Szkolenie urzędników oraz udostępnianie gotowych, scentralizowanych narzędzi zamiast przekazywania celowych dotacji to pomysł resortu cyfryzacji na poprawę jakości cyberbezpieczeństwa organów administracji publicznej.
To odpowiedź na interpelację poselską. Posłowie pytali, czy resort planuje wprowadzenie bonów na cyberbezpieczeństwo dla jednostek samorządu terytorialnego na zakup usług lub rozwiązań z zakresu cybersecurity i rozwiązań prawnych polegających na dopuszczeniu kwalifikowania wydatków na bezpieczeństwo IT jako wydatków na innowacje (co wiązałoby się z odpisem CIT). Chcieli też dowiedzieć się, ile ataków hakerskich zanotowano w marcu 2020 r. na instytucje państwowe.
Ministerstwo w odpowiedzi wskazało, że nie zamierza wprowadzać bonów, a tym samym – delegować na kierowników jednostek administracji publicznej obowiązków związanych z dbałością o bezpieczeństwo cyfrowe. W zamian proponuje wiele narzędzi, które miałyby tworzyć system centralny. W tym celu w 2022 r. ma być udostępniony zintegrowany system służący bezpiecznemu funkcjonowaniu stron internetowych jednostek wraz z systemem Biuletynu Informacji Publicznej. Administracja może również liczyć na wsparcie regionalnych centrów bezpieczeństwa oraz centrów wymiany i analizy informacji. Ministerstwo podkreśla, że trwający jeszcze przez rok Program Operacyjny Polska Cyfrowa w części dotyczącej projektów zwiększających cyfrowe kompetencje użytkowników skierowany był głównie do jednostek samorządu terytorialnego. Za ciągły rozwój cyberbezpieczeństwa odpowiadają również takie programy jak GovTech i Wspólna Infrastruktura Informatyczna Państwa.
Ze względu na to, że za większość incydentów naruszających cyberbezpieczeństwo odpowiada człowiek, a nie maszyna, Ministerstwo Cyfryzacji wskazuje również na intensywne działania edukacyjne wśród kadry urzędniczej – choćby w postaci kampanii „Cyberbezpieczny samorząd” czy poświęconej bezpieczeństwu w sieci bazy wiedzy opublikowanej dla administracji na portalu gov.pl. Utworzono również specjalny adres (cyberjst@mc.gov.pl), z którego za pośrednictwem ministerstwa przekazywane będą informacje o wydarzeniach związanych z zabezpieczeniami. Od 2019 r. eksperci z departamentu cyberbezpieczeństwa ministerstwa oraz zespołu reagowania na incydenty komputerowe CSIRT NASK prowadzą w porozumieniu z urzędami marszałkowskimi warsztaty dla pracowników zajmujących się stricte kwestiami bezpieczeństwa IT w urzędach.
Resort przyznał, że z roku na rok rośnie liczba incydentów związanych z naruszeniem cyberbezpieczeństwa. Zgodnie z danymi CSIRT NASK w I kwartale 2020 r. w sektorze administracji publicznej zanotowano 41 incydentów związanych z naruszeniem cyberbezpieczeństwa, a w okresie od 28 lutego 2020 r. do 2 kwietnia 2020 r. ‒ 703 incydenty w obrębie ministerstw, 529 w obrębie urzędów, 185 w instytucjach oraz 75 w administracji publicznej. Przy tym w okresie od 20 do 26 marca 2020 r. odnotowano 187 incydentów i zdarzeń wykorzystujących motyw pandemii.
Ministerstwo podkreśliło, że bezpieczeństwo związane z wykorzystaniem sieci i systemów internetowych przez administrację publiczną powinno stanowić jeden z priorytetów dla osób kierujących takimi jednostkami. Zwróciło uwagę, że najwięcej zaniedbań widocznych jest po stronie osób obsługujących systemy. Chodzi tu o brak świadomości o cyberzagrożeniach i niezachowywanie podstawowych zasad tzw. cyberhigieny. Z tego względu resort stawia na proponowanie własnych, zintegrowanych systemów oraz edukację osób. Z tego względu, choć wyraża pełną aprobatę dla inwestycji związanych z innowacyjnymi narzędziami – zwłaszcza dotyczącymi cyberbezpieczeństwa, to na stworzenie bonów specjalnie na ten cel nie ma co liczyć.
Interpretacja nr 4972 w sprawie bonów na cyberbezpieczeństwo dla jednostek samorządu terytorialnego
