Interpelacja nr 10151

do ministra cyfryzacji

w sprawie zagrożeń cyberbezpieczeństwa w polskiej administracji publicznej

Zgłaszający: Janusz Cieszyński

Data wpływu: 09-06-2025

Szanowny Panie Ministrze,

według badań przeprowadzonych przez firmę AMP, jedynie 15 procent instytucji z sektora publicznego zamawia testy penetracyjne, które są podstawowym narzędziem oceny bezpieczeństwa systemów informatycznych. Ta statystyka jest szczególnie niepokojąca w kontekście deklaracji ekspertów ds. cyberbezpieczeństwa, którzy twierdzą, że są w stanie włamać się do każdej instytucji publicznej w Polsce w ciągu maksymalnie trzech dni, a w większości przypadków wystarczy im na to zaledwie 3-5 godzin.

Sytuacja staje się jeszcze bardziej dramatyczna w świetle rozwoju technologii wykorzystywanych przez cyberprzestępców, wobec których tradycyjne oprogramowanie antywirusowe ma nie być skuteczną tarczą ochronną. Pojawiają się również nowe zagrożenia, takie jak deepfake wykorzystywane w atakach socjotechnicznych. Konsekwencje braków w cyberbezpieczeństwie instytucji publicznych są szczególnie dotkliwe. W sektorze ochrony zdrowia ataki prowadzą do przerwania operacji, odwoływania zabiegów oraz awarii systemów podtrzymujących ludzkie życie. Przykładem może być marcowy atak na krakowski szpital MSWiA, gdzie system informatyczny został sparaliżowany, operacje musiały być przeniesione, a personel ratował sytuację kartkami papieru i telefonami. Na świecie odnotowano już pierwszy przypadek śmierci z powodu cyberataku - w 2021 roku w Niemczech pacjentka zmarła, gdyż szpital w Düsseldorfie nie mógł jej przyjąć z powodu ataku ransomware.

Dane globalne pokazują skalę problemu - 88 procent firm i instytucji na świecie w ciągu ostatnich dwóch lat doświadczyło naruszenia bezpieczeństwa, pomimo korzystania średnio z 44 różnych narzędzi ochrony. To dowodzi, że kluczowa jest nie ilość, lecz jakość zabezpieczeń oraz systematyczne testowanie ich skuteczności.

W związku z powyższymi faktami proszę o udzielenie odpowiedzi na następujące pytania:

1. Jakie konkretne działania podejmuje resort w celu poprawy stanu cyberbezpieczeństwa w polskiej administracji publicznej i czy planowane jest wprowadzenie obowiązkowych testów penetracyjnych dla instytucji publicznych?

2. Jakie środki finansowe zostały zabezpieczone w budżecie państwa na rok 2025 na cele związane z cyberbezpieczeństwem administracji publicznej i czy kwota ta jest wystarczająca w obliczu rosnących zagrożeń?

3. Czy prowadzone są regularne audyty cyberbezpieczeństwa w kluczowych instytucjach publicznych, takich jak szpitale, urzędy wojewódzkie czy samorządowe, a jeśli tak, to z jaką częstotliwością i jakie są ich wyniki?

4. Jakie działania edukacyjne podejmowane są w celu podniesienia świadomości pracowników administracji publicznej w zakresie zagrożeń cybernetycznych, szczególnie tych związanych z wykorzystaniem sztucznej inteligencji przez cyberprzestępców?

5. Czy rozważane jest utworzenie centralnej jednostki odpowiedzialnej za koordynację działań w zakresie cyberbezpieczeństwa sektora publicznego oraz czy istnieją procedury reagowania na incydenty cybernetyczne?

6. Jakie są plany modernizacji systemów informatycznych w administracji publicznej, aby były one odporne na zagrożenia oparte na sztucznej inteligencji i innych nowoczesnych metodach ataku?

7. Czy planowane jest wprowadzenie obowiązkowych standardów cyberbezpieczeństwa dla wszystkich instytucji publicznych oraz systemu certyfikacji i regularnego monitorowania ich przestrzegania?

Z wyrazami szacunku

Janusz Cieszyński