10 dobrych praktyk cyberbezpieczeństwa w jst

Bezpieczeństwo informacyjne jest ważnym elementem działalności jednostki samorządu terytorialnego. Co zrobić, aby w jak najlepszy sposób zabezpieczyć jst przed wystąpieniem incydentu informatycznego? Przedstawiamy Państwu 10 najlepszych praktyk cyberbezpieczeństwa dla samorządów, które pomogą zwiększyć poziom bezpieczeństwa w urzędzie.

Obowiązki wynikające z ustawy o Krajowym Systemie Cyberbezpieczeństwa, narażenie na cyberataki i odpowiedzialność jednostki samorządu to duże obciążenie dla jst. Odpowiednie przygotowanie się do ewentualnych zagrożeń, które mogą skutkować wystąpieniem incydentu lub ataku, to podstawa, zwłaszcza ze względu na postępującą coraz szybciej informatyzację urzędów.

Katalog dobrych praktyk cyberbezpieczeństwa w samorządzie to:

1. Inwentaryzacja zasobów informacyjnych, ustalenie ich wartości i powiązanych
   procesów
   Poznanie własnych zasobów i procesów jest istotnym elementem pracy z nimi. Dzięki temu łatwiej można zauważyć ewentualne nieprawidłowości. Dodatkowo jest to udogodnienie w codziennej pracy i może zwiększyć jej efektywność.
   
   
2. Zorientowanie ochrony na podatności zasobów i procesów (ang. Vulnerabilitydriven security)
   Skoncentrowanie się na własnych podatnościach (słabościach) przynosi lepsze rezultaty niż zagrożeniach, które mogą wcale na nas nie oddziaływać. Zorientowanie się wśród swoich słabych stron pomaga również przy realizacji punktu 6. katalogu.
   
   
3. Czyste biurko i ekran
   Jak zauważa Ministerstwo Cyfryzacji w poradniku stworzonym dla pracowników samorządowych, należy pamiętać, że własne działania również mogą przyczynić się do obniżenia lub zwiększenia bezpieczeństwa informacyjnego w jednostce samorządu terytorialnego. Czyste biurko, poukładana dokumentacja i przejrzystość posiadanych zasobów zdecydowanie pomogą zachować wymagany poziom bezpieczeństwa oraz ułatwią codzienną pracę.
   
   
4. Ograniczone zaufanie wobec podmiotów zewnętrznych i użytkowanych przez nie systemów
   Zarówno tak, jak na drodze stosujemy zasadę ograniczonego zaufania, tak i w zakresie cyberbezpieczeństwa jest to praktyka niezwykle ważna, mogąca uchronić przed wieloma zagrożeniami. Nie ufajmy od razu, sprawdzajmy możliwe i dostępne opcje, aby w jak największym stopniu ograniczyć ryzyko wystąpienia incydentu.
   
   
5. Ochrona “w głąb” (ang. Defense in depth), czyli warstwowość zabezpieczeń i ich spójność pionowa i pozioma
   Ochroną "w głąb" można nazwać, tzw. ochronę pionową. Co oznacza to w praktyce? Ochrona w głąb zakłada, że istnieje kilka warstw zabezpieczeń. W przypadku, w którym jedna z nich zawiedzie, zawsze jest kolejna, która zapewnia wystarczający poziom bezpieczeństwa. Działa to jedynie w sytuacji, w której między danymi warstwami nie ma luki bądź niespójnych elementów.
   
   
6. „Najsłabsze ogniwo” (ang. Weakest link in the chain)
   Każdy system jest tak bezpieczny, jak jego najsłabiej chroniony element. Poprzez najsłabsze ogniwo możliwe jest ominięcie wszelkich innych stosowanych zabezpieczeń (tzw. backdoor) i należy o tym pamiętać podczas konstruowania systemu bezpieczeństwa.
   
   
7. Minimalne przywileje (ang. Least privilege)
   Ograniczanie przywilejów (uprawnień) tylko do tych, które są konieczne dla danego pracownika. Dzięki temu w znaczący sposób obniża się ryzyko wystąpienia incydentu.
   
   
8. Rozdział obowiązków użytkowników (ang. Separation of duties)
   Warto pamiętać, że w przypadku zadań wiążących się z transferem dużych środków finansowych należy wprowadzić mechanizm wzajemnej kontroli urzędników. Chroni to nie tylko przed wystąpieniem incydentu, ale również przed błędami pracowników. W przypadku braku użytkownika czuwającego występuje większe prawdopodobieństwo popełnienia uchybienia.
   
   
9. Zarządzanie zmianami (ang. Change management)
   Należy pamiętać o ustawieniu odpowiedniej konfiguracji programu (również aktualizacji) czy wykonywaniu kopii zapasowych. Takie działania mogą w dużym stopniu uprościć wykonywanie codziennych działań oraz ograniczają możliwość błędu.
   
   
10. Korzystanie z doświadczeń (ang. Learn from experience)
    Uczmy się zarówno na własnych jak i cudzych błędach. Wszelkie doświadczenia i praktyki (złe oraz dobre) są ogromną bazą danych wiedzy, która pozwala uniknąć wielu zagrożeń i incydentów.
    
    

Baza wiedzy cyberbezpieczeństwa w jst

Najlepszym źródłem czerpania informacji jest ekspercka wiedza oparta na wieloletniej praktyce. Cały wachlarz różnorodnych materiałów omawiających kwestię cyberbezpieczeństwa w jednostkach samorządu terytorialnego znajdą Państwo w LEX.

Są to, między innymi:

• szkolenie omawiające Cyberbezpieczeństwo w jednostce samorządu terytorialnego,
• komentarz praktyczny analizujący obowiązki jst w Krajowym Systemie Cyberbezpieczeństwa
• komentarz do ustawy o KSC
• edytowalny wzór zarządzenia w sprawie wprowadzenia systemu zarządzania cyberbezpieczeństwem
• oraz poradniki Ministerstwa Cyfryzacji stworzone dla samorządów

 

Małgorzata Milewicz
młodszy redaktor administracja publiczna