reklama
kategoria: Na Sygnale
3 kwiecień 2024

Zachodniopomorskie gminy nieprzygotowane na cyberzagrożenia

Wieloletnie zaniedbania dotyczące cyberbezpieczeństwa, brak skutecznych procedur reagowania na zagrożenia i wykorzystywanie oprogramowania, które miało krytyczne luki to główne nieprawidłowości wykryte w urzędach gmin w woj. zachodniopomorskim - wynika z opublikowanego w środę raportu NIK.
REKLAMA

W raporcie Najwyższej Izby Kontroli podkreślono, że urzędy gmin w woj. zachodniopomorskim nie były przygotowane na ataki cybernetyczne. Nie zapewniły skutecznej ochrony danych, w tym danych osobowych obywateli; mogły one zostać utracone lub udostępnione osobom nieuprawnionym. Brak odpowiednich procedur i kompetencji pracowników mógł skutkować m.in. zakłóceniami w świadczeniu usług publicznych; ujawnieniem poufnych informacji lub uprawnień do innych systemów (np. bankowych); wgraniem przez cyberprzestępców oprogramowania, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt danych, w celu wyłudzenia okupu (tzw. ransomware).

Delegatura NIK w Szczecinie przeprowadziła kontrolę „Zapewnienie bezpieczeństwa teleinformatycznego przez jednostki samorządu terytorialnego województwa zachodniopomorskiego” w czterech urzędach gmin o liczbie mieszkańców do 10 tysięcy. Kontrola była uzasadniona m.in. rosnącą liczbą incydentów teleinformatycznych. W Zachodniopomorskiem liczba takich zgłoszeń okresie od 2018 do 2022 roku wzrosła ponad dziesięciokrotnie. NIK zauważyła jednocześnie, że incydenty zgłaszało tylko 30 podmiotów, a na terenie województwa zachodniopomorskiego gmin i powiatów jest 135.

W każdej z czterech skontrolowanych jednostek negatywnie oceniono zapewnienie bezpieczeństwa teleinformatycznego. NIK podkreśla, że urzędy opracowały dokumentację w zakresie cyberbezpieczeństwa, „ale w żadnym badanym przypadku nie była ona kompletna i nie odpowiadała wymaganiom określonym w przepisach prawa”. "W trzech urzędach przez prawie 4 lata (w jednym przez 2 lata) nie wyznaczono osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, która byłaby odpowiedzialna za zgłaszanie i obsługę cyberataków” – czytamy w raporcie NIK.

Autorzy raportu zwracają uwagę, że połowa skontrolowanych urzędów nie przygotowała procedury odtworzenia utraconych zasobów na wypadek cyberataku, a w jednym przypadku nie przeprowadzono testów potwierdzających skuteczność opracowanej procedury. „Urzędy co prawda tworzyły kopie zapasowe, jednak nie weryfikowały ich pod kątem kompletności i możliwości odtworzenia danych. W jednym z urzędów kopia zapasowa była tworzona w taki sposób, że w przypadku zawirusowania serwera głównego, zostałaby ona automatycznie zainfekowana” – wyjaśniają kontrolerzy.

NIK alarmuje, że „w skontrolowanych urzędach nie stworzono zinwentaryzowanego środowiska informatycznego, a w połowie przypadków wykorzystywano nieaktualne oprogramowanie". "Natomiast luki w oprogramowaniu umożliwiały zdalne przejęcie kontroli nad systemem przez cyberprzestępców. Kontrola NIK wykazała również wykorzystywanie usług chmurowych w urzędach bez jakiegokolwiek określenia zasad i kontroli w tym zakresie” - napisano w raporcie.

W dwóch urzędach nie funkcjonował system zarządzania incydentami bezpieczeństwa informacji (identyfikacji i reagowania na ataki). W jednym - choć procedura istniała, to urząd nie rejestrował incydentów i nie zgłaszał ich do właściwych jednostek (CSIRT NASK).

Sprawdzono również, czy serwery objęto odpowiednią fizyczną ochroną. „W jednej z gmin serwer znajdował się w otwartej szafie ulokowanej w biurze (przechodnim) jednego z urzędników. To nie zapewniało chroniony przed nieuprawnionym dostępem lub nawet przypadkowym uszkodzeniem” – raportuje NIK.

Ponadto ustalono, że w żadnym ze skontrolowanych urzędów pracownicy nie przeszli odpowiednich szkoleń w zakresie cyberbezpieczeństwa. Przeprowadzone testy wiedzy wykazały, że 60 procent pracowników nie potrafiło rozpoznać sytuacji, w której mogliby stać się ofiarą phishingu; 75 procent pracowników nie znało zasad tworzenia bezpiecznego hasła; 75 procent pracowników nie potrafiło zabezpieczyć urządzeń mobilnych na wypadek kradzieży; 78 pracowników nie potrafiło rozpoznać symptomów zawirusowania komputera; 94 procent pracowników nie wiedziało, jakie podjąć czynności w przypadku zawirusowania komputera; 94 procent pracowników nie znało konsekwencji nieostrożnego wykorzystywania serwisów społecznościowych.

W ostatnich latach liczba incydentów teleinformatycznych systematycznie rośnie. W raporcie za 2021 r. CSIRT GOV (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego prowadzony przez szefa ABW) wskazał na ponad 762 tys. zgłoszeń o potencjalnym wystąpieniu incydentu teleinformatycznego. Dla porównania w 2020 r. było to nieco ponad 246 tys. zgłoszeń i niecałe 227 tys. zgłoszeń w 2019 r. W samych tylko urzędach miast i gmin zarejestrowano ponad 5,5 tys. incydentów (dane CSIRT NASK).

Od 30 listopada 2023 r. do 29 lutego 2024 r. w Polsce obowiązywał trzeci stopień alarmowy CRP (CHARLIE-CRP), wprowadzony wobec zagrożenia o charakterze terrorystycznym. Zagrożenie to dotyczy systemów teleinformatycznych administracji publicznej lub systemów, wchodzących w skład infrastruktury krytycznej.(PAP)

tma/ agz/

PRZECZYTAJ JESZCZE
Materiały sygnowane skrótem „PAP” stanowią element Serwisów Informacyjnych PAP, będących bazami danych, których producentem i wydawcą jest Polska Agencja Prasowa S.A. z siedzibą w Warszawie. Chronione są one przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych oraz ustawy z dnia 27 lipca 2001 r. o ochronie baz danych. Powyższe materiały wykorzystywane są przez [nazwa administratora portalu] na podstawie stosownej umowy licencyjnej. Jakiekolwiek ich wykorzystywanie przez użytkowników portalu, poza przewidzianymi przez przepisy prawa wyjątkami, w szczególności dozwolonym użytkiem osobistym, jest zabronione. PAP S.A. zastrzega, iż dalsze rozpowszechnianie materiałów, o których mowa w art. 25 ust. 1 pkt. b) ustawy o prawie autorskim i prawach pokrewnych, jest zabronione.
pogoda Szczecin
10.5°C
wschód słońca: 08:11
zachód słońca: 15:45
reklama

Kalendarz Wydarzeń / Koncertów / Imprez w Szczecinie

kiedy
2024-12-29 18:00
miejsce
NOWA DEKADENCJA Szczecińskie...
wstęp biletowany
kiedy
2024-12-29 20:00
miejsce
Kościół św. Piotra i Pawła,...
wstęp biletowany
kiedy
2024-12-31 20:00
miejsce
Hanza Tower, Szczecin, Al....
wstęp biletowany
kiedy
2025-01-02 19:00
miejsce
NOWA DEKADENCJA Szczecińskie...
wstęp biletowany