Cyberbezpieczeństwo w jednostkach samorządu terytorialnego

LOG Systems - LOG Plus

Cyberbezpieczeństwo i cyfryzacja gmin i powiatów stanowi jedno z następstw pandemii COVID-19. W wyniku zmian lokalne urzędy i instytucje zaczęły coraz bardziej polegać na nowoczesnych rozwiązaniach technologicznych. Znacznie usprawnia to działanie samorządów terytorialnych i umożliwia skuteczne odpowiadanie na potrzeby mieszkańców.

Niestety, wiąże się to również ze wzmożonymi atakami cyberprzestępców na podmioty instytucjonalne. W jaki sposób sobie z tym radzić?

Jak pandemia, cyfryzacja oraz praca zdalna wpłynęły na bezpieczeństwo organizacji publicznych

Sytuacja pandemiczna wymusiła przyspieszenie procesów digitalizacji w wielu sektorach. Stale wdraża się nowe rozwiązania, których celem jest usprawnienie funkcjonowania urzędów i gmin. Jednostki samorządu terytorialnego zostały zmuszone do przeniesienia wielu swoich pracowników na stanowiska zdalne. W związku z tym wprowadzono m.in. elektroniczny obieg dokumentów i dostęp do wspólnych zasobów w chmurze.

Automatyzacja procesów samorządowych niewątpliwie zwiększa wygodę i komfort obywateli. Dzięki nim mieszkańcy mogą załatwiać wiele spraw urzędowych bez wychodzenia z domu, z poziomu komputera lub smartfona. Czy jednak w nowo wdrażanych projektach odpowiednio zadbano o ważną kwestię, jaką jest cyberbezpieczeństwo w gminach, miastach i powiatach?

Postępująca cyfryzacja stawia przed instytucjami publicznymi wiele wyzwań w zakresie bezpieczeństwa. Załatwienie sprawy urzędowej często wymaga udostępnienia najbardziej wrażliwych danych osobowych, takich jak imię i nazwisko, data urodzenia, PESEL czy miejsce zamieszkania. W związku z tym konieczne jest wdrożenie odpowiednio zabezpieczonych systemów informatycznych, które zagwarantują obywatelom cyberbezpieczeństwo.

Instytucje publiczne na celowniku cyberprzestępców

Coraz częściej jesteśmy świadkami cyberataków wymierzonych w organy i instytucje rządowe. Digitalizacja wielu procesów administracyjnych otwiera furtkę dla hakerów, którzy skutecznie wykorzystują słabe punkty systemów bezpieczeństwa. Głośnym echem odbiły się kilkukrotne włamania na skrzynki mailowe ważnych polityków. To jednak tylko wierzchołek góry lodowej. 

Obsługa informatyczna urzędów musi mierzyć się z atakami, które mają na celu dezinformację, utrudnienie funkcjonowania, a często również kradzież informacji. Cyberprzestępcy próbują w ten sposób pozyskać dane osobowe obywateli, by następnie wykorzystać je do popełnienia przestępstwa. Niestety, często im się to udaje.

W przypadku JST (Jednostek Samorządu Terytorialnego) szczególnym zagrożeniem są ataki ransomware. Przestępcy generują zainfekowane złośliwym oprogramowaniem linki do stron lub załączniki. Następnie rozsyłają je do urzędników i pracowników administracyjnych np. w formie wiadomości e-mail. Ze względu na istotę i wrażliwość informacji w sektorze publicznym, jego przedstawiciele są częstymi ofiarami tego typu ataków hakerskich. Jak zatem skutecznie poprawić cyberbezpieczeństwo w jednostkach terytorialnych?

Cyfryzacja gmin, Cyberbezpieczeństwo, Cyfrowa Gmina, Jednostki Samorządu Terytorialnego, JST, Log System, Log Systems, Log Plus, Gminy

Jak zapewnić bezpieczeństwo informacji w organizacji?

Standardy bezpieczeństwa danych powinny przede wszystkim odpowiadać wymaganiom, jakie stawiają obowiązujące zapisy prawne. Są to między innymi:

  • Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r.
  • Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).

Celem wszelkich ustaw dotyczących cyberbezpieczeństwa jest zobligowanie urzędów do wdrożenia działań, które mają zapobiec ewentualnym zagrożeniom cyfrowym. Przykładem jest audyt bezpieczeństwa, który każda instytucja musi przeprowadzić przynajmniej raz w roku.

Czym jest KRI i audyt zgodności? Krajowe Ramy Interoperacyjności odnoszą się do Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. Z założenia ma ono m.in. kontrolować bezpieczeństwo systemów informatycznych w placówkach publicznych.

Jednym z wymogów KRI jest wspomniany audyt, przeprowadzony przez zewnętrznego, niezależnego eksperta. Jego zadaniem jest ocena zabezpieczeń w systemie IT, znalezienie ewentualnych luk i pomoc w ich wyeliminowaniu. 

Z pomocą samorządom terytorialnym przychodzi program Cyfrowa Gmina. Jego celem jest wsparcie lokalnych organizacji publicznych w dążeniu do usprawnienia usług cyfryzacji i poprawy cyberbezpieczeństwa. Środki z inicjatywy mogą być przeznaczone m.in. na zakup nowoczesnego sprzętu i edukację pracowników. 

Dla kogo jest dofinansowanie? Cyfrowa Gmina obejmuje urzędy wszystkich gmin w Polsce – wiejskich, miejsko-wiejskich lub miejskich. Projekt jest finansowany z Funduszy Europejskich.

Ewidencja zasobów informatycznych

Spis i ewidencjonowanie narzędzi oraz zasobów cyfrowych pozwala je skutecznie śledzić i monitorować. Dzięki temu obsługa informatyczna urzędów jest w stanie na bieżąco sprawdzać aktualność oprogramowania. Taki monitoring obejmuje również proces dostępu do określonych danych, podczas którego weryfikuje się, czy z tych danych korzystają wyłącznie uprawnione osoby.


By skutecznie wdrożyć DAM (Digital Asset Management), potrzeba odpowiedniego systemu do zarządzania zasobami informatycznymi – ITAM. W urzędach tego rodzaju moduły zaczyna się stosować coraz częściej. Umożliwiają sprawne wykrycie potencjalnych zagrożeń dla bezpieczeństwa i skuteczne ich wyeliminowanie.

Zarządzanie uprawnieniami użytkowników do systemów informatycznych

Zgodnie z zaleceniami rozporządzenia RODO uprawnienia i poziomy dostępów pracowników powinny być stale nadzorowane. W celu usprawnienia tego procesu najczęściej stosuje się rozwiązania typu IAM (Identity Access Management), czyli zarządzanie tożsamością i dostępami. Narzędzie tego typu pozwala zarządzać uprawnieniami do usług i systemów informatycznych w oparciu o opracowane procedury i polityki w procesie zarządzania bezpieczeństwem informacji. W przypadku instytucji publicznych jest to szczególnie istotne. 

Dobre praktyki cyberbezpieczeństwa w samorządach

Stosowanie nowoczesnych rozwiązań technologicznych jest bardzo ważne, jednak na bezpieczeństwo wpływają również odpowiednie nawyki i zarządzanie zasobami przez pracowników. Ministerstwo Cyfryzacji wydało dokument pt. Poradnik dla samorządów – bezpieczny pracownik w sieci. Stosowanie się do zawartych w nim wytycznych wpływa na poprawę bezpieczeństwa nawet przy niskim nakładzie czasu i środków. Oto kilka z nich:

  • Porządek na biurku i komputerze. Uporządkowane dokumenty i zasoby cyfrowe nie tylko ułatwiają codzienną pracę. Kontrola nad nimi przekłada się również na poprawę bezpieczeństwa. 
  • Zasada ograniczonego zaufania. Pracownik instytucji publicznej powinien mieć świadomość zagrożeń, jakie płyną ze strony cyberprzestępców. Pobieranie nieznanych plików lub wchodzenie w podejrzane linki niesie za sobą poważne ryzyko. 
  • Najsłabsze ogniwo. Każdy system ma słabe punkty, o czym doskonale wiedzą cyberprzestępcy. Każdy skuteczny audyt bezpieczeństwa powinien je zidentyfikować i możliwie szybko wyeliminować. 
  • Minimalne przywileje. Przydzielenie pracownikowi wyłącznie takich uprawnień, jakie są mu niezbędne do wykonywania obowiązków. 
  • Nauka na cudzych błędach. Wiele zagrożeń wynika z wielokrotnie powielanych mankamentów w systemach bezpieczeństwa. Skuteczna komunikacja między podmiotami umożliwi eliminację przynajmniej części z nich.

Podsumowanie

Cyberbezpieczeństwo w jednostkach samorządów terytorialnych to aspekt wymagający stałego rozwoju. Sposoby oszustwa i metody cyberataków nieustannie ewoluują, a w dobie cyfryzacji instytucji publicznych kluczową rolę pełnią odpowiednie zabezpieczenia. 

Korzystanie z najnowszego oprogramowania, wdrażanie odpowiednich rozwiązań i edukacja to zasady, które znacznie poprawiają poziom bezpieczeństwa publicznych instytucji. Ich przestrzeganie na obecnym etapie digitalizacji to absolutna konieczność, aby właściwie zadbać o cyberbezpieczeństwo w jednostkach samorządu terytorialnego.

LOG Systems - LOG Plus

Powiązane artykuły