Artykuł pochodzi z wydania: Pażdziernik 2019
Według raportu o stanie bezpieczeństwa cyberprzestrzeni RP w 2018 r. tendencja zgłoszeń o potencjalnym wystąpieniu incydentów jest rosnąca. Związane jest to ze wzrostem zainteresowania atakami na jednostki administracji rządowej i samorządowej.
Występująca różnica pomiędzy liczbą zgłoszeń a liczbą faktycznych incydentów wynika z ciągłego rozwoju systemów wspomagających pracę analityków. Wzrasta po prostu jakość analizy. W 2018 r. najczęściej występującymi incydentami według raportu CSIRT GOV były incydenty należące do kategorii „wirus”. Kolejne miejsce zajęły odpowiednio kategorie: „błędna konfiguracja urządzenia” oraz „skanowanie portów i sprawdzanie dostępnych usług” (itwa.pl/gg). Tendencję wzrostową w liczbie zgłoszeń incydentów potwierdza raport z działalności zespołu CERT PL za rok 2018 pt. „Krajobraz bezpieczeństwa polskiego Internetu” (itwa.pl/gh). Najczęściej występujące typy incydentów według tego raportu to phishing, dystrybucja złośliwego oprogramowania i spam. Coraz częściej również media informują o atakach cyberprzestępców na urzędy administracji samorządowej w Polsce (patrz: ramka „Przykłady naruszeń bezpieczeństwa w samorządach”).
Realizacja przepisów prawa
Istnieje wiele aktów prawnych, które nakładają na urzędy obowiązek odpowiedniego zarządzania bezpieczeństwem informacji. Wyniki kontroli „Zarządzanie bezpieczeństwem informacji w jednostkach samorządu terytorialnego” (itwa.pl/gi) opublikowane przez NIK w maju 2019 r. potwierdzają, że urzędy mają duży problem z przestrzeganiem wymagań określonych w ustawach i rozporządzeniach. Kontrola objęła 23 jednostki samorządu terytorialnego z obszaru pięciu województw (mazowieckiego, podlaskiego, łódzkiego, małopolskiego i dolnośląskiego), w tym: dziewięć starostw powiatowych, 14 urzędów miast, urzędów miast i gmin oraz gmin. W wyniku kontroli 69,6% jednostek samorządu terytorialnego zostało ocenionych negatywnie, a pozostałe jednostki zostały ocenione pozytywnie mimo stwierdzonych nieprawidłowości.
W raporcie wykazano m.in. brak systemowego podejścia do zarządzania bezpieczeństwem informacji, brak analizy ryzyka, nieprowadzenie audytów bezpieczeństwa informacji, brak poprawy nieprawidłowości wykazanych we wcześniejszych kontrolach, nieprzestrzeganie wymogów dotyczących bezpieczeństwa informacji wynikających z obowiązującego od 2012 r. rozporządzenia KRI (rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, tekst jedn. DzU z 2017 r., poz. 2247). Wyniki badań własnych (itwa.pl/gj) również potwierdzają, że urzędy administracji publicznej w Polsce mają problemy z zarządzaniem bezpieczeństwem informacji. Wykazano m.in. brak systemowego podejścia do zagadnień bezpieczeństwa informacji oraz problemy z zarządzaniem incydentami.
Metodologia badania ankietowego
Celem badania była analiza istniejącej sytuacji w zakresie zarządzania bezpieczeństwem informacji w urzędach administracji samorządowej w Polsce. Badanie miało charakter naukowy. Zaproszenie do wzięcia udziału w badaniu ankietowym zostało wysłane pocztą elektroniczną do wszystkich urzędów administracji samorządowej w Polsce. Wyjaśniono, że uzyskane dane będą wykorzystane w formie zagregowanej wyłącznie do sporządzania zestawień i analiz statystycznych w publikacjach naukowych oraz na konferencji „Miasta w Internecie”. Badanie było anonimowe. Kwestionariusz ankiety był dostępny w internecie od 19 maja do 26 czerwca 2019 r.
Wyniki badania zostały przedstawione na 23. Konferencji „Miasta w Internecie” (23.kmwi.pl) organizowanej w Warszawie w dniach 26–27.06.2019 r. przez stowarzyszenie „Miasta w Internecie” – organizację pozarządową działającą na rzecz rozwoju cyfrowego samorządów oraz wspierania rozwoju kompetencji cyfrowych. W celu wysłania zaproszeń do wzięcia udziału w badaniu wykorzystano bazę teleadresową jednostek samorządu terytorialnego. Według stanu na 1 stycznia 2019 r. Polska dzieli się na 16 województw, 314 powiatów i 2477 gmin (302 miejskich, w tym 66 miast na prawach powiatu, 638 miejsko-wiejskich oraz 1537 wiejskich). Łącznie wysłano 2807 wiadomości e-mail do wszystkich urzędów administracji samorządowej i otrzymano 546 zwrotów.
W metryczce kwestionariusza respondenci wskazywali typ urzędu oraz województwo. Otrzymano odpowiedzi od 11 urzędów marszałkowskich, 64 starostw powiatowych oraz 471 urzędów gmin/miast. Na podstawie przeprowadzonej analizy można stwierdzić, że struktura typów urzędów biorących udział w badaniu jest podobna do struktury typów urzędów jednostek samorządu terytorialnego w Polsce. Również struktury województw dla próby i urzędów w kraju są zbliżone.
Najsłabsze ogniwo bezpieczeństwa
Kwestionariusz ankiety zawierał osiem pytań merytorycznych. Spośród 546 urzędów udzielających odpowiedzi na pytanie: „czy w urzędzie wdrożono system zarządzania bezpieczeństwem informacji?” 75% zadeklarowało, że posiada wdrożony taki system, natomiast w 1/4 urzędów system zarządzania bezpieczeństwem informacji (dalej: SZBI) nie został wdrożony. Na pytanie: „czy system ten jest certyfikowany na zgodność z wymaganiami normy ISO/IEC 27001?” odpowiadali respondenci, którzy na wcześniejsze pytanie udzielili odpowiedzi twierdzącej. Spośród 407 odpowiedzi jedynie w przypadku 23% urzędów SZBI był certyfikowany, aż 77% urzędów nie zdecydowało się na certyfikację systemu.
[…]
Dominika Lisiak-Felicka
Autorka jest magistrem inżynierem informatyki oraz doktorem nauk ekonomicznych w dyscyplinie nauki o zarządzaniu. Pracuje na stanowisku adiunkta w Katedrze Informatyki Ekonomicznej na Wydziale Ekonomiczno-Socjologicznym Uniwersytetu Łódzkiego oraz na stanowisku starszego wykładowcy w Państwowej Wyższej Szkole Zawodowej we Włocławku. Jest członkinią Polskiego Towarzystwa Informatycznego.
