Podczas XI Europejskiego Kongresu Samorządów uczestnicy panelu poświęconemu cyberbezpieczeństwu zauważyli, że jednostki samorządu terytorialnego mierzą się dziś z dynamicznie rosnącym ryzykiem cyberataków, które obejmuje nie tylko urzędy i dane mieszkańców, ale również rozproszone systemy operacyjne zarządzające infrastrukturą komunalną. Wodociągi, oczyszczalnie ścieków, przepompownie czy systemy sygnalizacji świetlnej coraz częściej stają się celem działań cyberprzestępców.

„Ataki są i będą, ich liczba i kaliber będą rosły. Niektóre instalacje, nieraz zaprojektowane dekady temu, są podatne na cyberataki” – zauważył Bartłomiej Wichniarz, dyrektor Pionu Biznesu NASK S.A. Dodał, że aby zapobiegać incydentom bezpieczeństwa, ważna jest edukacja. „Jeśli człowiek udostępni hasło i pulpit niewiele da się zrobić” – zaznaczył.

Tomasz Soczyński, adiunkt na Uczelni Techniczno-Handlowej im. Heleny Chodkowskiej, wspomniał, że jest sporo narzędzi tzw. miękkich, a więc tanich we wprowadzeniu, które można wdrożyć w obszarze cyberbezpieczeństwa. To głównie procedury i standardy.

"Z perspektywy praktycznej kluczowy wniosek jest prosty realną odporność infrastruktury komunalnej buduje się przede wszystkim przez właściwą architekturę i „higienę” OT (segmentację, ograniczenie ekspozycji, kontrolę dostępu), a dopiero w kolejnym kroku przez zdolność reagowania — przećwiczone playbooki oraz jasne decyzje operacyjne w pierwszych minutach incydentu" - ocenił dr Soczyński.

Jego zdaniem programy wsparcia, takie jak "Cyberbezpieczny Wodociąg", mają duży potencjał, jednak ich skuteczność będzie zależała od tego, czy środki przełożą się na trwałą zmianę praktyki operacyjnej („security by configuration”), a nie wyłącznie na zakupy technologii „z pudełka”.

„Nie można zapominać o kompetencjach ludzi, którzy budują systemy i sieci informatyczne. To oni muszą zadbać o odporność wielu obszarów, więc muszą być ekspertami w swoich dziedzinach” – dodał Wiesław Łodzikowski, zastępca dyrektora ds. rozwoju i komunikacji Instytutu Łączności - Państwowy Instytut Badawczy.

Jeżeli już dojdzie do incydentu naruszenia cyberbezpieczeństwa, wymagana jest odpowiednia komunikacja kryzysowa.

„Samorządy muszą być gotowe na cyberatak i dezinformację. Natomiast w ich komunikowaniu się nie ma nic gorszego niż cisza. Potrzebna jest współpraca urzędników z mediami, żeby społeczeństwo poczuło się bezpiecznie. Należy ogłaszać komunikaty bez emocji, przedstawiać plan działania” – wyliczał Łukasz Antkiewicz, prezes Higher Media.

Z cyberbezpieczeństwem jest związana wprowadzona niedawno dyrektywa NIS 2 – dyrektywa unijna mająca na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w Unii Europejskiej. Skrót NIS pochodzi od angielskich słów: network and information systems.

„Samorządy i spółki komunalne, np. wodno-kanalizacyjne, zostaną objęte regulacjami. Muszą być przygotowane do raportowania incydentów, zarządzania kryzysami. Jeszcze jest czas na przygotowania, bo wdrożenie i kary zostały odsunięte w czasie, jednak wprowadzenie regulacji będzie wymagało nakładów finansowych. Być może pomocne w ich obniżeniu będą zapowiadane centra usług wspólnych” – zakończyła Aleksandra Auleytner, partner w kancelarii Domański Zakrzewski Palinka.

XI Europejski Kongres Samorządów w Mikołajkach to największe i najważniejsze wydarzenie samorządowe w 2026 roku w Polsce, stanowiące przestrzeń wymiany dobrych praktyk oraz budowania i pogłębiania współpracy między samorządami. 

Serwis Samorządowy PAP objął wydarzenie patronatem medialnym.

mz/ mp/