Skromne budżety samorządów na bezpieczeństwo IT zazwyczaj nie pozwalają im inwestować w zaawansowane narzędzia ochrony i wykwalifikowanych specjalistów. Trudno się zatem dziwić, że instytucje publiczne stały się ulubionym celem hakerów. To zła wiadomość. Natomiast dobra jest taka, że sektor publiczny zdaje sobie sprawę z powagi sytuacji. Jak wynika z raportu Aon „Global Risk Managament Survey” urzędnicy w nadchodzącej przyszłości najbardziej obawiają się cyberzagrożeń oraz naruszeń danych, a dopiero potem kłopotów związanych z pozyskiwaniem i zatrzymywaniem pracowników, hamowaniem gospodarki lub jej zbyt powolnym ożywieniem. Podłożem strachu jest w tym przypadku niepewna sytuacja geopolityczna, bezkarność cybergangów, a także rozwój sztucznej inteligencji, ułatwiającej hakerom automatyzację, a co za tym idzie intensyfikację ataków.

Program rządowy „Cyberbezpieczny Samorząd” ma zrewolucjonizować cyberbezpieczeństwo w jednostkach samorządu terytorialnego, które łącznie otrzymają 1,5 mld zł. Część tych środków mogą przeznaczyć na audyty i wdrażanie systemu zarządzania bezpieczeństwem informacji oraz szkolenia pracowników. 

– Myślę, że decyzje dotyczące inwestycji w systemy bezpieczeństwa IT warto poprzedzić audytem, podczas którego sprawdza się zarówno poziom bezpieczeństwa danych w instytucji, jak i poprawność wdrożenia oprogramowania oraz infrastruktury – doradza Jerzy Trzepla, dyrektor działu bezpieczeństwa w Exclusive Networks.  

Już samo wypełnienie wniosków było dla niejednego samorządu pierwszym doświadczeniem audytorskim, stanowiąc cenną lekcję dla samorządowych informatyków. Poza tym ci urzędnicy, którzy korzystali z usług firm zewnętrznych, zdobyli cenną wiedzę i niewykluczone, że w nieodległej przyszłość zaprocentuje to zleceniami na przeprowadzenie profesjonalnego audytu.

Pieczątka to za mało 

Audyt bardzo często traktuje się jako zło konieczne. W wielu przypadkach jest to obowiązek narzucany na firmę lub instytucję przez ustawodawcę. Nie inaczej wygląda to w przypadku bezpieczeństwa danych. Część instytucji zmuszonych do przeprowadzenia audytu idzie po linii najmniejszego oporu, a ich jedynym celem jest zdobycie odpowiedniego dokumentu z pieczątką. Koszt audytu cyberbezpieczeństwa zależy od wielkości instytucji, zakresu badania, złożoności infrastruktury teleinformatycznej oraz od wybranego audytora. Zgodnie z powiedzeniem, że „potrzeba jest matką wynalazków”, na polskim rynku pojawiło się wiele firm audytorskich i konsultingowych specjalizujących się nie tyle w solidnej weryfikacji, co w przybijaniu pieczątek. Wprawdzie takie usługi mają niewiele wspólnego z rzetelnym audytem, ale za to… są tanie. Zdecydowanym przeciwnikiem kontroli prowadzonych w takim właśnie trybie jest Michał Dębowski, Product Manager w Exclusive Networks Poland.

– Pieczątka zdobyta przez jednostkę samorządu terytorialnego nie zapewni bezpieczeństwa ani tym bardziej nie podniesie jego poziomu. Co gorsza, uśpi czujność i zmniejszy świadomość decydentów, bowiem będą znali jedynie rezultat audytu, a nie stan faktyczny badanego obszaru – tłumaczy Michał Dębowski.

W bardzo podobnym tonie wypowiada się Jerzy Trzepla. Zdaniem tego specjalisty niejedna instytucja wychodzi z założenia, że audyt to kupienie sobie świętego spokoju. Jednak jeśli wykonany jest on niestarannie, może się okazać, że urząd wzmacnia obszary odpowiednio zabezpieczone, natomiast słabe punkty nadal pozostają furtką dla hakerów.

Z kolei rzetelny audyt pozwala wykryć braki kluczowych systemów bezpieczeństwa lub wskazać na błędnie skonfigurowane narzędzia. Ten ostatni przypadek występuje coraz częściej ze względu na braki kadrowe w jednostkach samorządowych. Ponadto solidna kontrola nieraz ujawnia obecność intruzów w sieci.

– Wbrew stereotypom audyt nie jest karą dla administratora. Nie obnaża również braku jego umiejętności. Usługa ma na celu podnoszenie wiedzy i świadomości oraz budowanie procesu, który jednostkom samorządu terytorialnego zapewni właściwy poziom bezpieczeństwa. Jednocześnie, na potrzeby administratora, nakreśli drogę do jej realizacji. Dobrą praktyką jest, aby audyt był wykonywany przynajmniej raz w roku, choć tego typu usługa nie należy do tanich – wyjaśnia Michał Dębowski.

Uwieńczeniem każdego audytu powinien być raport o stanie bezpieczeństwa urzędu, wskazujący obszary potencjalnych zagrożeń. Jedną z najważniejszych kwestii jest zarządzanie podatnościami. Warto zastosować rozwiązania, które wykonują działania mające na celu sprawdzenie jakości infrastruktury IT. Najlepszym przykładem jest technologia, która wyszukuje podatności w całej infrastrukturze. Dzięki niej można zaplanować cykliczne skany, które pozwolą wykryć, a następnie załatać podatności. Exclusive Networks rekomenduje większym instytucjom narzędzie Tenable Security Center, umożliwiające nie tylko wykrywanie podatności, ale również zarządzanie nimi.

– Skanery podatności otwierają możliwości przed resellerami, którzy mogą wdrożyć taki system w jednostce samorządu terytorialnego bądź zaproponować go w modelu usługowym. Urząd uzyskuje w ten sposób bardzo cenne wskazówki na temat tego, co usprawniać oraz w jakiej kolejności to robić, a co najważniejsze, poznaje swoje najsłabsze strony – doradza Jerzy Trzepla.

W programie „Cyberbezpieczny Samorząd” przeznaczono 183 mln zł na opracowanie procedur, certyfikację, audyty oraz wdrażanie systemu zarządzania bezpieczeństwem informacji.

Michał Dębowski, Product Manager, Exclusive Networks Poland Michał Dębowski, Product Manager, Exclusive Networks Poland  

Przed wykonaniem audytu należy zadać sobie podstawowe pytanie: po co go robimy? Takie badanie wykonuje się bowiem z kilku powodów. Jednym z nich jest sprawdzenie zgodności z konkretną normą, jak ISO, NIST, NIS 2, PCI DSS itp. Inną przyczyną jest weryfikacja procedur oraz polityki bezpieczeństwa. Usługa pozwala również wykryć cyberzagrożenia lub weryfikować zgodność posiadanego oprogramowania. Z całym przekonaniem można stwierdzić, że audyt uruchamia proces ciągłego dążenia do polepszania obszaru, w którym został wykonany.