Praktyka zgłaszania osób do kontaktu z CSIRT NASK [Ustawa o Krajowym Systemie Cyberbezpieczeństwa]

Ustawa o krajowym systemie cyberbezpieczeństwa, obowiązująca od 2018 r., wprowadziła nowe zadania dla jednostek samorządu terytorialnego w zakresie funkcjonowania urzędów w cyberprzestrzeni.  Jak po czterech lata obowiązywania nowych przepisów samorządy wywiązują się z zapisów ustawy?

Samorząd terytorialny odpowiada za bezpieczeństwo danych w sieci?

Oczekiwania obywateli rosną. I to również wobec administracji publicznej. Nie dotyczą już  jedynie usprawnień w zakresie funkcjonowania e-administracji, ale i zapewnienia, że wszelkie dane tak obszernie zbierane i posiadane przez urzędy będą wystarczająco bezpieczne. Administracja samorządowa, z racji szerokiego wachlarza zadań, jakie realizuje,  codziennie gromadzi ogromne ilości danych, w tym dane osobowe, dotyczące gospodarki czy administracji.

 Spójrzmy na to w ten sposób: przynależność do danej jednostki samorządu terytorialnego jest obligatoryjna, już przez sam fakt przebywania na terytorium danej JST. Jednocześnie większość danych mieszkańcy przekazują w urzędach np. miast i gmin swoje dane również obligatoryjnie, nie dobrowolnie- jak w przypadku korzystania z komercyjnych usług. Bezpieczeństwo danych w administracji publicznej ma więc bezpośredni związek z bezpieczeństwem obywateli.

Pomyślmy: do szerokiego wachlarza zadań realizowanych przez jednostki samorządu terytorialnego należałoby dołożyć pokaźną liczbę prawie trzech tysięcy urzędów administracji samorządowej (wszystkie urzędy gmin, starostw powiatowych i urzędów marszałkowskich w województwach).

Co to jest Krajowy Systemu Cyberbezpieczeństwa?

Samorządy jako część administracji publicznej są w myśl Ustawy o krajowym systemie cyberbezpieczeństwa z 2018 roku podmiotem Krajowego Systemu Cyberbezpieczeństwa. Ustawa ta określa zadania podmiotów publicznych: są one zobowiązane do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Chodzi o to, by w przypadku wykrycia zagrożenia w cyberprzestrzeni (faktycznego lub hipotetycznego), incydenty takie były zgłaszane i zarządzane centralnie. Ma to na celu wzrost poziomu cyberbezpieczeństwa w administracji publicznej.

Co to jest CSIRT NASK?

Jednostka samorządu terytorialnego, w przeciwieństwie do pozostałych podmiotów publicznych jedynie może, a nie musi wyznaczać tzw. osobę kontaktową do zgłaszania incydentów do CSIRT NASK (Computer Security Incident Response Team - krajowy zespół reagowania na incydenty związane z bezpieczeństwem komputerowym).

Problemy samorządu terytorialnego w zakresie cyberbezpieczeństwa?

Jednostki samorządu terytorialnego na każdym z trzech szczebli: gmin, powiatów i województw, posiadają pewne wspólne cechy jak samorządność, będąca realizacją decentralizacji administracji publicznej. Jednostki te przede wszystkim różnią się między sobą, i to nie tylko określonymi przede wszystkim w ustawach samorządowych zakresami zadań własnych. Różnice w potencjałach i zasobach widać nie tylko między szczeblami ale i między samymi gminami: przede wszystkim posiadanym majątkiem, powierzchnią czy ludnością. Jak więc w praktyce wygląda zapewnianie cyberbezpieczeństwa danych, którymi dysponuje np. niewielki urząd gminy, z kilkunastoma pracownikami etatowymi? Czy ma takie same możliwości jak urząd marszałkowski, dysponujący większym zapleczem kadrowym, finansowym czy organizacyjnym? Sama ustawa o Krajowym systemie Cyberbezpieczeństwa nie wprowadziła rozróżnienia zadań w zakresie cyberbezpieczeństwa w zależności od szczebla samorządu terytorialnego.

Jak samorządy radzą sobie z wyznaczaniem osób do kontaktu z CSIRT NASK?

Rozbieżności widać jednakże w stopniu realizacji ustawowego zadania: najlepiej w tym zakresie radzą sobie urzędy marszałkowskie, dysponując najbardziej rozwiniętym zapleczem organizacyjnym. Inaczej sytuacja wyglądała na początku 2022 r. (cztery lata po wejściu w życie ustawy!) w samorządach powiatowych i gminnych. Badania pokazały*, że wielkość jednostki, ilość zatrudnianych pracowników czy budżet, jakim dysponuje dana jednostka nie zawsze są wyznacznikiem do posiadania osoby do kontaktów z CSIRT NASK. Co prawda przodują tu niewielkie pod kątem liczby mieszkańców, wielkości budżetu czy terytorium gminy bez “osoby kontaktowej”, lecz nie jest to zasadą. Przykładowo - najmniejsza zbadana gmina zatrudniała zaledwie 21 pracowników w urzędzie, a taka, która osobę kontaktową posiadała - jedynie 22 pracowników. W porównaniu do możliwości infrastrukturalnych, to człowiek jest tym elementem nie mniej istotnym (można by rzec świadomość przede wszystkim organów wykonawczych na temat cyberzagrożeń).

E-administracja w praktyce urzędów

Niestety nie wszystkie urzędy administracji samorządowej wywiązują się z ustawowego zadania, mimo jednocześnie rosnącej sfery usług e-administracji. Pamiętajmy, że cyberbezpieczeństwo nie odnosi się tylko do zapewnienia poufności danych przetwarzanych w systemach teleinformatycznych a jest zagadnieniem znacznie szerszym. Co istotne - zagrożenia związane z cyberbezpieczeństwem mogą mieć swoje konsekwencje fizyczne, również w rzeczywistości, nawet dla osób niekorzystających bezpośrednio z m.in. e-usług. Stąd tak istotne jest zwrócenie uwagi na zagadnienie cyberbezpieczeństwa administracji publicznej na każdym poziomie. I choć w samej w ustawie utworzenie stanowiska osoby kontaktowej z jednostką CSIRT NASK przedstawione zostało jako dobrowolne, to mimo ilości już nałożonych na samorządy zadań i różnic między poszczególnymi samorządami wydaje się być koniecznością.

*Dane przytoczone na podstawie badań przeprowadzonych przez autora.