#CyberbezpiecznySamorząd – jak zrobić to dobrze?

Cyberbezpieczeństwo to gra zespołowa
Wnioski wynikające z kontroli NIK w 2019 roku jasno pokazują, że samorządy mają problemy z bezpieczeństwem informacji. Przyczyną takiego stanu rzeczy jest brak odpowiednio dostosowanych systemów, ignorancja obszaru bezpieczeństwa w sieci i brak świadomości zagrożeń.

Podczas panelu „#CyberbezpiecznySamorząd – jak zrobić to dobrze?”, spotkali się uczestnicy z różnych obszarów, które zajmują się współczesnymi zagrożeniami danych. Ustawa KSC i dyrektywa NIS nakreśliły główne obszary, nad którymi należy pracować aby zapewnić bezpieczeństwo instytucjom publicznym. O roli cyberbezpieczeństwa w funkcjonowaniu samorządów rozmawiali: Dariusz Jędryczek – Doradca Departamentu Cyberbezpieczeństwa ds. Współpracy z Samorządami, Ministerstwo Cyfryzacji, Płk dr Robert Janczewski – Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni, Margo Koniuszewski – Szwajcaria, Prezes Zarządu, The Bridge Foundation, Agnieszka Szymańska-Kwiecień – Kierownik Zespołu Wrocławskie Centrum Sieciowo- Superkomputerowe, Politechnika Wrocławska, Rafał Magryś – Wiceprezes Zarządu, Exatel, Robert Kośla – Dyrektor Departamentu Cyberbezpieczeństwa, Ministerstwo Cyfryzacji.

Technologie rozwijają się w ogromnym tempie. Już dzisiaj widzimy jak wiele zmian spowodowała
cyfryzacja. Dariusz Jędyczek podkreślał, że sieć rozwija się bardzo dynamicznie i nie wszystkie zmiany
można uregulować w aktach prawnych:

-W cyberprzestrzeni pojawiło się o wiele więcej użytkowników. Wzrosło także ryzyko zagrożenia. Niezwykle istotna jest perspektywa osób zajmujących się obronnością u źródła.

Płk dr Robert Janczewski opowiedział jak kształtowały się jednostki zajmujące się cyberbezpieczeństwem w Polsce:

– W 2010 roku utworzono Centrum Bezpieczeństwa Cybernetycznego Sił Zbrojnych. Na przestrzeni lat obserwujemy znaczny rozwój w tym obszarze. Cyberbezpieczeństwo nie jest kosztem tylko inwestycją. Mamy duże sukcesy, ale dla bezpieczeństwa nie możemy mówić o dokładnych szczegółach. Cyberbezpieczeństwo jest elementem bezpieczeństwa narodowego. Cały czas budujemy nowe zdolności, korzystamy z dobrych i złych doświadczeń otoczenia. To jest gra zespołowa. Od momentu powstania naszego Centrum kładziemy nacisk na interoperacyjność. Interoperacyjność powoduje to, że nie musimy powielać wszelkich zasobów. Możemy uzupełniać swoje zasoby. To skraca czas współdziałania. Powstają liczne programy edukacyjne, dzięki którym przyszłe pokolenia będą bardziej świadome zagrożeń znajdujących się w sieci.

O takich przedsięwzięciach mówiła Margo Koniuszewski:

– Stworzyliśmy 16 wojewódzkich cyberlabów, które pracowały nad wprowadzeniem zagadnień związanych z cyberbezpieczeństwem na uczelniach. Stawiamy na kształtowanie nowych kompetencji wśród młodych ludzi. To pierwszy projekt w skali światowej, który skupia domeny: IT, prawo, biznes, wojskowość, medycyna.

Robert Kośla przybliżył perspektywę opisaną w programach Ministerstwa Cyfryzacji. Podkreślał, że ofiarą ataku może być każdy:

– Cyberbezpieczny samorząd to taki, który jest odporny na ataki i z bezpiecznymi informacjami i danymi samorządowymi. Dane stanowią w tej chwili nowoczesną walutę. Mamy dwie motywacje ataków: wykorzystanie danych mieszkańców danego samorządu, uzyskanie okupu od danej jednostki samorządu terytorialnego. Ofiarami takich ataków są mieszkańcy danego regionu. Wszyscy stajemy się ofiarami tego typu ataków. Próbujemy gonić państwa zachodnie, które już dawno zaczęły inwestować w obszary cyberprzestrzeni. W dyrektywie NIS są zapisane najważniejsze cele. Ważna jest kwestia standaryzacji dla samorządów. Planujemy także stworzyć nowy program operacyjny Polska cyfrowa, w którym główną osią będzie cyberbezpieczeństwo.

Wiele samorządów korzysta z usług firm zewnętrznych, aby chronić swoje dane cyfrowe. Rafał Magryś opisał na czym polega taka współpraca:

– Exatel ma wiele współprac z samorządami, pracujemy przy projektach smartcity. Widzimy jakie są problemy cyberbezpieczeństwa w samorządach. Brak pieniędzy powoduje, że ten aspekt jest na bardzo niskim poziomie. Robimy szkolenia z zakresu security awareness i one pokazują jak ważne jest tworzenie mechanizmów zabezpieczeń, a nie karanie osób odpowiedzialnych po fakcie. W wielu jednostkach mamy do czynienia z rozproszeniem sił i środków. Musimy edukować samorządowców. Informatyk to spowiednik firmy, a specjalista cyberbezpieczeństwa to jak Duch Święty. Organizujemy szkolenia po to żeby uświadamiać i mówić o zagrożeniach.

Agnieszka Szymańska-Kwiecień podkreśliła jak ważne jest aktualizowanie wiedzy i przeprowadzanie szkoleń edukacyjnych:

– Rzeczywiście, mniejsze podmioty sukcesywnie zdobywają wiedzę o tym w jaki sposób się chronić. Jednak w ostatnich miesiącach obserwujemy rosnącą presję na cyfryzację. Te problemy były raportowane już wcześniej. Są prowadzone liczne kursy z kompetencji cyfrowych, które są niezbędne ponieważ z technologii korzystamy na co dzień w pracy. Jednak są to działania falowe i często nietrwałe. Pracownik, który styka się z przestrzenią cyfrową powinien być przeszkolony z takich umiejętności. Jak widzimy cyberbezpieczeństwo stało się ważną kwestią w funkcjonowaniu państwa. Regulacje muszą nadążać za zwiększającym się ryzykiem wycieku danych. Uczestnicy podkreślali, że kluczowa jest współpraca i wymiana doświadczeń o technikach zapobiegania i obrony przed atakami.

Maria Lipińska