O korzyściach płynących z Konkursu Grantowego Cyfrowy Powiat i diagnozy cyberbezpieczeństwa rozmawialiśmy z Wiesławem Krawczyńskim z Audytel S.A.
Laureaci Konkursu Grantowego Cyfrowy Powiat, do którego nabór zakończył się we wrześniu, stają dziś przed wdrożeniem i rozliczeniem projektu. Na czym on polega?
Wiesław Krawczyński: Konkurs Cyfrowy Powiat jest skierowany do powiatów, za wyjątkiem miast na prawach powiatu. Wdrożenie projektu polega na wyborze firm, które zrealizują elementy projektu opisane w umowie grantowej, a następnie na realizacji dostaw i usług w niej przewidzianych. Bardzo ważne jest postępowanie zgodnie z warunkami umowy w zakresie odpowiedniego trybu wyboru Wykonawców, dokumentowania procesu realizacji oraz właściwym rozliczeniu poniesionych wydatków.
Jakie korzyści płyną z konkursu dla powiatów?
Wiesław Krawczyński: Dzięki uzyskanym środkom do urzędów powiatowych, szkół, przedszkoli, bibliotek, ośrodków kultury mogą trafić m.in. serwery, komputery, laptopy i tablety wraz z niezbędnym oprogramowaniem, drukarki, sprzęt do serwerowni. Co więcej, pracownicy mogą zostać przeszkoleni z tematyki cyberbezpieczeństwa. Wpłynie to na poprawę jakości świadczonych usług oraz bezpieczeństwa systemów teleinformatycznych.
Na jakie wsparcie w ramach konkursu mogły liczyć powiaty?
Wiesław Krawczyński: Powiaty otrzymują dofinansowanie w formie grantu do 100% wydatków kwalifikowanych. Minimalna wysokość grantu dla jednego powiatu wynosi 100 000 zł, natomiast maksymalna to 350 000 zł. Sposób wyliczenia wartości grantu znajduje się w dokumentacji konkursowej.
Co to oznacza w praktyce?
Wiesław Krawczyński: Urząd może zakupić i sfinansować w ramach grantu szereg rozwiązań informatycznych podnoszących bezpieczeństwo oraz jakość świadczonych przez siebie usług dla mieszkańców. Środki w ramach konkursu mogą także zostać przeznaczone na wyposażenie placówek szkolnych podległych powiatowi w komputery, laptopy sieci komputerowe lub inne elementy informatyczne niezbędne do nowoczesnej edukacji. W ramach grantu można na przykład wymienić stary sprzęt lub oprogramowanie na nowy o lepszych parametrach. Można także zakupić systemy zabezpieczeń technicznych lub stworzyć system zarządzania bezpieczeństwem informacji.
Dofinansowanie dla Laureatów Konkursu Grantowego Cyfrowy Powiat może być przyznane na zadania w ramach czterech obszarów. Jakie to obszary? Czy są one obowiązkowe?
Wiesław Krawczyński: Wyróżnia się 4 obszary. Pierwszy z nich dotyczy nabycia sprzętu IT i oprogramowania, licencji niezbędnych do realizacji e-usług w celu cyfryzacji urzędów JST oraz upowszechnienia wykorzystania chmury obliczeniowej. Drugi obszar Konkursu Grantowego Cyfrowy Powiat zakłada zakup sprzętu IT dla szkół i placówek specjalnych podległych urzędowi. Trzeci obszar obejmuje szkolenia w zakresie obsługi nabytego sprzętu oraz oprogramowania i licencji, a także usługi edukacyjne w zakresie usług chmurowych oraz z zakresu cyberbezpieczeństwa. Czwarty obszar to z kolei usługi z zakresu cyberbezpieczeństwa samorządowych systemów informatycznych – w ramach tego obszaru grantobiorcy są zobowiązani do wykonania nazwanego diagnozą cyberbezpieczeństwa.
Dlaczego Centrum Projektów Cyfrowa Polska przypisało cyberbezpieczeństwu na tyle kluczowe znaczenie, że uznał ten obszar za obligatoryjny?
Wiesław Krawczyński: Korzystanie z rozwiązań informatycznych do załatwiania spraw urzędowych musi wiązać się z wysokim poziomem bezpieczeństwa. Nie mam sensu inwestowanie w rozwiązania informatyczne, jeśli nie potrafimy zapewnić bezpieczeństwa danych, które urząd posiada. Z mediów wiemy o coraz częstszych przypadkach ataków hakerskich na jednostki samorządu terytorialnego, w szczególności gminy i powiaty. Podmioty odpowiedzialne za system cyberbezpieczeństwa naszego kraju postanowiły przy okazji tego konkursu oraz podobnego realizowanego dla gmin zbadać stan cyberbezpieczeństwa w tych jednostkach.
Jakie konkretnie zadania w ramach obszaru cyberbezpieczeństwo powiaty będą musiały zrealizować?
Wiesław Krawczyński: Elementem obligatoryjnym każdego projektu finansowanego w ramach konkursu Cyfrowy Powiat jest przeprowadzenie diagnozy cyberbezpieczeństwa. Niespełnienie tego kryterium warunkuje brakiem otrzymania dofinansowania na realizację grantu. Pozostałe obszary są fakultatywne.
Na czym będzie polega diagnoza cyberbezpieczeństwa?
Wiesław Krawczyński: Diagnoza cybebezpieczeństwa jest formą audytu w obszarze bezpieczeństwa informacji. Swoim zakresem audyt obejmuje przepisy rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności oraz ustawy o krajowym systemie cyberberbezpieczeństwa. Celem cyberdiagnozy jest weryfikacja, na ile obowiązki nałożone na samorządy tymi aktami prawnymi są realizowane.
Czy przeprowadzenie diagnozy cyberberbezpieczeństwa zwiększy bezpieczeństwo informacji urzędu?
Wiesław Krawczyński: Diagnoza jest tylko oceną stanu cyberbezpieczeństwa. Aby zwiększyć poziom cyberbezpieczeństwa, należy przeprowadzić działania, które usuną luki wykryte w trakcie diagnozy. Z własnego doświadczenia wiem, że często w urzędach występują braki w dokumentacji bezpieczeństwa. Brakuje też osób odpowiedzialnych za bezpieczeństwo informacji, a pracownicy urzędów nie są szkoleni, jak unikać zagrożeń cyberbezpieczeństwa. Skutki tych zaniedbań są często takie, że niestety dochodzi do utraty danych lub konieczności zapłaty okupu w przypadku ataków typu ransomware. Proponuję wszystkim, aby razem z diagnozą cyberbezpieczeństwa przeprowadzić także działania podnoszące poziom bezpieczeństwa. Realizacja szkoleń e-learningowych dla pracowników, testy zabezpieczeń, a także uzupełnienie i wdrożenie dokumentacji związanej z bezpieczeństwem to tylko przykładowe działania, które powinny być zrealizowane w ramach programu Cyfrowy Powiat.
Jakie nadzieje można wiązać z realizacją Konkursu Grantowego Cyfrowy Powiat? Czy tego typu inicjatyw powinno być więcej?
Wiesław Krawczyński: Audytel w ramach programu Cyfrowa Gmina przeprowadził około dwudziestu projektów związanych z realizacją cyberdiagnozy. Na tej podstawie możemy z całą pewnością stwierdzić, że większość samorządów posiada duże potrzeby inwestycyjne w zakresie cyberbezpieczeństwa ale także zmaga się z koniecznością wymiany sprzętu i oprogramowania informatycznego z uwagi na brak wsparcia producentów dla eksploatowanych systemów informatycznych. Bardzo pilne są także inwestycje w zabezpieczenia informatyczne oraz dostosowanie dokumentacji bezpieczeństwa informatycznego do wymagań prawa. W związku z tym jak najbardziej uważam, że tego rodzaju inicjatywy są bardzo potrzebne samorządom.
Wiesław Krawczyński – konsultant z ponad 25-letnim doświadczeniem zawodowym i akademickim. Posiada wieloletnie doświadczenie w realizacji projektów informatycznych z obszaru bezpieczeństwa informatycznego. Od 14 lat jest certyfikowanym audytorem systemu zarządzania bezpieczeństwem informacji zgodnie z normą 27001. W ramach projektu Cyfrowa Gmina przeprowadził cyberdiagnozę dla kilkunastu gmin.