cyberbezpieczny samorząd

Cyberbezpieczny samorząd – jak nie wyrzucić pieniędzy w błoto

Cyberbezpieczny samorząd to kolejny w ostatnich latach projekt mający na celu finansowanie wydatków na cyberbezpieczeństwo w podmiotach publicznych. Po „Cyfrowej Gminie”, której celem było finansowanie nie tylko bezpieczeństwa, ale też informatyzacji gmin, w ubiegłym roku światło dzienne ujrzało rozporządzenie NFZ, na mocy którego szpitale i inne placówki medyczne mogły uzyskać finansowanie wydatków związanych z szeroko pojętym cyberbezpieczeństwem. I to finansowanie niemałe, bo w zależności od wielkości placówki (a dokładniej wartości umowy z NFZ na świadczenie usług medycznych) sięgające nawet 900 tys. zł. Drugi etap tego samego programu ogłoszono w styczniu i trwa on jeszcze do 24 października. Jeśli więc chcielibyście z niego skorzystać czasu pozostało bardzo niewiele bo w tym okresie trzeba załatwić wszystkie formalności, przeprowadzić postępowanie przetargowe, zrealizować wdrożenie, wymagany audyt stwierdzający podniesienie poziomu bezpieczeństwa, rozliczyć całość i złożyć dokumentację w oddziale NFZ.

Wróćmy jednak do projektu Cyberbezpieczny Samorząd. Tutaj czasu mamy więcej, ale pod warunkiem, że do dnia 13 października 2023 (godz. 16.00) złożymy sam wniosek o dofinansowanie. We wniosku tym musimy określić i opisać zadania, których realizację planujemy w ramach dofinansowania oraz oszacować ich wartość. Ponownie w grę wchodzą niemałe kwoty – wartość całego projektu to 1,76 miliarda złotych (w tym środki unijne w wysokości 1,46 miliarda zł).

Cyberbezpieczny Samorząd – wysokość dofinansowania

W ramach projektu Cyberbezpieczny Samorząd Jednostki samorządu terytorialnego (JST), czyli m.in. gminy i powiaty wnioskować mogą o sumy sięgające 850 tys. zł. W niektórych przypadkach konieczny może być też udział własnych środków w projekcie. Metoda wyliczania wysokości możliwego dofinansowania oraz ewentualnego udziału własnego oparta jest o „wskaźnik podstawowych dochodów podatkowych na 1 mieszkańca gminy/powiatu/województwa przyjęty do obliczania subwencji wyrównawczej w 2023 r.”. Regulaminu konkursu grantowego przedstawia to w następujący sposób:

Metodologia wyliczenia wysokości grantu dla gminy:

Dane wyjściowe:

Wysokość grantu w przedziale od 200 000 PLN do 850 000 PLN

G – wskaźnik podstawowych dochodów podatkowych na 1 mieszkańca przyjęty do obliczenia subwencji wyrównawczej w 2023 r. (https://www.gov.pl/web/finanse/wskazniki-dochodow-podatkowych-gmin-powiatow-i-wojewodztw-na-2023-r)

L – liczba mieszkańców w gminie za rok 2022

Eksperymentalny współczynnik najlepszego dopasowania realnej wartości grantu: WDGR = 81,9127986

GR – wysokość grantu, o który może ubiegać się gmina: GR = L * WDGR

Jeżeli:

  • GR < 200 000 PLN – należy przyjąć, że wysokość grantu wynosi 200 000 PLN, więc GR = 200 000 PLN
  • GR > 850 000 PLN – należy przyjąć, że wysokość grantu wynosi 850 000 PLN, więc GR = 850 000 PLN

W oparciu o podobne wskaźniki wyliczany jest procentowy udział budżetu państwa w całym projekcie oraz wymagany wkład własny. Dla przejrzystości tekstu daruję sobie tutaj wklejanie kolejnych kilku stron wzorów. Zainteresowani znajdą je w Regulaminie Konkursu Grantowego. Na podsumowanie dodam tylko, że im bogatsza gmina, tym większy udział własny (maksymalnie 20%). W przypadku gmin wiejskich istnieje natomiast duża szansa, że udział budżetu państwa wyniesie 100%, a zatem wkład własny nie będzie wymagany.

Skoro jest tak fajnie, to w czym tkwi problem?

Do napisania tego tekstu skłoniła mnie ilość reklam, które atakują mnie w mediach społecznościowych w ostatnim czasie. Reklam tego typu:

Cyberbezpieczny samorząd - reklama
cyberbezpieczny samorząd – reklama

Informatycy urzędów gmin i powiatów są w ostatnim czasie zalewani falą reklam, maili i telefonów, w których proponuje im się udział w „bezpłatnych” warsztatach, szkoleniach lub webinarach. Na eventach tych dowiadują się natomiast o tym jak rozwiązanie danego dostawcy w cudowny sposób zapewni bezpieczeństwo ich infrastruktury.

W jaki sposób system typu DLP (Data Loss Prevention) ma wyeliminować podatności serwisów webowych, tego nie wiem. Wiem jednak, że najczęściej koszt jego wdrożenia będzie rosnąć proporcjonalnie do wysokości budżetu, którym dysponować będzie JST.

Problematyka ta jest już znana odpowiedzialnemu za program dofinansowań Centrum Projektów Polska Cyfrowa, gdyż na stronach rządowych pojawiają się ostrzeżenia przed tego typu eventami i rozpowszechnianymi na nich informacjami.

Nie inaczej wyglądało to w przypadku wspomnianego wcześniej projektu NFZ. Dostawcy toczyli prawdziwe batalie o to by przyciągnąć do siebie osoby decyzyjne. Co więcej, pojawiły się dokumenty, które teoretycznie wspomóc miały w wyborze odpowiednich rozwiązań. I tak np. Centrum e-Zdrowia opublikowało rekomendacje w zakresie budowy systemów cyberbezpieczeństwa. Można w nich było wyczytać, iż przy wyborze zapory sieciowej należy posłużyć się m.in. następującymi kryteriami:

  • W ramach systemu Firewall powinna być możliwość zdefiniowania co najmniej 200 interfejsów wirtualnych – definiowanych jako VLAN’y w oparciu o standard 802.1Q;
  • System Firewall musi posiadać wbudowany port konsolowy oraz gniazdo USB oraz instalacji oprogramowania z klucza USB;
  • Funkcja lokalnego serwera DNS ze wsparciem dla DNS over TLS (DoT) oraz DNS over HTTPS (DoH) z możliwością filtrowania zapytań DNS na lokalnym serwerze DNS jak i w ruchu przechodzącym przez system;
  • Dedykowany ALG (Application-Level Gateway) dla protokołu SIP;
  • Możliwość wyboru tunelu przez protokoły: dynamicznego routingu (np. OSPF) oraz routingu statycznego;
  • W zakresie routingu rozwiązanie powinno zapewniać minimum obsługę: […] Protokołów dynamicznego routingu w oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM;
  • Reguły SD-WAN powinny umożliwiać określenie aplikacji jako argumentu dla kierowania ruchu;
  • Funkcja Safe Search – przeciwdziałająca pojawieniu się niechcianych treści w wynikach wyszukiwarek takich jak: Google oraz Yahoo;

Czy wszystkie te funkcje są krytyczne z punktu widzenia bezpieczeństwa? Chyba nie bardzo. Ale gdyby wziąć je wszystkie pod uwagę (pełna lista mieściła się na 4 stronach dokumentu) może się okazać, że jakimś dziwnym trafem będą one spełnione tylko przez jednego producenta. O wartości merytorycznej tego typu rekomendacji świadczyć może inny fragment powyższego dokumentu:

cytat z 8 str. rekomendacji Centrum e-Zdrowia

Myślę, że widzicie już w czym tkwi problem. Miliardy wydane w ostatnich latach na cyberbezpieczeństwo sektora publicznego mogą się okazać zwykłym marnotrawstwem ponieważ środki nie będą kierowane tam, gdzie ich wykorzystanie byłoby najefektywniejsze.

Cyberbezpieczny Samorząd – rekomendacje

Problem ten został na szczęście w pewnym stopniu rozwiązany. W projekcie Cyberbezpieczny Samorząd rekomendacje przygotowane zostały przez specjalistów z NASK – Państwowego Instytutu Badawczego. Opracowali oni Poradnik Online , w którym zaproponowano rozwiązania z trzech głównych obszarów:

  • Technicznego
  • Organizacyjnego
  • Kompetencyjnego

Nie wskazano jednak konkretnych produktów bądź dostawców (nawet w zawoalowany sposób, przez długą listę kryteriów). Dokument wygląda na opracowany przez profesjonalistów. Można przypuszczać, iż w opracowaniu brali udział eksperci z CERT.PL, który podlega pod NASK.

Od powyższego poradnika powinien zacząć każdy, kto myśli o skorzystaniu z programu i efektywnym wykorzystaniu środków. Dużo więcej można bowiem zdziałać świadomym wykorzystaniem budżetu rzędu 50-100 tys. zł, niż wydając setki tysięcy na „systemy bezpieczeństwa”, których producenci obiecują cuda. Systemy te najczęściej kończą swój żywot po roku bądź dwóch, gdy okazuje się, że do otrzymanego z dofinansowania super-urządzenia należy przedłużyć licencję wartą kilka, kilkanaście, bądź kilkadziesiąt tysięcy złotych.

Problem ten zauważyli też chyba sami organizatorzy projektu. W regulaminie pojawił się bowiem wymóg, iż dostarczone w ramach dofinansowania rozwiązania powinny spełniać tzw. kryterium trwałości, co oznacza, iż muszą one być utrzymywane dalej nawet po zakończeniu trwającego 2 lata projektu. I tutaj może się okazać, że beneficjent wpadnie w niezłą pułapkę. Co jeśli dostawca zapewni mu w ramach finansowania system z licencjami na okres 2 lat nie informując go o tym jaki będzie koszt ich późniejszego przedłużenia? W trzecim roku może się okazać, iż będzie on musiał ze skromnego budżetu gminy wydać kwotę, którą nie będzie dysponował. A alternatywą będzie niespełnienie warunków regulaminu i zwrot całości środków otrzymanych w ramach programu Cyberbezpieczny Samorząd. Warto zatem rozważnie korzystać ze środków i nie ufać ślepo dostawcom, którzy często sugerują by złożyć wniosek na maksymalną kwotę, a oni później zajmą się wszystkim od A do Z. „Będzie pan zadowolony” – chciałoby się powiedzieć. Tylko to zadowolenie może szybko minąć.

O co warto zadbać – konkrety

Jeśli nie macie czasu zapoznawać się z treścią całego, dość obszernego poradnika, to poniżej postaram się zawrzeć najistotniejsze wnioski, które z niego płyną. Są one bardzo zbieżne z moim podejściem do cyberbezpieczeństwa i nawiązują do motywu przewodniego niniejszego bloga „ponieważ bezpieczeństwo to kwestia świadomości zagrożeń”. Co to oznacza? Po pierwsze, że zanim dokonamy jakichkolwiek zakupów bądź wdrożeń należy zidentyfikować wszystkie zagrożenia, oszacować związane z nimi ryzyko, zaplanować działania mające na celu ograniczenie tego ryzyka i dopiero w ostatnim kroku wdrożyć adekwatne rozwiązania.

Planowanie

Twórcy poradnika sugerują planowanie rozwoju w obszarze cyberbezpieczeństwa podzielone na 4 fazy:

  • Faza świadomości – zrozumienie potrzeb
  • Faza planowania – minimalne spełnienie niektórych wymagań
  • Faza wdrażania – zapewnienie rozliczalności realizacji wymagań
  • Faza doskonalenia – realizacja wymagań w sposób zaawansowany

W dokumencie podkreśla się szczególną rolę polityk bezpieczeństwa:

Brak polityki i procedur bezpieczeństwa w JST stanowi istotne zagrożenie dla jej funkcjonowania. Gdy kierownictwo nie uznaje inwestycji w systemy związane z bezpieczeństwem informacji za nieodzowne w kontekście wykonywania zadań publicznych, zwiększa się ryzyko naruszenia bezpieczeństwa danych. Ponadto brak oceny wpływu własnych podatności na realizację zadań oraz niewłaściwe zrozumienie ryzyka związanego z lukami w zabezpieczeniach może prowadzić do poważnych konsekwencji dla jednostki.

Zarządzanie bezpieczeństwem informacji

Kolejnym aspektem poruszanym w poradniku jest System Zarządzania Bezpieczeństwem Informacji.

System Zarządzania Bezpieczeństwem Informacji stanowi niezwykle istotny aspekt w dzisiejszym środowisku informacyjnym. SZBI jest kompleksowym ramowym podejściem do identyfikacji, zarządzania i ochrony informacji w jednostce.

Autorzy przypominają też, iż obowiązujące od 2012 roku Rozporządzenie o Krajowych Ramach Interoperacyjności w § 20 ust. 1 stwierdza, iż podmiot realizujący zadania publiczne:

  • opracowuje i ustanawia,
  • wdraża i eksploatuje,
  • monitoruje i przegląda,
  • oraz utrzymuje i doskonali

system zarządzania bezpieczeństwem informacji.

Wymóg ten potraktowano na tyle poważnie, iż warunkiem koniecznym do rozliczenia projektu Cyberbezpieczny Samorząd jest dostarczenie raportu z audytu systemu zarządzania bezpieczeństwem informacji. Jeśli więc system ten nie został w jednostce wdrożony, to jego opracowanie powinno zostać potraktowane priorytetowo w ramach całego projektu. Warto przypomnieć, że jednym z elementów wymaganych przez SZBI jest proces analizy ryzyka, który ułatwi nam identyfikację zagrożeń i dobór odpowiednich zabezpieczeń.

Budowa świadomości

Tego aspektu nie trzeba chyba nikomu wyjaśniać. Słynne stwierdzenie Kevina Mitnicka, że to człowiek jest najsłabszym ogniwem w łańcuchu zabezpieczeń znalazło swoje odzwierciedlenie w rekomendacjach przygotowanych przez NASK. W poradniku wskazano trzy obszary szkoleń, w zależności od grupy odbiorców i dla każdej z tych grup zaproponowano agendę:

WSZYSCY PRACOWNICY:

  1. Bezpieczeństwo informacji – podstawowe wiadomości, z uwzględnieniem regulacji wewnętrznych oraz wymagań rozporządzenia KRI:
    • Wewnętrzne procedury w obszarze bezpieczeństwa informacji i cyberbezpieczeństwa
    • Wymagania dla pracowników wynikające z KRI , uoKSC oraz RODO
    • System Zarządzania Bezpieczeństwem Informacji w praktyce
  2. Przegląd najpopularniejszych zagrożeń i zasady bezpiecznego korzystania z internetu
    • Ochrona informacji i prywatność w Internecie
    • Ransomware jako poważne zagrożenie dla JST
    • Phishing, oszustwa i wyłudzenia z uwzględnieniem oszustwa typu BEC (Business E-mail Compromise)
    • Cyberhigiena, w tym bezpieczeństwo urządzeń i bezpieczeństwo fizyczne
    • Bezpieczne hasła i uwierzytelnienie dwuskładnikowe
    • Wewnętrzne zalecenia i rekomendacje, w tym sposoby reakcji na incydenty bezpieczeństwa

KADRA KIEROWNICZA:

  • Podstawy prawne cyberbezpieczeństwa
  • Wymogi wynikające z KRI , uoKSC i RODO
  • Przegląd znanych typów ataków na JST
  • Przegląd nowoczesnych narzędzi i usług cyberbezpieczeństwa (jako wsparcie procesu zakupowego)
  • Zarządzanie ryzykiem w bezpieczeństwie informacji i obszarach technicznych
  • System Zarządzania Bezpieczeństwem Informacji – jak skutecznie wdrożyć SZBI
  • Ciągłość działania – dlaczego jest istotna i jak ją wdrożyć
  • Współpraca w ramach s46
  • Identyfikowanie zagrożeń – jak wdrożyć odpowiednie zabezpieczenia

SPECJALIŚCI IT:

  • Podstawy bezpieczeństwa sieci
  • Aspekty techniczne najpopularniejszych ataków i metody reagowania
  • Zabezpieczanie poczty elektronicznej
  • Zabezpieczanie serwisów www
  • Ochrona przed atakami DDoS
  • Profilaktyka cyberzagrożeń ze szczególnym uwzględnieniem zarządzania kopiami zapasowymi
  • Przegląd źródeł wiedzy o zagrożeniach
  • Podstawy zabezpieczenia ciągłości działania
  • Identyfikacja podatności i aktualizacja oprogramowania
  • Zarządzanie incydentem

Obszar techniczny

Wspomnieliśmy już o obszarze organizacyjnym (audyty, polityki, SZBI), obszarze kompetencyjnym (szkolenia dla pracowników, kierownictwa i kadry IT), pozostał nam obszar techniczny. To w tym obszarze wskazałem na początku tekstu pewne zagrożenia związane z marnotrawstwem środków. Nie oznacza to jednak, że nie powinniśmy dokonywać żadnych zakupów technicznych. Jeśli w procesie analizy ryzyka popartym działaniami audytowymi zidentyfikujemy konkretne zagrożenia, zdecydowanie powinniśmy rozważyć zakup odpowiednich środków technicznych. Poradnik NASK-u sugeruje tutaj następujący katalog typów rozwiązań technicznych:

  • Rozwiązania klasy Anty-DDoS
  • Rozwiązania klasy EDR (ang. Endpoint Detection and Response)
  • Rozwiązania klasy XDR (ang. Extended Detection and Response)
  • Zapora sieciowa
  • Rozwiązania MDM (ang. Mobile device management)
  • Oprogramowanie antywirusowe
  • Rozwiązania antymalware
  • Rozwiązania UTM (ang. Unified Threat Management)
  • Rozwiązania klasy IDS (ang. Intrusion Tetection System)
  • Rozwiązania klasy IPS (ang. Intrusion Prevention System)
  • Rozwiązania klasy SIEM (ang. Security Information and Event Management)
  • Systemy klasy SOAR (ang. Security Orchestration Automation and Response)
  • Rozwiązania klasy NAC (ang. Network Access Control)
  • Rozwiązania IAM/IDM (ang. Identity Access Manager/Identity Manager)
  • Rozwiązania BDR (ang. Backup and Disaster Recovery)
  • Narzędzia oceny ryzyka (ang. Risk Assesment Tools)
  • Systemy klasy GRC (ang. Goverment, Risk Management and Compliance)
  • Oprogramowanie SAM (ang. Software Asset Management)
  • Rozwiązania klasy DAM (ang. Database Access Management)
  • Narzędzia CMDB (ang. Configuration Management DataBase)
  • Urządzenia
  • Urządzenia HSM (ang. Hardware Security Module)

Sugeruję jednak przed wyborem zaawansowanych rozwiązań typu np. SIEM lub SOAR zadać sobie pytanie czy mamy odpowiednie kompetencje i zasoby czasowe na to aby takimi systemami administrować. Nawet jeśli dostawca zapewni nam wsparcie w początkowej fazie wdrożenia i dostarczy odpowiednie szkolenia, po pewnym czasie może się okazać, iż systemy te służą głównie pobieraniu prądu – tak się niestety często dzieje nawet w prywatnych przedsiębiorstwach.

Jeśli nie wiemy od jakich rozwiązań technicznych powinniśmy zacząć, to dobrą podpowiedzią mogą być priorytety narzucone w tegorocznym programie dofinansowań przez NFZ. Zdefiniowano w nim następującą kolejność z zastrzeżeniem, że do każdego kolejnego punktu beneficjent programu może przejść dopiero gdy wdroży już systemy z punktów poprzednich:

  • Systemy backupu z odmiejscowioną kopią zapasową i separacją od środowiska produkcyjnego, których wdrożenie zakończy się testowym odtworzeniem środowiska według powstałej dokumentacji
  • Systemy firewall, których wdrożenie zakończy się skanowaniem podatności stwierdzającym brak występowania podatności krytycznych
  • Systemy bezpieczeństwa poczty z wdrożeniem mechanizmów SPF, DKIM, DMARC
  • Systemy klasy EDR w architekturze klient-serwer wdrożone na wszystkich stacjach roboczych i serwerach

Osobiście zastanowiłbym się nad zmianą kolejności ostatnich dwóch punktów, ale to już raczej szczegół.

Podsumowanie

Mam nadzieję, że w powyższym tekście udało mi się naświetlić problemy, które mogą wyniknąć z przypadkowego wdrożenia systemów, które niekoniecznie są nam potrzebne. Ich wysoka cena nie musi oznaczać wysokiej przydatności i skuteczności. Do wdrożeń zdecydowanie lepiej podejść z głową odpowiednio je planując i kierując się wskazówkami niezależnych ekspertów. W tym zakresie przygotowany przez NASK poradnik i zawarte powyżej, pochodzące z niego sugestie będą stanowiły dobry punkt wyjścia.

Jeśli w procesie tym potrzebowalibyście wsparcia, odezwijcie się za pomocą formularza kontaktowego, a chętnie Wam pomożemy. Oczywiście możecie skorzystać też z naszych usług audytowych, testów penetracyjnych, szkoleń dla pracowników, warsztatów ethical hackera bądź platformy szkoleniowej. Chętnie podzielę się też przykładami gotowych, kompleksowych rozwiązań, które uwzględnić można we wniosku o dofinansowanie (opracowanych zgodnie z wymogami i kryteriami programu).

Aby uciąć spekulacje, że tekst ten powstał jedynie w celu promocji własnych usług, zachęcam Was też do korzystania z usług naszych kolegów z branży (np. Sekurak, Niebezpiecznik, Zaufana Trzecia Strona). Jednostek samorządowych jest w Polsce blisko 3 tysiące i choć byśmy nie wiem jak się starali nie uda nam się pomóc wszystkim. A w cyberbezpieczeństwie wszyscy gramy do jednej bramki.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

2 komentarze

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.