Samorządy w dużej mierze nie identyfikowały zbiorów danych wymagających zabezpieczenia, nie przygotowywały dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli je przygotowały, to nie testowały zabezpieczeń – wynika z kontroli NIK.
Najwyższa Izba Kontroli opublikowała w czwartek informację o wynikach kontroli, której celem było zbadanie czy jednostki samorządu terytorialnego prawidłowo, rzetelnie i skutecznie realizowały zadania związane z zapewnieniem bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych. Kontrolą objęto 24 jednostki – 17 urzędów gmin i siedem starostw powiatowych w okresie od 1 stycznia 2023 r. do 20 września 2024 r.
Jak wskazała NIK, zabezpieczenia powinny umożliwić zachowanie integralności, poufności i dostępności danych, a przygotowanie planu ciągłości działania jest niezbędne dla zapewnienia działania urzędu w sytuacji kryzysowej, np. w wypadku zaistnienia zagrożeń hybrydowych.
Według NIK, większość skontrolowanych samorządów nie podejmowała skutecznych i rzetelnych działań na rzecz bezpieczeństwa informacji. NIK negatywnie oceniła przygotowanie do zapewnienia ciągłości działania systemów informatycznych w 71 proc. urzędów, a istotne nieprawidłowości w tym zakresie wystąpiły w 23 z 24 badanych jednostek.
Najczęściej stwierdzane nieprawidłowości to brak planów zapewnienia ciągłości działania oraz planów odtworzeniowych (dokumentów określających zasoby, działania i dane niezbędne do odtworzenia systemów po wystąpieniu awarii), niedokonanie pełnej identyfikacji aktywów informacyjnych wymagających ochrony, czy niewystarczające zabezpieczenia fizyczne serwerowni.
Inne nieprawidłowości występowały w zakresie tworzenia, przechowywania lub testowania kopii zapasowych. NIK stwierdziła też brak zapisów gwarantujących bezpieczeństwo informacji w umowach dotyczących zakupu lub serwisu sprzętu komputerowego, czy oprogramowania, czy szkoleń dla pracowników zaangażowanych w proces przetwarzania informacji oraz nie przestrzeganie wymogów w zakresie haseł dostępu do systemów informatycznych.
Zdaniem NIK w 2023 roku nie przeprowadzono obowiązkowego audytu z zakresu bezpieczeństwa informacji lub audyt przeprowadzono nierzetelnie. Nie opracowano i nie wdrożono również Systemu Zarządzania Bezpieczeństwem Informacji.
Łącznie NIK zidentyfikowała 222 nieprawidłowości, z których 51 usunięto już w trakcie kontroli.
NIK wniosła o stałe wsparcie jednostek samorządu terytorialnego przez ministra cyfryzacji w zakresie wdrażania rozwiązań organizacyjnych i technicznych dotyczących bezpieczeństwa informacji oraz zapewnienia ciągłości działania urzędów.
Najwyższa Izba Kontroli wniosła również do starostów, prezydentów miast, burmistrzów i wójtów o m.in. opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, zapewnienie wykonywania okresowego przeglądu i aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji, ustanowienie polityk ciągłości działania oraz opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów. (PAP)
akuz/ agz/
