Występujące na przestrzeni kilku ostatnich lat zdarzenia o charakterze kryzysowym, nie pozostają bez wpływu na działalność jednostek samorządu terytorialnego. Pandemia, wojna na Ukrainie, kryzys uchodźczy i związane z tym zawirowania gospodarcze, czy też nasilające się zjawisko wojny w cyberprzestrzeni sprawiają, że powyższe instytucje są istotne w zapewnieniu bezpieczeństwa. Wydarzenia te spowodowały, że samorządy coraz poważniej traktują potrzeby przeglądu posiadanych procedur postępowania na wypadek sytuacji kryzysowych.
Pandemia była niestety doskonałym przykładem, że samorządy w dużej mierze nie były odpowiednio przygotowane na wypadek tak rozległej sytuacji kryzysowej. Konieczność przejścia na system pracy zdalnej, ujawniła jak ważne dla utrzymania ciągłości działania są odpowiednio przygotowane systemy informatyczne. Wiele jednostek pracę tą ograniczyło do systemu pracy rotacyjnej. Z powodu braku odpowiednio przygotowanego systemu informatycznego do sytuacji kryzysowej i uruchomienia pracy w systemie zdalnym, osoby pracujące w domu, wykonywały podstawowe obowiązki. W wielu przypadkach spowodowało to przesunięcia w realizacji ustawowych zadań tych jednostek. Opóźnienia w wypłacie świadczeń, kolejki interesantów, upływające terminy. Prócz konsekwencji prawnych wynikających np. z braku terminowego realizowania postępowań administracyjnych lub przetargowych, to także straty wizerunkowe oraz utrata zaufania mieszkańców do lokalnych decydentów.
Urzędy systematycznie podejmowały działania w celu przywrócenia pełnej sprawności i dostosowania się do realiów funkcjonowania w dobie pandemii. Niemniej działania te często były nieskoordynowane i chaotyczne, co powodowało opóźnienia, błędy i dodatkowe koszty. Ewidentnie duży wpływ odegrał tutaj brak posiadania odpowiednich procedur utrzymania ciągłości działania dla systemów informatycznych wspierających realizację usług publicznych.
Cele tworzenia planów ciągłości działania
Plan ciągłości działania, ma na celu zapewnić Organizacji – w tym przypadku Urzędowi, zbudowanie procedur i mechanizmów. W przypadku wystąpienia poważnych zakłóceń w normalnym funkcjonowaniu, spowodowanych sytuacją kryzysową, mają umożliwić przywrócenie działalności w określonym, akceptowalnym okresie czasu. Poprawnie przygotowany i przetestowany plan postępowania, pozwala przygotować odpowiednie zasoby, strategię działania i uniknąć niepotrzebnych kosztów, stresu, zarówno kierownictwu jak i pracownikom.
System Zarządzania Bezpieczeństwem Informacji, który Urzędy są zobowiązane utrzymywać, wymaga właściwej ochrony informacji. Cel to zapewnić ciągłość działalności jednostki. W związku z tym opracowanie i utrzymywanie aktualnego planu ciągłości działania w ramach procedur SZBI jest konieczne.
Również przepisy prawa oraz normy, którym podlegają JST, odwołują się do obowiązku utrzymywania i zarządzania ciągłością działania. Rozporządzenie KRI(1) mówi o konieczności zapewnienia ochrony informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami. Rozporządzenie RODO(2) w art. 32, mówi o tym, że Administrator wdraża odpowiednie środki techniczne i organizacyjne tak, aby utrzymywać zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług. Ma to zagwarantować bezpieczeństwo przetwarzania danych osobowych oraz zdolność do szybkiego przywrócenia dostępności danych osobowych w razie incydentu fizycznego lub technicznego. Ustawa KSC(3) – zgodnie z definicją incydent w podmiocie publicznym, jest to incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny. Zgodnie z w/w Ustawą podmiot publiczny musi zapewnić zarządzanie takim incydentem.
Czy plan ciągłości działania jest przygotowany poprawnie?
Poprawnie przygotowany plan ciągłości działania dla systemów informatycznych, bo na tym elemencie chciałbym się skupić, powinien być poprzedzony procesem analizy ryzyka, identyfikacji zagrożeń dla Jednostki oraz ich wpływu na jej funkcjonowanie. Kluczowe jest określenie czasów przywracania zdolności działania, na jakie może sobie pozwolić Jednostka. Oznacza to, jaki jest dopuszczalny czas przerwy w realizacji kluczowych zadań, ponieważ to będzie nam determinować sposoby postępowania zaplanowane do realizacji. W wielu przypadkach ten dopuszczalny czas może być uzależniony od wymagań określonych w przepisach prawa. Właśnie to należy uwzględnić w planowaniu. Należy odpowiedzieć sobie na pytanie – jakie sytuacje mogą wpłynąć na infrastrukturę IT Urzędu oraz czy nasz system zarządzania jest przygotowany na te sytuacje? W ramach planowania zarządzania ciągłością, należy określić i uwzględnić kluczowe procesy realizowane przy użyciu systemów, zasoby tych systemów informatycznych i zdarzenia mogące prowadzić do przerwania normalnego funkcjonowania. Opracowując plan należy wziąć pod uwagę ustanowione polityki Urzędu np. Politykę ochrony danych osobowych, Politykę bezpieczeństwa informacji oraz wymagania prawne, którym dana Jednostka podlega.
Plan powinien określać sposoby postępowania w warunkach kryzysowych oraz zasoby jakie są niezbędne dla funkcjonowania. Przy planowaniu należy uwzględnić role i odpowiedzialność poszczególnych pracowników. Kolejne elementy, to jakie będą przesłanki do uruchomienia planu, szczegółowy plan postępowania w zaistniałej sytuacji oraz w jaki sposób Urząd będzie kontynuować działalność lub ją odtwarzać zgodnie z priorytetami. Ważne jest również ustalenie zasad komunikacji wewnętrznej w zespole. Równie istotna jest komunikacja na zewnątrz np. sposób przekazywania i formułowania komunikatów dla interesantów w związku z oczekiwaniem na załatwienie sprawy lub realizację świadczeń.
W teorii wiedza na temat sposobów opracowania takich planów oraz ich zakres nie jest wiedzą tajemną. Jest wiele źródeł informacji na ten temat. W praktyce natomiast planowanie i zarządzanie ciągłością działania jest procesem generującym najwięcej trudności w budowaniu systemu zarządzania bezpieczeństwem informacji. Przygotowanie dobrego, skutecznego planu jest procesem trudnym i skomplikowanym. Potrzebna jest nie tylko dobra znajomość procesów zachodzących wewnątrz organizacji, ale też wiedza fachowa.
Możesz skorzystać ze wsparcia zewnętrznego przy tworzeniu planu ciągłości działania
Dlatego wiele Urzędów posługuje się wsparciem zewnętrznych ekspertów. Często takie spojrzenie z zewnątrz na procesy zachodzące wewnątrz organizacji, daje pełniejszy ogląd sytuacji. Nie wszystkie problemy oraz słabości dana organizacja dostrzega lub chce dostrzegać samemu. Zewnętrzni eksperci posiadają doświadczenie, które ułatwia podejście do planowania w sposób usystematyzowany i kompleksowy. Takie osoby, na co często jest również zwracana uwaga przez kierownictwo jednostki, działają determinująco na pracowników. Przez to są oni bardziej zaangażowani w proces planowania, a prace nad dokumentacją postępują szybciej i w sposób bardziej wydajny. Wszelkiego rodzaju usługi z zakresu projektowania i wdrażania procedur systemu zarządzania bezpieczeństwem informacji nie są usługami tanimi. Niemniej jednak biorąc pod uwagę ewentualne koszty zarówno finansowe przywracania działalności po poważnej awarii oraz straty wizerunkowe z tym związane, są to koszty, które na pewno warto rozważyć. Tym bardziej, że najprawdopodobniej w wypadku poważnej awarii i braku odpowiednich procedur postępowania, to zewnętrzne wsparcie przy przywracaniu sprawności i tak będzie potrzebne i może kosztować jeszcze więcej.
Niestety, przeważnie uczymy się dopiero na błędach i dopóki do katastrofy nie dojdzie, przekonanie Rady Gminy lub Miasta, że trzeba na to wydać z budżetu kolejne złotówki, często jest zadaniem karkołomnym. Tym bardziej jeżeli są to osoby niekoniecznie obeznane z tematyką, świadome potrzeby inwestycji w bezpieczeństwo cyfrowe Urzędu. Inna sprawa, że w samorządach środki są ograniczone, a potrzeb bardzo dużo.
Skąd pozyskać środki finansowe na opracowanie planu ciągłości działania?
Dlatego szansą i często jedynym źródłem możliwości sfinansowania zewnętrznego wsparcia przy opracowywaniu i wdrażaniu takich procedur, są dofinansowania zewnętrzne. Obecnie realizowany projekt „Cyberbezpieczny samorząd” jest doskonałą okazją na pozyskanie pieniędzy do takich działań. W ramach programu realizowanego przez Centrum Projektów Polska Cyfrowa, środki przeznaczono na działania w obszarze podniesienia poziomu cyberbezpieczeństwa w jednostkach samorządu terytorialnego. Urząd może przeznaczyć pozyskane środki m.in. na opracowanie, wdrożenie, przegląd, aktualizację dokumentacji SZBI, w tym wprowadzenie lub aktualizację polityk bezpieczeństwa informacji, procedur obsługi incydentów, ciągłości działania czy też audyt zgodności z KRI, Ustawą KSC wykonany przez wykwalifikowanych audytorów. Na pewno warto skorzystać z tej okazji. W ostatnich latach obserwujemy bardzo dużą dynamikę wzrostu liczby ataków i incydentów w obszarze cyberbezpieczeństwa. Dlatego przygotowanie się na „nieoczekiwane” staję się rzeczą pierwszoplanową w planowaniu zabezpieczeń szeroko rozumianego systemu informatycznego, wspierającego funkcjonowanie Urzędu.
(1) Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(3) Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
Autor: Piotr Kropidłowski, Starszy Kierownik Projektu w CompNet Sp. z o.o.