Artykuł pochodzi z wydania: Marzec 2026
Bezpieczeństwo informacji w finansach jsfp należy traktować nie jako odrębny temat informatyczny, lecz jako element kontroli wewnętrznej i zarządzania ryzykiem – bezpośrednio związany z ochroną środków publicznych i danych osobowych oraz ciągłością funkcjonowania jednostki. Wiele działań, które poprawiają bezpieczeństwo, można wdrożyć od zaraz – bez wielkiej rewolucji.
Jeszcze kilkanaście lat temu dokumenty finansowe trafiały głównie do segregatorów, a obieg informacji odbywał się w przewidywalnym, sekwencyjnym rytmie. Dziś księgowość i płace funkcjonują w środowisku częściowo cyfrowym, częściowo tradycyjnym. Dokument papierowy współistnieje z systemami finansowo-księgowymi, pocztą elektroniczną, bankowością internetową i platformami wymiany danych. E-maile, przelewy, listy płac i umowy krążą między pracownikami, bankiem, kontrahentami oraz jednostkami podległymi.
W tej codziennej dynamice źródłem problemów rzadko są „spektakularne ataki”, a znacznie częściej – pośpiech, rutyna i brak kilku prostych zasad organizacyjnych. To właśnie te pozornie niewielkie uchybienia mogą prowadzić do nieuprawnionej płatności, ujawnienia danych osobowych lub sporów co do prawidłowości dokumentów.
Dodatkowym wyzwaniem jest wdrożenie KSeF – od 1 lutego 2026 r. odbiór faktur w tym systemie jest obowiązkowy, a ich wystawianie z wykorzystaniem nowego rozwiązania jest wprowadzane etapowo. System porządkuje obieg dokumentów, ale jednocześnie generuje nowe ryzyka skoncentrowane wokół uprawnień, uwierzytelniania i trybów awaryjnych, szczególnie gdy system lub rozwiązania integrujące go z wewnętrznymi programami informatycznymi jednostki nie działają prawidłowo.
W finansach publicznych kluczowe są takie obszary jak bezpieczne przechowywanie dowodów źródłowych, przestrzeganie ustawowych terminów i należyta kontrola. Błąd w obiegu dokumentu może oznaczać nie tylko problem organizacyjny, lecz także konsekwencje prawne i wizerunkowe. W praktyce oznacza to także konieczność wykazania, że jednostka zachowała należytą staranność w gospodarowaniu środkami publicznymi i wdrożyła adekwatne zabezpieczenia.
Cyberbezpieczeństwo jako element bezpieczeństwa finansowego
W działach finansowo-księgowych i kadrowo-płacowych praca toczy się na danych, które mają realną wartość. To informacje o środkach publicznych, rachunkach bankowych, zobowiązaniach, listach płac, umowach czy terminach. Z tego względu skutki incydentu prowadzącego do naruszenia poufności danych i integralności systemów IT rzadko ograniczają się do „problemu informatycznego”. Mogą oznaczać opóźnienie wypłat, spór o to, która wersja dokumentu była zatwierdzona, naruszenie ochrony danych osobowych albo chaos dowodowy podczas kontroli.
Bezpieczeństwo informacji należy traktować tak samo jak wymóg terminowości i kompletności dowodów księgowych – jako element kontroli wewnętrznej oraz zarządzania ryzykiem w gospodarce finansowej jednostki, a nie wyłącznie „sprawę IT”.
W procedurach finansowych powinny być jasno wskazane „bezpieczniki” stosowane w jednostce: weryfikacja rachunku bankowego, kontrola uprawnień oraz bezpieczny sposób przekazywania danych wrażliwych.
Cyfrowa codzienność działu finansowego – gdzie powstaje ryzyko
Ryzyko powstaje podczas czynności, które są „normalną pracą”. Może to być odbiór i weryfikacja faktur, uzgadnianie płatności, przygotowanie przelewów, obsługa umów, przygotowanie list płac, przekazywanie danych do banku i instytucji zewnętrznych, udostępnianie dokumentów do kontroli. Większość tych działań odbywa się w kilku systemach i kanałach komunikacji.
W realiach jednostki najwięcej zdarzeń związanych z cyberbezpieczeństwem zaczyna się od presji czasu – od naglących komunikatów „proszę jeszcze dzisiaj”, „to pilne”, „na już”. Wtedy rośnie skłonność do skracania drogi – szybkiego kliknięcia w link, wysłania pliku z folderu roboczego, zaakceptowania zmiany rachunku, „bo wygląda wiarygodnie”. Najskuteczniejszą odpowiedzią nie jest perfekcyjna koncentracja każdego dnia, tylko nawyki i proste zasady, które da się utrzymać także w tygodniu wypłat i zamknięcia miesiąca.
W ramach czynności, które dotyczą przelewów, danych płacowych i numerów rachunków, warto wprowadzić:
- zasadę krótkiego zatrzymania i sprawdzenia (np. 30 sekund na weryfikację nadawcy, rachunku i załącznika) oraz
- zasadę „drugiej pary oczu” w sytuacjach odbiegających od standardowej ścieżki (takich jak zmiana rachunku, pilny przelew poza przyjętą procedurą lub realizacja płatności w trybie zastępstwa).
Najczęstsze zagrożenia
Zagrożenia w finansach publicznych mają zwykle prostą postać: podszywanie się pod kontrahenta z prośbą o zmianę rachunku, wiadomość „z banku”, fałszywa korespondencja dotycząca KSeF czy zainfekowany załącznik udający fakturę. Szczególnie niebezpieczne są sytuacje, w których wykorzystuje się fragmenty prawdziwej korespondencji, ponieważ wiadomość wygląda wtedy wiarygodnie.
Dodatkowy problem w płacach to wysyłka zestawień, pasków wynagrodzeń i danych osobowych. Tu nawet pozornie niewielki błąd (literówka w adresie, niewłaściwy załącznik) może uruchomić obowiązki wyjaśniające i zgłoszeniowe oraz wywołać napięcie w relacjach pracowniczych.
W przypadku gdy służby księgowe jednostki nie weryfikują prośby kontrahenta o zmianę rachunku i przekazują należność na zupełnie nowe konto, pojawia się nie tylko problem odzyskania środków, ale również pytanie o zachowanie podstawowych zasad kontroli finansowej.
Na początek warto wybrać trzy ryzyka, które występują najczęściej w danej jednostce, i do każdego dopisać jedno konkretne działanie „na jutro” (np. telefoniczne potwierdzenie zmiany rachunku, zasada podglądu załącznika, szyfrowanie plików płacowych).
Obieg dokumentu finansowego – słabe punkty procesu
Dokument finansowy „żyje” w jednostce dłużej niż pojedynczy e-mail. Najpierw wpływa do jednostki (w postaci papierowej lub elektronicznej), a potem przechodzi kolejne fazy: rejestrację, opis merytoryczny, zatwierdzenie, dekretację, płatność, archiwizację i udostępnianie do kontroli. Każdy etap jest miejscem ryzyka, bo wiąże się z dostępem, kopiowaniem albo przekazywaniem informacji. Kluczowe obszary ryzyka to:
- na etapie wpływu dokumentu – fałszywy nadawca, nieoczekiwany załącznik, podmienione dane;
- na etapie rejestracji i opisu – przypisanie do niewłaściwej sprawy, podpięcie złego pliku, błędny kontrahent;
- na etapie akceptacji i zatwierdzenia – presja czasu, „akceptacja na skróty”, brak śladu decyzji;
- na etapie płatności – podmiana numeru rachunku, przelew poza standardem, brak podwójnej kontroli;
- na etapie archiwizacji – rozproszenie plików, brak wersji końcowej, zbyt szerokie dostępy;
- na etapie udostępniania do kontroli lub audytu – zbyt szeroki zakres danych lub wysyłka bez zabezpieczenia.
Przykłady z praktyki doskonale pokazują, jakie konsekwencje wywołują realne incydenty związane z naruszeniem cyberbezpieczeństwa. Takie sytuacje powinny motywować do wdrażania rozwiązań, które pomogą zapobiec niepożądanym zdarzeniom, np. wysłaniu pełnej dokumentacji finansowej czy listy płac nieuprawnionym osobom. Brak podstawowej weryfikacji udostępnianych plików prowadzi także do ich niezamierzonej publikacji w Biuletynie Informacji Publicznej lub udostępnienia w repozytoriach. W każdym z tych przypadków źródłem problemu nie jest technologia, lecz brak krótkiej kontroli organizacyjnej przed udostępnieniem dokumentu.
Aby temu zapobiec, warto opisać na jednej stronie „jak krąży dokument” w danej jednostce i zaznaczyć dwa miejsca, w których obowiązuje podwójne sprawdzenie, np. rachunek bankowy oraz wysyłka danych wrażliwych.
[…]
Michał Rabka
Autor jest naczelnikiem Wydziału Informatyki oraz pełnomocnikiem prezydenta ds. transformacji cyfrowej w Urzędzie Miasta Dąbrowa Górnicza. Specjalizuje się w cyberbezpieczeństwie, cyfryzacji usług publicznych oraz zarządzaniu IT w administracji samorządowej.