarejestrowanych i obsłużonych przez CSIRT NASK prawie 1,2 tys. dotyczyło obszaru JST. Mimo że samorządy gromadzą cenne wrażliwe dane, ich zabezpieczenia pozostawiają wiele do życzenia.

– Konsekwencje będą nawet nie tragiczne, ale wręcz przerażające. Z mojego doświadczenia wynika, że zdolność do odpierania ataków jest w samorządach w bardzo kiepskim stanie. Nie ukrywam, że jako branża czekamy na Cyberbezpieczny Samorząd i dofinansowanie samorządów w sprzęt i aplikacje, które będą chroniły pocztę, sieć, aplikacje i przede wszystkim dane – wymienia Mateusz Ossowski.

W ramach programu realizowanego przez Centrum Projektów Polska Cyfrowa w partnerstwie z Państwowym Instytutem Badawczym NASK 1,5 mld zł ma zostać przekazane na poprawę cyberbezpieczeństwa w jednostkach samorządu terytorialnego. Wnioski o granty dotyczą działań w trzech kluczowych obszarach mających wpływ na cyberbezpieczeństwo. Około 1,2 mld zł ma być przekazane na inwestycje w infrastrukturę sprzętową i oprogramowanie oraz usługi wdrożeniowe. Około 183 mln zł zaplanowano na opracowanie procedur, certyfikację, przeprowadzenie audytów i wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji. Z kolei 105 mln zł trafi na szkolenia pracowników. Wnioski o udział w programie złożyło 90 proc. uprawnionych jednostek (2196 gmin, 300 powiatów i 15 województw).

W ramach projektu beneficjenci otrzymają dofinansowanie w formie grantu w wysokości od 200 do 850 tys. zł dla gmin oraz 850 tys. zł dla powiatów i województw. Projekt jest współfinansowany z Funduszy Europejskich, w ramach programu Fundusze Europejskie na Rozwój Cyfrowy 2021–2027.Czas realizacji grantu wynosi 24 miesiące od dnia wejścia w życie umowy, jednak nie dłużej niż do końca czerwca 2026 roku.

– Branża cyberbezpieczeństwa mierzy się z dużą luką, jest mnóstwo etatów i stanowisk do obsadzenia. Często zdarza się tak, że w jednostkach samorządów terytorialnych administratorzy nie są na poziomie bezpieczników, bo to jest po prostu trudne. Stąd też duża potrzeba na inwestowanie w szkolenia, w podnoszenie kwalifikacji i przede wszystkim świadomości zagrożeń – tego, że mała gmina jest narażona na dokładnie takie same ataki jak ratusz dużego miasta. Poprzez podnoszenie tej świadomości u decydentów trafiamy oczko niżej, do administratorów, czyli naszych „żołnierzy”, którzy będą bronili naszych danych i informacji właśnie w takich jednostkach samorządu terytorialnego. Im z kolei potrzebny jest dostęp do fachowych i profesjonalnych narzędzi i firm, które będą integrować tego typu narzędzia w różnych systemach – wskazuje ekspert Niebezpiecznik.pl.

Na to, jak istotne dane mogą się dostać w ręce nieupoważnionych osób poprzez luki w bezpieczeństwie w jednostkach samorządu terytorialnego, zwracała uwagę w swoim ostatnim raporcie Najwyższa Izba Kontroli. Przeprowadzona w województwie podlaskim kontrola wykazała, że w skrzynkach e-mailowych zakładanych na komercyjnych domenach bez zawarcia wymaganych rozporządzeniem RODO umów powierzenia przetwarzania danych osobowych przetwarzano dane takie jak m.in. imiona, nazwiska, adresy, numery PESEL, numery telefonów, informacje o stanie zdrowia, zatrudnieniu, zarobkach czy dane o sytuacji rodzinnej.

– Weźmy sobie każdego z nas jako jednostkę, która występuje w różnych zbiorach danych. Będzie moja karta medyczna w szpitalu, będą jakieś informacje w urzędzie gminy, w wydziale komunikacji – można sobie powielać takie jednostki. I teraz na koniec dnia jedna dana z jednego miejsca i druga dana z innego powoduje, że można je ze sobą połączyć. Bardzo często wychodzimy z założenia, że nic się nie stało, że ktoś poznał moje imię i nazwisko, ale gdzieś indziej poznał PESEL, gdzie indziej numer rejestracyjny samochodu. Dołóżmy sobie kilka takich elementów i wtedy bardzo łatwo jest wykraść naszą tożsamość, bo będziemy dużo wiedzieli o danym człowieku – kwituje Mateusz Ossowski.