Katarzyna Kubicka-Żach: Jak dbać o właściwe zabezpieczenie systemów informatycznych?

Marcin Kostrzewa-Pisarek, p.o. dyrektora Biura Ochrony Informacji Niejawnych w EXATEL S.A.:  Podstawą jest budowanie świadomości w organizacji, bez względu na to, czy mamy do czynienia z jednostkami samorządu terytorialnego, biznesem, administracją centralną. Komputer  stał się narzędziem codziennego użytku - cywilizacja ewoluuje równolegle z systemami teleinformatycznymi, nieustannie się przenikając.

Rozwój niesie także ryzyko. Chcemy oferować nowe produkty i usługi, ale wraz z ich rozwojem pojawiają się zagrożenia. Globalna wioska wykorzystuje każdą podatność systemów do realizowania własnych, często niecnych, celów.

Jak się przed tym ustrzec?

Kluczem jest budowanie świadomości kierownictwa i pracowników organizacji oraz implementowania na jej grunt najlepszych systemów zabezpieczeń. Poczynając od stosowania przepisów prawa, m. in. RODO, poprzez oparcie zarządzania bezpieczeństwem informacji o sprawdzone standardy, na przykład norma ISO/IEC 27001, aż po stosowanie dobrych praktyk i zwyczajów, które pomagają realizować bezpieczeństwo dnia codziennego.

Niezwykle ważny jest refleks, umiejętność dostrzegania problemu na czas i zdecydowane reagowanie, choćby poprzez wyposażenie w niezbędne kompetencje człowieka odpowiedzialnego za bezpieczeństwo systemów. Bezpieczeństwo, także systemów, nie jest bowiem abstraktem, lecz immanentnym ogniwem procesów, związanym z każdym ich etapem.

Zespoły odpowiedzialne za bezpieczeństwo powinny posiadać instrumenty i wiedzę. Niezwykle ważne są szkolenia i nieustanne doskonalenie procedur. Umiejętności posiadane przez zespół powinny inspirować całą organizację, choćby poprzez systemowe szkolenia pracowników. Rynek oferuje cały wachlarz szkoleń i kursów. Nie wszystkie dadzą odpowiedź na każde pytanie, ale zdecydowana większość co najmniej pozwoli na uświadomienie niebezpieczeństw.

Decydując się na rozpoczęcie trudnej drogi uzyskania certyfikowanego potwierdzenia zaangażowania naszej organizacji w stosowanie procedur bezpieczeństwa, należy zdefiniować przedmiot aktywów, które chcemy chronić. Można zidentyfikować kluczowe procesy i objąć je szczególną ochroną poprzez zbudowanie dla nich systemu bezpieczeństwa ugruntowanego w normie.

Czytaj też: Administracja nie musi obawiać się technologii bezprzewodowych

Co w tym pomyśle jest najważniejsze do realizacji?

Podstawą jest zaangażowanie kierownictwa i uzyskanie jego wsparcia. Następnie definiujemy zakres systemu, wymagania otoczenia, choćby przepisy prawa, wymagania klientów. Możemy chronić jeden proces. Gdy wiemy, co chcemy chronić, np. tylko obsługę klienta, dane osobowe, wtedy definiujemy, kto jest właścicielem zasobu i procesu. Po zbudowaniu takiego projektu szkolimy osoby, wyznaczając, co chcemy osiągnąć i w jakim zakresie. Wtedy przystępujemy do ustalenia procedur. One często już występują, trzeba je tylko przejrzeć, przypisać odpowiedzialność.

System można stworzyć w oparciu o normę ISO, ale nie certyfikat sam w sobie powinien być celem. Kluczowa sprawa to identyfikacja zagrożeń i zaproponowanie rozwiązań minimalizujących ryzyko ich wystąpienia. Doskonalenie systemu będzie trwało długo. Można przyjąć, że jest to proces, którego nie możemy przerwać. Chyba, że ryzyko katastrofy jest dla nas akceptowalne... Zacznijmy od prostych rzeczy, zmieńmy proces lub dwa i ewolucyjnie włączajmy kolejne. Prawie 2/3 zabezpieczeń w normie ISO odnosi się do systemów teleinformatycznych, więc należy mieć nieustannie na uwadze aspekt cyberbezpieczeństwa. Podkreślę, że organizacja i jej kierownictwo musi dać „zielone światło” i angażować się w system – wówczas zadziała. Jednostka implementująca systemy bezpieczeństwa, w której nie ma odpowiedniej kadry, powinna rozważyć sięgnięcie po usługi audytorskie. Rynek się rozwija i co raz więcej podmiotów oferuje specjalistyczne badania choćby warstwy IT. Ten kierunek będzie się rozwijał, a zatem dostępność usług wzrośnie.

Jak ułatwić urzędom postępowanie zgodne z normą?

Poprzez budowanie kompetencji. Nie chodzi o kupienie normy. Po pierwsze nikt nam jej, ot tak, nie sprzeda, a po drugie w niedoświadczonych rękach pozostanie wyłącznie zbiorem trudnych do interpretacji zapisów. Polski Komitet Normalizacyjny wydał opracowanie o budowaniu systemu bezpieczeństwa. Poradnik, który polecam. Zawiera m.in. informacje o analizie ryzyka czy budowie systemu bezpieczeństwa. Uchylając rąbek tajemnicy, podpowiem, że wnikliwe studiowanie norm pozwoli na samodzielne zbudowanie systemu. Napiszmy proste procedury zrozumiałe dla otoczenia. Badajmy ich oddziaływanie na pracowników i klientów oraz modyfikujmy w miarę potrzeb. Pierwszy krok da organizacji pewność siebie i ułatwi rozwój systemu bezpieczeństwa.

Co to właściwie jest cyberbezpieczeństwo?

Wyjdźmy od pytania: co chronimy? Zasoby, dane, reputację. Myśląc o tym w kontekście bezpieczeństwa teleinformatycznego, widzimy rozwój zagrożeń dla naszych zasobów związany z aktywnością w sieci. Ustawa o krajowym systemie cyberbezpieczeństwa określa je jako odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.

 

Cyberbezpieczeństwem jest więc wszystko, co ma wpływ na bezpieczeństwo cyfrowych zasobów państwa, organizacji, jednostki. Stopień złożoności zagadnienia ilustruje wachlarz czynników wymagających rozważenia w kontekście bezpieczeństwa; używana infrastruktura – od fazy projektowej do ewaluacji wdrożonych rozwiązań, model zarządzania topologią sieci, budowa, monitorowanie i nadzór nad systemem, stosowane rozwiązania w warstwie systemów operacyjnych, identyfikacja właścicieli aktywów, przypisanie ról w systemie, identyfikacja i budowa kompetencji, niezbędne środki finansowe…

Kto może pomóc urzędowi w informatyzacji?

Proponuję rozważyć działanie wielotorowe, pozwalające na osiągnięcie efektu synergii. Nie obędzie się bez narzucenia formy przez administrację centralną, zwłaszcza tę, w której kompetencjach leży zapewnienie bezpieczeństwa. Proste, niekrępujące wytyczne. Widzę także rolę jednostek samorządu terytorialnego szczebla wojewódzkiego i powiatowego, zwłaszcza w koordynowaniu implementacji rozwiązań o charakterze programowym, strategicznym.

Odpowiedzialnością kierowników jednostek organizacyjnych powinien być dobór instrumentarium adekwatnego dla konkretnej organizacji. Tu znajdujemy odpowiedź na zadane przez Panią pytanie. Impuls ze strony państwa powinien skłonić samorząd do szukania sprawdzonych rozwiązań oferowanych przez rynek. W warstwie elementarnej nie należy się ograniczać. Od prostych, wydanych w formie broszury, algorytmów postępowania w przypadku ataku phishingowego, po szkolenia, warsztaty i treningi.

Co jednak zrobić z punktu widzenia wójta i burmistrza, który zaczął waśnie kadencję?

Zacząć się interesować bezpieczeństwem informacji, zabudżetować określone pieniądze na ten cel. No i zacząć realizować ten proces. Nadać mu impet. Kiedy, jeśli nie na początku kadencji? Za kilka lat będzie sukces. Rok to za mało na budowę szczelnego systemu.

Powiedział Pan, że w rok nie da się zbudować systemu, ale ile czasu na to potrzeba? I ile to kosztuje?

Możemy zbudować coś na początek – zidentyfikować kluczowe procesy, oszacować ryzyka i potem je doskonalić. Koszty związane z bezpieczeństwem informacji będą rosły z roku na rok. Coraz więcej procesów będzie bowiem zinformatyzowanych – wdrażamy systemy, które mają ułatwić nam obsługę obywateli, ale pojawiają się nowe podatności, które wcześniej nie były znane, rodzą się nowe ryzyka, a to wszystko wiąże się z kosztami.

Jak już zdefiniujemy procesy, które chcemy chronić i odpowiednio je zabezpieczymy, to należy je tylko właściwie utrzymywać, monitorować i aktualizować rozwiązania czy nowe technologie, które się pojawiają.  

Czytaj też: UE: Zreformowany system lepiej zadba o cyberbezpieczeństwo

Wiele usług, które funkcjonują w urzędach, ma luki, o których nikt nie mówi. Wynika to z tego, że wdrażające je firmy gwarantują bezpieczeństwo, ale potem, jeśli urząd chce ulepszeń, często zapomina się o testach bezpieczeństwa.

Rzadko kiedy produkty tworzone na zamówienie dla administracji publicznej są wykonane z należytą starannością, a następnie sprawdzone pod kątem bezpieczeństwa czy cyberbezpieczeństwa. O tym się zapomina. I rzadko jest to związane z jakościowym odbiorem. Cóż, w kwestii kosztów należy przemyśleć kryteria wyboru oferentów. Jeśli zaś chodzi o czas, to proces budowania systemu bezpieczeństwa nigdy się nie skończy i trzeba to przyjąć do wiadomości. Trzeba też przyjąć do wiadomości, że prędzej czy później staniemy się obiektem ataku. Musimy odpowiedzieć sobie na pytanie, czy nas na to stać. Po takiej analizie kwestia kosztów wygląda nieco inaczej.

Czy zachowanie bezpieczeństwa jest obowiązkiem? Jakie akty prawne go stanowią?

Dużo obowiązków wynika z RODO. Za ich niewykonanie przewidziane są kary. Ustawa o dostępie do informacji publicznej, ustawa o ochronie zdrowia, ustawa o podpisie elektronicznym, o zwalczaniu nieuczciwej konkurencji, o informatyzacji działalności podmiotów realizujących zadania publiczne – te akty prawne określają wymagania, jak należy chronić systemy i dane. Również rozporządzenia wykonawcze do tych aktów prawnych.

Norma ISO jest więc zalecana, nie obowiązkowa. Jednak obowiązkiem urzędu jest ochrona systemów i danych, jednak nie jest wskazane, jakimi sposobami ma to zapewnić?

Każdy urząd ma dowolność, bo definiuje procesy i ryzyka i nimi zarządza. Większość urzędów ma jednak podobne ryzyka, bo obsługuje te same procesy. Dobrze by było, gdyby państwo doprecyzowało, może w poradniku, jakie procesy w jakich urzędach mogą być obsługiwane. Na pewno bardzo by to ułatwiło pracę urzędów. Obecnie każdy urząd musi sam definiować, nie ma wsparcia odgórnego. A, jak podkreślam, odpowiedzialność jest przypisana kierownikom jednostek – wójtom, burmistrzom, starostom, marszałkom.

Brakuje szkoleń koordynowanych centralnie, czy też oficjalnych wytycznych. Powody są różne. Lukę wypełniają firmy konsultingowe lub przedsiębiorstwa, które zbudowały w swoich strukturach odpowiednie kompetencje. One skupiają najczęściej specjalistów, którzy wiedzą jak to robić, jak budować systemy, poprzez wcześniejsze doświadczenie  i projekty w których uczestniczyli. Jednak trzeba pamiętać, że ten garnitur powinien być uszyty na miarę, czyli system przygotowany pod konkretną organizację, urząd. Jednym z pomysłów jest opracowanie szablonów, które ułatwiłyby zbudowanie takiego systemu. Wytyczne dostępne m.in. na stronach Urzędu Ochrony Danych Osobowych oraz Ministerstwa Cyfryzacji w zakresie stosowanie RODO to za mało.

Raport NIK wskazywał niedawno luki w systemach zabezpieczeń w samorządach? Jak je wypełnić?

Raport NIK pokazuje, że jest problem, ale czy administracja publiczna będzie chciała się tym zająć? Piłka jest po stronie zarządzających urzędami. Pozostaje zacząć edukować pracowników przy jednoczesnym zaangażowaniu firm, które mogą wspomóc zbudować system bezpieczeństwa. Najlepiej rozpocząć od audytu zewnętrznego i powierzyć go takim przedsiębiorstwom, które dają należytą ochronę przetwarzanych informacji oraz posiadają wykwalifikowanych pracowników.

W jednostkach konieczne jest też zapewnienie ciągłości procesu – to jest bardzo ważne przy projektowaniu systemu. O ciągłości działania zaczęto mówić kilka lat temu, jest ona włączona do normy ISO, ale nie jest określone, jak ma wyglądać. Przy projektowaniu systemu należy więc wybrać, który proces jest kluczowy i jak go chronić, gdy nie będzie dostępności działania systemu informatycznego. Czyli czy np. obywatel nie może złożyć wniosku wcale, czy może go złożyć w formie papierowej. Technologia niesie też ryzyka niedostępności usługi wynikające ze sprzętu. Czasem kartka i długopis mogą pomóc np., gdy mamy poważną awarię informatyczną, czy nie ma prądu.

Należy zawsze przewidywać niedostępność kluczowych systemów – trzeba zawsze mieć to z tyłu głowy. Jednak wymagania powinny być bezwzględne – wszystkie procesy muszą być przetestowane, przeskalowane, sprawdzone pod kątem obciążeń.

Zobacz też komentarz praktyczny: Ochrona danych osobowych w chmurze obliczeniowej w zakresie cyberbezpieczeństwa

 

Michał Bitner, Elżbieta Kornberger-Sokołowska

Sprawdź  
POLECAMY