Urzędnicy z Obornik Śląskich odpowiedzieli na pytania Radia DTR dotyczące bezpieczeństwa danych i funkcjonowania systemów informatycznych. Odpowiedź była rzeczowa, przejrzysta i konkretna. Ale… czy to wystarczy, by mieszkańcy mogli spać spokojnie?
📅 SZBI od lat, ale bez aktualnych przeglądów
System Zarządzania Bezpieczeństwem Informacji (SZBI) został wdrożony w Urzędzie już 3 sierpnia 2009 roku. Dokumentację aktualizowano w 2015 i 2022 roku. Od tego czasu jednak nie wspomniano o żadnym formalnym przeglądzie, który pozwalałby ocenić realne funkcjonowanie tego systemu w świetle współczesnych zagrożeń.
📉 Brak planu ciągłości działania
To najbardziej niepokojący fragment odpowiedzi. Urząd przyznaje, że nie wdrożono kompleksowego planu ciągłości działania, czyli – mówiąc wprost – w razie poważnej awarii może zabraknąć gotowej ścieżki działania. Zamiast tego przeprowadzono analizę ryzyk i ogólne sposoby reakcji. Ale czy to wystarczy, gdy dojdzie do poważnego cyberataku?
🔍 Audyt ostatni w 2022 roku – kolejny dopiero „po wdrożeniu programu”
Audyt przeprowadziła firma EFIGO sp. z o.o. we wrześniu 2022 roku. Kolejny audyt ma się odbyć dopiero po wdrożeniu elementów programu Cyberbezpieczny Samorząd, ale nie wiadomo kiedy to nastąpi. Dwa lata przerwy to zdecydowanie za długo w kontekście tak szybko zmieniających się zagrożeń.
📜 Umowy i szkolenia – tu lepiej
Plus dla Obornik Śląskich za politykę umów z firmami IT – podpisywane są albo pełne umowy powierzenia przetwarzania danych osobowych, albo odpowiednie klauzule w umowach głównych. W dodatku urząd zapewnia, że corocznie odbywają się szkolenia z zakresu cyberbezpieczeństwa i ochrony danych.
Co mogą pomyśleć mieszkańcy?
Z jednej strony, odpowiedź urzędu jest zwięzła, uporządkowana i wolna od ignorancji, która cechowała odpowiedzi innych gmin. Ale z drugiej – ujawnia luki systemowe, które mogą niepokoić.
❓ Czy mieszkańcy mogą czuć się bezpiecznie, wiedząc, że urząd nie ma wdrożonego planu ciągłości działania?
❓ Czy audyt sprzed prawie trzech lat można uznać za aktualny?
❓ Czy „analiza ryzyk” to wystarczający dokument, gdy chodzi o ochronę danych tysięcy obywateli?
Odpowiedź urzędnika Marka Śliwińskiego pokazuje, że świadomość problemów w urzędzie istnieje – ale wdrożenie realnych rozwiązań dopiero przed nimi.
Źródło: odpowiedź Urzędu Miejskiego w Obornikach Śląskich na wniosek o udostępnienie informacji publicznej, maj 2025 r.
