Polityka i prawo
Samorządy „miękkim podbrzuszem” cyberbezpieczeństwa w Polsce
„Nasze krajowe podejście zakłada kompleksowość w zakresie cyberbezpieczeństwa” – podkreślił Krzysztof Silicki, zastępca dyrektora NASK, odnosząc się do kwestii budowania cyberbezpieczeństwa samorządów w Polsce. Jak dodał, współpraca jego instytucji z samorządami lokalnymi jest nie tylko ustawowym obowiązkiem, ale również misją.
„18 miesiąc pandemii wywołał ogromny skok ilościowy i jakościowy w zakresie wykorzystania rozwiązań cyfrowych w administracji publicznej. Towarzyszy temu jednak znaczący wzrost cyberzagrożeń. Na poziomie lokalnym to poważny problem, ponieważ cyberbezpieczeństwo jest tam niedocenianym zjawiskiem” – stwierdził Krzysztof Głomb, pełnomocnik ministra cyfryzacji do spraw współpracy z administracją samorządową Rzeczpospolitej Polskiej oraz moderator panelu „Budowanie zdolności cyberbezpieczeństwa samorządów” podczas CYBERSEC CEE Regions & Cities 2021.
Samorządy lokalne są miękkim podbrzuszem administracji publicznej w Polsce w odniesieniu do cyberbezpieczeństwa.
Rozpoczynając dyskusję ekspert przytoczył dane, według których zaobserwowano 60 proc. wzrost cyberzagrożeń w czasie pandemii. W praktyce ma to być jednak znacznie więcej, ponieważ małe samorządy nie zgłaszają incydentów do NASK-u. W związku z tym pojawia się pytanie: czy w naszym kraju jesteśmy w stanie dokonać skoku jakościowego w zakresie cyberbezpieczeństwa administracji publicznej?
Bogusław Dębski, dyrektor Centrum Certyfikacji Kompetencji i Potwierdzania Kwalifikacji BZG PTI, odpowiadając na pytanie stwierdził, że samorządom trzeba zdecydowanie pomóc. Jak? Postawić na edukację, a konkretnie jakość prowadzonych szkoleń. Wiele certyfikatów uzyskuje się dzięki „obecności na liście obecności”. „Nie tędy droga” – zaalarmował, dodając, że poprzez jakość kształcenia, podniesienie się świadomość, wiedza i umiejętności osób odpowiedzialnych za działanie administracji publicznej.
Podobnego zdania był także Jarosław Stawiarski, marszałek województwa lubelskiego. W jego opinii wszystko jednak zależy od jakości sprzętu, zdolności i świadomości ludzi oraz posiadanych środków finansowych. „Równie ważna jest zmiana mentalności u wszystkich urzędników i osób zarządzających urzędami” – wskazał przedstawiciel administracji publicznej.
Cyberbezpieczeństwo jest najważniejszą częścią funkcjonowania urzędów.
Współpraca z samorządami to misja NASK-u
Podczas swojego wystąpienia w ramach CYBERSEC CEE Regions & Cities 2021 Krzysztof Silicki, zastępca dyrektora NASK, potwierdził, że wzrost cyberzagrożeń to fakt. Dlatego też w Polsce podjęto decyzję o włączeniu sektora administracji publicznej do Krajowego Systemu Cyberbezpieczeństwa (KSC), pomimo że unijne regulacje tego nie wymagają. To pokazuje, że nasze krajowe podejście zakłada kompleksowość w zakresie cyberbezpieczeństwa.
Ponadto, przedstawiciel NASK-u zwrócił uwagę na istotę współpracy instytucji z samorządami lokalnymi. „To dla nas ważne nie tylko dlatego, że to obowiązek ustawowy, ale także misja” – zaznaczył. Jego zdaniem wyznaczanie osób odpowiedzialnych za kontakt z odpowiednimi podmiotami w wielu przypadkach ma kluczowe znaczenie. Dla potwierdzenia swoich słów Krzysztof Silicki przytoczył przykład jednego z urzędów, któremu udało się odeprzeć atak, dzięki sprawnemu kanałowi komunikacyjnemu. W porę ostrzeżono przedstawicieli tego podmiotu, co pozwoliło podjąć odpowiednie działania.
„Każdy aspekt należy rozwijać”
Jak podkreślił podczas dyskusji Witold Kozłowski, marszałek województwa małopolskiego, zagadnienie dotyczące cyberbezpieczeństwa to obecnie aktualny temat, który powinien mieć także swoje przełożenie na przyszłość. Wynika to z faktu, że niemalże wszystkie aspekty naszego życia, bazują na wirtualnych rozwiązaniach i w dalszej perspektywie czasu się to nie zmieni. „To nieustanna gra między atakującymi, a osobami pracującymi nad cyberbezpieczeństwem. Ona toczy się na naszych oczach” – zaznaczył.
W administracji zabezpieczenie sieci i infrastruktury to podstawa.
Podczas swojej wypowiedzi Witold Kozłowski odwołał się do ostatniego cyberataku typu ransomware na Urząd Wojewódzki w Krakowie. O tym, jak poważny był to incydent pokazuje fakt, że niektóre dane do dzisiaj są zaszyfrowane. „Pozostałe udało nam się jednak odzyskać” – poinformował.
Z kolei Joanna Malon, dyrektor Departamentu Innowacji i Przedsiębiorczości Urzędu Marszałkowskiego Województwa Lubuskiego, podczas swojego przemówienia w ramach CYBERSEC CEE Regions & Cities 2021 przytoczyła sytuację związaną z cyberbezpieczeństwem jednostki administracji publicznej swojego regionu. Jak wskazała, lokalny urząd marszałkowski nie odnotował żadnych poważnych cyberataków, choć zdarzały się incydenty, które jednak nie miały poważnego wpływu na jego funkcjonowanie.
Przedstawicielka sektora państwowego jednoznacznie podkreśliła, że dla władz województwa lubuskiego najważniejsze są zasoby ludzkie. „Chcemy brać udział w ogólnopolskich inicjatywach, które podnoszą kompetencje pracowników. Zależy nam na wykształceniu specjalistów i liczymy na pomoc państwa w tym zakresie” – zadeklarowała Joanna Malon.
W panelu uczestniczyli także przedstawiciele Urzędu Marszałkowskiego Województwa Podkarpackiego – Anna Huk (członek zarządu Województwa Podkarpackiego) oraz Sławomir Cynar (dyrektor Departamentu Społeczeństwa Informacyjnego w urzędzie). Jak wskazali, świadomość na temat cyfryzacji i nakładów, jakie trzeba zapewnić w budżecie wojewódzkim na cyberbezpieczeństwo jest bardzo ważne.
„Musimy patrzeć na cały problem z perspektywy ludzi, infrastruktury i procesów. Każdy ten aspekt należy rozwijać” – wskazał Sławomir Cynar.
Jak dodała Marlena Huk, cyfryzacja jest wszechobecna i "od niej nie ma ucieczki". W związku z tym należy zwrócić uwagę na świadomość zarówno u władz, jak i pracowników. „Mowa tu o świadomym, rozważnym korzystaniu z dobrodziejstw, jakie daje nam sieć” – zaznaczyła przedstawicielka Urzędu Marszałkowskiego Województwa Podkarpackiego.
Beata Białowąs, członek zarządu województwa śląskiego, nie ma wątpliwości, że najsilniejszym ogniwem cyberbezpieczeństwa są ludzie, choć często bywają również – paradoksalnie – jego najsłabszym elementem. Dlatego też jednostki administracji publicznej w tym regionie prowadzą testy angażujące pracowników. Na czym polegają? Przykładowo na skrzynki e-mailowe urzędników trafiają podejrzane wiadomości. W ten sposób badane są ich kompetencje w zakresie cyberbezpieczeństwa. Ćwiczenia służą także podnoszeniu wiedzy i czujności użytkowników sieci. Oczywiście osoby biorące udział w testach nie są uprzednio o tym informowane – sytuacja ma jak najbardziej odzwierciedlać możliwe niepożądane działanie.
„Musimy myśleć o krok dalej”
Podczas dyskusji pojawiło się również pytanie: czy da się zrobić dobre jakościowo audyty we wszystkich samorządach lokalnych w Polsce? W odpowiedzi Krzysztof Dyki, prezes ComCert, zaznaczył, że istotą wcale "nie powinien być audyt jako taki, ponieważ on jedynie dostarcza wiedzy na dany temat, a w związku z tym nie jest gwarantem bezpieczeństwa:. Natomiast kluczowe jest to, jak jego wyniki zostaną przełożone na konkretne działania.
Szkolenia są ważne i niezbędne, ale musimy myśleć o krok dalej, czyli jak będziemy budować system cyberbezpieczenstwa.
Przedstawiciel biznesu pozytywnie wypowiedział się również na temat świadomości na temat cyberbezpieczeństwa wśród przedstawicieli administracji publicznej, którą ocenił bardzo wysoko. „Jestem pod wrażeniem prawidłowych diagnoz, jakie padają ze strony tych osób” – podkreślił Krzysztof Dyki.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
