Cyberbezpieczeństwo w Jednostce Samorządu Terytorialnego

Cyberbezpieczeństwo w Jednostce
Samorządu Terytorialnego Cyber
bezpieczeństwo Zarządzanie
projektami i architekturą Transformacja
organizacji Konsulting
projektowy

Cyberbezpieczeństwo w Jednostce Samorządu Terytorialnego

Oferujemy usługę pomostową zapewniającą cyberbezpieczeństwo oraz wsparcie w otrzymaniu dofinansowania z programu „Cyberbezpieczny Samorząd”.
Kierujemy ją do małych i średnich JST, tj. do urzędów gmin miejskich, gminno-wiejskich oraz powiatów i urzędów marszałkowskich oraz jednostek komunalnych gminy.

Oferta uwzględnia poniższy zakres:

A. Usługa pomostowa jest realizowana w trzech obszarach.
1. Obszar organizacyjny (SZBI: System Zarządzania Bezpieczeństwem Informacji).
  Usługa obejmuje dostarczenie oraz stałą aktualizację kompletu dokumentacji organizacyjnej, przygotowanej zgodnie ze sztuką oraz wypełniającej zobowiązania ustawowe związane z zapewnieniem bezpieczeństwa informacji i ciągłości działania.
  Dostarczona dokumentacja zawiera:
  - SZBI – System Zarządzania Bezpieczeństwem Informacji. Dokumentacja zawiera wszystkie niezbędne opisy polityk i procedury zapewnienia bezpieczeństwa informacji, opis organizacji wraz z rolami i ich odpowiedzialnościami w tym zakresie,
  - Wytyczne do zarządzania ryzykiem bezpieczeństwa informacji i ciągłości działania, wraz z procedurami cyklicznych przeglądów,
  - Wytyczne do zapewnienia ciągłości działania (System Zarządzania Ciągłością Działania – SZCD) w kontekście zarządzania informacją.
2. Obszar techniczny. Instalacja elementów aktywnej ochrony, nadzór eksploatacyjny, uruchomienie funkcji prewencji i reakcji.
  Zakres usługi obejmuje:
  - zapewnienie ochrony zasobów informacji w obrębie infrastruktury IT (stacje robocze, serwery, sieć) przed cyberatakami, monitoring infrastruktury będzie się odbywał w oparciu o stałą łączność ze zdalnym Centrum Monitoringu Bezpieczeństwa w trybie 24/7/365,
  - prowadzenie przez zespół Centrum Monitoringu Bezpieczeństwa, wraz z lokalnymi informatykami, szybkich i skutecznych działań w reakcji na sygnalizowane ryzyka oraz występujące incydenty bezpieczeństwa informacji wraz z ich właściwym dokumentowaniem i informowaniem jednostek kontrolnych,
3. Obszar kompetencyjny. Ciągłe podnoszenie świadomości i kompetencji pracowników JST.
  Zakres usługi obejmuje:
  - prowadzenie cyklicznych kampanii uświadamiających w tym antyphishingowych, z uwzględnieniem aktualnych zagrożeń i metody obrony,
  - szkolenia wraz z certyfikatami dla pracowników urzędu podnoszące świadomość cyber-zagrożeń oraz budujące kompetencje w obszarze stosowania metod ochrony przed nimi.
B. Usługa dotycząca wsparcia w realizacji dofinansowania, świadczona jest w następującym zakresie:
1. Wsparcie w przeprowadzeniu samooceny dojrzałości.
2. Wsparcie w określeniu wskaźników projektu, w sposób umożliwiający ich prawidłowe rozliczenie.

Ważne:

Usługa nie wymaga żadnego wkładu własnego, aby z niej zacząć korzystać. Jest rozliczana w sposób abonamentowy w cyklach miesięcznych. JST nie ponosi kosztów zakupu sprzętu i oprogramowania, ani stałej ich aktualizacji oraz administracji.
Usługa zapewnia odpowiedni dla specyfiki polskich małych i średnich JST poziom bezpieczeństwa bez konieczności utrzymywania kosztownej kadry własnych specjalistów. Niezbędne jest jedynie wskazanie jednego informatyka do współpracy z zespołem centralnym usługodawcy, który zostanie odpowiednio przeszkolony do współpracy. Odpowiedzialność za ciągłość działania systemu cyberbezpieczeństwa, ciągłość monitorowania zagrożeń oraz reakcję na incydenty (techniczne i organizacyjne) leży po stronie usługodawcy.
Usługa jest kompleksowa i jest realizowana we wszystkich trzech wymaganych obszarach: technicznym, kompetencyjnym oraz organizacyjnym i proceduralnym.
Usługa pozwala wywiązać się z obowiązków urzędniczych wynikających z wymagań prawa dotyczących zapewnienia zdolności JST do ochrony przed cyberzagrożeniami, reakcji na incydenty oraz współpracy z jednostkami nadzorczymi. Zapewnia także odpowiednie udokumentowanie tych zdolności we wszystkich aspektach wymaganych przez organizacje kontrolne.
Organizacja, zespół oraz procedury po stronie dostawcy usługi gwarantują stabilność usługi, niezależność od nieobecności pracownika i konieczności zapewnienia zastępstw. Ze względu na różnorodne kompetencje jakimi dysponuje zespół centralny, JST otrzymuje sumarycznie najwyższy możliwy poziom usług.
Stałe samodoskonalenie oraz korzystanie z doświadczeń i bazy wiedzy w kraju i zagranicą powodują, iż nie ma efektu zaskoczenia np. nowymi formami cyberataków. Zebrane doświadczenia i wynikające z nich kolejne zabezpieczenia są współdzielone pomiędzy wszystkimi JST. Sposób świadczenia usługi jest aktualizowany zgodnie ze zmianami prawa i wprowadzania nowych regulacji dotyczących JST oraz cyberbezpieczeństwa.
Koszty usługi są dopasowane do możliwości polskich małych i średnich JST. Są one porównywalne z kosztami utrzymania jednego wysokokwalifikowanego informatyka zawierając jednocześnie cały aspekt narzędzi technicznych i proceduralnych niezbędnych dla zapewnienia cyberbezpieczeństwa.

Cyberzagrożenia oraz ochrona informacji w JST

Czym są cyberzagrożenia?

Cyberzagrożenia pojawiły się wraz z przyśpieszoną w ostatnich latach cyfryzacją wielu dziedzin życia obywateli oraz instytucji publicznych. Dostęp do usług administracji poprzez Internet, możliwość załatwiania spraw bez osobistej wizyty w urzędzie jest wielkim udogodnieniem dla mieszkańców. Jednocześnie po stronie jednostek administracji nastąpił skokowy przyrost systemów informatycznych, które starały się sprostać rosnącym wymaganiom obywateli.

W/w zjawiska otwarły nową przestrzeń dla cyberprzestępców, którzy niestety korzystają z tego na bardzo wiele, mniej lub bardziej wyrafinowanych sposobów. Cyberataków, na przykład takich jak tzw. ransomware (czyli szyfrowanie danych dla okupu), wyciek i kradzież danych, fałszowanie danych, czy blokowanie działania systemów dziedzinowych – np. komunikacji czy zarządzania transportem doświadczyło już wiele instytucji publicznych.

Dlaczego i w jakim zakresie cyberprzestępczość dotyczy JST w Polsce?

Zagrożenie dla JST wynika z rosnących korzyści jakie cyberprzestępcy mogą uzyskać ze swojej działalności, tj. ataków na urzędy administracji publicznej. Dane, którymi dysponują JST mogą zostać ukradzione i odsprzedane. Osiągają one ze względu na charakter i potencjalne komercyjne wykorzystanie coraz wyższą cenę na przestępczym cyberrynku. Znaczącym zyskiem dla cyberprzestępców może być zaszyfrowanie danych wraz z żądaniem okupu za ich odzyskanie lub niszczenie określonych danych na zlecenie. Tego typu przestępstwa należą do najpopularniejszych za granicą i występują coraz częściej w Polsce.

Wg raportów instytucji kontroli i audytu, w większości organizacji administracji centralnej i lokalnej (70% placówek JST w Polsce) brak jest kompleksowego, zgodnego z dobrymi praktykami i wymaganiami prawa podejścia do cyberbezpieczeństwa.

Dotychczas w naszym kraju wdrażając systemy informatyczne w JST, skupiano się przede wszystkim na szybkiej poprawie jakości pracy urzędu i obsługi mieszkańców. Mniejszą uwagę przywiązano do bezpieczeństwa informatycznego, ponieważ cyberprzestępczość nie była postrzegana w administracji, jako realna i potencjalnie szkodliwa dla pracy urzędu.

Zaniedbania wynikają także z faktu, iż już samo opracowanie i zastosowanie procedur, wdrożenie systemów zabezpieczeń i instrukcji odpowiedniego reagowania na incydenty wymaga znacznych nakładów i jest niemożliwe do wdrożenia bez udziału wykwalifikowanych, ciągle bardzo kosztownych specjalistów. Ponad to, do tej pory nie było w Polsce dostosowanej do potrzeb JST oferty edukacyjnej oraz przestrzeni, gdzie mogłyby wymieniać się doświadczeniami w tym zakresie cyberbezpieczeństwa lub budować wspólne rozwiązania w tym zakresie.

Regulacje, przepisy i odpowiedzialności JST w obliczu cyberprzestępczości

Zgodnie z obowiązującymi przepisami, władze JST muszą dołożyć należytej staranności oraz zapewnić odpowiednie środki techniczne i organizacyjne do zapobiegania cyberzagrożeniom.

Wymagania prawne zawarte są przede wszystkim w Ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC), Rozporządzeniu o Ochronie Danych Osobowych (RODO) i Krajowych Ramach Interoperacyjności (KRI).

W 2024 roku, poziom określonych prawem wymagań wzrośnie skokowo, po uruchomieniu nowej Dyrektywy UE (tzw. NIS 2). NIS 2 (i idąca za nią nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa) poszerza odpowiedzialność władz JST za zapewnienie zdolności do ochrony przed cyberzagrożeniami oraz za zapewnienie zdolności do identyfikacji incydentów bezpieczeństwa informacji oraz realizacji adekwatnych reakcji w przypadku ich wystąpienia. JST będą zobowiązane do stworzenia i utrzymywania tzw. Systemu Zarządzania Bezpieczeństwem Informacji, obejmującego zarówno rozwiązania techniczne, jak i proceduralne.

NIS 2 przewiduje także wysokie kary za niedopełnienie tych wymagań, przewyższające nawet obecnie obowiązujące kary związane z naruszeniem ustaw RODO. Przewidziane przepisami konsekwencje mogą być zastosowane już w przypadku wykazania prze kontrolę zewnętrzną braku przygotowania JST do zarządzania bezpieczeństwem informacji a nie dopiero po wystąpieniu incydentu bezpieczeństwa. Wykazane nienależyte wywiązywanie się z tych zobowiązań podlega finansowym karom administracyjnym.

Wg obecnie obowiązujących przepisów, za utrzymanie należytego poziomu bezpieczeństwa informacji w JST jest Wójt, Burmistrz, Starosta, Prezydent, Marszałek lub wyznaczony wewnątrz organizacji pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji. Dopuszczalne jest też wykorzystanie zewnętrznego, wyspecjalizowanego podmiotu przejmujący obowiązki i odpowiedzialności w wymienionym zakresie.

Jak zapewnić cyberbezpieczeństwo oraz ochronę informacji w JST?

Zapewnienie bezpieczeństwa cyfrowego JST wymaga nie tylko zapewnienia odpowiednich środków technicznych (sprzęt, oprogramowanie), ale również zaangażowania wykwalifikowanych specjalistów ds. cyberbezpieczeństwa i ochrony informacji.

Niezbędne jest zapewnienie centrum monitorującego (SOC) tj. zespołu specjalistów wyposażonych w odpowiednie narzędzia, monitorujących, wykrywających incydenty i reagujących na nie w trybie 24/7/365. Zbudowanie i utrzymanie takiego centrum jest dla zdecydowanej większości JST poza zasięgiem finansowym – dlatego też ustawodawca wprowadził możliwość korzystania z centrów zdalnych w trybie usługowym (tzw. CyberSecurity as a Service).

Ostatnim, ale równie ważnym, elementem jest opracowanie, wdrożenie i ciągła aktualizacja odpowiedniego zestawu procedur i instrukcji oraz stałe podnoszenie świadomości urzędników. Jest to możliwe poprzez powtarzalne kampanie oraz szkolenia w zakresie cyberbezpieczeństwa w celach prewencyjnych.

Zapewnienie cyberbezpieczeństwa musi być zatem realizowane w trzech obszarach: organizacyjnym (polityki, procedury), kompetencyjnym (świadomość cyberzagrożeń, szkolenia) i technicznym (urządzenia, oprogramowanie, zespół specjalistów). Podejmując decyzję o inwestycji w obszarze cyberbezpieczeństwa należy wziąć po uwagę fakt, iż:

zakup sprzętu oraz oprogramowanie zabezpieczające i monitorujące to koszt zarówno jednorazowego zakupu jak i stały koszt administracji, aktualizacji oraz utrzymania sprzętu i oprogramowania,
specjaliści w zakresie cyberbezpieczeństwa należą obecnie do najbardziej poszukiwanych i najlepiej opłacanych na rynku pracy. Dodatkowo, wymagają oni ciągłych szkoleń, ponieważ nieustannie pojawiają się nowe zagrożenia i opracowane w odpowiedzi metody ochrony.

Dlatego też oraz ze względu na wysokie koszty jak i trudność w utrzymaniu wysokospecjalizowanej kadry najbardziej korzystny dla JST jest usługowy lub hybrydowy model zapewnienia cyberochrony JST – częściowo własny, a częściowo usługowy.

Źródła finansowania inwestycji w cyberbezpieczeństwo i etapy wdrożenia

Centrum Projektów Polska Cyfrowa na zlecenie Ministerstwa Cyfryzacji, przy współpracy z NASK PIB uruchomiło kampanię informacyjną wraz z programem finansowania budowy rozwiązań cyberbezpieczeństwa w JST pod nazwą „CyberBezpieczny Samorząd”.

Są to znaczące środki finansowe, których wykorzystanie może zapewnić znaczący wzrost cyberbezpieczeństwa JST. Należy jednak zauważyć, że procedura uzyskania dofinansowania, konieczność przeprowadzenia postępowania i wyboru dostawcy, a następnie samo wdrożenie zakupionych rozwiązań może potrwać nawet do 8 miesięcy. Jednocześnie ekspozycja JST na cyberzagrożenia występuje już teraz i, biorąc pod uwagę także sytuację geopolityczną, stale rośnie.

W związku z powyższym w okresie przejściowym, do wdrożenia docelowego systemu cyberbezpieczeństwa, rozwiązaniem jest zapewnienie ochrony w formie usługi pomostowej, świadczonej przez wyspecjalizowane podmioty, dysponujące odpowiednimi rozwiązaniami technicznymi i zespołami wykwalifikowanych specjalistów. Zapewni to skuteczną ochronę oraz budowanie świadomości cyberbezpieczeństwa w niezbędnym zakresie oraz co istotne, spełni aktualne wymogi ustawowe.

Usługa pomostowa może zostać uruchomiona w czasie nie dłuższym niż 2 miesiące i być rozliczana w ramach stałych miesięcznych opłat ryczałtowych. Po uzyskaniu dofinansowania może zostać częściowo zastąpiona przez rozwiązania własne, a częściowo z nimi zintegrowana (model hybrydowy).

Co istotne, w związku z tym, iż program CyberBezpieczny Samorząd zakłada kwalifikowanie kosztów od czerwca 2023 roku usługa pomostowa w okresie przejściowym może być sfinansowana w tym programie jako koszt kwalifikowany.

Pobierz poradnik: Cyberbezpieczny samorząd

https://itrust.pl/wp-content/uploads/2021/11/images.jpg

Narzędzia

Know-How

Know-how iTrust to przede wszystkim umiejętność prowadzania procesów budowy rozwiązań informatycznych, w tym głównie z obszaru cyberbezpieczeństwa, z uwzględnieniem skomplikowanych uwarunkowań decyzyjnych i zakupowych. Nasza wiedza, umiejętności i doświadczenia pozwalają nam przeprowadzić wspólnie z Klientem proces budowy systemu cyberbezpieczeństwa w sposób merytorycznie i formalnie uzasadniony, udokumentowany i oparty o przepisy prawne oraz powszechnie przyjęte standardy. Gwarantuje to naszym Klientom poczucie bezpieczeństwa w zakresie podejmowanych decyzji. Poczynając od określenia i oceny podatności, ryzyk oraz priorytetów biznesowych, po zbudowaniu transparentnych uzasadnień wyboru technologii oraz budżetu, budujemy perspektywę zaufania dla wspólnie realizowanych przedsięwzięć.

Partnerzy

Kontakt

Budujemy perspektywę zaufania

iTrust sp. z o.o.

ul. Poznańska 37
00-689 Warszawa
NIP: 701-071-22-08

Napisz do nas:
biuro@itrust.pl

Imię i nazwisko

Adres e-mail

Nr telefonu

Treść wiadomości

Klauzula informacyjna do formularza kontaktowego
1. Administratorem danych osobowych podanych na formularzu kontaktowym jest iTrust sp. z o.o. z siedzibą w Warszawie (00-689) przy ul. Poznańskiej 37. W sprawie realizacji praw osób, których dane dotyczą można skontaktować się poprzez adres e-mail: iod@itrust.pl lub pisemnie na adres siedziby wskazany powyżej.
2. W iTrust sp. z o.o. został wyznaczony Inspektor Ochrony Danych, z którym można skontaktować się w sprawach związanych z przetwarzaniem danych osobowych poprzez e-mail: iod@itrust.pl
3. Dane osobowe będą przetwarzane jedynie w celach kontaktowych na potrzeby przygotowania odpowiedzi na przesłane zgłoszenie. Podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes iTrust sp. z o.o., o którym mowa w art. 6 ust. 1 lit. f ogólnego rozporządzenia o ochronie danych (RODO), polegający na zapewnieniu udzielania odpowiedzi na wpływające zgłoszenia.
4. Dane będą przechowywane przez 1 rok od momentu udzielenia odpowiedzi na przesłane zgłoszenie.
5. Dane mogą być przekazywane podmiotom przetwarzającym dane osobowe na zlecenie iTrust sp. z o.o. w tym podmiotom: obsługującym systemy informatyczne – przy czym takie podmioty przetwarzają dane na podstawie umowy z iTrust sp. z o.o i wyłącznie zgodnie z jej poleceniami.
6. Każda osoba ma prawo: dostępu do swoich danych, żądania ich sprostowania, usunięcia oraz ograniczenia ich przetwarzania, jak również wyrażenia sprzeciwu na przetwarzanie danych.
7. W celu skorzystania z powyższych praw, należy skontaktować się z iTrust sp. z o.o. lub z Inspektorem Ochrony Danych (dane kontaktowe wskazane powyżej). Każda osoba ma również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
8. Podanie danych osobowych jest dobrowolne. W przypadku braku podania danych osobowych, rozpatrzenie zgłoszenia nie będzie możliwe.