W październiku 2024 r. w życie wchodzi unijna dyrektywa NIS2, która będzie miała szczególne znaczenie dla firm z branży finansowej czy energetycznej, a także dla podmiotów publicznych. Regulacje nakładają nowe obowiązki w zakresie zapewnienia bezpieczeństwa systemów teleinformatycznych oraz zabezpieczenia przechowywanych danych. Niestosowanie się do wskazanych przepisów może skutkować nałożeniem wielomilionowych kar finansowych.
Instytucje z sektora publicznego przechowują ogromne ilości informacji, w tym danych zwykłych i szczególnych kategorii, co czyni je atrakcyjnym celem dla cyberprzestępców. Od kilku lat podejmowane są działania w kierunku wzmacniania ich ochrony, m.in. w formie wsparcia finansowego. W 2023 r. wniosek o dofinansowanie w ramach programu „Cyberbezpieczny Samorząd” na kwotę 1,5 mld zł złożyło 90% uprawnionych instytucji. Wciąż jednak jest to kropla w morzu potrzeb, zwłaszcza w obszarze zabezpieczenia przechowywania danych.
Podmioty publiczne wciąż do tyłu z wdrażaniem przepisów dot. cyberbezpieczeństwa
Mimo programów i dofinansowań poziom bezpieczeństwa cyfrowego sektora publicznego jest niski, zwłaszcza w samorządach. Kontrole NIK w 2023 r. wykazały, że wiele jednostek administracji publicznej korzysta z nieaktualnego oprogramowania, nie monitoruje go, a nawet używa nieautoryzowanych programów.
– Znaczna część jednostek publicznych nie wdrożyła jeszcze w pełni wszystkich istniejących przepisów dot. ochrony danych osobowych i cyberbezpieczeństwa, takich jak ustawa o Krajowym Systemie Bezpieczeństwa z 2018 r. czy rozporządzenie regulujące Krajowe Ramy Interoperacyjności. Do tego dochodzą kolejne regulacje – NIS2 i związane z nim obowiązki. Co istotne, nie wystarczy jedynie stworzenie instrukcji i wytycznych, które będą zgodne z nowymi przepisami. Bez odpowiednich środków technicznych i organizacyjnych nawet najlepiej opracowane procedury nie będą wystarczające. Niestety spora część jednostek samorządowych nadal korzysta z przestarzałych, niewspieranych już systemów operacyjnych jak Windows 7, nie posiada należytego oprogramowania wspierającego czy odpowiednich szyfrowanych dysków do zabezpieczenia danych
– zauważa Tomasz Surdyk, inspektor ochrony danych w firmie Kingston Technology.
NIS2 nakłada pod groźbą kar finansowych nowe obowiązki na sektor publiczny. Dotyczą one ujawniania luk w zabezpieczeniach, testowania poziomu cyberbezpieczeństwa, zapewnienia bezpiecznego przechowywania wrażliwych danych czy ich szybkiego odzyskiwania w razie awarii. Jednostki administracji powinny rozważyć m.in. zakup rozwiązań szyfrujących dane, również te przechowywane i przenoszone na dyskach oraz zewnętrznych nośnikach m.in. pendrive’ach.
– Szyfrowanie programowe jest łatwiej dostępne – nie wymaga zakupu specjalistycznego sprzętu – jednak jest też podatne na ataki z użyciem algorytmu siłowego. Znacznie większy poziom ochrony zapewnia szyfrowanie sprzętowe, dzięki któremu niepowołanym osobom dużo trudniej jest przechwycić dane - podkreśla Robert Sepeta, Business Development Manager w Kingston Technology.
