Minęło siedem lat od wprowadzenia RODO, a polskie samorządy wciąż są nieprzygotowane na cyberzagrożenia

Choć od wejścia w życie RODO minęło już siedem lat, większość polskich samorządów wciąż nie spełnia podstawowych wymogów w zakresie ochrony danych i cyberbezpieczeństwa. Najnowsze kontrole NIK ujawniają poważne braki w zabezpieczeniach systemów IT oraz alarmujący wzrost liczby cyberincydentów w sektorze publicznym. Skala zagrożeń rośnie, a skutki zaniedbań mogą dotknąć miliony obywateli.

Brak planów awaryjnych i rosnąca liczba cyberataków

Z najnowszych danych Najwyższej Izby Kontroli wynika, że aż 71% skontrolowanych w 2024 roku jednostek samorządowych nie posiada planów przywracania systemów IT po awarii. Co więcej, połowa z nich nie zidentyfikowała, które z przechowywanych danych wymagają szczególnej ochrony. To poważny problem w sytuacji, gdy administracja publiczna staje się jednym z głównych celów cyberprzestępców w Europie.

Jak pokazują dane Pełnomocnika Rządu ds. Cyberbezpieczeństwa, w 2024 roku liczba incydentów bezpieczeństwa teleinformatycznego w Polsce wzrosła o 23% rok do roku, osiągając poziom 111 660 przypadków. Samych zgłoszeń do zespołu CSIRT było ponad 600 000. Sektor publiczny odnotował wzrost liczby incydentów aż o 58%, a liczba poważnych naruszeń zagrażających ciągłości działania instytucji wzrosła o 57%. Według raportu ENISA aż 19% cyberataków w Europie dotyczyło administracji publicznej, z czego 33% stanowiły ataki typu DDoS.

Dane obywateli w niebezpieczeństwie

Wśród informacji przechowywanych przez jednostki samorządowe znajdują się nie tylko podstawowe dane osobowe, takie jak imię, nazwisko czy numer PESEL, ale również dane szczególnie wrażliwe: wyniki badań lekarskich, informacje o dochodach, zatrudnieniu czy diagnozach psychologicznych. Eksperci alarmują, że wyciek takich danych może prowadzić do poważnych nadużyć, w tym kradzieży tożsamości.

„Informacje, które są przechowywane i przetwarzane w instytucjach publicznych, należą do danych szczególnej kategorii. W przypadku wycieku ryzyko nadużyć czy kradzieży tożsamości rośnie wielokrotnie. Ochrona tych informacji powinna być priorytetem, ponieważ w grę wchodzi nie tylko bezpieczeństwo, ale również zaufanie obywateli” – podkreśla Tomasz Surdyk, ekspert ds. cyberbezpieczeństwa w firmie Kingston.

NIK zwraca uwagę, że wiele jednostek miało problem z tworzeniem i testowaniem kopii zapasowych, a także ze szkoleniami dla pracowników. To z kolei zwiększa podatność instytucji na ataki socjotechniczne oraz ryzyko naruszenia przepisów o ochronie danych.

Jest nadzieja na poprawę

Na poprawę sytuacji może wpłynąć program „Cyberbezpieczny Samorząd”. W 2024 roku blisko 2 500 samorządów podpisało umowy na łączną kwotę 1,5 mld złotych, z czego do końca roku wypłacono już 700 mln zł. Granty przeznaczane są m.in. na wdrożenie systemów zarządzania bezpieczeństwem informacji, szkolenia z zakresu cyberbezpieczeństwa czy zakup niezbędnego sprzętu i oprogramowania.

Eksperci podkreślają jednak, że kluczowe znaczenie ma nie tylko technologia, ale przede wszystkim edukacja pracowników i budowanie świadomości zagrożeń.

„Odpowiednio zaplanowany backup pozwala nie tylko odzyskać dane, ale również zapewnić ciągłość działania systemu w sytuacjach kryzysowych. Do ochrony szczególnie wrażliwych informacji zaleca się wykorzystywanie rozwiązań gwarantujących najwyższy poziom bezpieczeństwa, takich jak szyfrowane nośniki” – dodaje Tomasz Surdyk.

Siedem lat po wejściu w życie RODO polskie samorządy wciąż stoją przed poważnymi wyzwaniami związanymi z ochroną danych i cyberbezpieczeństwem. W obliczu rosnącej liczby ataków oraz coraz większej wartości przetwarzanych informacji konieczne są nie tylko inwestycje w technologie, ale także zmiana podejścia do zarządzania ryzykiem i szkolenia kadr. Tylko konsekwentne działania mogą zagwarantować bezpieczeństwo i zaufanie obywateli w cyfrowym państwie przyszłości.