Cyberbezpieczny Samorząd

Cyberbezpieczny Samorząd

Poprzedni rok stał pod znakiem cyberdiagnoz w jednostkach samorządu terytorialnego. Dotyczyło to zarówno małych miejscowości, gmin, dużych miast jak i starostw powiatowych. Była to okazja nie tylko do nowych inwestycji w szeroko rozumiany sprzęt IT ale również okazja (dzięki wymogowi przeprowadzenia audytu) do zweryfikowania poziomu bezpieczeństwa w urzędach, z którymi jako mieszkańcy mamy na co dzień do czynienia.

Oczywiście, ktoś może powiedzieć – takie jednostki powinny przeprowadzać audyty Krajowych Ram Interoperacyjności co najmniej raz w roku. Audyt ten w swym zakresie w dużej mierze bada sprawy związane z cyberbezpieczeństwem, ale cóż… okazuje się, że wiele gmin o takich audytach nie słyszało…

Zakres audytu, który był niezbędny do otrzymania środków, został „narzucony” z góry. I dobrze. Taka standaryzacja (choć jak wszystko ma też swoje ograniczenia i wady) pomogła jedną metodologią (i punktacją!) wskazać stopień bezpieczeństwa w każdej jednostce i utworzyć obraz całości. A jest to obraz bliżej przypominający „Bitwę pod Grunwaldem” J. Matejki niż pejzaże impresjonistów. Zakres danych, ich skala i sposób przetwarzania w samorządach jest bardzo podobny, ale jak się okazuje stopień ich zabezpieczeń – bardzo zróżnicowany. Dotyczy to zarówno zabezpieczeń organizacyjnych (procedury, świadomość pracowników, wiedza kierownictwa nt. zagrożeń czy wymogów prawnych), tak jak i technicznych (serwery, UTM-y, kopie danych, stan serwerowni, itp.). Część braków wynikała z niskiej świadomości kierownictwa. Część z braku środków. A jeszcze w innych przypadkach – z innych priorytetów (np. nowa droga dla mieszkańców). Różnie wyglądały też późniejsze zakupy tych samorządów. Jedni skupili się na podniesieniu cyberbezpieczeństwa kupując wyższej jakości firewalle, serwery, oprogramowania oraz inwentaryzowali sprzęt i wprowadzili monitoring sieci. Inni wykorzystali te środki na… nowe laptopy. I nie ma też się co dziwić. Trudno myśleć o cyberbezpieczeństwie, jeżeli w urzędzie brakuje podstawowego sprzętu. To pokazało, jak samorządy potrzebują zastrzyku pieniędzy.

Dlatego powstał nowy program „Cyberbezpieczny Samorząd” (z dużymi środkami finansowymi), który pozwala osiągać ten zbożny cel. Dotyczy on zarówno urzędów gmin, jak i innych jednostek – powiatów i województw. Tak jak wspomniałem wcześniej – bezpieczeństwo to nie tylko lepszy UTM, ale także – lepsza organizacja. Dotyczy to zarówno całości urzędu (np. Polityka bezpieczeństwa informacji), jak również wiedzy i specjalizacji konkretnych pracowników (w szczególności informatyków), ale także właśnie świadomości pracowników dot. najczęstszych zagrożeń. Dlatego jak czytamy na stronie tego projektu, środki mają być przeznaczone przede wszystkim na:

  • wdrożenie lub aktualizacje w JST polityk bezpieczeństwa informacji (SZBI),
  • wdrożenie w JST środków zarządzania ryzykiem w cyberbezpieczeństwie,
  • wdrożenie w JST mechanizmów i środków zwiększających odporność na ataki z cyberprzestrzeni,
  • podniesienie poziomu wiedzy i kompetencji personelu JST kluczowego z punktu widzenia SZBI wdrożonego w urzędzie,
  • przeprowadzenie w JST audytów SZBI potwierdzających uzyskanie wyższego poziomu odporności na cyberzagrożenia.

Projekt będzie realizowany na terenie całego kraju. Zostaną nim objęte wszystkie jednostki samorządowe tj. 2 477 gmin, 314 powiatów, 16 województw (łącznie 2 807 JST).

Jak rozumieć wymagania programu w praktyce?

Zacznijmy od pkt 1 – SZBI to system zarządzania bezpieczeństwem informacji. Brzmi groźnie, ale chodzi przede wszystkim o zbudowanie odpowiednich procedur w Urzędzie. Mają one dotyczyć wszystkich pracowników, jak i konkretnych stanowisk (które mają szczególny wpływ na bezpieczeństwo danych). Duża większość badanych przez nas urzędów posiadała polityki związane z ochroną danych osobowych (RODO zrobiło „swoje”), ale mało który urząd posiadał właśnie procedury związane z bezpieczeństwem pozostałych często kluczowych informacji.

Punkt 2 – Podobnie jak wyżej, urzędy skupiały się na przeprowadzeniu analizy ryzyka, ale tylko dla zagrożeń związanych z bezpieczeństwem danych osobowych i praw osób, których te dane dotyczą (znowu RODO). Jest to zdecydowanie za mało. Taka analiza powinna obejmować szerszy zakres danych oraz skupiać się również na zabezpieczeniu strategicznych aktywów urzędu (np. serwera, notebooków, itp.).

Punkt 3 – jest on związany z punktem pierwszym. SZBI to nie tylko „papier”, ale również odpowiedni sprzęt oraz oprogramowanie.

Punkt 4 – poziom wiedzy pracowników urzędów jest bardzo zróżnicowany. Wynika on z wieku pracowników, ich poprzednich doświadczeń, jak i zadań, które wykonują w urzędzie. Ogólnie rzecz biorąc – jest źle. I nie dotyczy to tylko pracowników urzędów, ale całego naszego społeczeństwa, o czym świadczą statystyki dot. cyberprzestępstw.

Punkt 5 – zgodnie ze wszelkimi prawidłami, po każdych zmianach/ulepszeniach – należy weryfikować czy rzeczywiście idziemy w dobrą stronę i środki (jakby nie było nas wszystkich) są dobrze spożytkowane. Takie audyty nie powinny skupiać się tylko na weryfikacji dokumentacji – ale w dużej mierze na weryfikacji „w boju”, czyli testach penetracyjnych sieci (LAN i WAN!). Żadna polityka nie uchroni nas przed atakami, jeżeli informatyk pootwierał porty i używa hasła „admin”.

Inwestycje we wspomniane obszary mogą w przyszłości okazać się kluczowe, biorąc pod uwagę szeroko pojęte bezpieczeństwo nas wszystkich. Każdy z nas obywateli ufa, że wszystkie dane będące w posiadaniu naszych urzędów są należycie zabezpieczone i nie dostaną się w niepowołane ręce. Dlatego warto jest w sposób ciągły monitorować, weryfikować i usprawniać wszystkie wspomniane obszary. Warto również powierzając każdorazowo takie czynności podmiotom zewnętrznym, stawiać zawsze na uznane i sprawdzone marki. Zachęcamy zatem, żeby mając na uwadze nasze wieloletnie doświadczenie korzystać z naszych usług, które wpisują się kompleksowo w wymienione punkty. Dzięki temu zysk w postaci “Bezpiecznego Samorządu” oparty będzie o najwyższe standardy wiedzy i jakości. Zadbamy, żeby wszystkie procesy i opracowane procedury oraz przeprowadzone audyty tworzyły prosty, zrozumiały i możliwy do wdrożenia System Bezpieczeństwa Informacji. Beneficjentem takiego rozwiązania będzie każdy z nas.  

Tomasz Nowiński, Z-ca Dyrektora Operacyjnego w CompNet, Audytor Wiodący ISO/IEC 27001:2017