Dużo sprzętu, mało fundamentów? NIK ujawnia luki w gotowości cyfrowej urzędów.

Co pokazują dokumenty? Cyberbezpieczny Samorząd jest jednym z największych programów cyfrowego bezpieczeństwa skierowanych do jednostek samorządu terytorialnego. Na papierze brzmi jak odpowiedź na problem, którego już nikt rozsądny nie może lekceważyć: gminy, powiaty i województwa przechowują dane mieszkańców, obsługują sprawy urzędowe, prowadzą szkoły, zarządzają jednostkami organizacyjnymi, a coraz częściej dotykają także infrastruktury lokalnej. Kiedy pada system w urzędzie, obywatel nie widzi abstrakcyjnego incydentu. Widzi zamknięte okienko, opóźnioną decyzję, niedostępną usługę, ryzyko wycieku danych i komunikat, że trzeba czekać. Skala programu jest duża. CPPC podało 6 grudnia 2024 r., że do udziału było uprawnionych 2 807 JST, wnioski złożyło 2 517, pozytywną ocenę uzyskało 2 511, a podpisano 2 495 umów na kwotę dofinansowania 1 474 312 573,61 zł. To nie jest pilotaż. To niemal powszechna interwencja w samorządowym krwiobiegu cyfrowym: audyty, procedury, szkolenia, sprzęt, licencje, oprogramowanie i usługi. Najważniejszy podział pieniędzy pokazuje logikę programu. Według CPPC największe środki samorządy zaplanowały na obszar techniczny, około 1,2 mld zł. Obszar organizacyjny to około 134,5 mln zł, kompetencyjny około 105,5 mln zł, a obsługa projektu około 43,7 mln zł. Taki rozkład jest zrozumiały: bez sprzętu, kopii zapasowych, zabezpieczeń, segmentacji sieci, monitoringu i usług bezpieczeństwa trudno mówić o odporności. Ale jest też redakcyjnie ważny, bo sprzęt najłatwiej kupić, licencję najłatwiej rozliczyć, a najtrudniej udowodnić, że urząd faktycznie przetrwa atak ransomware albo szybko odtworzy system po awarii. Na stronach publicznych pojawiają się przy tym różne poziomy kwot. Strona projektu CPPC wskazuje wartość 1 507 219 343,38 zł i unijne dofinansowanie 1 251 504 388,33 zł. Strona naboru CPPC oraz strona NASK pokazują kwotę 1 874 294 316,90 zł jako alokację albo całkowity koszt projektu, a NASK podaje wkład Funduszy Europejskich 1 494 000 000 zł. Sam komunikat o podpisanych umowach wskazuje 1,474 mld zł dofinansowania. Nie oznacza to automatycznie sprzeczności ani nieprawidłowości. Oznacza jednak, że redakcja powinna wymagać jasnego objaśnienia: co jest alokacją, co wartością projektu, co kwotą umów, co środkami UE, a co współfinansowaniem. Przy takiej skali rachunek musi być czytelny jak tablica odjazdów, nie jak paragon po praniu. W dokumentacji programu widać też system kontroli wskaźników. Grantobiorcy mają wykazywać m.in. pracowników objętych szkoleniami, systemy zwiększające poziom bezpieczeństwa informacji, użytkowników nowych lub zmodernizowanych usług, liczbę wspartych JST i podmiotów w ramach JST. Wskaźniki mają być kontrolowane na etapie realizacji, rozliczenia i utrzymania efektów. To ważny bezpiecznik. Ale z punktu widzenia mieszkańca pozostaje pytanie: gdzie w publicznym opisie widać prosty test skutku, na przykład ile urzędów przeprowadziło udany test odtworzeniowy po symulowanym ataku, ile skróciło czas reakcji, ile wykryło incydent wcześniej niż przed grantem. Gdzie pojawia się luka? Luka nie polega na tym, że program jest zbędny. Przeciwnie, kontrola NIK pokazuje, że samorządy potrzebują wsparcia rozpaczliwie. W kontroli 24 jednostek, obejmującej okres od 1 stycznia 2023 r. do 20 września 2024 r., NIK stwierdziła 222 nieprawidłowości, z czego 51 usunięto już w trakcie kontroli. W 71 proc. urzędów negatywnie oceniono przygotowanie do zapewnienia ciągłości działania systemów informatycznych, a istotne nieprawidłowości w tym zakresie wystąpiły w 23 z 24 jednostek. To nie jest kosmetyka. To diagnoza organizmu, który ma coraz więcej cyfrowych kończyn, ale nie zawsze wie, jak zatrzymać krwotok. Najbardziej niepokojące są braki podstawowe. NIK wskazała, że w 17 jednostkach nie ustanowiono polityk ciągłości działania, w 12 brakowało planów ciągłości działania i planów odtworzeniowych, w 12 były niewystarczające zabezpieczenia serwerowni, w 12 wystąpiły nieprawidłowości dotyczące kopii zapasowych, w 11 brakowało zapisów gwarantujących poufność w umowach IT, w 10 nie zapewniono szkoleń, w dziewięciu naruszano wymogi dotyczące haseł, w dziewięciu nie przeprowadzono obowiązkowego audytu albo przeprowadzono go nierzetelnie, a w ośmiu nie wdrożono Systemu Zarządzania Bezpieczeństwem Informacji. Właśnie tu pojawia się zasadniczy konflikt. Program ma finansować trzy obszary: organizacyjny, kompetencyjny i techniczny. NIK pokazała, że część JST ma problem nie tylko ze sprzętem, ale z fundamentem zarządzania: planem, przeglądem, testem, umową, audytem, szkoleniem, hasłem. Jeśli największy strumień pieniędzy idzie w technikę, a organizacja i kompetencje pozostają słabszymi siostrami, istnieje ryzyko, że kupimy nowoczesne drzwi do domu, w którym nikt nie wie, kto ma klucz, gdzie jest gaśnica i czy zapasowe wyjście w ogóle się otwiera. CPPC i NASK mają świadomość problemu dojrzałości. W 2026 r. CPPC zaprasza grantobiorców na webinar dotyczący Końcowej Ankiety Dojrzałości Cyberbezpieczeństwa, a komunikaty przypominają o sposobach doręczania ankiet. Ankieta może być sensownym narzędziem porządkującym. Ale ankieta sama w sobie nie zatrzyma ataku. Jeśli końcowy obraz programu ma opierać się przede wszystkim na deklaracjach, dokumentach rozliczeniowych i liczbie wdrożeń, to opinia publiczna nadal nie dostanie odpowiedzi na pytanie najbardziej praktyczne: czy urząd potrafi odtworzyć dane, przełączyć usługę, wykryć złośliwy ruch i działać następnego dnia. To jest luka mierzenia. Państwo potrafi policzyć, ile podpisano umów, ile JST złożyło wnioski, ile środków zaplanowano na obszar techniczny, ile osób przeszkolono i ile systemów wdrożono. Trudniej znaleźć w publicznych materiałach równie czytelny zestaw miar operacyjnych: czas od wykrycia do reakcji, czas odtworzenia systemu, odsetek udanych testów kopii zapasowych, liczba krytycznych podatności usuniętych przed i po projekcie, wynik niezależnego testu bezpieczeństwa po zakończeniu grantu. Bez tego program może być formalnie dobrze rozliczony, ale społecznie niewystarczająco udowodniony. Kto zyskuje, kto płaci? Zyskiem publicznym ma być większa odporność JST. Jeśli program zadziała, skorzystają mieszkańcy, urzędnicy, szkoły, biblioteki, jednostki podległe i lokalne usługi. Skorzysta też państwo, bo samorządy są miękkim podbrzuszem administracji: blisko obywatela, z wieloma systemami, z ograniczonymi kadrami IT i ogromną odpowiedzialnością. Cyberatak na urząd gminy bywa mniej spektakularny niż atak na ministerstwo, ale dla mieszkańca może być bardziej dotkliwy, bo to tam załatwia codzienne sprawy. Płacą podatnicy i budżet unijny, ale także same urzędy czasem, procedurami i odpowiedzialnością za utrzymanie efektów. Każdy grant wymaga planowania, zamówień, dokumentacji, rozliczenia, kontroli i utrzymania. Dla dużego miasta to dodatkowa warstwa pracy. Dla małej gminy z jednym informatykiem, który jednocześnie pilnuje sieci, drukarek, BIP, sali sesyjnej i telefonu w sekretariacie, to może być operacja na żywym organizmie. Program może dać narzędzia, ale może też dołożyć obowiązków ludziom, którzy już pracują na granicy przepustowości. Zyskują także dostawcy. To naturalne i samo w sobie nie jest zarzutem. Przy programie o wartości ponad 1,47 mld zł powstaje ogromny rynek na firewalle, UTM, EDR, kopie zapasowe, macierze, serwery, UPS-y, audyty, szkolenia, usługi SOC, konsulting, dokumentację SZBI i wsparcie rozliczeniowe. Część zakupów będzie konieczna. Część może być bardzo dobra. Ale tak duży strumień pieniędzy powinien być analizowany nie tylko przez pryzmat liczby umów, lecz także przez strukturę zamówień: czy warunki nie ograniczały konkurencji, czy ceny były rynkowe, czy dostawcy nie sprzedawali pakietów bardziej pod grant niż pod realne potrzeby urzędu. Najdelikatniejszy mechanizm polega na tym, że samorząd może kupić poprawne elementy i nadal nie być bezpieczny. Backup bez testu odtworzenia jest jak spadochron, którego nikt nigdy nie rozłożył. Szkolenie bez ćwiczeń phishingowych jest jak kurs pływania prowadzony na sucho. Polityka bezpieczeństwa bez egzekwowania jest jak regulamin basenu, który wisi na ścianie, kiedy wszyscy biegają po mokrych kafelkach. Sprzęt nie zastępuje procesu. Licencja nie zastępuje odpowiedzialności. Ankieta nie zastępuje odporności. Jest jeszcze jeden ironiczny szczegół. CPPC już w grudniu 2023 r. ostrzegało grantobiorców przed próbami pozyskania informacji o wnioskach przez wiadomości e-mail z adresów podobnych do oficjalnych. Nawet program służący cyberbezpieczeństwu stał się pretekstem dla działań, przed którymi ma chronić. To nie zarzut wobec CPPC. To dowód, że przeciwnik czyha tam, gdzie administracja robi się skomplikowana, pełna dokumentów, adresów i pośpiechu. Co jest faktem, a co wymaga dalszego sprawdzenia? Faktem jest skala programu: tysiące JST, prawie powszechny udział, 2 495 podpisanych umów i ponad 1,47 mld zł dofinansowania. Faktem jest także to, że największa część środków planowana jest na obszar techniczny. Faktem jest kontrola NIK, która w małej próbie 24 jednostek pokazała bardzo poważne braki w podstawach bezpieczeństwa informacji i ciągłości działania. Faktem jest również, że program posiada dokumentację wskaźników i mechanizmy kontroli rozliczenia oraz utrzymania efektów. Nie jest faktem, że pieniądze zostały zmarnowane. Tego dokumenty nie pokazują. Nie jest faktem, że program jest fikcją. Tego również nie wolno pisać. Na obecnym etapie można napisać coś bardziej precyzyjnego i mocniejszego: publicznie dostępne dokumenty nie pozwalają jeszcze jednoznacznie ocenić, czy wielki program zakupowo-organizacyjny przełożył się na mierzalną odporność operacyjną JST. A właśnie ta odporność, nie liczba faktur, jest obietnicą składaną mieszkańcom. Do sprawdzenia pozostaje jakość zamówień. Trzeba zobaczyć, co dokładnie kupowały JST: jakie modele urządzeń, jakie licencje, jakie usługi SOC, jakie audyty, jakie szkolenia i na jakich warunkach. Trzeba porównać ceny między gminami, sprawdzić powtarzających się wykonawców, zakres konkurencji, liczbę ofert, warunki techniczne i uzasadnienia wyboru. Przy takiej skali mogą istnieć zarówno wzorowe postępowania, jak i przypadki pisane pod gotowy pakiet. Tego nie wolno zakładać, ale trzeba to sprawdzić. Do sprawdzenia pozostaje także skuteczność końcowa. Czy po zakończeniu projektów każda JST przeprowadzi test odtworzeniowy kopii zapasowych? Czy sprawdzi ciągłość działania w scenariuszu awarii serwerowni, ransomware albo braku dostępu do systemu dziedzinowego? Czy ktoś niezależny zweryfikuje, że SZBI nie jest dokumentem do szuflady? Czy szkolenia zakończą się testem zachowań, a nie tylko listą obecności? Bez odpowiedzi na te pytania mieszkańcy będą musieli wierzyć, że cyberodporność powstała, bo powstał segregator. Wymaga wyjaśnienia również różnica między kwotami prezentowanymi publicznie. Strona projektu CPPC, strona naboru CPPC, strona NASK i komunikat o podpisaniu umów operują różnymi liczbami, które mogą dotyczyć różnych kategorii: alokacji, wartości projektu, kosztu całkowitego, kwoty umów i wkładu UE. To nie jest materiał na zarzut, tylko na pytanie. Przy miliardowych programach państwo powinno pokazywać tabelę finansową w sposób tak prosty, by zrozumiał ją mieszkaniec gminy, którego dane mają być chronione. Dlaczego zwykły obywatel powinien to zrozumieć? Bo samorząd ma więcej danych o życiu obywatela, niż obywatel zwykle pamięta. Meldunek, podatki lokalne, odpady, szkoła dziecka, świadczenia, decyzje administracyjne, korespondencja, czasem sprawy społeczne, lokalne rejestry, monitoring, zamówienia, informacje o nieruchomościach. Wyciek albo paraliż systemu w małej gminie może nie trafić na pierwsze strony gazet, ale dla mieszkańca bywa jak zalanie piwnicy: z zewnątrz niewielki problem, w środku wszystko mokre, śmierdzi i długo trzeba sprzątać. W 2025 r. zespoły CSIRT poziomu krajowego otrzymały 682 245 zgłoszeń i obsłużyły 272 941 incydentów. CERT Polska podał 658 320 zgłoszeń i 260 783 unikalne incydenty. To jest tło, w którym działa program. Nie mówimy o hipotetycznym zagrożeniu dla informatyków po godzinach. Mówimy o krajobrazie, w którym fałszywa faktura, phishing, ransomware, wyciek danych, złośliwy załącznik i przejęcie konta są codziennością administracji. Obywatel powinien rozumieć różnicę między kupieniem bezpieczeństwa a udowodnieniem bezpieczeństwa. Kupienie firewalla jest proste. Udowodnienie, że firewall jest dobrze skonfigurowany, aktualizowany, monitorowany, podłączony do procesu reagowania i że ktoś odbiera alarmy o trzeciej w nocy, jest znacznie trudniejsze. To tak, jak z zamkiem w drzwiach: można kupić najdroższy, ale jeśli domownicy zostawiają klucz pod wycieraczką, problem nie znika. Właśnie dlatego reportaż o cybergrantach nie jest tekstem o technikaliach. To tekst o odpowiedzialności za miliardowy program, który wchodzi do prawie każdego zakątka administracji lokalnej. Jeżeli państwo potrafi rozliczyć fakturę, ale nie pokaże testu skutku, będzie miało dokumenty. Jeżeli pokaże test skutku, będzie miało argument. Różnica jest zasadnicza: dokument przekonuje kontrolera, test przekonuje obywatela. Największe ryzyko nie polega na tym, że program się odbył. Największe ryzyko polega na tym, że program zostanie uznany za sukces, zanim ktoś spokojnie i publicznie pokaże, czy urzędy po projekcie są naprawdę lepiej przygotowane na kryzys. W świecie cyberataków sukcesu nie mierzy się tym, ile zakupiono pudełek. Mierzy się tym, czy po uderzeniu urząd nadal działa, dane są bezpieczne, a mieszkańcy nie zostają z komunikatem: przepraszamy, trwa awaria. Co powinny wyjaśnić instytucje? CPPC powinno opublikować prostą tabelę finansową programu: alokacja, wartość projektu, kwota podpisanych umów, środki UE, środki budżetu państwa, środki niewykorzystane, korekty, zwroty i koszty obsługi. Przy publicznych stronach pokazujących różne kwoty nie chodzi o polowanie na przecinek. Chodzi o podstawowy szacunek dla obywatela: jeśli mówimy o ochronie danych Polaków, pokażmy rachunek tak, by nie trzeba było być księgowym funduszy europejskich. CPPC i NASK powinny pokazać mierniki efektu operacyjnego. Ile JST po projekcie ma przetestowane kopie zapasowe? Ile ma plan ciągłości działania sprawdzony w ćwiczeniu, a nie tylko przyjęty dokumentem? Ile usunęło krytyczne podatności wykazane w audycie? Ile skróciło czas odtworzenia systemu? Ile ma umowy IT z poprawnymi klauzulami poufności? Ile przeprowadziło ćwiczenia phishingowe i jak zmieniły się wyniki? Taki zestaw liczb byłby znacznie mocniejszy niż komunikat o liczbie podpisanych umów. Ministerstwo Cyfryzacji powinno wyjaśnić, czy program będzie powiązany z trwałym wsparciem dla JST, a nie tylko z grantem. NIK wniosła o stałe wsparcie samorządów przez ministra w zakresie rozwiązań organizacyjnych i technicznych oraz ciągłości działania. To ważne, bo cyberbezpieczeństwo nie kończy się w dniu rozliczenia projektu. Licencje wygasają, ludzie odchodzą, konfiguracje się zmieniają, nowe podatności pojawiają się co tydzień. Grant może być zastrzykiem. Odporność wymaga leczenia, diety i kontroli. Samorządy powinny wyjaśnić mieszkańcom, co konkretnie kupiły i co to zmieniło. Nie przez folder promocyjny, lecz przez zrozumiały raport: stan przed, działania, testy, wyniki, ryzyka, plan utrzymania. Oczywiście nie wolno ujawniać wrażliwych szczegółów konfiguracji. Ale można pokazać, czy są kopie zapasowe, czy były testowane, czy przeszkolono pracowników, czy wykonano audyt i czy wdrożono zalecenia. Bez ujawniania mapy sejfu można przecież powiedzieć, że sejf przeszedł kontrolę. Najostrzejsze pytanie brzmi: czy po zakończeniu programu mieszkańcy dostaną dowód odporności, czy tylko sprawozdanie z wydatkowania. Jeżeli odpowiedzią będzie tylko ankieta, faktura i lista obecności, będzie to za mało. Jeżeli odpowiedzią będą niezależne testy, jawne wskaźniki skutku i cykliczne ćwiczenia, program może stać się ważnym filarem bezpieczeństwa lokalnego państwa. Dokumenty dają dziś powód do nadziei, ale jeszcze większy powód do kontroli.