Cyberbezpieczeństwo w samorządach

Kraków, 27 stycznia 2016 r. Jakkolwiek sami polscy samorządowcy dobrze oceniają poziom cyberzabezpieczeń w swoich jednostkach, aż co trzeci urząd nie ma na wyposażeniu podstawowego zabezpieczenia, jakim jest firewall.

Główną barierą w rozwoju cyberbezpieczeństwa JST okazuje się – zdaniem pytanych urzędników – brak funduszy. Jednocześnie wykorzystanie środków unijnych na informatyzację jest niewystarczające: 87% urzędów finansuje inwestycje w infrastrukturę zabezpieczającą ze środków własnych. To najważniejsze wnioski z badania na temat cyberbezpieczeństwa jednostek samorządu terytorialnego przeprowadzonego na zlecenie firmy Fortinet.

Raport Najwyższej Izby Kontroli z czerwca 2015 roku wykazał liczne zaniedbania w dziedzinie cyberbezpieczeństwa jednostek administracji centralnej. Tymczasem postępująca cyfryzacja dotyka również jednostek samorządu terytorialnego. Oprócz coraz większej ilości przechowywanych i przetwarzanych wrażliwych danych, samorządy obracają dużymi sumami publicznych pieniędzy – same wydatki JST w 2014 roku wyniosły  łącznie niemal 200 miliardów złotych. Wymusza to potrzebę odpowiedniego zadbania o cyberbezpieczeństwo urzędów.

Polski samorząd gminny, powiatowy i wojewódzki zarządza danymi wrażliwymi 24 milionów podatników, a ta skala jest zdecydowanie większa, uwzględniając dane osobowe w innych kwestiach niż podatkowa (np. w polityce śmieciowej, dowodach osobistych, dowodach rejestracyjnych, wnioskach o dotacje itd.). Można szacować, że np. dla Warszawy jest to baza danych przekraczająca liczbę 2 mln klientów  – wylicza Janusz Kobeszko z Forum Od-nowa – think tanku zajmującego się projektowaniem i wdrażaniem zmian systemowych w sektorze publicznym.

Badanie przeprowadzone dla Fortinet przez firmę PBS objęło 200 urzędników odpowiedzialnych za IT w jednostkach samorządu terytorialnego. Jego celem było uzyskanie obrazu stanu cyberbezpieczeństwa polskiej administracji lokalnej.

Urzędnicy: jesteśmy dobrze zabezpieczeni przed cyberatakami

Osoby odpowiedzialne za IT  w samorządach w większości deklarują poziom bezpieczeństwa informatycznego swoich placówek jako wysoki lub bardzo wysoki (67%). W urzędach zatrudniających więcej niż 100 pracowników 20,3% respondentów wskazało na poziom bardzo wysoki, zaś w urzędach zatrudniających mniej niż 100 pracowników ten sam poziom wskazało jedynie 5,6%. Pewność zabezpieczeń rośnie więc wraz z wielkością danej jednostki.

Wykres 1: Ocena poziomu cyberbezpieczeństwa w JST (N=200)

Wykres 1: Ocena poziomu cyberbezpieczeństwa w JST (N=200)

W większych jednostkach przykłada się też większą wagę do kwestii cyberbezpieczeństwa – 84% badanych określiło ją jako raczej dużą lub bardzo dużą. W mniejszych placówkach na podobną wagę wskazało 59,8% pytanych.

Jak przy tym wygląda kwestia infrastruktury zabezpieczeń sieciowych w samorządach?

Co trzeci urząd bez firewalla, najbardziej popularny antyspam

Z badania wynika, że 33% urzędów nie ma na wyposażeniu urządzenia typu firewall, które stanowi podstawowy element infrastruktury bezpieczeństwa informatycznego. Jednocześnie jest to rozwiązanie, które najchętniej by wprowadzono lub ulepszono – tak zadeklarowało 63% badanych.

Najbardziej popularnym w samorządach zabezpieczeniem okazał się antyspam obecny w 89% jednostek.

Braki w systemie bezpieczeństwa lub niezachowywanie jego aktualności są skrzętnie wykorzystywane przez cyberprzestępców. W październiku ubiegłego roku media doniosły o zatrzymaniu grupy hakerów, która wyprowadziła z kont kilku urzędów gmin ponad 2 miliony złotych, wykorzystując do tego złośliwe oprogramowanie. Niemal milion złotych stracił wówczas Urząd Miejski w Jaworznie. Znane są też przypadki paraliżowania działania czy podmieniania treści samorządowych stron internetowych, co miało miejsce m. in. w Płocku oraz Toruniu – mówi Mariusz Rzepka, dyrektor na Polskę, Białoruś i Ukrainę w firmie Fortinet, dostawcy zaawansowanych cyberzabezpieczeń.

Poczta elektroniczna najbardziej narażona, wyciek danych największą obawą

Według pracowników urzędów samorządowych poczta elektroniczna jest uważana za najbardziej narażony na niebezpieczeństwo element sieci. Na e-mail wskazało 68% respondentów. Na kolejnych miejscach znalazła się sieć bezprzewodowa (56%) oraz urządzenia w sieci, takie jak komputery, tablety czy smartfony (54%).

Wykres 2: Najbardziej narażone na cyberzagrożenia elementy sieci w JST (N=200)

Wykres 2: Najbardziej narażone na cyberzagrożenia elementy sieci w JST (N=200)

Wyciek lub utrata poufnych i wrażliwych informacji – tego najbardziej się obawia 79% badanych. Wedle urzędników najmniej w związku z cyberzagrożeniami  mogą stracić reputacja i zaufanie do instytucji.

Brak funduszy największą barierą

Na pytanie o wskazanie największych barier w podnoszeniu cyberbezpieczeństwa 62% urzędników wskazało na brak wystarczających funduszy, a 17%  –  na niską świadomość problemu na wyższych szczeblach administracyjnych. Ponadto niemal 13% osób odpowiedzialnych za IT w większych jednostkach dostrzega problem braku centralnej strategii i standardów bezpieczeństwa informatycznego.

Fakt, że blisko 40% ankietowanych  nie przykłada dużej wagi do spraw cyberbezpieczeństwa napawa niepokojem. Sądzę, że to wynik błędu w organizacji bezpieczeństwa, czyli braku wydzielonego, niezależnego od szefa IT stanowiska od tych spraw. W skali makro niepokoiłbym się tym, że ogółem tylko 6% widzi szansę na poprawę w samorządach dzięki centralnej strategii i wprowadzeniu standardów. Moim zdaniem to podstawowe rozwiązanie, które pomogłoby całemu środowisku i zminimalizowało koszty osiągnięcia wysokiego poziomu cyberbezpieczeństwa. Technologicznie widać dużą wiarę w od dawna stosowane rozwiązania takie jak ochrona poczty elektronicznej. Mam wrażenie, że odpowiedzialni za IT nie dostrzegają zagrożeń związanych z atakami na bazy danych i aplikacje.  To znak, że nie wszyscy zdają sobie sprawę z ograniczonych możliwości od lat stosowanych technologii i konieczności inwestycji w nowe rozwiązania. – mówi Mirosław Maj z „Fundacji Bezpieczna Cyberprzestrzeń”.

Środki własne głównym źródłem finansowania

W ramach programu operacyjnego Polska Cyfrowa w latach 2014-2020 na cyfryzację zostanie przeznaczonych ponad 9 miliardów złotych. Samorządy mają jednak utrudniony dostęp do tych funduszy, ponieważ program został zaprojektowany głównie z myślą o jednostkach administracji centralnej. Spośród badanych urzędów tylko 5% zadeklarowało wykorzystanie środków z programu, a 25% nie zamierza w ogóle z nich skorzystać. Dziewięć na dziesięć osób z urzędów, w których chciano by uzyskać środki z Polski Cyfrowej, wyraziła wolę spożytkowania ich na zakup nowego sprzętu zwiększającego cyberbezpieczeństwo.

Wykres 3: Wykorzystanie środków z programu Polska Cyfrowa przez JST (N=200)

Wykres 3: Wykorzystanie środków z programu Polska Cyfrowa przez JST (N=200)

W 87% badanych urzędach zadeklarowano, że projekty związane z cyberbezpieczeństwem były do tej pory realizowane głównie ze środków własnych.

Należy pamiętać, że wyniki badania zawierają subiektywne oceny ankietowanych urzędników. Niemniej zdaje się, że znękane wieloma trudnościami samorządy często traktują zagadnienia cyberprzestępczości jako tzw. „ostatnią kolejność odśnieżania”. Koncentrują się one na sprawach bardziej namacalnych, typu oświata, transport czy pomoc społeczna. W poszukiwaniu funduszy na cele związane z cyberbezpieczeństwem wspólnoty mogą się oprzeć na środkach unijnych czy partnerstwie publiczno-prywatnym – dodaje Janusz Kobeszko.

Cyberbezpieczeństwo jest procesem, który wymaga stałego odpowiadania na nowo pojawiające się zagrożenia.  Optymizmem napawa fakt, że urzędnicy wyrażają wolę coraz lepszego zabezpieczania swoich jednostek. Istniejące bariery można pokonać przy wsparciu ekspertów zewnętrznych, którzy z jednej strony mogą pomóc lepiej wykorzystywać fundusze unijne, a z drugiej doradzić w kwestii dobrych praktyk i doboru optymalnych rozwiązań w zakresie IT – podsumowuje Mariusz Rzepka.