oswiata.eu
IT w oświacie
Zaloguj Forum

Cyberbezpieczeństwo w jednostkach samorządu terytorialnego – wyzwania systemowe, obowiązki prawne i model dojrzałości organizacyjnej.

3 marca, 2026 · Cyberbezpieczeństwo
Cyberbezpieczeństwo w JST

Jednostki samorządu terytorialnego (JST) stanowią jeden z kluczowych elementów krajowego systemu cyberbezpieczeństwa. Odpowiadają za przetwarzanie danych osobowych mieszkańców, obsługę rejestrów publicznych, systemów finansowych, ewidencyjnych oraz infrastruktury krytycznej o znaczeniu lokalnym. Celem artykułu jest analiza aktualnych zagrożeń cybernetycznych wobec JST, identyfikacja obowiązków prawnych wynikających z regulacji krajowych i unijnych oraz zaproponowanie modelu dojrzałości cyberbezpieczeństwa adekwatnego do realiów administracji lokalnej.

1. Wprowadzenie

Cyfryzacja administracji publicznej w Polsce w ostatniej dekadzie przyspieszyła w sposób bezprecedensowy. Elektroniczne systemy obiegu dokumentów, e-usługi, platformy płatności online, e-doręczenia oraz integracja z centralnymi rejestrami państwowymi powodują, że JST funkcjonują dziś jako złożone organizmy informatyczne.

Jednocześnie rośnie ekspozycja na zagrożenia teleinformatyczne. Ataki typu ransomware, phishing ukierunkowany (spear phishing), eskalacja uprawnień czy kompromitacja kont uprzywilejowanych stają się realnym ryzykiem operacyjnym, finansowym i reputacyjnym. W kontekście rosnących wymogów regulacyjnych oraz ograniczonych zasobów kadrowych JST, cyberbezpieczeństwo przestaje być zagadnieniem technicznym – staje się zagadnieniem zarządczym i strategicznym.

2. Otoczenie prawne i regulacyjne

2.1. Krajowe Ramy Interoperacyjności (KRI)

Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności określa minimalne wymagania dla systemów teleinformatycznych administracji publicznej. Kluczowe znaczenie ma §19, który wprost nakłada obowiązek:

  • przeprowadzania okresowej analizy ryzyka,
  • stosowania adekwatnych zabezpieczeń technicznych i organizacyjnych,
  • zapewnienia ciągłości działania systemów,
  • monitorowania incydentów.

KRI implementują podejście oparte na zarządzaniu ryzykiem, zbliżone do normy ISO/IEC 27001, choć bez obowiązku certyfikacji.

2.2. Ochrona danych osobowych

Ogólne rozporządzenie o ochronie danych (RODO) nakłada na JST obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych (art. 32), w tym:

  • pseudonimizacji i szyfrowania,
  • zapewnienia poufności, integralności i dostępności,
  • testowania i mierzenia skuteczności środków technicznych.

W praktyce RODO i KRI funkcjonują równolegle, a ich wymagania przenikają się w obszarze bezpieczeństwa informacji.

2.3. Ustawa o krajowym systemie cyberbezpieczeństwa i NIS2

Ustawa o krajowym systemie cyberbezpieczeństwa oraz implementacja dyrektywy Dyrektywa NIS2 znacząco rozszerzają zakres podmiotów zobowiązanych do wdrażania systemowych rozwiązań w obszarze cyberbezpieczeństwa. Część JST – szczególnie w zakresie infrastruktury wodno-kanalizacyjnej, energetycznej czy transportowej – może zostać zakwalifikowana jako podmioty kluczowe lub ważne.

3. Charakterystyka zagrożeń dla JST

3.1. Ransomware

Ransomware stanowi obecnie jedno z najpoważniejszych zagrożeń dla ciągłości działania jednostek samorządu terytorialnego (JST). Ataki tego typu prowadzą do utraty dostępności systemów teleinformatycznych, naruszeń danych osobowych oraz poważnych konsekwencji finansowych i reputacyjnych. Ransomware (ang. ransom – okup) to rodzaj złośliwego oprogramowania (malware), którego celem jest zablokowanie dostępu do systemu informatycznego lub zaszyfrowanie danych ofiary, a następnie wymuszenie zapłaty okupu za przywrócenie dostępu.

W praktyce JST oznacza to:

  • zaszyfrowanie baz danych systemów podatkowych,
  • niedostępność systemów finansowo-księgowych,
  • zablokowanie serwerów plików,
  • paraliż pracy urzędu.

W przeciwieństwie do klasycznych wirusów ransomware ma charakter operacyjny – jego celem jest zakłócenie ciągłości działania organizacji.

Mechanizm działania ataku ransomware

Atak ransomware przebiega zazwyczaj w kilku etapach:

Faza inicjalna – uzyskanie dostępu

Najczęstsze wektory ataku:

  • phishing (fałszywe wiadomości e-mail),
  • podatności w usługach zdalnego dostępu (np. RDP),
  • kompromitacja kont uprzywilejowanych,
  • zainfekowane aktualizacje oprogramowania (atak na łańcuch dostaw).

Faza eskalacji i rozpoznania

Po uzyskaniu dostępu atakujący:

  • podnosi uprawnienia (privilege escalation),
  • skanuje sieć lokalną,
  • identyfikuje serwery backupowe,
  • wyłącza systemy ochronne.

Faza szyfrowania i eksfiltracji

Nowoczesne warianty ransomware stosują model „double extortion”:

  1. Eksfiltrują dane (kradzież dokumentów).
  2. Szyfrują zasoby lokalne.
  3. Grożą publikacją danych w przypadku braku zapłaty.

W kontekście JST oznacza to ryzyko naruszenia danych osobowych, co rodzi obowiązki wynikające z Ogólnego rozporządzenie o ochronie danych (RODO).

Specyfika zagrożenia w JST

Jednostki samorządu terytorialnego są szczególnie podatne na ransomware z kilku powodów:

  1. Ograniczone budżety IT.
  2. Brak wyspecjalizowanych zespołów.
  3. Rozproszone systemy (woda, podatki, kadry i płace).
  4. Duża liczba użytkowników końcowych o zróżnicowanym poziomie świadomości cyfrowej.

Dodatkowo obowiązki wynikające z Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności nakładają konieczność zapewnienia ciągłości działania i zarządzania ryzykiem – co w przypadku ataku ransomware podlega ocenie kontrolnej.

Skutki ataku ransomware

Konsekwencje można podzielić na cztery kategorie:

Operacyjne

  • paraliż obsługi mieszkańców,
  • brak dostępu do rejestrów,
  • opóźnienia w wydawaniu decyzji administracyjnych.

Finansowe

  • koszty odtworzenia systemów,
  • zakup infrastruktury,
  • potencjalne kary administracyjne.

Prawne

  • obowiązek zgłoszenia naruszenia do PUODO (RODO),
  • raportowanie incydentu do właściwego CSIRT (ustawa o KSC).

Reputacyjne

  • utrata zaufania mieszkańców,
  • negatywne skutki medialne.

Jak bronić się przed ransomware – model obrony wielowarstwowej

Skuteczna ochrona nie opiera się na jednym narzędziu, lecz na systemowym podejściu.

Warstwa 1 – Człowiek (najczęstszy punkt wejścia)

1. Szkolenia cykliczne

  • minimum raz w roku,
  • rozpoznawanie phishingu,
  • bezpieczne korzystanie z poczty,
  • zasady zgłaszania incydentów.

2. Testy phishingowe

Symulowane kampanie pozwalają realnie ocenić poziom podatności pracowników.

3. Procedura „nie klikam w ciemno”

W każdej jednostce powinna obowiązywać zasada:

W przypadku wątpliwości – zgłoś, nie klikaj.

Warstwa 2 – Tożsamość i dostęp

1. MFA (Multi-Factor Authentication)

Bezwzględnie wdrożyć dla:

  • poczty elektronicznej,
  • VPN,
  • RDP,
  • kont administracyjnych.

MFA znacząco ogranicza skuteczność phishingu.

2. Zasada najmniejszych uprawnień (Least Privilege)

  • pracownik ma tylko takie uprawnienia, jakie są niezbędne,
  • konta administracyjne używane wyłącznie do administracji,
  • regularny przegląd uprawnień (min. raz w roku).

Warstwa 3 – Segmentacja sieci

1. Dlaczego to kluczowe?

Bez segmentacji ransomware rozprzestrzenia się lateralnie po całej sieci.

2. Minimalne strefy w JST:

  • sieć administracyjna,
  • systemy finansowe,
  • serwery backupu,
  • monitoring,
  • sieć gościnna.

Segmentacja VLAN oraz kontrola ruchu między segmentami przez firewall ogranicza skalę incydentu.

Warstwa 4 – Backup jako ostatnia linia obrony

1. Zasada 3-2-1

  • 3 kopie danych,
  • 2 różne nośniki,
  • 1 kopia offline (fizycznie odłączona).

3.2. Phishing i socjotechnika

Phishing oraz socjotechnika należą do najczęściej wykorzystywanych metod uzyskiwania nieautoryzowanego dostępu do systemów teleinformatycznych. W przeciwieństwie do ataków wykorzystujących wyłącznie podatności techniczne, mechanizmy te opierają się przede wszystkim na manipulacji psychologicznej użytkownikiem. W jednostkach sektora finansów publicznych, w tym w JST, zagrożenie to ma szczególny wymiar – dotyczy zarówno ochrony danych osobowych, jak i ciągłości realizacji zadań publicznych.

Phishing to forma oszustwa polegająca na podszywaniu się pod zaufany podmiot (instytucję publiczną, bank, dostawcę usług, przełożonego) w celu nakłonienia ofiary do:

  • ujawnienia danych logowania,
  • przekazania danych osobowych,
  • wykonania przelewu,
  • uruchomienia złośliwego załącznika.

Termin pochodzi od angielskiego słowa fishing – „łowienie”, co dobrze oddaje charakter tej metody: atakujący „zarzuca przynętę” w postaci wiarygodnie wyglądającej wiadomości.

Mechanizm działania phishingu

Klasyczny schemat ataku obejmuje kilka etapów:

  1. Przygotowanie przynęty – stworzenie wiadomości e-mail, SMS lub strony internetowej imitującej oryginalny podmiot.
  2. Wzbudzenie emocji – presja czasu, groźba konsekwencji, pilność sprawy.
  3. Nakłonienie do działania – kliknięcie w link, podanie hasła, otwarcie załącznika.
  4. Wykorzystanie danych – przejęcie konta, instalacja malware, dalsza eskalacja dostępu.

W administracji publicznej phishing często przybiera formę wiadomości rzekomo pochodzących z ministerstw, instytucji kontrolnych lub systemów centralnych.

Rodzaje phishingu

1.  Phishing masowy

Rozsyłany do dużej liczby odbiorców, często o niskiej personalizacji.

2.  Spear phishing

Atak ukierunkowany na konkretną osobę lub urząd. W JST może dotyczyć np. skarbnika lub kierownika referatu finansowego.

3.  Whaling

Atak skierowany do kadry kierowniczej (np. wójta, burmistrza, sekretarza).

4.  Smishing i vishing

  • smishing – phishing poprzez SMS,
  • vishing – manipulacja telefoniczna.

4. Socjotechnika – szerszy kontekst manipulacji

Socjotechnika (ang. social engineering) to zbiór technik manipulacyjnych wykorzystywanych do uzyskania informacji lub dostępu poprzez oddziaływanie psychologiczne na ofiarę.

Phishing jest jedną z form socjotechniki, ale pojęcie to obejmuje znacznie szerszy zakres działań.

Mechanizmy psychologiczne wykorzystywane w socjotechnice

Ataki opierają się na uniwersalnych mechanizmach poznawczych:

  1. Autorytet – podszywanie się pod przełożonego lub instytucję centralną.
  2. Presja czasu – „pilne”, „natychmiastowe działanie wymagane”.
  3. Strach – groźba kary, kontroli, blokady konta.
  4. Wzajemność – prośba o „niewielką przysługę”.
  5. Rutyna i automatyzm – wykorzystanie codziennych schematów pracy urzędowej.

W realiach JST formalny charakter korespondencji oraz wysoki poziom hierarchiczności organizacyjnej zwiększają skuteczność manipulacji.

Skutki phishingu w jednostkach samorządu terytorialnego

Konsekwencje obejmują:

  • przejęcie kont pocztowych,
  • uruchomienie ransomware,
  • wyciek danych osobowych (obowiązki wynikające z Ogólne rozporządzenie o ochronie danych),
  • naruszenie ciągłości działania systemów.

Z perspektywy regulacyjnej JST zobowiązane są do stosowania adekwatnych środków organizacyjnych i technicznych zgodnie z Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, co obejmuje również przeciwdziałanie zagrożeniom wynikającym z błędów ludzkich.

Model przeciwdziałania phishingowi i socjotechnice

Skuteczna ochrona wymaga podejścia systemowego.

Edukacja i budowanie świadomości

  • cykliczne szkolenia (minimum raz w roku),
  • symulowane kampanie phishingowe,
  • procedura zgłaszania podejrzanych wiadomości.

Świadomość użytkowników jest pierwszą linią obrony.

Zabezpieczenia techniczne

  • filtrowanie poczty (antyspam, antyphishing),
  • SPF, DKIM, DMARC,
  • MFA dla kont pocztowych i systemów krytycznych,
  • blokowanie makr i wykonywalnych załączników.

Procedury organizacyjne

  • zasada „czterech oczu” przy przelewach,
  • potwierdzanie dyspozycji finansowych telefonicznie,
  • ograniczenie uprawnień administracyjnych,
  • regularny przegląd kont użytkowników.

3.3. Ataki na łańcuch dostaw

Ataki na łańcuch dostaw (ang. supply chain attacks) stanowią jedną z najbardziej złożonych i niebezpiecznych form cyberzagrożeń współczesnej infrastruktury publicznej. W przeciwieństwie do klasycznych ataków bezpośrednich, ich istota polega na kompromitacji podmiotu trzeciego – dostawcy oprogramowania, usług IT lub infrastruktury – w celu uzyskania dostępu do systemów końcowych odbiorców. W realiach jednostek samorządu terytorialnego (JST), które korzystają z licznych systemów zewnętrznych (podatkowych, księgowych, EZD, kadrowych), zagrożenie to ma charakter systemowy. Schemat ten można uprościć:

  1. Atakujący kompromituje dostawcę.
  2. Wprowadza złośliwy kod do legalnej aktualizacji.
  3. Aktualizacja trafia do wielu odbiorców.
  4. Atak rozprzestrzenia się w sposób „legalny” i trudny do wykrycia.

W przypadku JST oznacza to, że urząd może zostać zainfekowany nie przez własny błąd konfiguracyjny, lecz poprzez zaufane oprogramowanie dostarczone przez zewnętrzny podmiot.

Mechanizm działania

Typowy przebieg ataku obejmuje:

Kompromitację dostawcy

Atakujący uzyskuje dostęp do środowiska producenta oprogramowania (np. serwera aktualizacji).

Wstrzyknięcie złośliwego kodu

Złośliwy komponent zostaje osadzony w aktualizacji, sterowniku lub bibliotece.

Dystrybucję przez zaufany kanał

Odbiorcy instalują aktualizację, ufając certyfikatom i podpisom cyfrowym.

Utrzymanie dostępu i dalsza infiltracja

Złośliwe oprogramowanie umożliwia eskalację uprawnień, lateral movement oraz eksfiltrację danych.

3. Dlaczego JST są szczególnie narażone?

Jednostki samorządu terytorialnego:

  • korzystają z wyspecjalizowanych systemów branżowych (podatki, odpady, kadry),
  • mają ograniczoną możliwość audytu kodu źródłowego,
  • opierają się na serwisie zewnętrznym,
  • integrują systemy lokalne z rejestrami centralnymi.

Dodatkowo obowiązki wynikające z Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności wymagają zapewnienia bezpieczeństwa systemów – niezależnie od tego, czy zagrożenie pochodzi z wewnątrz czy od dostawcy.

W kontekście implementacji Dyrektywa NIS2 rośnie nacisk na zarządzanie ryzykiem w relacjach z dostawcami usług ICT.

Rodzaje ataków na łańcuch dostaw

1. Złośliwe aktualizacje oprogramowania

Najbardziej znany model – kompromitacja systemu aktualizacji.

2. Ataki na dostawców usług zarządzanych (MSP)

Przejęcie firmy świadczącej obsługę IT wielu podmiotom jednocześnie.

3. Kompromitacja bibliotek open source

Wprowadzenie złośliwego kodu do popularnych komponentów wykorzystywanych w aplikacjach.

4. Ataki sprzętowe

Modyfikacja firmware lub komponentów przed dostarczeniem do odbiorcy.

Skutki ataku na łańcuch dostaw

5.1. Skala systemowa

Jeden incydent może dotknąć setki jednostek administracyjnych.

5.2. Trudność detekcji

Złośliwy kod pochodzi z legalnego, podpisanego źródła.

5.3. Odpowiedzialność prawna

JST jako administrator danych ponosi odpowiedzialność za skutki naruszenia, w tym obowiązki wynikające z Ogólne rozporządzenie o ochronie danych.

Model obrony przed atakami supply chain

1. Zarządzanie ryzykiem dostawców

  • klasyfikacja dostawców według krytyczności,
  • wymagania bezpieczeństwa w umowach (SLA, audyty),
  • weryfikacja zgodności z normami (np. ISO 27001),
  • klauzule dot. incydentów bezpieczeństwa.

2. Segmentacja infrastruktury

Oddzielenie środowisk:

  • serwerów aktualizacji,
  • systemów finansowych,
  • infrastruktury krytycznej,

ogranicza możliwość eskalacji skutków kompromitacji dostawcy.

3. Zasada Zero Trust

Model „zero zaufania” zakłada, że:

  • żadna aktualizacja nie jest automatycznie bezpieczna,
  • każdy komponent musi być weryfikowany,
  • dostęp między segmentami sieci wymaga uwierzytelnienia i autoryzacji.

4. Monitorowanie i detekcja

  • analiza logów,
  • systemy EDR/XDR,
  • wczesne wykrywanie anomalii ruchu sieciowego,
  • kontrola integralności plików.

5. Testy i audyty

  • testy penetracyjne środowiska,
  • przeglądy konfiguracji,
  • weryfikacja procesów aktualizacji.

Aspekt organizacyjny

Cyberbezpieczeństwo łańcucha dostaw nie może być wyłącznie domeną informatyka. Powinno być elementem:

  • procesu zamówień publicznych,
  • analizy ryzyka,
  • kontroli zarządczej,
  • planu ciągłości działania (BCP).

W specyfikacjach przetargowych warto uwzględniać wymagania dotyczące bezpieczeństwa aktualizacji, raportowania incydentów i przejrzystości łańcucha dostaw.

Wnioski

Ataki na łańcuch dostaw stanowią przykład ewolucji cyberzagrożeń – od ataków bezpośrednich do działań pośrednich, trudniejszych do wykrycia i bardziej destrukcyjnych w skutkach.

4. Model dojrzałości cyberbezpieczeństwa w JST

Proponowany model dojrzałości obejmuje pięć poziomów:

Poziom 1 – reaktywny

  • brak formalnej analizy ryzyka,
  • zabezpieczenia ad hoc,
  • brak testów kopii zapasowych.

Poziom 2 – podstawowy

  • formalna dokumentacja (polityka bezpieczeństwa),
  • okresowa analiza ryzyka,
  • podstawowa segmentacja sieci.

Poziom 3 – zarządczy

  • systemowe podejście do ciągłości działania (BCP),
  • regularne testy backupów,
  • monitoring zdarzeń (SIEM lub log management),
  • szkolenia cykliczne pracowników.

Poziom 4 – zintegrowany

  • integracja bezpieczeństwa z procesem budżetowym,
  • testy penetracyjne,
  • segmentacja VLAN,
  • MFA dla kont uprzywilejowanych.

Poziom 5 – optymalizowany

  • analiza zagrożeń (threat intelligence),
  • audyty zewnętrzne,
  • symulacje incydentów (table-top exercise),
  • kultura bezpieczeństwa w organizacji.

5. Kluczowe obszary techniczne

5.1. Segmentacja sieci

4

Podział infrastruktury na strefy (np. sieć administracyjna, sieć gościnna, monitoring, systemy księgowe) ogranicza lateral movement w przypadku naruszenia bezpieczeństwa.

5.2. Backup 3-2-1

  • 3 kopie danych,
  • 2 różne nośniki,
  • 1 kopia offline/offsite.

W JST szczególnie istotna jest odporność na ransomware poprzez kopię odseparowaną logicznie i fizycznie.

5.3. Zarządzanie tożsamością

  • zasada najmniejszych uprawnień,
  • wieloskładnikowe uwierzytelnianie (MFA),
  • przeglądy uprawnień co najmniej raz w roku.

6. Aspekt organizacyjny i kadrowy

Cyberbezpieczeństwo w JST nie może być delegowane wyłącznie do informatyka. Odpowiedzialność spoczywa na kierowniku jednostki jako administratorze danych i zarządzającym systemem kontroli zarządczej.

Kluczowe znaczenie mają:

  • szkolenia pracowników (co najmniej raz w roku),
  • testy phishingowe,
  • procedura reagowania na incydenty,
  • współpraca z CSIRT właściwym sektorowo.

7. Wnioski

Cyberbezpieczeństwo JST jest zagadnieniem interdyscyplinarnym łączącym prawo administracyjne, ochronę danych osobowych, zarządzanie ryzykiem i inżynierię systemów IT. Rosnąca liczba incydentów oraz zaostrzenie regulacji (NIS2) powodują, że model minimalnej zgodności przestaje być wystarczający.

Jednostki samorządu terytorialnego powinny:

  1. Traktować cyberbezpieczeństwo jako element strategii zarządzania.
  2. Budować kompetencje wewnętrzne i korzystać z audytów zewnętrznych.
  3. Wdrożyć systemowe podejście do analizy ryzyka i ciągłości działania.
  4. Inwestować w szkolenia oraz kulturę bezpieczeństwa.

W perspektywie najbliższych lat cyberodporność JST stanie się jednym z kluczowych mierników jakości zarządzania publicznego. Ochrona danych mieszkańców i zapewnienie ciągłości usług administracyjnych to nie tylko obowiązek prawny, lecz fundament zaufania społecznego do instytucji samorządowych.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *