Cyberbezpieczeństwo w sektorze publicznym nie może być traktowane wyłącznie jako zadanie informatyka. Kierownictwo odpowiada za organizację pracy, budżet, ciągłość działania i nadzór nad dostawcami. Administrator wdraża rozwiązania techniczne, ale potrzebuje formalnego umocowania, procedur i decyzji dotyczących ryzyka.
1. Najczęstsze słabości
- brak kompletnej inwentaryzacji sprzętu, kont i usług,
- współdzielone konta oraz nadmierne uprawnienia lokalnego administratora,
- stare systemy i urządzenia bez wsparcia producenta,
- kopie zapasowe podłączone stale do tej samej infrastruktury,
- brak segmentacji sieci pracowników, gości, urządzeń IoT i systemów krytycznych,
- umowy IT bez jasno określonych czasów reakcji i odpowiedzialności,
- brak ćwiczeń dotyczących awarii, ransomware i utraty dostępu do poczty.
2. Odpowiedzialność i role
Należy formalnie wskazać osoby odpowiedzialne za systemy, zgłoszenia incydentów, kopie zapasowe, kontakty z dostawcami i podejmowanie decyzji kryzysowych. W małej jednostce jedna osoba może pełnić kilka ról, ale nie mogą one istnieć wyłącznie „w domyśle”. Dokument powinien określać również zastępstwo na czas urlopu lub choroby.
3. Inwentaryzacja i klasyfikacja
Nie da się chronić zasobu, o którego istnieniu organizacja nie wie. Ewidencja powinna obejmować urządzenia, oprogramowanie, licencje, konta, domeny, certyfikaty, usługi chmurowe i połączenia zewnętrzne. Następnie trzeba wskazać, które systemy są krytyczne dla realizacji zadań publicznych.
| Klasa | Przykład | Oczekiwane zabezpieczenia |
|---|---|---|
| Krytyczna | System finansowy, kadry, dziennik, obieg dokumentów | MFA, backup offline, monitoring, plan odtworzenia |
| Ważna | Pliki działowe, poczta, system zgłoszeń | Kontrola dostępu, backup, aktualizacje |
| Pomocnicza | Stanowiska publiczne, urządzenia prezentacyjne | Segmentacja, ograniczone uprawnienia, odtwarzalna konfiguracja |
4. Segmentacja i dostęp zdalny
Sieć administracyjna nie powinna być wspólna z Wi-Fi dla gości, urządzeniami multimedialnymi, monitoringiem i automatyką. Dostęp zdalny należy realizować przez VPN z MFA, a nie przez wystawione do internetu pulpity zdalne. Reguły firewalla powinny wynikać z potrzeb, a nie z zasady „wszystko do wszystkiego”.
5. Kopie zapasowe i ciągłość działania
Jednostka powinna znać odpowiedź na pytanie, ile danych może utracić i jak długo może działać bez systemu. Kopie muszą być automatyczne, monitorowane i odseparowane. Przynajmniej raz w roku warto przeprowadzić ćwiczenie odtworzenia kluczowego systemu, a krótsze testy wykonywać częściej.
6. Pracownicy i procedury
Szkolenie nie powinno ograniczać się do jednego kursu rocznie. Potrzebne są krótkie przypomnienia, testy phishingowe prowadzone w bezpieczny sposób, jasna ścieżka zgłaszania i informacja, że szybkie zgłoszenie pomyłki jest pożądane. Procedura odejścia pracownika musi obejmować blokadę kont, zwrot sprzętu i zmianę współdzielonych dostępów.
7. Dostawcy zewnętrzni
Umowa powinna określać zakres usług, dostęp administratorów, czas reakcji, sposób wykonywania kopii, zgłaszanie incydentów, poufność i zasady zakończenia współpracy. Jednostka musi posiadać własną kopię konfiguracji i dokumentacji, aby zmiana wykonawcy nie oznaczała utraty wiedzy o środowisku.
8. Reagowanie na incydent
Prosta instrukcja powinna zawierać numery telefonów, kryteria eskalacji, sposób izolacji urządzenia, ochronę dowodów i kanał komunikacji niezależny od głównej poczty. Właściwy zespół CSIRT należy określić z wyprzedzeniem, a zgłoszenia przygotowywać zgodnie z obowiązującymi zasadami.
9. Plan minimum na 90 dni
- wykonaj inwentaryzację i wskaż systemy krytyczne,
- włącz MFA dla poczty, administratorów i VPN,
- uporządkuj konta i usuń nieużywane dostępy,
- zweryfikuj backup i wykonaj test odtworzenia,
- oddziel sieci gościnne i urządzenia IoT,
- ustal procedurę incydentu i listę kontaktów,
- zaplanuj audyt oraz harmonogram usuwania ryzyk.
Źródła i dalsza lektura
Słownik
Skróty i pojęcia użyte w artykule
Kliknij wybraną nazwę, aby rozwinąć jej znaczenie.
KSC
Polski system prawny i organizacyjny określający zadania podmiotów oraz instytucji odpowiedzialnych za cyberbezpieczeństwo.
NIS2
Dyrektywa Unii Europejskiej rozszerzająca obowiązki w zakresie zarządzania ryzykiem i zgłaszania incydentów.
CSIRT
Zespół reagowania na incydenty bezpieczeństwa komputerowego.
SZBI
Zbiór zasad, ról, procedur i zabezpieczeń służących systemowemu zarządzaniu bezpieczeństwem informacji.
MFA
Uwierzytelnianie wieloskładnikowe chroniące konta dodatkowym elementem poza hasłem.
VLAN
Logiczna segmentacja sieci pozwalająca oddzielić np. administrację, uczniów, gości, serwery i urządzenia techniczne.
VPN
Szyfrowany kanał dostępu zdalnego do zasobów jednostki.
SIEM
System centralnego zbierania i analizy logów oraz alertów.
SOC
Funkcja lub zespół prowadzący monitoring, analizę i reakcję na zdarzenia bezpieczeństwa.
RPO / RTO
Parametry określające dopuszczalną utratę danych oraz maksymalny czas przywracania usług.

