Jeszcze raz warto przypomnieć, że w październiku 2024 r. w życie wchodzi unijna dyrektywa NIS2, która będzie miała szczególne znaczenie dla firm z branży finansowej czy energetycznej, a także dla podmiotów publicznych. Regulacje nakładają nowe obowiązki w zakresie zapewnienia bezpieczeństwa systemów teleinformatycznych oraz zabezpieczenia przechowywanych danych. Niestosowanie się do wskazanych przepisów może skutkować nałożeniem wielomilionowych kar finansowych.
Instytucje z sektora publicznego przechowują ogromne ilości informacji, w tym danych zwykłych i szczególnych kategorii, co czyni je atrakcyjnym celem dla cyberprzestępców. Od kilku lat podejmowane są działania w kierunku wzmacniania ich ochrony, m.in. w formie wsparcia finansowego. W 2023 r. wniosek o dofinansowanie w ramach programu „Cyberbezpieczny Samorząd” na kwotę 1,5 mld zł złożyło 90% uprawnionych instytucji. Wciąż jednak jest to kropla w morzu potrzeb, zwłaszcza w obszarze zabezpieczenia przechowywania danych.
Mimo programów i dofinansowań poziom bezpieczeństwa sektora publicznego jest niski, zwłaszcza w samorządach. Kontrole Najwyższej Izby Kontroli w 2023 roku wykazały, że wiele jednostek administracji publicznej korzysta z nieaktualnego oprogramowania, nie monitoruje go, a nawet używa nieautoryzowanych programów.
Problemy pojawiają się również m.in. w związku z przetwarzaniem danych osobowych, przestarzałym sprzętem i oprogramowaniem, efektywnym wzmacnianiem świadomości pracowników na temat istniejących zagrożeń czy znalezieniem odpowiednich specjalistów IT.
Znaczna część jednostek publicznych nie wdrożyła jeszcze w pełni wszystkich istniejących przepisów dot. ochrony danych osobowych i cyberbezpieczeństwa, takich jak ustawa o Krajowym Systemie Bezpieczeństwa z 2018 r. czy rozporządzenie regulujące Krajowe Ramy Interoperacyjności. Do tego dochodzą kolejne regulacje – NIS2 i związane z nim obowiązki.
Co istotne, nie wystarczy jedynie stworzenie instrukcji i wytycznych, które będą zgodne z nowymi przepisami. Bez odpowiednich środków technicznych i organizacyjnych nawet najlepiej opracowane procedury nie będą wystarczające.
Niestety spora część jednostek samorządowych nadal korzysta z przestarzałych, niewspieranych już systemów operacyjnych jak Windows 7, nie posiada należytego oprogramowania wspierającego czy odpowiednich szyfrowanych dysków do zabezpieczenia danych.
Podsumowując, aby spełnić podstawowe zasady bezpieczeństwa, należy nie tylko wdrożyć nową dyrektywę. Konieczne będzie też znalezienie środków na inwestycje w technologie i zakup nowoczesnego sprzętu oraz oprogramowania, które zapewni odpowiednią ochronę przechowywanych danych. Kluczem do sukcesu jest także inwestowanie w rozwój specjalistów IT, zwłaszcza w samorządach i państwowych placówkach oświatowych takich jak przedszkola czy szkoły podstawowe.
Potrzebna weryfikacja zabezpieczeń i szyfrowanie danych
NIS2 nakłada pod groźbą kar finansowych nowe obowiązki na sektor publiczny. Dotyczą one ujawniania luk w zabezpieczeniach, testowania poziomu cyberbezpieczeństwa, zapewnienia bezpiecznego przechowywania wrażliwych danych czy ich szybkiego odzyskiwania w razie awarii.
Jednostki administracji powinny rozważyć m.in. zakup rozwiązań szyfrujących dane, również te przechowywane i przenoszone na dyskach oraz zewnętrznych nośnikach m.in. pendrive’ach.
Jednym z podstawowych elementów zarządzania danymi jest tworzenie bezpiecznych kopii zapasowych. Zarówno firmy, jak i samorządy obowiązuje tu ta sama zasada „3-2-1”: należy posiadać trzy kopie zasobów, na dwóch różnych nośnikach, w różnych lokalizacjach, z których jedna powinna być odizolowana oraz przechowywana poza siedzibą organizacji. Pozwoli to ochronić dane przed incydentami i nieuprawnionym dostępem, a w razie ataku szybko je przywrócić.
