Tytuł może brzmieć jako nieco przerysowany – nic bardziej mylnego. I właśnie na informacji Ministerstwa Cyfryzacji na ten temat oraz przyszłych działaniach resortu w tym zakresie skupiła się dyskusja w toku posiedzenia Zespołu.

Cyberbezpieczeństwo jednostek samorządu terytorialnego

Resort cyfryzacji będzie zbierał od jednostek samorządu terytorialnego informacje na temat samorządowych aplikacji i baz danych. Dlaczego? Jak wyjaśniła wiceminister cyfryzacji Wanda Buk, samorządy nie podejmują odpowiednich reakcji w przypadku występowania incydentów. Resort chce zebrać dane po to, aby przygotować odpowiednie narzędzia.

Sytuację szczegółowo przedstawił Jakub Dysarz z Departamentu Cyberbezpieczeństwa MC. Zwrócił uwagę na to, że samorządy powinny pamiętać o tym, do czego obligują ustawa o krajowym systemie cyberbezpieczeństwa (wymóg obsługi i zgłaszania incydentów) oraz ustawa o informatyzacji (wymogi dotyczące bezpieczeństwa informacji).

J. Dysarz podał przykład konkretnej gminy (oczywiście bez nazwy). Case study dotyczyło gminy wiejskiej, z liczbą ok. 100 pracowników w urzędzie. Urzędnicy nie wiedzieli o KSC, o KRI, a pracował w nim jeden informatyk współdzielony z innymi jednostkami. W urzędzie po incydencie nie było wiedzy co do tego, jak zareagować – udano się ze sprawą do Policji. W wyniku ataku zaszyfrowano serwer niezbędny do pracy urzędu. Dotknięto szerokiej gamy danych: od danych podatników, przez rejestry dłużników po dane klientów zakładu komunalnego. Konsekwencją były opóźnienia w wypłatach rozmaitych świadczeń, utrata bazy dłużników itd.

Co zamierza zrobić resort, aby pomóc samorządom? Nastąpi co najmniej:

• przygotowanie standardów dokumentacji systemu zarządzania bezpieczeństwem informacji,
• przygotowanie referencyjnej architektury systemu teleinformatycznego,
• przygotowanie – w porozumieniu z organizacjami zrzeszającymi j.s.t. – inwentaryzacji usług.

W tym kontekście resort potrzebuje określonych informacji. Aktualnie rozpoczynają się robocze prace nad zakresem owych informacji. Jan Maciej Czajkowski, Współprzewodniczący Zespołu ze Strony Samorządowej wskazał, że pomysł jest potrzebny – i spóźniony co najmniej o parę lat. Tym bardziej należy wypatrywać określonych efektów prac.

Zaopiniowane projekty

Zespół zaopiniował pozytywnie następujące projekty:

1. Projekt rozporządzenia Ministra Cyfryzacji w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników;
2. Projekt rozporządzenia Ministra Cyfryzacji w sprawie w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług;
3. Projekt rozporządzenia Rady Ministrów w sprawie planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń (Ministerstwo Cyfryzacji).