Współczesne samorządy, z uwagi na swoje szerokie kompetencje, duże zasoby danych oraz często dość znaczące budżety, stają się coraz bardziej atrakcyjnym celem dla cyberprzestępców. Nie bez znaczenia pozostaje także aktualna sytuacja geopolityczna, która stawia nasz kraj w centrum zainteresowanie grup hakerskich sponsorowanych przez Kreml. Chociaż uderzają one głównie w sektor finansowy, medyczny i instytucje zaufania publicznego, o tyle samorządy mogą stać się także celem podobnych ataków. Niestety, poziom zabezpieczeń cyfrowych Jednostek Samorządu Terytorialnego (JST) nie zawsze jest wystarczający. Słaba obrona, działa niestety niczym zaproszenie.
Według danych opublikowanych w Rzeczpospolitej, liczba ataków na samorządy wzrosła niemal o 100% w latach 2020-2022. Wektorami tych ataków są głównie luki w systemach bezpieczeństwa oraz ludzka podatność na dobrze zaprojektowany phishing. Skutki takich incydentów mogą być poważne.
Przykładem może być Górnośląsko-Zagłębiowska Metropolia, gdzie atak spowodował wyłączenie wielu kluczowych usług dla mieszkańców. Był możliwy m.in. dlatego, iż zaatakowany serwer działał na przestarzałym systemie. W tym przypadku konsekwencje dotknęły głównie transportu publicznego, ale nietrudno wyobrazić sobie np. atak wycelowany w lokalny szpital czy zakłócający przebieg wyborów. – twierdzi Aleksander Kostuch, inżynier firmy Stormshield.
Ministerstwo Cyfryzacji traktuje kwestię cyberbezpieczeństwa samorządów jako priorytet i podejmuje działania mające na celu wsparcie w tym zakresie. Brak środków finansowych stanowi często barierę we wdrażaniu skutecznych rozwiązań. Aktualnie Ministerstwo realizuje program Cyberbezpieczny Samorząd, który cieszy się wysokim zainteresowaniem – niemal 90% JST skorzystało z możliwości udziału w tym programie.
Aspekty prawne: dyrektywa NIS2
Istotnym czynnikiem odnoszącym się do kwestii cyberbezpieczeństwa samorządów będzie wdrażanie przepisów zgodnych z dyrektywą NIS2. Nakłada ona szereg obowiązków, m.in. dotyczących raportowania incydentów, zarządzania ryzykiem oraz stosowania odpowiednich rozwiązań technicznych. Dotyczy to również infrastruktury krytycznej, która często podlega właśnie samorządom: ochrona zdrowia, wodociągi, kanalizacja czy choćby systemy sterowania ruchem drogowym. Dyrektywa NIS2 wymusza stosowanie zabezpieczeń dla tych obszarów działalności samorządów, które można uznać za części infrastruktury krytycznej. Kluczową rolę w zapobieganiu atakom odgrywać mają odpowiednie rozwiązania techniczne, takie jak nowoczesne firewalle czy też systemy ochrony stacji końcowych. Istotne jest także podniesienie świadomości samorządów na temat dyrektywy NIS2 oraz zapewnienie odpowiednich środków finansowych na utrzymanie zakupionych rozwiązań.
To właśnie kwestia utrzymania zakupionych rozwiązań może być, szczególnie dla mniejszych jednostek samorządowych, wyzwaniem. Program Cyberbezpieczny Samorząd zakłada bowiem dofinansowanie utrzymania na dwa lata, jednakże to na JST spoczywa obowiązek pozyskania finansowania na utrzymanie rozwiązań przez kolejne 2 lata. Zwłaszcza w roku wyborczym, władze samorządów mogą chętniej wydawać środki na łatwiejsze do zrozumienia przez wyborców działania w przestrzeni gminy: nową drogę, przystanki autobusowe czy, popularne w Polsce zalanie placów betonem, zwane “rewitalizacją”. Wyjaśnienie wyborcom znacznych wydatków na cyberbezpieczeństwo może okazać się trudne. A względem wydatków na infrastrukturę miejską, są to stosunkowo niewielkie koszty. Z czasem także budowa wizerunku bezpiecznego, także pod względem cyberbezpieczeństwa, miejsca, może przysłużyć się lokalnym władzom jako element narracji politycznej.
Jak więc stworzyć bezpieczne środowisko w JST? Podstawą, jak dla wszystkich systemu bezpieczeństwa, powinna być wiedza – dlatego też edukacja, zarówno pracowników podlegających samorządowi, jak i mieszkańców, jest wyjątkowo istotnym działaniem. Świadomi zagrożeń i popularnych metod ataku ludzie, są mniej podatni, bardziej wyczuleni na zagrożenia. Drugi element to oczywiście infrastruktura. Rolą samorządu jest zadbanie o to, by posiadane rozwiązania były wpięte w systemy monitorowania i informacji o wszelkich incydentach (SIEM), co pozwoli wykryć wrogie działania zanim szkody staną się poważne. najważniejsze jest także stosowanie nowoczesnych rozwiązań infrastrukturalnych, jak firewalle czy systemy EDR.
Zarówno w obszarze edukacji nt. zagrożeń, jak i stosowanej infrastruktury, samorządy nigdy nie powinny uznawać działań za zakończone. Formy ataków stale ewoluują i, niestety, mając wpływ na infrastrukturę krytyczną, nie pozostaje nic innego niż wzięcie udziału w tym swoistym wyścigu zbrojeń. Dlatego też JST powinny stale, cyklicznie, inwestować w modernizację infrastruktury sieciowej i bezpieczeństwa, ale także w szkolenia.
Rozwiązania dla samorządów
Jakie rozwiązania i usługi mogą wesprzeć JST w realizacji strategii cyberbezpieczeństwa? Dobrym pomysłem może być zastosowanie urządzeń UTM (Unified Threat Management) czyli kompleksowych rozwiązań działających wieloaspektowo. UTM zwykle zastępuje kilka różnych urządzeń, łącząc funkcjonalność firewalla, IPS (Intrusion Prevention System) oraz VPN IPsec. Dzięki odpowiednio skonfigurowanej infrastrukturze tego typu można nie tylko zadbać o bezpieczeństwo, ale także realnie zaoszczędzić środki – rozwiązania UTM są bowiem tańsze niż urządzenia, które zastępują, kupowane osobno. Oczywiście, należy pamiętać przy tym o segmentacji dla różnych obszarów działalności samorządu, zwłaszcza podlegających mu jednostek infrastruktury krytycznej. Korzystając z przemyślanej budowy infrastruktury bezpieczeństwa, można w ten sposób oddzielić od siebie składowe jednostki podległe. Segmentacja jest korzystna z punktu widzenia bezpieczeństwa, bowiem podatność jednej z jednostek nie wystawia na wzmożone ryzyko pozostałych.
W wyborze rozwiązań infrastruktury bezpieczeństwa istotna jest także ich skalowalność. Postępująca transformacja cyfrowa będzie jedynie wzmacniała zapotrzebowanie na przenoszenie kolejnych zasobów, w tym narzędzi zarządzania, do form cyfrowych, zwykle podłączonych do sieci. To natomiast oznacza konieczność skalowania rozwiązań infrastruktury bezpieczeństwa. Obsługa sieci światłowodowych, choćby jeżeli w gminie jeszcze ich nie ma, to adekwatnie konieczność, by mówić o rozwiązaniu z potencjałem na dłuższy czas, gotowym na rosnące obciążenia.
Kolejnym aspektem branym pod uwagę podczas wyboru rozwiązań UTM powinna być integracja z zasobami z CERT NASK. Jest to istotne, ponieważ umożliwia automatyczne eliminowanie ruchu o niskiej reputacji (tj. z niepewnych, potencjalnie groźnych lokalizacji i domen), co zmniejsza ryzyko niektórych rodzajów ataków (np. ogranicza potencjalne atak phishingowe). Co ważne, bazy CERT NASK są stale aktualizowane.
Następną rzeczą, jaką warto wziąć pod uwagę przy wyborze UTM dla gminy jest łatwość wdrożenia, jakość wsparcia oraz pochodzenie producenta, co jest istotne w kontekście geopolitycznym. Dostrzega się to również na szczeblu rządowym. W ostatnim czasie nasze wojsko poinformowano o podpisaniu porozumienia polsko-francuskiego o zacieśnieniu współpracy w zakresie zwiększania cyberbezpieczeństwa obu państw.
Konfiguracja UTM wymaga specjalistycznej wiedzy, ale przy adekwatnym zaprojektowaniu procesu wdrożenia, w tym dobrej jakości materiałach instruktażowych, nie powinna stanowić wyzwania dla samorządowego specjalisty IT. Gdyby jednak proces ten okazał się uciążliwy, lub wystąpiły nieprzewidziane trudności, wówczas kluczowa jest jakość wsparcia zapewniana przez producenta lub dystrybutora sprzętu.
Ostatnim, ale z pewnością nie pod względem wagi, jest aspekt finansowy. Zakup i wdrożenie to jedno, ale koszty utrzymania mają najważniejsze znaczenie. Przedłużenie licencji czy czas pracy administratorów oraz pobór energii – te elementy składają się na TCO (całkowity koszt posiadania) urządzeń UTM. Warto wziąć to pod uwagę pamiętając o charakterystyce dofinansowania z programu Cyberbezpieczna Samorząd.
Stormshield – europejski wybór dla samorządu
Rośnie liczba zagrożeń, a w miarę postępującej digitalizacji życia publicznego, trend ten będzie się jedynie nasilać. W odpowiedzi na te wyzwania, samorządy coraz częściej sięgają po zaawansowane rozwiązania sprzętowe, takie jak te oferowane przez Stormshield. Marka należy do francuskiej grupy Airbus, a oferowane przez nią rozwiązania posiadają certyfikaty UE, NATO czy ANSSI EAL3+ i EAL4+. Spełniają wymogi dyrektywy NIS2, a także zapewniają kompleksową ochronę infrastruktury IT.
Ważnym aspektem wyboru rozwiązań Stormshield jest też możliwość skalowania infrastruktury w zależności od aktualnych potrzeb oraz integracja z zasobami z CERT NASK, co pozwala na skuteczną eliminację nowych typów zagrożeń. Nie bez znaczenia jest także niższy koszt posiadania. Jak wskazuje dystrybutor tych rozwiązań, firma DAGMA Bezpieczeństwo IT, na zakupie urządzeń i utrzymaniu ważności licencji, względem rozwiązań konkurencyjnych, oszczędność wynosi około 30%.
Rozwiązania UTM Stormshield są także chwalone za europejskie pochodzenie, wysoką jakość techniczną, skalowalność pod względem obciążenia i stosunkowo łatwe wdrożenie. Nie bez znaczenia pozostaje także w pełni polskojęzyczny support, co niestety przez cały czas nie jest standardem na rynku.
Ostatecznie, poprawa bezpieczeństwa cybernetycznego jednostki samorządu, oraz wszystkim podległym jej instytucjom, to poważne wyzwanie. Biorąc pod uwagę szereg zadań, jakie przypadają w udziale samorządowym specjalistom IT, warto szukać metod, które ułatwią ich pracę. Solidny partner to chyba najlepsza z nich. Takim partnerem, co uwidaczniają obecne już w samorządach przykłady, jest DAGMA Bezpieczeństwo IT i Stormshield.
Tekst powstał we współpracy z partnerem zewnętrznym