Cyberbezpieczeństwo samorządów: wspierać, by nie wrócić do poziomu 0

Konieczność zapewnienia ciągłości świadczenia usług, dysponowanie dużymi zasobami wrażliwych i cennych danych, a dodatkowo znaczne budżety – wszystko to czyni samorządy atrakcyjnym celem dla przestępców. Tym łatwiejszym, że poziom zabezpieczeń cyfrowych Jednostek Samorządu Terytorialnego (JST) nie zawsze jest wystarczający. Rozwiązania Stormshield stanowią optymalną propozycję dla przedsiębiorstw i instytucji samorządowych, które dążą do wzmocnienia własnego bezpieczeństwa teleinformatycznego oraz spełnienia wymogów dyrektywy NIS2, co obrazuje przykład wdrożenia w jednej z gmin na Śląsku.

Cyber realia JST: niemal 100 proc. wzrost liczby ataków w latach 2020-2022 a w perspektywie NIS2

W minionym roku incydent dotknął Górnośląsko-Zagłębiowską Metropolię. W efekcie ataku, do którego wykorzystano serwer działający w oparciu o przestarzały system, przestały działać portal, aplikacja mobilna, System Dynamicznej Informacji Pasażerskiej i kasowniki z czytnikami kart, a pasażerowie komunikacji publicznej byli proszeni o samodzielne kasowanie papierowych biletów. Realizacja ważnych z perspektywy mieszkańców usług była utrudniona.

Kolejne incydenty są kwestią czasu, gdyż jak przekonują eksperci w Rzeczpospolitej: „Rok podwójnych wyborów będzie sprzyjał atakom na słabo zabezpieczone instytucje samorządowe”. Wedle danych* najczęstszymi przyczynami skutecznych działań przestępców są luki w systemie bezpieczeństwa (38% przypadków), a także pozyskanie danych uwierzytelniających (30%) i phishing (25%).

Ministerstwo Cyfryzacji cyberbezpieczeństwo samorządów traktuje jako jeden z priorytetów, deklarując kontynuację programów wsparcia. To zasadne, bowiem brak środków finansowych jest barierą w budowie skutecznych zapór powstrzymujących hakerów. W odpowiedzi na potrzeby wprowadzony został program Cyfrowa Gmina, a po jego zakończeniu uruchomiono Cyberbezpieczny Samorząd. Choć zainteresowanie było duże, wnioski złożyło 2 517 z 2 807 JST, to ponad 10% uprawnionych nie skorzystało z udziału w inicjatywie.

Ważnym aspektem w tym kontekście jest również zbliżające się wdrożenie założeń dyrektywy NIS2 do polskiego prawodawstwa. Dyrektywa nakłada szereg obowiązków na podmioty kluczowe, wśród których znajdują się operatorzy infrastruktury krytycznej, dotyczą one m.in. raportowania incydentów, zarządzania ryzykiem i stosowania rozwiązań technicznych adekwatnych do jego poziomu. Warto zwrócić uwagę, że systemy będące w zarządzaniu samorządów obejmują nie tylko sieci urzędów miast czy gmin, lecz także infrastrukturę krytyczną związaną z usługami publicznymi, które realizuje się na rzecz mieszkańców. Władze lokalne zarządzają zakładami wodno-kanalizacyjnymi, ciepłowniami czy ośrodkami zdrowia, zaliczanymi do podmiotów infrastruktury krytycznej. Systemy informatyczne każdego z nich wymagają zabezpieczenia – o czym również wspomina dyrektywa NIS2. Dodatkowo nie można zapominać, że łącznie z gminnymi systemami stanowią one system naczyń połączonych.

Jak komentuje specjalista odpowiedzialny za bezpieczeństwo IT jednej ze śląskich gmin, wiedza o zagrożeniach, dzięki szkoleniom i działalności NASK, jest powszechna. Dodatkowo „po wdrożeniu odpowiednich rozwiązań można im skutecznie przeciwdziałać. Gorzej ze świadomością w kwestii dyrektywy NIS2, a problem ten w szczególności dotyczy mniejszych gmin. Jednak brak działań w tym obszarze wynika nie tyle z nieznajomości prawa, co braku środków.

Samorządowy łańcuch dostaw też zagrożony

Zdaniem specjalistów zajmujących się bezpieczeństwem IT w JST, „problemem jest także niewystarczająca świadomość po stronie organizacji, które tworzą ich łańcuch dostaw”. Zjawisko dotyczy nie tylko sektora samorządowego.

Te opinie doskonale ilustrują jeden z głównych trendów, z jakimi mamy do czynienia obecnie. Przestępcy obierają sobie za cel podmioty tworzące łańcuch dostaw, by wykorzystując je jako nić, dzięki której, niczym po kłębku, dostaną się do zasobów organizacji docelowej. Może nią być na przykład gmina lub powiat

Aleksander Kostuch,

inżynier Stormshield

By temu skutecznie przeciwdziałać kluczowe są odpowiednie rozwiązania techniczne i działania miękkie, w tym edukacja mieszkańców i pracowników. Samorządy powinny wzmacniać infrastrukturę IT o nowoczesne firewalle, systemy ochrony stacji końcowych, jakimi są systemy EDR, stosować systemy monitorowania i informowania o incydentach typu SIEM. Brak mechanizmów nadzoru i kontroli, sprawia, że można stać się łatwym celem dla przestępców.

Dofinansowania możliwe do uzyskania w ramach Cyberbezpiecznego Samorządu pozwalają kompleksowo wzmocnić ochronę cyfrowej sfery funkcjonowania podmiotów samorządowych. Istotną przy tym kwestią jest obowiązek utrzymania zakupionych rozwiązań. Zgodnie z założeniem Programu, pozyskane środki mogą być przeznaczone na 2 lata ich utrzymania, a dodatkowo beneficjenci muszą z innych źródeł sfinansować kolejne 2 lata po rozliczeniu projektu. Ten obowiązek i brak kwalifikowalności VAT można wskazać jako bariery powstrzymujące JST przed staraniem się o pozyskanie wsparcia.

Zwyczajnie łatwiej jest wydatkować ich ograniczone środki na coś namacalnego np. drogę, chodnik lub most. To z perspektywy niejednego wyborcy jest podstawą do oceny skuteczności i efektywności pracy władz lokalnych, wyrażaną przy urnie wyborczej. Cyberbezpieczeństwo, w kontekście oceny funkcjonowania samorządu, znajduje się znacznie niżej w hierarchii ważności. Zdecydowanie jednak, planując wydatki, warto położyć większy nacisk na inwestycje mające na celu podniesienie ogólnego poziomu cyberbezpieczeństwa JST.

W porównaniu do kosztów inwestycji infrastrukturalnych są one niewielkie, a mogą posłużyć do utrzymania rozwiązań zakupionych w ramach Cyberbezpiecznego Samorządu. W ten sposób znacząco ograniczymy ryzyko skutecznych cyberataków i przy okazji pomożemy przygotować urząd na nowe regulacje prawne takie jak NIS2

Aleksander Kostuch,

inżynier Stormshield

Kwestia VAT-u i dodatkowych kosztów realizacji projektu, w tym utrzymania rozwiązań przez wskazany okres, ma znaczenie szczególnie dla mniejszych samorządów z małymi budżetami. W opisywanej gminie w pełni odpowiedzialnie potraktowano wyzwanie wzmocnienia bezpieczeństwa.

Pomimo trudności z VAT, a także wyższymi kosztami wdrożenia przyjętego rozwiązania, uwzględniającego segmentacją naszych systemów, osoby odpowiedzialne za projekt zgodziły się z rekomendacjami specjalistów IT by bezpieczeństwo priorytetowo potraktować

specjalista IT odpowiedzialny za cyfrowe bezpieczeństwo gminy, w tym wdrożenie objętych dofinansowaniem rozwiązań

Specjaliści są zgodni co do tego, że warto myśleć o powtarzaniu programów wsparcia. Zagrożenia ewoluują, a dodatkowo niezmiennie nasze ludzkie słabości są wykorzystywane przez przestępców, ponieważ mechanizmów psychologii człowieka nie zmienimy. W opinii przedstawiciela śląskiej gminy regularne wsparcie zwiększa szanse uniknięcia scenariusza, gdy po upłynięciu ujętego w założeniach danego programu obligatoryjnego okresu realizacji zadań, z bezpieczeństwem IT samorządów wrócimy do wcześniejszego, czyli niskiego i nieakceptowanego poziomu.

Funkcjonalna ochrona z polskojęzycznym wsparciem i w konkurencyjnej cenie

Urząd gminy w województwie śląskim postanowił zabezpieczyć swoją infrastrukturę informatyczną. Obejmuje ona system urzędu gminy oraz jednostki podległej, a wdrożone rozwiązania sfinansowano dzięki programowi Cyfrowa Gmina. Projektując wniosek o dofinansowanie założono wdrożenie rozwiązań obejmujących instalację niezależnych urządzeń UTM. System urzędu gminy zabezpieczony jest UTM Stormshield SN720. Do jednostki podległej zdecydowano o wyborze Stormshield SN310.

Segmentacja sieci przy użyciu urządzeń UTM Stormshield umożliwia minimalizowanie ryzyka, poprzez odseparowanie zasobów obu podmiotów, przy równoczesnym optymalnym wykorzystaniu dostępnych środków finansowych. Wdrożenie niezależnych urządzeń UTM przynosi pozytywne efekty, nie tylko wzmacniając bezpieczeństwo danych, lecz również usprawniając zarządzanie infrastrukturą IT.

Obecnie każdy administrator powinien dbać o swoje dane, a ograniczenie dostępu jedynie do tego ich katalogu, który jest mu niezbędny minimalizuje ryzyko. Dodatkowo unikamy dublowania odpowiedzialności za obszary, które są zarządzane niezależnie. Gdybyśmy funkcjonowali w oparciu o pojedyncze urządzenie i brak mikro segmentacji, to w przypadku włamania, po uzyskaniu dostępu do jednostki podległej, przestępca mógłby eksplorować również zasoby urzędu. Montaż jednego urządzenia mógłby być tańszy, jednak niósłby większe ryzyko

przedstawiciele gminy

Wybór urządzeń był podyktowany również spodziewanym rozrostem systemu gminy. UTM Stormshield SN720 oferuje możliwość dostosowania do aktualnych potrzeb, poprzez zwiększenie wydajności w wybranym przez użytkownika momencie. Duże znaczenie z perspektywy użytkownika ma również integracja UTM Stormshield z zasobami z CERT NASK. Pozwala to skutecznie eliminować ruch o niskiej reputacji, co minimalizuje ryzyko wystąpienia nowych typów zagrożeń. Ta synergia sprawia, że infrastruktura np. samorządów jest stale chroniona przed najnowszymi atakami cybernetycznymi.

Gmina korzystała z konsultingu przy opracowywaniu wniosków do programu Cyfrowa Gmina, jednak wdrożenie pozyskanych rozwiązań przeprowadzono samodzielnie. Łatwość konfiguracji UTM Stormshield i ich intuicyjnie zaprojektowanie były dużymi zaletami, a podczas instalacji pomocne okazały się instruktaże przygotowane przez dystrybutora, Dagma Bezpieczeństwo IT. Pewien problem sprawiła konfiguracja ruchu wychodzącego, jednak z pomocą przyszli polskojęzyczni specjaliści Dagma i Stormshield a użytkownik nie został pozostawiony samemu sobie.

UTM Stormshield charakteryzuje się nie tylko obsługą światłowodów, lecz także wyjątkową skalowalnością. Urządzenie dobrze sprawdzi się tam, gdzie wymagana jest wysoka przepustowość oraz niezawodna komunikacja sieciowa. Skalowalność pozwala na elastyczne dostosowanie do zmieniających się potrzeb i rozmiarów infrastruktury organizacji, bez konieczności wymiany całego systemu bezpieczeństwa.

Oszczędność wynikająca z instalacji UTM Stormshield, który daje możliwość zwiększenia wydajności licencją, obejmuje aspekt finansowy (zakup urządzenia i utrzymanie ważnych licencji jest tańsze o ok. 30% od równoważnych rozwiązań konkurencji), a także czas pracy administratorów. Do podniesienia wydajności nie ma potrzeby zakupu nowego urządzenia, a co za tym idzie nie wymaga to przygotowania kolejnego postępowania przetargowego na zakup nowego systemu bezpieczeństwa.

* za: „Samorządy na celowniku hakerów”, Rzeczpospolita z dn. 11.02.2024