Czynnik ludzki jest główną przyczyną zagrożeń cyberatakami – uważają eksperci. Podczas środowej konferencji w Sejmie podkreślano znaczenie edukacji w zakresie bezpieczeństwa systemów i danych.
Przewodniczący sejmowej Komisji Samorządu Andrzej Maciejewski zwrócił uwagę, że dotychczas w ramach komisji nie było spotkania dotyczącego tematyki cyberbezpieczeństwa samorządów.
Jak podkreślił, wśród podmiotów zagrożonych atakami hakerów są również JST – w roku 2015 zanotowano kilka tysięcy ataków, w wyniku których niektóre gminy straciły pieniądze; niechlubny rekord to ok. 1 mln zł.
Zdaniem Maciejewskiego konieczne są spotkania informacyjne na temat elementarnej wiedzy o bezpieczeństwie informatycznym. Według niego ataki są „banalnie proste” i najczęściej powstają z „banalnych przyczyn”, m.in. braku profilaktyki, lekkomyślności lub zaniechania pracowników zajmujących się systemami i danymi.
Jak zauważył poseł, obecnie cyberatak nie polega już tylko na włamaniu na stronę i „wstawieniu śmiesznego zdjęcia”, ale osiąga rozmiary bardziej niebezpieczne dla gminy czy państwa. „Sami tego nie zrobimy i nikt sam tej wojny nie wygra” – dodał Maciejewski, zaznaczając, że konieczna jest współpraca na gruncie prawnym i technicznym samorządów z biznesem.
Michał Rogalski, wiceprezes Polskiej Izby Informatyki i Telekomunikacji, potwierdził potrzebę rozmów na temat cyberbezpieczeństwa. Jak poinformował, w tym m.in. celu powstało trójstronne porozumienie pomiędzy PIIiT, Związkiem Powiatów Polskich i Związkiem Miast Polskich w celu stworzenia rozwiązań informatycznych, ich wdrażania i sposobów zamawiania. Zadaniem tych podmiotów jest m.in. stworzenie platformy wymiany informacji.
„Mamy do czynienia z ciągłymi atakami hakerskimi, które dotyczą także instytucji samorządowych, są coraz bardziej zuchwałe, w wyniku tego, mimo istnienia systemów bezpieczeństwa, zagrożenie jest coraz większe. Pora, żeby poważniej podejść do tego tematu” – powiedział Rogalski.
Zgodził się z nim Jan Maciej Czajkowski z Komisji Wspólnej Rządu i Samorządu. Jak podkreślił, informatyzacja administracji i bezpieczeństwa to temat pilny, którego nie powinno się odkładać.
Według niego największe zagrożenia są w podstawowych jednostkach samorządowych – gminach, które wykonują najwięcej zadań na rzecz mieszkańców.
„Tych jednostek, które mają problemy jest najwięcej, ok. 1000, one sobie same nie poradzą, dla nich trzeba znaleźć pomysły na wsparcie zabezpieczenia informatycznego. Jeśli go nie będzie, one same nie wykonają kroków, żeby się zabezpieczyć’ – zauważył.
Zwrócił uwagę na rejestry państwowe, do których urzędnicy samorządowi wprowadzają dane bezpośrednio, co niesie ze sobą ryzyko włamań do systemów, jeśli gminy nie będą właściwie zabezpieczone informatycznie.
Czajkowski podkreślił, że skala zagrożeń jest większa, bo każdemu samorządowi podlegają jednostki organizacyjne – szkoły, OPS, spółki, które także są podatne na zagrożenia cyberatakami. „Jeżeli gmina czy powiat ma środki i ludzi, żeby zapewnić bezpieczeństwo, to dobrze, jeśli nie – te dodatkowe jednostki to kolejne punkty zagrożone” – dodał.
Ekspert podkreślił, że jednostki, które będą musiały podejmować działania przeciw cyberterrozyzmowi, będą musiały zainwestować środki bieżące, co jest ważne z punktu widzenia art. 243 ustawy o finansach publicznych i limitów zadłużeń samorządów.
„Muszą więc obciążyć budżet, który już jest bardzo obarczony. To zawsze trzeba mieć w tyle głowy, że nie bardzo na poziomie samorządu można środki na ten cel przeznaczać” – dodał.
Zdaniem Czajkowskiego w relacjach rządowo-samorządowych ważna jest kwestia edukacji i szkoleń dla pracowników, którzy zajmują się kwestiami informatyzacji, ochrony danych, bo bez tego nie ma szans na poprawę w dziedzinie, która jest opisana w rządowej strategii cyberbezpieczeństwa.
„Edukacja to podstawowa sprawa – może 66 miast sobie poradzi, ale cała reszta będzie miała kłopoty” – zauważył ekspert.
Wojciech Dziomdziora, wiceprezes Polskiej Izby Informatyki i Telekomunikacji zaznaczył, że w sytuacji zagrożenia cyberatakami czynnik ludzki jest najsłabszy i najważniejszy.
„Nawet najwięksi i najbardziej kompetentni nie są czasem w stanie ustrzec się przed atakiem” – powiedział. Podkreślił znaczenie wiedzy, jak działać w momencie ataku, zarządzać kryzysem w trakcie ataku i „sprzątać” po ataku.
Jego zdaniem musi być zaangażowana cała organizacja, również dział prawny i ABI (administrator bezpieczeństwa informacji) oraz działy promocji i rzecznicy prasowi, ze względu na decyzje, czy informować opinię publiczną.
Przewodniczący komisji zapowiedział, że na przełomie września i października odbędzie się kolejne spotkanie w sprawie cyberbezpieczeństwa, tym razem w ramach prac sejmowych.
Organizatorami konferencji były Komisja Samorządu Terytorialnego i Polityki Regionalnej, Polska Izba Informatyki i Telekomunikacji, Związek Powiatów Polskich oraz Związek Miast Polskich.
Kkż/ woj./
TAGI: INFORMATYZACJA
