Uczestnicy konferencji „CyberGov 2019” mieli okazję podzielić się z innymi swoimi doświadczeniami, pytaniami i wątpliwościami z zakresu cyberbezpieczeństwa. W sesji round tables dyskutowano o różnorodnych aspektach funkcjonowania systemu cyberbezpieczeństwa w sektorze publicznym. Przedstawiamy podsumowania z dyskusji przy poszczególnych stolikach przygotowane przez ich moderatorów. 

Jak w niekonwencjonalny sposób rozwiązać problem niedoboru kadry w zakresie bezpieczeństwa IT?

Moderatorzy: Damian Hoffman, Senior System Engineer, FireEye; Monika Karpińska, Enterprise Account Manager, FireEye

Organizacje publiczne coraz częściej wykorzystują usługodawców zewnętrznych celem uzupełnienia kompetencji wewnętrznych w swoich zespołach. Kluczowe przy realizacji tego rodzaju umów jest zapewnienie odpowiedniego SLA oraz dostępności specjalistów o oczekiwanych kompetencjach. Z uwagi na duży stopień skomplikowania systemów bezpieczeństwa informatycznego organizacje nie są w stanie zapewnić odpowiedniego poziomu jakości usług tylko przy wykorzystaniu zespołów wewnętrznych, zwłaszcza, że te podlegają rotacji i ciężko jest pozyskać specjalistów w ramach budżetu, jaki organizacje posiadają na utworzenie etatu. Instytucje publiczne i rządowe coraz częściej akceptują współpracę z ekspertami, także spoza Polski oraz dostęp zdalny przez osoby administrujące systemami bezpieczeństwa. Mają wypracowane opinie na temat relacji jakości do ceny i są w stanie zaakceptować usługę zdalną w obcym języku, mając świadomość, że jest to warunkiem uzyskania właściwego, oczekiwanego poziomu jej świadczenia.

W jaki sposób rozwiązania klasy Network Traffic Analysis mogą wesprzeć realizację wymagań Ustawy o KSC?

Moderatorzy: Jacek Skolasiński, Chief Executive Officer, Aivena; Dariusz Szuszkiewicz, Country Manager, GreyCortex

W trakcie dyskusji podniesiona została kwestia monitorowania poziomu bezpieczeństwa w kontekście zarówno praktycznym jak i spełnienia wymogów ustawy o KSC. Uczestnicy zgodzili  się co do potrzeby wykorzystywania narzędzi weryfikujących poziom bezpieczeństwa zarówno ruchu wewnętrznego jak i zewnętrznego w organizacjach, gdyż analiza jedynie na brzegu sieci nie zapewnia odpowiedniego poziomu bezpieczeństwa. Dla uczestników rozmowy interesujące były możliwości związane z automatyzacją wykrywania i obsługi zdarzeń bezpieczeństwa, prostym raportowaniem i zarządzaniem incydentami. Możliwość zdefiniowania systemów kluczowych czy też szczególnie chronionych, np. z powodu wymogów ustawy i ciągły ich monitoring, zdecydowanie ułatwia realizację procesów związanych z ich ochroną jak i raportowanie do instytucji czy organów zewnętrznych. Podniesiona została również kwestia zbyt małego nasycenia rozwiązaniami klasy Network Traffic Analysis w instytucjach publicznych.

Cyberbezpieczeństwo z chmury w sektorze publicznym. Mit czy konieczność?

Moderatorzy: Mariusz Baczyński, Dyrektor Regionalny, Zscaler; Sebastian Grabski, Konsultant, Zscaler

W sektorze publicznym stopień oraz tempo adopcji rozwiązań z chmury jest w wysokim stopniu uzależnione od czynników takich jak zgodność z wymogami regulacyjnymi i stopień kontroli nad przepływem informacji poufnych oraz danych dotyczących obywateli Unii Europejskiej. Wysoki poziom dojrzałości nowoczesnych usług z chmury wychodzi naprzeciw zaostrzonym wymogom oficjalnie gwarantując pełną zgodność z RODO, ISO27000, SOC2, FedRAMP itp. W krajach konsumujących rozwiązania z chmury w dużo wyższym stopniu niż Polska (np USA, Wielka Brytania, Niemcy) dostawcy rozwiązań chmurowych coraz cześciej pojawiają się w oficjalnych katalogach dostawców zaaprobowanych do stosowania ich usług w organizacjach związanych z administracja publiczną ze względu na zalety w zakresie oszczędności, skalowalności oraz elastyczności.

Przyszłość cyberbezpieczeństwa – Sztuczna inteligencja i nie tylko, czyli jak nowoczesne technologie zmieniają reguły gry

Moderator: Maciej Surowiec, EU Government Affairs Manager , Microsoft

Uczestnicy dyskusji reprezentowali instytucje publiczne z różnorodnych domen – energii, spraw zagranicznych, edukacji, spraw wewnętrznych etc. Tematem przewodnim rozmowy były zarówno praktyczne zastosowania sztucznej inteligencji (SI) jak również związane z tym aspekty bezpieczeństwa. Poruszono szereg zagadnień związanych z obecnym studium wykorzystania SI, w tym dotyczących kosztów wdrożeń. Próbowano również zrozumieć kluczowe trendy, które będą kształtować wymiar cyberbezpieczeństwa w następnych latach. Wszyscy zgodzili się, że warto kontynuować dialog pomiędzy sektorem technologicznym a administracją publiczną aby ułatwić transfer wiedzy pomiędzy tymi   podmiotami.

Pytania o wdrażanie KSC

Moderator: Jakub Dysarz, Wydział Strategii, Analiz i Współpracy Międzynarodowej, Departament Cyberbezpieczeństwa, Ministerstwo Cyfryzacji

Podczas rozmowy padły pytania o przyszłość krajowego systemu cyberbezpieczeństwa  (KSC) jak i o jego wdrażanie. Dyskusja dotyczyła m.in. roli podmiotów publicznych w KSC i różnic pomiędzy zabezpieczeniami systemów operatorów usług kluczowych (głównie automatyka przemysłowa) a systemami rządowymi (głównie IT i zapewnienie ciągłości działania urzędu i świadczonych usług). Przedstawiciel Ministerstwa Cyfryzacji przypomniał, że każdy operator ma wskazany organ właściwy w swoim sektorze i od chwili wejścia w życie ustawy, to organ właściwy jest pierwszym punktem kontaktu. Pozwala to na lepszą wymianę informacji w ramach konkretnego sektora i dostęp do wiedzy o branżowych systemach. Wobec zapowiedzi zmian w rozporządzeniu o warunkach organizacyjnych zaczęła się dyskusja o tym, jakie zabezpieczenia stosować w urządzeniach niezbędnych do świadczeniach usługi, a jakie w SOC-ach. Rozwinęła się także wymiana doświadczeń na temat tego, czym jest incydent a czym zgłoszenie incydentu. Omówiono parę przykładów z praktyki obecnych przy stole przedstawicieli instytucji.

Identyfikacja potrzeb w zakresie wsparcia instytucji publicznych w zarządzaniu ryzykiem i ogólnie cyberbezpieczeństwa

Moderator: dr hab. inż. Andrzej Białas, Sieć Badawcza ŁUKASIEWICZ – Instytut Technik Innowacyjnych EMAG

W dyskusji uczestniczyli eksperci zajmujący się zarządzaniem ryzykiem w kilku instytucjach najwyższego szczebla w naszym kraju oraz w jednej z instytucji Unii Europejskiej. Niestety, zabrakło uczestników reprezentujących administrację samorządową, zwłaszcza średniego i niższego szczebla. Dyskusja skoncentrowała się na wymianie doświadczeń między ekspertami. W ramach jej podsumowania zwrócono uwagę na następujące zagadnienia:

• Szacowanie ryzyka w sytuacji, gdy osiągnięcie określonego stanu jest wymogiem prawnym.
• Brak integracji cząstkowych przypadków ryzyka.
• Potrzeba wsparcia dla zarządzania ryzykiem i programów szkoleniowych.
• Zarządzanie bezpieczeństwem informacji w świetle wielu równoległych regulacji prawnych.
• Brak jednolitej metody analizy/zarządzania, która umożliwiałaby porównywanie wyników.
• Fragmentaryzacja działań.
• Wsparcie dla programu „złota setka” i wdrażania Strategii Cyberbezpieczeństwa RP.
• Nacisk ma edukację wśród pracowników administracji. 

Zdrowy rozsądek w cybersecurity

Moderator: dr hab. inż. Jerzy Kosiński, profesor nadzwyczajny Zakładu Cyberbezpieczeństwa, Akademia Marynarki Wojennej

Zdrowy rozsądek jest niezbędnym elementem, ale musi być oparty o standardy i procedury, którym zapewnia elastyczność. W organizacji długofalowo nie można zapewnić cyberbezpieczeństwa przy rozdźwięku między deklaracjami a rzeczywistością. Szczególnie istotne jest uwzględnianie czynnika ludzkiego w obszarze identyfikowania i oceny zagrożeń (także w ocenie fake newsów). Edukację w zakresie stosowania „zdrowego rozsądku” można osiągnąć poprzez informowanie, ale znacznie skuteczniejsze są ćwiczenia i symulacje.

Jak mądrze kupować bezpieczeństwo?

Bartłomiej Wachta, Wspólnik, Maruta Wachta

Dyskusja szybko doprowadziła biorących w niej udział do konkluzji, że główne i najczęstsze wyzwania w postępowaniach zakupowych dotyczących rozwiązań security, nie różnią się zbytnio od wyzwań w postępowaniach dotyczących „zwykłego” IT. Uczestnicy wskazywali przede wszystkim na ograniczenia wynikające z zasady konkurencyjności oraz z zakazu wskazywania w SIWZ konkretnych rozwiązań i konieczności dopuszczenia rozwiązań równoważnych do opisywanych za pomocą znaków towarowych. Oczywiście, zakupy dotyczące bezpieczeństwa mogą mieć swoją specyfikę (np. związaną z koniecznością zapewnienia tajemnicy części dokumentacji lub koniecznością wykluczenia z postępowania wykonawcy, który może nie gwarantować odpowiedniego poziomu bezpieczeństwa), jednak z przebiegu rozmowy wynikało, że związane z tym problemy nie są raczej powszechne. Dyskusja skupiła się więc wokół możliwych sposobów sformułowania opisu przedmiotu zamówienia na rozwiązania informatyczne, ze szczególnym uwzględnieniem różnych podejść do definiowania równoważności.