Najwyższa Izba Kontroli zbadała, jak jednostki samorządu terytorialnego realizowały zadania związane z zapewnieniem bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych. Kontrolą objęto 24 jednostki – 17 urzędów gmin i siedem starostw powiatowych w okresie od 1 stycznia 2023 r. do 20 września 2024 r.

Jak wynika z raportu pokontrolnego, większość samorządów nie podejmowała skutecznych i rzetelnych działań na rzecz bezpieczeństwa informacji. Według NIK samorządy w dużej mierze nie identyfikowały zbiorów danych wymagających zabezpieczenia, nie przygotowywały dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli je przygotowały, to nie testowały skuteczności przyjętych zabezpieczeń.

Ponadto kontrolerzy stwierdzili, że 71 proc. kontrolowanych urzędów nie było przygotowanych do zapewnienia ciągłości działania systemów informatycznych.

„Brak zapewnienia ciągłości działania w sytuacji kryzysowej (np. pożar, zalanie, ataki hakerskie, działania hybrydowe) może doprowadzić do przerwy lub do zaprzestania działalności urzędu” – zaznaczono w raporcie NIK.

Kontrolerzy wykryli, że w 71 proc. kontrolowanych urzędów brak było ustanowionych polityk ciągłości działania, a w połowie nie opracowano planów ciągłości działania oraz planów odtworzeniowych (dokumentów określających zasoby, działania i dane niezbędne do odtworzenia systemów po wystąpieniu awarii). Z kolei urzędy, które przygotowały takie plany, nie poddawały ich testom, przez co nie było wiadomo, czy pozwolą na szybkie i skuteczne przywrócenie działania systemów informatycznych w przypadku awarii.

„W 20 z 24 skontrolowanych urzędów nie wszystkie przyjęte rozwiązania organizacyjne i techniczne w zakresie bezpieczeństwa informacji były właściwie egzekwowane. Wykryto nieprawidłowości w zakresie: zabezpieczenia serwerowni, sporządzania kopii zapasowych, przyznawania pracownikom uprawnień do korzystania z systemów informatycznych, w tym – odbierania uprawnień po zakończeniu zatrudnienia” – czytamy w raporcie NIK. 

Kontrola wykazała również, że w 11 urzędach umowy na zakup usług informatycznych, zakup lub serwis sprzętu komputerowego i oprogramowania nie zawierały zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych przez wykonawców. Z kolei w dziewięciu urzędach nie zidentyfikowano w sposób udokumentowany kluczowych elementów infrastruktury i usług IT oraz nie ustalono ich zabezpieczenia pod kątem wpływu czynników zewnętrznych.

Kontrolerzy ustalili też, że w 10 urzędach nie zapewniono szkoleń dla pracowników zaangażowanych w proces przetwarzania informacji, a w dziewięciu – nie przeprowadzono lub przeprowadzano nierzetelnie coroczny obowiązkowy audyt z zakresu bezpieczeństwa informacji.

„Osiem jednostek nie opracowało i nie wdrożyło Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), a w trzech jednostkach, gdzie SZBI został ustanowiony, nie dokonano jego przeglądu pod względem adekwatności i skuteczności, co było niezgodne z przepisami rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności” – zaznaczono w raporcie pokontrolnym.

Łącznie w 24 objętych kontrolą urzędach NIK zidentyfikowała 222 nieprawidłowości, z których 51 usunięto już w trakcie kontroli.

mam/