Ten serwis używa cookies i podobnych technologii, brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Brak zmiany ustawienia przeglądarki oznacza zgodę na to. Więcej »

Zrozumiałem

Cyberbezpieczeństwo to korzyść dla powiatów - wywiad z Wiesławem Krawczyńskim

Cyberbezpieczeństwo to korzyść dla powiatów - wywiad z Wiesławem Krawczyńskim na zdjęciu: Wiesław Krawczyński

O odporności powiatów na cyberataki i nowym projekcie grantowym dla JST rozmawiamy z Wiesławem Krawczyńskim z Audytel S.A.

Jeszcze tylko do 30 września wszystkie powiaty mogą składać wnioski o grant z projektu „Cyberbezpieczny Samorząd”, który realizuje Centrum Projektów Polska Cyfrowa w partnerstwie z Naukową i Akademicką Siecią Komputerowa – Państwowym Instytutem Badawczym (NASK). Jaki jest cel tego projektu?

Wiesław Krawczyński: Jak wszyscy wiemy, zmiany teleinformatyczne przyspieszyły drastycznie w ostatnich latach. Nasze życie w coraz większym stopniu opiera się na technologiach cyfrowych, a cyberataki, także dla samorządów, są coraz bardziej kosztowne. Cyberataki to nie tylko wykradzione dane, coraz częściej kończą się także całkowitym paraliżem danej jednostki, a to już może mieć naprawdę niebezpieczne konsekwencje. Celem projektu jest przede wszystkim zwiększenie bezpieczeństwa informacji poprzez wzmacnianie odporności jednostek samorządu, a także po to, by te jednostki umiały skutecznie zapobiegać wszelkiego rodzaju incydentom bezpieczeństwa.

Jakie korzyści z udziału w projekcie będą płynąć dla powiatów?

Wiesław Krawczyński: Kluczową korzyścią jest zapewnienie możliwości niezakłóconego świadczenia usług oraz zapewnienie zgodności z obowiązującym stanem prawnym. Obecnie jednostki samorządowe niekoniecznie jeszcze rozpatrują to w kategoriach korzyści, ponieważ „tak było zawsze, a ataki zdarzały się rzadko”. Jeden skuteczny atak, których jest jednak coraz więcej, potrafi sprawić, iż dane są niedostępne, a za odszyfrowanie przestępca chce czasem setki tysięcy złotych. Zatem, dla mnie, podstawową korzyścią to także oszczędności. Lepiej dogonić cyfrowy świat i stać się jego częścią, niż później płacić duże kwoty za niewdrożenie odpowiednich zabezpieczeń. Brak dostępu do danych powoduje także całkowity paraliż jednostki. Pracownicy nie mogą wykonywać swojej pracy, rośnie niezadowolenie klientów, co nie tylko przekłada się na przestoje
w zakresie wykonywania obowiązków (czyli niepotrzebne koszty), ale także utratę zaufania, negatywny wizerunek w mediach i wszelkie inne konsekwencje z tego płynące.

Do wszystkich JST biorących udział w projekcie ma trafić niemal 1,9 mld zł. Na jaką kwotę mogą liczyć powiaty?

Wiesław Krawczyński: Powiaty otrzymają dofinansowanie w formie grantu, dla powiatów będzie to kwota 850 000 PLN.

Na co powiaty będą mogły przeznaczyć grant z projektu „Cyberbezpieczny Samorząd”?

Wiesław Krawczyński: „Cyberbezpieczny Samorząd” to holistyczne ujęcie bezpieczeństwa – poprzez wdrożenie lub aktualizację polityk bezpieczeństwa informacji (SZBI), wdrożenie w JST środków zarządzania ryzykiem w cyberbezpieczeństwie, wdrożenie w JST mechanizmów i środków zwiększających odporność na ataki z cyberprzestrzeni oraz podniesienie poziomu wiedzy i kompetencji personelu kluczowego z punktu widzenia zarządzania bezpieczeństwem informacji w urzędzie.

Jednostki będą miały także możliwość przeprowadzenia audytów SZBI potwierdzających uzyskanie wyższego poziomu odporności na cyberzagrożenia.

Czym różni się nowy projekt, jakim jest „Cyberbezpieczny Samorząd”, od ogłoszonego rok wcześniej programu „Cyfrowy Powiat”. Czy zadania realizowane w ramach tych przedsięwzięć mogą się zazębiać? 

Wiesław Krawczyński: „Cyfrowy Powiat” to był dobry wstęp do transformacji cyfrowej dla urzędów. W tamtym projekcie postawiono przede wszystkim na kwestie nabycia sprzętu IT, oprogramowania, licencji niezbędnych do realizacji e-usług, pracy i edukacji zdalnej, a także możliwość edukacji w zakresie obsługi nabytych środków. Zagadnienia związane z bezpieczeństwem były w nim traktowane dość marginalnie.  W ramach tego projektu jednostki będą mogły w końcu zająć się zapewnieniem cyberbezpieczeństwa samorządowych systemów informatycznych. „Cyberbezpieczny Samorząd” to duży krok na przód – to działania doskonalące jednostkę w zakresie regulacji wewnętrznych, polityk, procedur wraz z wdrożeniem lub  zmodernizowaniem narzędzi, by finalnie doprowadzić jednostkę do podniesienia świadomości na temat zagrożeń, metod ochrony, zwiększenia kompetencji pracowników odpowiedzialnych za utrzymanie i rozwój obszaru bezpieczeństwa.

Czyli po krótce – „Cyfrowy powiat” dał środki w postaci sprzętu i wiedzy dotyczącej jego używania, a „Cyberbezpieczny  Samorząd” rozwija wszelkie kwestie dotyczące odpowiedzi na pytanie: w jaki  sposób wdrożyć cyberbezpieczeństwo  naszej jednostki.

Jak na dziś oceniłby Pan odporność jednostek samorządu terytorialnego na cyberataki?

Wiesław Krawczyński: Jest to bardzo trudne pytanie, ponieważ poziom świadomości pracowników jednostek  samorządu terytorialnego jest naprawdę różny. Ze względu na fakt, iż bardzo często mam do czynienia
z pracownikami JST, którzy od wielu lat nie przechodzili żadnych szkoleń, oceniam odporność jako dość niską, a tym samym program „Cyberbezpieczny Samorząd” jako bardzo potrzebny. Nie sztuką jest wytworzyć dokumentację, sztuką jest umieć ją dopasować do realiów jednostki i stosować w praktyce. Na pewno osobiście duży nacisk położyłbym na zarządzanie ryzykiem i identyfikację zagrożeń. Tylko świadomość w zakresie podatności i przygotowanie dla nich odpowiednich zabezpieczeń (czyli między innymi dokumentacji, zabezpieczeń personalnych, fizycznych i technicznych) da możliwość skutecznego reagowania na wyzwania współczesnego świata. Tak jak nie mogę swojej organizacji chronić sam, tak samo samorządy muszą nauczyć się, iż każdy z pracowników ma realny wpływ na poziom bezpieczeństwa swoich jednostek i jest za nie odpowiedzialny.

W jakim stopniu realizacja projektu „Cyberbezpieczny Samorząd” jest w stanie poprawić ten stan rzeczy? Jakie nadzieje można wiązać z nową inicjatywą?

Wiesław Krawczyński: To temat rzeka! Przede wszystkim nie pomogą jednostkowe, nieprzemyślane, oderwane od rzeczywistości działania. Potrzebne jest systemowe rozwiązanie, dlatego projekt kładzie nacisk na wprowadzenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w poszczególnych jednostkach samorządowych. Obowiązek wdrożenia SZBI wynika wprost z rozporządzenia w sprawie Krajowych Ram Interoperacyjności (KRI), ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz innych aktów prawnych. SZBI to ramowe, kompleksowe podejście do identyfikacji, zarządzania i ochrony informacji. Nie jest to działanie jednorazowe. Nie można systemu wdrożyć, ustanowić i uznać, że wszystko już dobrze i jesteśmy bezpieczni. System ma to do siebie, iż działa dobrze, jeśli jest doskonalony. SZBI powinien być oparty na rzetelnie przeprowadzonej analizie ryzyka, uwzględniającej m.in. kontekst jednostki, wymagania prawne i oczekiwania interesariuszy. Nie ma jednej, uniwersalnej strategii funkcjonowania, dlatego korzystamy z wymagań normy ISO 27001, która nie tylko daje wytyczne do jej wdrożenia, ale także kładzie nacisk na właściwe zaprojektowanie systemu oraz jego późniejszą eksploatację i doskonalenie.

Wiesław Krawczyński – konsultant z ponad 25-letnim doświadczeniem zawodowym i akademickim.  Posiada wieloletnie doświadczenie w realizacji projektów informatycznych z obszaru bezpieczeństwa informatycznego.  Od 14 lat jest certyfikowanym audytorem systemu zarządzania bezpieczeństwem informacji zgodnie z normą  ISO 27001. W ramach projektu Cyfrowa Gmina/Powiat przeprowadził cyberdiagnozę dla kilkunastu gmin i powiatów. Posiada dużą wiedzę i doświadczenie w zakresie znajomości zagadnień związanych z cyberbezpieczeństwem, czego potwierdzeniem jest certyfikat Certified Ethical Hacker.

Śr., 9 Sp. 2023 0 Komentarzy
Wojciech Dąbrówka
Redaktor Wojciech Dąbrówka