Cybersecure Local Government — the Final Stretch

Trzy miesiące więcej. Pytanie brzmi: na co je wydasz

Centrum Projektów Polska Cyfrowa przedłużyło termin rozliczenia projektów w ramach programu Cyberbezpieczny Samorząd o trzy miesiące. Dla grantobiorców, którzy realizują swoje projekty zgodnie z harmonogramem, to dobra wiadomość — dodatkowy bufor na dokumentację i ewentualne korekty. Dla tych, którzy jeszcze nie ruszyli z kluczowymi działaniami, to ostatnie ostrzeżenie.

Bo powiedzmy sobie szczerze: trzy miesiące to dużo czasu na zamknięcie projektu, który jest w toku. I dramatycznie mało czasu na rozpoczęcie czegokolwiek od zera — zwłaszcza jeśli mówimy o wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji.

Co tak naprawdę trzeba zrobić

Program Cyberbezpieczny Samorząd nie polegał na kupnie firewalla i odhaczyniu punktu w sprawozdaniu. Dofinansowanie od 200 tys. do 850 tys. zł na jednostkę miało służyć systemowej zmianie — podniesieniu poziomu cyberbezpieczeństwa w sposób mierzalny, udokumentowany i trwały. A systemowa zmiana w praktyce oznacza trzy filary.

Filar organizacyjny — wdrożenie lub aktualizacja SZBI zgodnego z wymaganiami §20 rozporządzenia KRI. Polityki bezpieczeństwa, procedury zarządzania incydentami, analiza ryzyka, plan postępowania z ryzykiem, deklaracja stosowania, przeglądy zarządzania. Nie dokumenty na półkę — żywy system, w którym ludzie wiedzą, co robić, gdy coś pójdzie nie tak.

Filar kompetencyjny — szkolenia pracowników, od poziomu podstawowego (świadomość zagrożeń, phishing, higiena cyfrowa) przez poziom kierowniczy (odpowiedzialność prawna, zarządzanie ryzykiem) po poziom specjalistyczny (administracja systemami bezpieczeństwa, reagowanie na incydenty). Pracownik, który klika w każdy link w mailu, potrafi zniweczyć inwestycję wartą setki tysięcy złotych w ciągu jednej sekundy.

Filar techniczny — zabezpieczenia infrastruktury IT: serwery, macierze, systemy kopii zapasowych, oprogramowanie antywirusowe z centralnym zarządzaniem, systemy SIEM do monitorowania zdarzeń bezpieczeństwa, urządzenia sieciowe, zasilanie awaryjne. Technologia jest ważna — ale bez dwóch pierwszych filarów jest jak pancerne drzwi w domu bez ścian.

Gdzie samorządy tracą czas

Po kilku latach pracy z jednostkami samorządu terytorialnego widzimy powtarzające się wzorce. Warto je znać, żeby nie powielać cudzych błędów na ostatniej prostej.

Zakupy bez strategii. Część JST wydała środki na sprzęt i oprogramowanie, ale nie stworzyła ram organizacyjnych, w których te narzędzia mają funkcjonować. System SIEM bez procedur reagowania na alerty jest jak alarm w domu, którego nikt nie słyszy. Serwery backupowe bez polityki tworzenia i testowania kopii zapasowych dają fałszywe poczucie bezpieczeństwa.

Dokumentacja „na zaliczenie". SZBI traktowany jako zbiór dokumentów do pokazania przy rozliczeniu, a nie jako rzeczywisty system zarządzania. Polityka bezpieczeństwa skopiowana z internetu, analiza ryzyka wykonana pro forma, procedury, których nikt w urzędzie nie czytał. Audytor — czy to CPPC, czy NIK, czy jednostka kontrolująca — rozpozna to bez trudu.

Odkładanie audytu na koniec. Audyt wewnętrzny bezpieczeństwa informacji, wymagany przez §20 ust. 2 pkt 14 rozporządzenia KRI, to nie formalność do odbycia w ostatnim tygodniu przed rozliczeniem. To narzędzie diagnostyczne, które powinno być przeprowadzone odpowiednio wcześnie, żeby wyniki audytu można było wykorzystać do realnych korekt.

Ostatnie tygodnie — plan działania

Jeśli Twoja jednostka jest grantobiorcą programu Cyberbezpieczny Samorząd i stoi przed koniecznością zamknięcia projektu, oto porządek priorytetów, który sprawdza się w praktyce.

Krok pierwszy: inwentaryzacja stanu faktycznego. Co zostało zakupione, wdrożone, uruchomione? Co istnieje na papierze, ale nie w rzeczywistości? Jakie szkolenia zostały przeprowadzone i czy są z nich listy obecności, certyfikaty, materiały? Brutalna szczerość na tym etapie oszczędza kłopotów przy rozliczeniu.

Krok drugi: uzupełnienie dokumentacji SZBI. Jeśli polityki i procedury istnieją, ale nie były aktualizowane — zaktualizuj je. Jeśli analiza ryzyka była robiona rok temu, ale od tego czasu zmieniła się infrastruktura — zrób przegląd. Jeśli brakuje kluczowych elementów (plan ciągłości działania, rejestr aktywów, matryca odpowiedzialności) — stwórz je teraz.

Krok trzeci: audyt wewnętrzny. Niezależna ocena zgodności z wymaganiami KRI, obejmująca wszystkie obszary §20. Audyt powinien być przeprowadzony przez osobę lub zespół niezależny od wdrożenia — to wymóg merytoryczny, nie tylko formalny. Raport z audytu z konkretnymi ustaleniami i zaleceniami jest jednym z kluczowych dokumentów potwierdzających dojrzałość SZBI.

Krok czwarty: szkolenia i utrwalenie kompetencji. Ostatnia tura szkoleń dla pracowników, ze szczególnym uwzględnieniem osób, które dołączyły do urzędu po pierwszych szkoleniach. Dokumentacja szkoleniowa (listy obecności, programy, materiały) jest wymagana przy rozliczeniu.

Krok piąty: przegląd zarządzania. Spotkanie kierownictwa, na którym omawia się stan SZBI, wyniki audytu, skuteczność wdrożonych zabezpieczeń i plan na kolejny okres. Protokół z przeglądu zarządzania to dowód, że SZBI nie jest martwym dokumentem, lecz żywym procesem, za który odpowiada kierownik jednostki.

Dlaczego SZBI dla JST to nie jest „jeszcze jeden projekt"

Warto spojrzeć na Cyberbezpieczny Samorząd z perspektywy szerszej niż sam program grantowy. Obowiązek posiadania SZBI wynika z §20 rozporządzenia KRI i obowiązuje niezależnie od tego, czy jednostka otrzymała grant. Program jedynie sfinansował to, co JST i tak powinna była mieć.

Co więcej, transpozycja dyrektywy NIS-2 do prawa polskiego rozszerza obowiązki cyberbezpieczeństwa na kolejne podmioty i podnosi poprzeczkę wymagań. Jednostki, które teraz solidnie wdrożą SZBI, będą w znacznie lepszej pozycji, gdy nowe przepisy zaczną obowiązywać w pełni. Te, które potraktują Cyberbezpieczny Samorząd jako jednorazowy projekt do rozliczenia, będą musiały zaczynać od nowa — tym razem bez dofinansowania.

Odpowiedzialność kierownika jednostki za bezpieczeństwo informacji jest osobista. Wójt, burmistrz, prezydent miasta, starosta — każdy z nich odpowiada za to, żeby SZBI w podległej jednostce nie był fikcją. I odpowiedzialność ta nie kończy się z dniem rozliczenia grantu.

Jak Fib.Code wspiera samorządy na finiszu

Pracujemy z jednostkami samorządu terytorialnego od lat. Znamy realia — ograniczone budżety, rotację kadr, systemy dziedzinowe z lat dziewięćdziesiątych, informatyków odpowiedzialnych za wszystko od drukarek po cyberbezpieczeństwo. Wiemy, jak wygląda §20 KRI w teorii i jak wygląda w urzędzie gminy liczącym piętnaście tysięcy mieszkańców.

Dla grantobiorców Cyberbezpiecznego Samorządu oferujemy wsparcie dostosowane do tego, na jakim etapie jest projekt. Dla jednostek, które mają wdrożony SZBI, ale potrzebują niezależnego audytu wewnętrznego — przeprowadzimy go zgodnie z wymaganiami KRI i najlepszymi praktykami ISO 19011. Dla tych, które mają luki w dokumentacji — pomożemy je uzupełnić, opierając się na stanie faktycznym, nie na szablonach. Dla tych, które potrzebują szkoleń — zorganizujemy je w formie dopasowanej do specyfiki urzędu.

A dla jednostek, które szukają partnera na dłużej — oferujemy outsourcing Pełnomocnika ds. bezpieczeństwa informacji, bieżący nadzór nad SZBI i wsparcie w przygotowaniu do wymogów NIS-2.

Trzy miesiące to wystarczająco dużo czasu, żeby zrobić rzeczy dobrze. Pod warunkiem, że zaczniemy teraz.

Porozmawiajmy o Twoim projekcie: l.grabowski@fibcode.com | www.fibcode.com