Cyberbezpieczeństwo w sektorze publicznym nie może być traktowane wyłącznie jako zadanie informatyka. Kierownictwo odpowiada za organizację pracy, budżet, ciągłość działania i nadzór nad dostawcami. Administrator wdraża rozwiązania techniczne, ale potrzebuje formalnego umocowania, procedur i decyzji dotyczących ryzyka.

1. Najczęstsze słabości

  • brak kompletnej inwentaryzacji sprzętu, kont i usług,
  • współdzielone konta oraz nadmierne uprawnienia lokalnego administratora,
  • stare systemy i urządzenia bez wsparcia producenta,
  • kopie zapasowe podłączone stale do tej samej infrastruktury,
  • brak segmentacji sieci pracowników, gości, urządzeń IoT i systemów krytycznych,
  • umowy IT bez jasno określonych czasów reakcji i odpowiedzialności,
  • brak ćwiczeń dotyczących awarii, ransomware i utraty dostępu do poczty.

2. Odpowiedzialność i role

Należy formalnie wskazać osoby odpowiedzialne za systemy, zgłoszenia incydentów, kopie zapasowe, kontakty z dostawcami i podejmowanie decyzji kryzysowych. W małej jednostce jedna osoba może pełnić kilka ról, ale nie mogą one istnieć wyłącznie „w domyśle”. Dokument powinien określać również zastępstwo na czas urlopu lub choroby.

3. Inwentaryzacja i klasyfikacja

Nie da się chronić zasobu, o którego istnieniu organizacja nie wie. Ewidencja powinna obejmować urządzenia, oprogramowanie, licencje, konta, domeny, certyfikaty, usługi chmurowe i połączenia zewnętrzne. Następnie trzeba wskazać, które systemy są krytyczne dla realizacji zadań publicznych.

KlasaPrzykładOczekiwane zabezpieczenia
KrytycznaSystem finansowy, kadry, dziennik, obieg dokumentówMFA, backup offline, monitoring, plan odtworzenia
WażnaPliki działowe, poczta, system zgłoszeńKontrola dostępu, backup, aktualizacje
PomocniczaStanowiska publiczne, urządzenia prezentacyjneSegmentacja, ograniczone uprawnienia, odtwarzalna konfiguracja

4. Segmentacja i dostęp zdalny

Sieć administracyjna nie powinna być wspólna z Wi-Fi dla gości, urządzeniami multimedialnymi, monitoringiem i automatyką. Dostęp zdalny należy realizować przez VPN z MFA, a nie przez wystawione do internetu pulpity zdalne. Reguły firewalla powinny wynikać z potrzeb, a nie z zasady „wszystko do wszystkiego”.

5. Kopie zapasowe i ciągłość działania

Jednostka powinna znać odpowiedź na pytanie, ile danych może utracić i jak długo może działać bez systemu. Kopie muszą być automatyczne, monitorowane i odseparowane. Przynajmniej raz w roku warto przeprowadzić ćwiczenie odtworzenia kluczowego systemu, a krótsze testy wykonywać częściej.

6. Pracownicy i procedury

Szkolenie nie powinno ograniczać się do jednego kursu rocznie. Potrzebne są krótkie przypomnienia, testy phishingowe prowadzone w bezpieczny sposób, jasna ścieżka zgłaszania i informacja, że szybkie zgłoszenie pomyłki jest pożądane. Procedura odejścia pracownika musi obejmować blokadę kont, zwrot sprzętu i zmianę współdzielonych dostępów.

7. Dostawcy zewnętrzni

Umowa powinna określać zakres usług, dostęp administratorów, czas reakcji, sposób wykonywania kopii, zgłaszanie incydentów, poufność i zasady zakończenia współpracy. Jednostka musi posiadać własną kopię konfiguracji i dokumentacji, aby zmiana wykonawcy nie oznaczała utraty wiedzy o środowisku.

8. Reagowanie na incydent

Prosta instrukcja powinna zawierać numery telefonów, kryteria eskalacji, sposób izolacji urządzenia, ochronę dowodów i kanał komunikacji niezależny od głównej poczty. Właściwy zespół CSIRT należy określić z wyprzedzeniem, a zgłoszenia przygotowywać zgodnie z obowiązującymi zasadami.

9. Plan minimum na 90 dni

  1. wykonaj inwentaryzację i wskaż systemy krytyczne,
  2. włącz MFA dla poczty, administratorów i VPN,
  3. uporządkuj konta i usuń nieużywane dostępy,
  4. zweryfikuj backup i wykonaj test odtworzenia,
  5. oddziel sieci gościnne i urządzenia IoT,
  6. ustal procedurę incydentu i listę kontaktów,
  7. zaplanuj audyt oraz harmonogram usuwania ryzyk.
WniosekNawet ograniczony budżet pozwala znacząco poprawić bezpieczeństwo, jeżeli jednostka zacznie od odpowiedzialności, kont, kopii zapasowych, aktualizacji i segmentacji.

Słownik

Skróty i pojęcia użyte w artykule

Kliknij wybraną nazwę, aby rozwinąć jej znaczenie.

KSC
Krajowy System Cyberbezpieczeństwa

Polski system prawny i organizacyjny określający zadania podmiotów oraz instytucji odpowiedzialnych za cyberbezpieczeństwo.

NIS2
Network and Information Systems Directive 2

Dyrektywa Unii Europejskiej rozszerzająca obowiązki w zakresie zarządzania ryzykiem i zgłaszania incydentów.

CSIRT
Computer Security Incident Response Team

Zespół reagowania na incydenty bezpieczeństwa komputerowego.

SZBI
System Zarządzania Bezpieczeństwem Informacji

Zbiór zasad, ról, procedur i zabezpieczeń służących systemowemu zarządzaniu bezpieczeństwem informacji.

MFA
Multi-Factor Authentication

Uwierzytelnianie wieloskładnikowe chroniące konta dodatkowym elementem poza hasłem.

VLAN
Virtual Local Area Network

Logiczna segmentacja sieci pozwalająca oddzielić np. administrację, uczniów, gości, serwery i urządzenia techniczne.

VPN
Virtual Private Network

Szyfrowany kanał dostępu zdalnego do zasobów jednostki.

SIEM
Security Information and Event Management

System centralnego zbierania i analizy logów oraz alertów.

SOC
Security Operations Center

Funkcja lub zespół prowadzący monitoring, analizę i reakcję na zdarzenia bezpieczeństwa.

RPO / RTO
Recovery Point Objective / Recovery Time Objective

Parametry określające dopuszczalną utratę danych oraz maksymalny czas przywracania usług.