Cybersecure Water Utilities — Implementation

Od papierów do praktyki

Program Cyberbezpieczne Wodociągi — realizowany przez Centrum e-Zdrowia na zlecenie Ministerstwa Cyfryzacji — był jednym z niewielu krajowych programów, które z publicznych środków sfinansowały bezpieczeństwo informacji w sektorze komunalnym. Przedsiębiorstwa wodociągowe i spółki wod-kan, które złożyły wnioski i przeszły przez procedurę kwalifikacyjną, otrzymały dofinansowanie na wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą ISO 27001 oraz na szkolenia i podstawowe narzędzia techniczne.

Pieniądze zostały przyznane. Umowy zostały podpisane. Teraz zaczyna się najtrudniejsza część: faktyczne wdrożenie.

I właśnie w tym miejscu wiele projektów zaczyna tracić kurs. Nie dlatego, że wykonawcy nie wiedzą, co robić — ale dlatego, że presja rozliczenia grantu i presja zbudowania trwałego systemu bezpieczeństwa to dwie różne siły, które nie zawsze ciągną w tym samym kierunku.

Co program sfinansował i co z tego wynika

Zakres dofinansowania w programie Cyberbezpieczne Wodociągi obejmował kilka kluczowych obszarów. Pierwszym była analiza ryzyka — obowiązkowy punkt wyjścia dla każdego SZBI. Drugim była dokumentacja systemu: polityki bezpieczeństwa, procedury, instrukcje. Trzecim były szkolenia dla pracowników na różnych poziomach organizacji. Czwartym — w zależności od edycji i dostępnych środków — podstawowe narzędzia techniczne: firewalle, systemy do zarządzania hasłami, rozwiązania do kopii zapasowych.

Z perspektywy wykonawcy te elementy tworzą produkt dostawy: dokumenty do przekazania, szkolenia do przeprowadzenia, protokoły do podpisania. Z perspektywy organizacji powinny tworzyć żywy system, który działa codziennie i jest zrozumiały dla ludzi, którzy z nim pracują.

Różnica między tymi dwoma perspektywami decyduje o tym, czy po zakończeniu projektu organizacja ma SZBI, czy ma stos papierów z logo Ministerstwa Cyfryzacji.

Cztery sygnały, że wdrożenie poszło nie tak

Pierwszy sygnał to polityki bezpieczeństwa, których nikt nie czytał. Jeśli Polityka Bezpieczeństwa Informacji to trzydziestostronicowy dokument napisany przez zewnętrznego konsultanta, zaakceptowany przez kierownika bez przeczytania i zarchiwizowany w folderze „ISO" — nie jest to polityka bezpieczeństwa. To wzór wypełniony nazwą organizacji.

Drugi sygnał to analiza ryzyka oderwana od rzeczywistości. Analiza ryzyka przeprowadzona metodą kopiuj-wklej z poprzedniego klienta, z ryzykami, które nie odpowiadają specyfice organizacji, systemom, które nie istnieją, i zagrożeniom, które nie są istotne — nie spełnia swojej funkcji. A przy audycie certyfikującym lub kontroli audytorów PUODO nie przetrwa pierwszego pytania o szczegóły.

Trzeci sygnał to szkolenia jako odfajkowanie. Szkolenie przeprowadzone jako webinar dla trzydziestu osób naraz, bez testów, bez weryfikacji zrozumienia, bez materiałów do późniejszego użycia — spełnia literę wymagania, ale nie cel. Pracownik, który nie wie, co zrobić po otrzymaniu podejrzanego e-maila, nie jest bezpieczniejszy po obejrzeniu slajdów o phishingu.

Czwarty sygnał to brak właściciela systemu. SZBI wymaga, żeby ktoś czuł się za niego odpowiedzialny. Jeśli po zakończeniu projektu wdrożeniowego nikt w organizacji nie wie, kto prowadzi przeglądy, kto aktualizuje analizę ryzyka, kto reaguje na incydenty — system jest martwą literą do czasu, gdy wydarzy się coś, co ujawni tę próżnię.

Co zrobić, żeby wdrożenie przyniosło trwały efekt

Pierwszym krokiem jest weryfikacja dostarczonej dokumentacji pod kątem jej przydatności operacyjnej. Nie pod kątem zgodności formalnej — to sprawdził grantodawca. Pod kątem pytania: czy te dokumenty mogłyby działać jutro, gdybyśmy faktycznie z nich skorzystali? Czy procedura reagowania na incydenty zawiera realne dane kontaktowe, realny opis kroków, realne role? Czy polityka haseł jest spójna z tym, co rzeczywiście jest możliwe w używanych systemach?

Drugim krokiem jest przeprowadzenie ćwiczenia z realizacji wybranej procedury. Nie szkolenia z slajdów — ćwiczenia symulowanego incydentu lub audytu wewnętrznego, podczas którego pracownicy przechodzą przez procedury krok po kroku. To ujawnia luki między dokumentem a praktyką szybciej niż jakakolwiek analiza papierowa.

Trzecim krokiem jest wyznaczenie właściciela systemu z realnym wsparciem. Pełnomocnik ds. bezpieczeństwa informacji może być wewnętrzny lub zewnętrzny — ale musi być: konkretna osoba lub zespół, z jasnym zakresem obowiązków, dostępem do zasobów potrzebnych do wykonywania tych obowiązków i bezpośrednią linią do kierownictwa.

NIS-2 a program — dlaczego to nie są osobne tematy

Część przedsiębiorstw wodociągowych, które realizowały program Cyberbezpieczne Wodociągi, robi dziś błąd myślowy: skoro mamy SZBI z programu, to jesteśmy bezpieczni pod kątem NIS-2. To nieprawda.

Program Cyberbezpieczne Wodociągi sfinansował fundament: podstawowy SZBI oparty na ISO 27001. NIS-2 nakłada na podmioty kluczowe — a przedsiębiorstwa wod-kan do tej kategorii należą — obowiązki, które wykraczają poza ISO 27001. Schemat raportowania incydentów 24/72/30, bezpieczeństwo łańcucha dostaw, osobista odpowiedzialność zarządu, obowiązki szkoleniowe dla kadry kierowniczej — to elementy, których SZBI z programu nie obejmował wprost.

Dobra wiadomość jest taka, że organizacja, która rzeczywiście wdrożyła SZBI — nie tylko zaakceptowała dokumenty — ma solidny punkt wyjścia do NIS-2. Fundamenty są. Gap analysis pokaże, co trzeba dołożyć.

Szczegóły obowiązków wynikających z NIS-2 dla sektora wod-kan opisaliśmy w artykule Wodociągi wobec NIS-2 — specyfika sektora wod-kan.

Jak Fib.Code wspiera organizacje po programie

Fib.Code pracuje z przedsiębiorstwami wodociągowymi na różnych etapach dojrzałości. Z organizacjami, które dopiero przygotowują się do NIS-2 bez wcześniejszego SZBI. Z organizacjami, które realizowały program Cyberbezpieczne Wodociągi i chcą wiedzieć, co z tego wdrożenia faktycznie działa. Z organizacjami, które mają certyfikat ISO 27001 i szukają wsparcia w jego utrzymaniu i doskonaleniu.

W każdym przypadku zaczynamy od weryfikacji stanu faktycznego — nie od założenia, że dokumenty odzwierciedlają rzeczywistość. Bo najczęściej nie odzwierciedlają, i to jest punkt wyjścia do pracy, która ma sens.

Jeśli Państwa przedsiębiorstwo zakończyło program Cyberbezpieczne Wodociągi i chce sprawdzić, gdzie naprawdę jest: l.grabowski@fibcode.com | fibcode.com/pl/kontakt

Od papierów do praktyki

Pieniądze zostały przyznane. Umowy zostały podpisane. Teraz zaczyna się najtrudniejsza część: faktyczne wdrożenie.

Co program sfinansował i co z tego wynika

Różnica między tymi dwoma perspektywami decyduje o tym, czy po zakończeniu projektu organizacja ma SZBI, czy ma stos papierów z logo Ministerstwa Cyfryzacji.

Cztery sygnały, że wdrożenie poszło nie tak

Co zrobić, żeby wdrożenie przyniosło trwały efekt

NIS-2 a program — dlaczego to nie są osobne tematy

Szczegóły obowiązków wynikających z NIS-2 dla sektora wod-kan opisaliśmy w artykule Wodociągi wobec NIS-2 — specyfika sektora wod-kan.

Jak Fib.Code wspiera organizacje po programie

Jeśli Państwa przedsiębiorstwo zakończyło program Cyberbezpieczne Wodociągi i chce sprawdzić, gdzie naprawdę jest: l.grabowski@fibcode.com | fibcode.com/pl/kontakt

Cybersecure Water Utilities — Time for Implementation

Od papierów do praktyki

Co program sfinansował i co z tego wynika

Cztery sygnały, że wdrożenie poszło nie tak

Co zrobić, żeby wdrożenie przyniosło trwały efekt

NIS-2 a program — dlaczego to nie są osobne tematy

Jak Fib.Code wspiera organizacje po programie

Water Utilities and NIS-2 — Sector-Specific Challenges

Outsourcing Your Information Security Officer — How to Protect Your Interests

Cybersecure Water Utilities — Time for Implementation

Od papierów do praktyki

Co program sfinansował i co z tego wynika

Cztery sygnały, że wdrożenie poszło nie tak

Co zrobić, żeby wdrożenie przyniosło trwały efekt

NIS-2 a program — dlaczego to nie są osobne tematy

Jak Fib.Code wspiera organizacje po programie

Water Utilities and NIS-2 — Sector-Specific Challenges

Outsourcing Your Information Security Officer — How to Protect Your Interests