Strona główna / Bezpieczeństwo / Czy gminy są bezpieczne?
wtorek 31 grudzień 2019 | Robert Kamiński
Czy gminy są bezpieczne?
Przeprowadzone przez nas badanie pokazuje, że zaledwie kilkanaście procent jednostek samorządu terytorialnego miało do czynienia z incydentami zagrażającymi bezpieczeństwu informatycznego. Jednak pojawiające się w mediach informacje o udanych atakach na instytucje samorządowe niepokoją - samorząd trafił na celownik hakerów.
Tagi: badanie, samorząd, JST,

W badaniu zapytaliśmy o odnotowane incydenty bezpieczeństwa bez ścisłego  określenia przedziału czasowego, stąd założenie, że odpowiedzi dotyczyły incydentów odnotowanych w prowadzonych raportach czy statystykach respondentów lub też pamiętanych przez osoby odpowiadające.

Udział urzędów, które potwierdziły incydenty bezpieczeństwa jest stosunkowo niski – z wyjątkiem miast na prawach powiatu oraz urzędów marszałkowskich (zaatakowane zostały wszystkie urzędy marszałkowskie, jakie udzieliły odpowiedzi na to pytanie). Warto się przy tym zastanowić, skąd bierze się niski udział raportowanych incydentów w mniejszych urzędach. Może to wynikać z charakteru tych jednostek: przynajmniej zdaniem ewentualnych atakujących ich infrastrukturę urzędy te nie mają zbyt wiele cennych informacji albo zakłócenie ich działania nie jest dostatecznie spektakularne. Inną przyczyną niskiego udziału incydentów w tych kategoriach może być niższy, niż w dużych miastach i urzędach marszałkowskich poziom analiz bezpieczeństwa – przy takim założeniu część incydentów w mniejszych jednostkach mogła zostać niezauważona. Niewykluczone, że w ich przypadku zadziałać mogły obie wspomniane okoliczności.

Znamienny jest przykład gminy Kościerzyna, która padła ofiarą poważnego ataku podczas gdy we wcześniej przesłanej do nas informacji nie było doniesień o jakichkolwiek incydentach. Ten przykład pozwala wnioskować, że zabezpieczenia którymi dysponuje administracja niższego szczebla nie rejestrują większości ataków. A skutki bywają opłakane – począwszy od blokowania komputerów po kradzież danych i pieniędzy.

A jak to jest w rzeczywistości?

Na 1650 urzędów JST, które udzieliły odpowiedzi na pytanie o stosowane rozwiązania tylko 45 nie ma oddzielnego oprogramowania antywirusowego, co jednak nie znaczy, że nie stosują żadnej ochrony informacji. Należy bowiem pamiętać, że w różnych wersjach systemu MS Windows powszechnie stosowanego na komputerach-stacjach roboczych administracji samorządowej, podstawowe oprogramowanie antywirusowe i programowa zapora sieciowe jest dostarczana wraz z systemem operacyjnym. Korzystanie z systemowych zabezpieczeń stacji roboczych wraz z ewentualnym zastosowaniem np. oddzielnego oprogramowania typu firewall, albo rozwiązania sprzętowego (brama sieciowa, UTM) może zapewnić – przynajmniej zdaniem administratorów danego systemu – dostateczną ochronę sieci bez konieczności stosowania dodatkowego oprogramowania antywirusowego. Można jednak zwrócić uwagę, że oddzielny serwer pocztowy lub brama poczty elektronicznej nie jest rozwiązaniem powszechnie stosowanym w JST (zob. Tabela 3 – udział takich rozwiązań przekracza 20% tylko w urzędach dużych miast i urzędach marszałkowskich) – ale trzeba pamiętać, że większość mniejszych urzędów korzysta z zewnętrznego hostingu usług poczty elektronicznej. Wyższy jest udział sprzętowych rozwiązań ochrony typu UTM, sięgając 45% ankietowanych w przypadku miast na prawach powiatu.  

 Badane urzędy w różnym stopniu korzystają z outsourcingu usług bezpieczeństwa. W tym obszarze także widoczny jest wpływ własnej rozbudowanej infrastruktury (z wyjątkiem gmin miejsko-wiejskich) – najbardziej polegają na swoich własnych zasobach informatycznych i kadrowych urzędy marszałkowskie (tylko 31% korzysta z usług zewnętrznych) oraz urzędy dużych miast na prawach powiatu (26%). Korzystanie z outsourcingu usług bezpieczeństwa wynika często z „wystawienia” całej poczty wraz zabezpieczeniami do zewnętrznego podmiotu. Podmiotami takimi bywają niewielcy lokalni dostawcy usług hostingu, poczty itp. (np. w urzędach gmin miejsko-wiejskich), ale w przeważającej mierze są to tacy potentaci  usług hostingowych, jak np. home.pl lub nazwa.pl. Istotny ­jest w tych przypadkach swoisty „komfort psychiczny” pozornego przeniesienia odpowiedzialności za ewentualne incydenty na dostawcę zewnętrznego, a więc „na kogoś innego”. Oczywiście ważny jest również koszt samej usługi i zakres jej obsługi technicznej. Tu niestety wygrywa cena, która nie zawsze zapewnia najwyższy poziom zabezpieczeń.

Chmura za i przeciw

Z rozwiązań chmury obliczeniowej korzysta tylko 18% jednostek respondentów, ale i w tym obszarze widoczne jest duże zróżnicowanie między poszczególnymi typami JST: z rozwiązań takich korzysta już ponad 60% urzędów marszałkowskich i niemal 40% urzędów dużych miast, ale tylko 7% gmin miejsko-wiejskich i 15% gmin wiejskich. 

Można założyć, że największe jednostki samorządu, dysponujące najbardziej rozbudowanymi infrastrukturami informatycznymi, najchętniej chcą korzystać z takich zalet chmury, jakie są dla nich najbardziej oczywiste:

  • uwolnienie własnych zasobów kadrowych (specjalistów IT) od niektórych czynności wymaganych w przypadku utrzymywania własnej infrastruktury, potrzebnej dla systemów przeniesionych do chmury;
  • uproszczenie przygotowywania procedur przetargowych potrzebnych przy zakupie czy wymianach własnego sprzętu.
  • Z komentarzy zebranych od respondentów ankiety wynika, że główne przeszkody w stosowaniu rozwiązań chmurowych są niezmienne od kilku lat:
  • obawy dotyczące bezpieczeństwa danych, w tym związane z lokalizacją serwerów dostawców chmury (mimo, że wielu dostawców gwarantuje, że zasoby utrzymywane są w Polsce lub w krajach UE),
  • braki kompetencyjne w JST (raczej na poziomie decydentów, niż personelu IT),
  • brak zainteresowania ze strony dostawców usług chmurowych – zwłaszcza mniejszymi jednostkami samorządowymi

Do czego jest wykorzystywana chmura?

W zebranych komentarzach pojawiły się obszary, w których JST albo już korzystają z chmury, albo zakładają, że mogłyby to zrobić w najbliższej przyszłości. Obok niemal oczywistych już zastosowań, jakimi są serwer pocztowy, strona WWW i strona BIP, najczęściej wymieniane są:

  • platformy przetargowe,
  • rekrutacja do szkół,
  • budżet obywatelski.

Natomiast wśród zastosowań „wewnętrznych” dla  samego urzędu jako perspektywiczne respondenci wymieniali:

  • systemy GIS (głównie geodezyjno-kartograficzne),
  • ewidencja adresowa,
  • serwer systemu EZD (zarządzania dokumentami),
  • serwer systemu finansowo-księgowego,
  • backup aplikacji.

Najczęściej projekty chmurowe uruchamiane są wtedy, gdy można w nich wykorzystać środki z programów unijnych. Można przypuszczać, że nie jest to efekt tylko i wyłącznie finansowania, a raczej braku wiedzy na temat zalet rozwiązań chmurowych i obawy związane z bezpieczeństwem.

Korzyści dla administracji ze stosowania rozwiązań chmurowych są bardzo podobne jak w przypadku podmiotów prywatnych. Największym plusem jest znaczny spadek kosztu utrzymania infrastruktury IT i to na trzech poziomach. Po pierwsze: problemem przestaje być zakup niezbędnego sprzętu do prowadzenia działań, ten obowiązek przejmuje dostawca chmury. Po drugie: urzędy nie muszą przeprowadzać długotrwałych i skomplikowanych przetargów, wymagających odpowiednich kompetencji. Po trzecie: w związku z ograniczeniem własnej infrastruktury pracownicy zajmujący się jej utrzymaniem mogą wykorzystać swoje zdolności przy realizacji bardziej wymagających zadań przynoszących większe korzyści zarówno dla urzędników jak i petentów.  Jednostki administracji mogą zająć się tym, do czego została powołane, a w budżecie pozostaje więcej środków do realizacji tych zadań.

Dzięki chmurze może wzrosnąć jakość oferowanych usług oraz satysfakcja obywateli z nich korzystających. Dzięki uwolnieniu środków finansowych, a także stworzeniem środowiska, w którym łatwiej można wprowadzać nowe wdrożenia chmura dla administracji może być impulsem do szybszej cyfryzacji usług, w efekcie czego więcej spraw będzie można załatwić bez wychodzenia z domu i stania w kolejkach. Poza tym zastosowanie tej technologii zapewni dużo stabilniejsze i sprawniejsze działanie systemów, co pozwoli uniknąć awarii i przestojów.

----------------------------------------------------------------------

Raport przedstawia wyniki badania stanu informatyzacji oraz bezpieczeństwa infrastruktury informatycznej jednostek samorządu terytorialnego.

Badanie przeprowadził zespół Stowarzyszenia Komputer w Firmie od maja do sierpnia 2019 r. Zaproszenia do badania wysłano do 2807 samorządów według specyfikacji MSWiA – do urzędów gmin wiejskich i miejskich, powiatów i starostw oraz urzędów marszałkowskich.

Metodyka badania

Badanie zostało wykonane metodą CAWI, z wykorzystaniem elektronicznych formularzy ankietowych wypełnianych przez samych respondentów, bez udziału ankietera. Dla podwyższenia wiarygodności analizy statystycznej pytania ankietowe miały charakter zamknięty . Wyniki badania opracowane zostały na podstawie odpowiedzi 1808 jednostek samorządu terytorialnego. Analizę zebranych danych przeprowadzono w podziale:

  • terytorialnym (województwa),
  • ze względu na typ JST (gmina miejsko-wiejska, gmina wiejska, gmina o statusie miasta, miasto na prawach powiatu, starostwo powiatu, urząd marszałkowski województwa).

Najważniejsze cele projektu

Najważniejszymi celami projektu badawczego były:

  • ocena zasobów infrastruktury IT jednostek samorządowych,
  • rozpoznanie budżetów JST na bezpieczeństwo teleinformatyczne,
  • rozpoznanie zagrożeń i zestawienie głównych typów stosowanych cyberzabezpieczeń,
  • określenie trendów związanych z wykorzystaniem rozwiązań chmurowych.

Zakres badania

Pytania ankietowe obejmowały następujące zagadnienia:

  • liczba stacji roboczych,
  • liczba serwerów (w tym wirtualnych), 
  • własne serwery/bramy poczty elektronicznej,
  • budżet przeznaczony na bezpieczeństwo elektroniczne na rok 2019 (kwota przeznaczona na ten cel i jej udział w ogólnym budżecie JST),
  • liczba odnotowanych incydentów związanych z bezpieczeństwem (włamanie do poczty elektronicznej, zablokowanie komputerów, ransomware, phishing itp.)
  • sposób zabezpieczenia poczty elektronicznej: 
  • oprogramowanie antywirusowe,

 

Podobne artykuły
zobacz więcej
Video
więcej
Video"
więcej
Facebook
więcej