71 proc. skontrolowanych przez NIK jednostek samorządu terytorialnego nie posiada planów awaryjnych dla systemów IT. Połowa z nich nie wie nawet, które dane wymagają szczególnej ochrony – wynika z kontroli przeprowadzonych w 2024 i 2025 roku przez Najwyższą Izbę Kontroli.
Chociaż unijne Rozporządzenie o Ochronie Danych Osobowych (RODO) obowiązuje już od 7 lat, poziom zabezpieczenia danych w polskich samorządach wciąż pozostawia wiele do życzenia. Skala zagrożenia rośnie: jak wynika ze sprawozdania Pełnomocnika Rządu ds. Cyberbezpieczeństwa, w 2024 r. liczba incydentów bezpieczeństwa IT w Polsce wzrosła o 23 proc. r/r i przekroczyła 111 tys. Sektor publiczny był szczególnie narażony – liczba poważnych incydentów zagrażających ciągłości działania wzrosła o 57 proc.
– W administracji publicznej przetwarza się dane szczególnie wrażliwe – nie tylko dane osobowe, ale też informacje o zdrowiu, dochodach czy sytuacji rodzinnej. Wycieki takich danych to ogromne ryzyko nadużyć i utraty zaufania obywateli – ostrzega Tomasz Surdyk, ekspert ds. cyberbezpieczeństwa w firmie Kingston.
Wśród wykrytych przez NIK nieprawidłowości znalazły się m.in. brak testów kopii zapasowych, przestarzałe procedury backupowe oraz wykorzystywanie publicznych adresów e-mail bez odpowiednich umów zabezpieczających dane. Krytycznie nisko oceniono również poziom szkoleń pracowników odpowiedzialnych za przetwarzanie informacji – co przekłada się na podatność na ataki socjotechniczne.
Nadzieję na poprawę sytuacji daje rządowy program „Cyberbezpieczny Samorząd”. W 2024 r. wsparcie w ramach tego projektu otrzymało blisko 2,5 tys. jednostek, a wartość podpisanych umów sięgnęła 1,5 mld zł. Pieniądze przeznaczono m.in. na wdrożenia systemów zarządzania bezpieczeństwem informacji, szkolenia oraz zakup sprzętu i oprogramowania. Do końca 2024 r. wypłacono już 700 mln zł.
