Jak zapewnić odpowiedni poziom cyberbezpieczeństwa w różnych obszarach działania państwa? Jak zorganizować efektywną współpracę między różnymi podmiotami publicznymi – samorządowymi i centralnymi? Jakie wnioski i doświadczenia płyną z wdrażania ustawy o Krajowym Systemie Cyberbezpieczeństwa? Jakie wyzwania na przyszłość stoją przed uczestnikami KSC? Zagadnieniom tym poświęcone były podczas e-konferencji „CyberGOV 2020. Bezpieczeństwo IT w sektorze publicznym” dwa panele dyskusyjne. 

3 perspektywy cyberbezpieczeństwa

Podejście do cyberbezpieczeństwa w sektorze publicznym nie jest jednolite. Może wyglądać zupełnie inaczej zależnie od tego, czy jest to spojrzenie ze strony: (1) administracji samorządowej na szczeblu lokalnym, czy (2) administracji samorządowej na poziomie marszałkowsko-wojewódzkim, czy wreszcie (3) administracji centralnej. Jak duże są to różnice i jak lepiej rozumieć się wzajemnie, by ta odmienność nie stanowiła ważnej przeszkody we wspólnym działaniu na rzecz cyberbezpieczeństwa?

Prowadzenie panelu: Przemysław Gamdzyk, prezes zarządu, Evention / CSO Council

Grzegorz Piechowski, Wójt Gminy Kościerzyna

Małe i średnie jednostki samorządowe nie będą w stanie same poradzić sobie z zapewnieniem bezpieczeństwa w przestrzeni cyfrowej. Konieczna jest współpraca zarówno między nimi, jak i z organami rządowymi. Należy budować wspólny, certyfikowany system bezpieczeństwa, który da wszystkim możliwość ochrony posiadanych zasobów i gwarancję bezpieczeństwa. 

Agnieszka Aleksiejczuk, dyrektor Departamentu Społeczeństwa Informacyjnego w Urzędzie Marszałkowskim Województwa Podlaskiego

Bardzo ważna jest współpraca i wymiana doświadczeń. Wspieramy samorządy lokalne w całym województwie. Praca jednego informatyka w gminie (często na część etatu) nie wystarczy. Istotna jest świadomość faktycznych zagrożeń i kompetencje, którymi można się wymieniać. Potrzebna jest edukacja kadr i kompleksowa wymiana informacji między różnymi uczestnikami systemu cyberbezpieczeństwa. 

Grzegorz Hunicz, dyrektor Wydziału Informatyki i Telekomunikacji w Urzędzie Miasta Lublin

Duże samorządy mogą być centrami kompetencji w zakresie cyberbezpieczeństwa – jest w nich potrzebna wiedza. Chcemy się nią dzielić z innymi. Na zbudowanie skutecznego systemu bezpieczeństwa potrzeba nie tylko pieniędzy, ale również czasu i konsekwencji w działaniu. Zapewnienie cyberbezpieczeństwa to proces, w którym ważne jest odpowiednie przygotowanie ludzi – szkolenia, budowanie świadomości wśród różnych grup interesariuszy.

Jacek Orzeł, dyrektor Biura Polityki Bezpieczeństwa w Ministerstwie Funduszy i Polityki Regionalnej 

Każdemu może się przydarzyć incydent – i małym, i dużym. Każdy musi być na to przygotowany. W związku z pojawianiem się nowych elementów, takich jak powszechna telepraca, trzeba rozwijać i wzmacniać system cyberbezpieczeństwa. Potrzebne są m.in. metodyki zarządzania ryzykami, nad którymi pracuje NASK. Trzeba też pamiętać o roli innowacyjnych rozwiązań dla wzmocnienia ochrony w cyfrowej przestrzeni. 

Józef Wacnik, dyrektor Biura Informatyki w Mazowieckim Urzędzie Wojewódzkim 

Trzeba zawsze mieć na uwadze skutki ewentualnego incydentu i dobierać stosowne metody zabezpieczeń. Praca zdalna, z której wszyscy teraz korzystamy, nie wiąże się tylko z zapewnieniem dostępu do obsługi interfejsu potrzebnej aplikacji. Wymaga też zweryfikowania, czy można tę pracę wykonywać bezpiecznie. Instytucje publiczne dobrze zdały egzamin w tym zakresie, ale wiele rzeczy jest jeszcze do zrobienia. Trzeba uświadamiać ludziom pracującym zdalnie, że muszą też zwracać uwagę na kwestie bezpieczeństwa, bo od ich zachowania zależy często zablokowanie zagrożeń czy ograniczenie ryzyka. 

Agnieszka Aleksiejczuk

Pandemia koronawirusa nauczyła nas, że nie powinniśmy traktować sytuacji kryzysowych tylko teoretycznie, ale musimy być na nie stale przygotowani. Każdy dzień trzeba traktować jako ostatni, kiedy można wrócić do pracy. Tylko przy takim podejściu jesteśmy w stanie zapewnić ciągłość działania instytucji. Inaczej się działa, gdy wiadomo że w planach jest przejście na telepracę, a inaczej, gdy trzeba to zrobić z dnia na dzień. Pracownicy już się teraz obyli z telepracą, ale cały czas trzeba ich szkolić i mieć wypracowane procedury postępowania w przypadku nagłych wydarzeń.  

Grzegorz Hunicz

Ćwiczenia reagowania na incydenty powinny się odbywać w warunkach rzeczywistych – jak wyłączamy serwery, to wyłączamy naprawdę. Wtedy dopiero będziemy mogli sprawdzić, na czym faktycznie polega przywracanie ich do działania. Jak organizacja będzie dobrze przygotowana, to sobie w nagłych sytuacjach poradzi. Pomocne mogą być odpowiednie standardy. 

Józef Wacnik

Powoli będziemy wracać do standardowych warunków pracy. Doświadczenia z pracy zdalnej będziemy jednak dalej wykorzystywać. Mogą się okazać niezwykle użyteczne dla przebudowania procedur pracy urzędu czy modyfikacji systemu cyberbezpieczeństwa. 

Współpraca międzysektorowa i postępy we wdrażaniu ustawy o KSC

Jak wygląda wdrażanie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) i realizacja jej zapisów? Na ile założenia przyświecające tworzeniu regulacji sprawdzają się teraz w praktyce? Gdzie szukać konkretnych, sprawdzonych rozwiązań? 

Prowadzenie panelu: Przemysław Gamdzyk, prezes zarządu, Evention / CSO Council

Karol Okoński, dyrektor zarządzajacy, lider usług cyberbezpieczeństwa dla sektora publicznego w Polsce oraz w Europie Centralnej i Wschodniej, PwC

Wprowadzeniu ustawy przyświecały dwa podstawowe cele: wdrożenie dyrektywy NIS i uporządkowanie kompetencji wśród uczestników systemu cyberbezpieczeństwa. Obie rzeczy się nam udały. Są jeszcze kraje, które mają wciąż z tym problemy. Można by zapytać: czy fakt, że w naszym systemie jest tyle podmiotów, nie stwarza problemów? Praktyka pokazuje jednak, że system działa sprawnie, nie było do tej pory żadnych poważniejszych problemów interpretacyjnych, a jeśli się gdzieś pojawiają mało znaczące problemy, to są szybko rozwiązywane na poziomie CSIRT-ów. Może jest jeszcze trochę do zrobienia w zakresie budowania świadomości znaczenia zgłaszania wszelkich incydentów. 

Krzysztof Silicki, wicedyrektor ds. cyberbezpieczeństwa i innowacji, NASK PIB

Ustawa o KSC wprowadziła jasny podział kompetencji i zdefiniowała role poszczególnych uczestników systemu. To wpłynęło pozytywnie na możliwości i chęć do szerszej współpracy między różnymi podmiotami. W CSIRT krajowym obserwujemy wzrost zgłoszeń incydentów nieobowiązkowych. Pojawiła się świadomość, że to może być z pożytkiem dla wszystkich, że CSIRT może ostrzec również innych. Ogólnie widać duże zainteresowanie współpracą zarówno w sektorach, jak i między sektorami. 

Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa,  Ministerstwo Cyfryzacji

Wyniki audytów przeprowadzonych już przez wskazanych operatorów usług kluczowych pokazują, że wywiązują się oni z zadań nałożonych przez ustawę o KSC. Precyzuje ona dokładnie zestaw czynności, które należy wykonać po 3, 6 miesiącach funkcjonowania jako OUK. Dochodziły do nas postulaty, by w związku z pandemią przesunąć terminy audytów, ale się na to nie zdecydowaliśmy. Wspólnie z ISSA pracujemy nad nowym formularzem prowadzenia audytów. 

Grzegorz Bojar, dyrektor Departamentu Teleinformatyki, Polskie Sieci Elektroenergetyczne (PSE)

Przy Ministerstwie Klimatu powstał zespół ds. cyberbezpieczeństwa, chociaż nie zostało to zapisane w ustawie o KSC. To pokazuje, że w przepisach są jeszcze luki, które być może warto uzupełnić. Doprecyzowania wymagałaby też przyjęta klasyfikacja i kategoryzacja usług. Z drugiej strony trzeba jednak uważać na przeciążenie zespołów ds. cyberbezpieczeństwa licznymi, już realizowanymi obowiązkami. Dokładanie im nowych obowiązków regulacyjnych nie wpłynie, paradoksalnie, na zwiększenie poziomu bezpieczeństwa, a wręcz może grozić jego obniżeniem, bo spowoduje oderwanie specjalistów od realizacji ważnych projektów. Zasoby ludzkie są ograniczone, trzeba więc uważać na ich odpowiednie wykorzystanie. Należy wziąć też pod uwagę, że inna jest skala zagrożeń w małych firmach, a inna w dużych, czołowych podmiotach, co też przekłada się na zakres wykonywanych zadań w obszarze cyberbezpieczeństwa. 

Krzysztof Silicki

Dążymy do tego, aby każdy, kto stosuje własne zasady zarządzania ryzykiem, został uznany za zgodnego z wymaganiami ustawy o KSC.

Robert Kośla

Chcemy udostępnić do ogólnego, powszechnego użytku metody zarządzania ryzykiem. Zgłosiliśmy też własne propozycje zmian w dyrektywie NIS, żeby zarządzanie ryzykiem miało charakter międzysektorowy. Ważne jest również odpowiednie zarządzanie łańcuchem dostaw, żeby było wiadomo, skąd przychodzą kupowane urządzenia i czy są bezpieczne. Będzie temu służył system badań i certyfikacji. Poza tym muszą zwiększyć się wymagania pod adresem dostawców usług cyfrowych. Obecnie dyrektywa nakłada na nich minimalne obowiązki, a chcielibyśmy je zwiększyć, na przykład w zakresie zgłaszania incydentów. Dążymy także do zwiększenia integralności systemu cyberbezpieczeństwa z infrastrukturą krytyczną, żeby była zachowana większa synergia między ustawą o KSC a ustawą o zarządzaniu kryzysowym. 

Karol Okoński

Warto się zastanowić, czy nie grozi nam zamknięcie kwestii cyberbezpieczeństwa w poszczególnych sektorach. Tworzenie zespołów sektorowych jest zrozumiałe – wynika ze specyfiki branżowej i związanego z tym wyższego poziomu zaufania do tych, którzy „mówią tym samym językiem”. Trzeba jednak uważać, by nie zamknąć się tylko we własnym środowisku. Ustawa o KSC nie odwołuje się wprost do operatorów infrastruktury krytycznej, a wiele podmiotów pełni jednocześnie dwie funkcje. Dobrze by było, gdyby w takiej sytuacji obowiązki związane z tymi dwoma obszarami połączyć w jednej regulacji. Obecnie w Unii Europejskiej trwa przegląd dyrektywy NIS. To dobry moment, żeby zgłaszać propozycje zmian. Ważne, że Ministerstwo Cyfryzacji zaproponowało swoje poprawki. 

Grzegorz Bojar

W Unii Europejskiej trwają też prace nad sektorowymi ramami cyberbezpieczeństwa. W energetyce problemem jest na przykład duża ilość systemów legacy. Żeby sobie z nim poradzić potrzeba dużo czasu, szybko nie da się tego zrobić. 

Karol Okoński

Wskazane jest, aby na problem cyberbezpieczeństwa patrzeć nie tylko przez pryzmat regulacji, ale szerzej, w perspektywie procesów transformacji cyfrowej, która otwiera możliwości uruchamiania nowych usług i otwierania nowych kanałów komunikacji. Zapewnienie im odpowiedniego poziomu ochrony jest niezbędne. Wiele firm może wykorzystać tę sytuację również do rozwoju swoich systemów cyberbezpieczeństwa.  

Ze szczegółowym programem e-konferencji „CyberGOV 2020” można zapoznać się na stronie: https://www.cybergov.pl/agenda/. Zagadnieniom Krajowego Systemu Cyberbezpieczeństwa (KSC) poświęcony zaś będzie w całości cykl zdalnych spotkań „KSC Forum 2020”. Szczegóły na stronie: https://www.kscforum.pl.