Mówi: | Krzysztof Silicki, dyrektor NASK Przemysław Jaroszewski, kierownik CERT Polska, NASK Agnieszka Aleksiejczuk, dyrektor Departamentu Społeczeństwa Informacyjnego w Podlaskim Urzędzie Marszałkowskim |
Bezpieczeństwo informatyczne w samorządach wzrośnie. To dzięki obowiązkowemu zgłaszaniu cyberincydentów
Od końca sierpnia tego roku samorządy mają obowiązek zgłaszania w ciągu 24 godzin incydentów naruszenia bezpieczeństwa teleinformatycznego. Takie informacje muszą wpływać do CERT Polska, działającego w NASK. Eksperci Instytutu zachęcają, by zgłaszać wszelkie podejrzane e-maile i inne próby ataków. Dzięki temu większa będzie wiedza o cyberbezpieczeństwie w urzędach, a tym samym możliwa będzie skuteczniejsza walka z zagrożeniami. O tym dyskutowano podczas 22. konferencji SECURE, organizowanej przez NASK.
– Cyberbezpieczeństwo stanowi duże wyzwanie dla wielu interesariuszy. Ustawa o krajowym systemie cyberbezpieczeństwa obejmuje m.in. jednostki samorządowe. Jest duże wyzwanie z kilku powodów. Po pierwsze: to liczna i zróżnicowana grupa. Obejmuje zarówno małe ośrodki gminne, jak i większe samorządy czy urzędy marszałkowskie. Stopień przygotowania na ataki teleinformatyczne jest więc różny, tak jak kadry, którymi dysponują. Po drugie, do tej pory jednostki samorządowe nie miały obowiązku informowania o incydentach bezpieczeństwa teleinformatycznego. Dlatego staramy się dotrzeć z informacją, że pojawiły się dodatkowe obowiązki takie jak raportowanie incydentów do CERT Polska w NASK. To ma znaczenie, ponieważ musimy znać stan bezpieczeństwa w urzędach – podkreśla w rozmowie z agencją informacyjną Newseria Biznes Krzysztof Silicki, dyrektor NASK.
Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie 28 sierpnia br. To pierwszy w Polsce akt prawny dotyczący tego obszaru. Nowe prawo wdraża na gruncie krajowym wymogi unijnej dyrektywy NIS, przyjętej w 2016 roku, której celem jest zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej. W Polsce regulacja ma bardziej szczegółowy charakter – ustawą objęty został również m.in. sektor telekomunikacyjny, finansowy i administracja publiczna, na które przepisy nakładają nowe obowiązki.
– Przed samorządami stoją duże wyzwania dotyczące ustawy o krajowym systemie cyberbezpieczeństwa. Do tej pory radziły sobie w sposób nieuregulowany. W zależności od wielkości jednostki przygotowanie kadry informatycznej oraz zarządzanie cyberbezpieczeństwem w urzędzie było bardzo zróżnicowane. Ustawa nałożyła na samorządy obowiązek zgłoszenia osoby kontaktowej, która będzie obsługiwała sprawy związane ze zgłaszaniem incydentów, a także wyznaczenia koordynatora na poziomie różnych jednostek organizacyjnych – mówi Agnieszka Aleksiejczuk, dyrektor departamentu społeczeństwa informacyjnego w Urzędzie Marszałkowskim Województwa Podlaskiego, uczestnicząca w debacie podczas konferencji SECURE 2018.
Zgodnie z ustawą w ciągu 24 godzin od momentu wykrycia zagrożenia bądź incydentu naruszenia bezpieczeństwa samorządy muszą zgłaszać takie przypadki do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego, czyli CSIRT (MON, ABW lub NASK) Należy zaznaczyć, że w przypadku spółek samorządowych infrastrukturalnych, które znajda się w wykazie Operatorów Usług Kluczowych i jednocześnie w wykazie Infrastruktury Krytycznej, właściwym CSIRT będzie CSIRT GOV lub CSIRT MON.
– Takiego zgłoszenia można dokonać na naszej stronie incydent.cert.pl, gdzie znajduje się odpowiedni formularz, do którego trzeba wpisać wszystkie informacje wymagane w ustawie. Jako incydent ustawa definiuje wszelkiego rodzaju działania zakłócające bezpieczne dostarczanie usług dla obywateli z wykorzystaniem systemów informatycznych – podkreśla Przemysław Jaroszewski, kierownik zespołu CERT Polska w NASK. – Im więcej wiemy, im więcej informacji otrzymamy, tym lepiej jesteśmy w stanie przeanalizować, co dzieje się w obszarze cyberbezpieczeństwa i tym skuteczniej jesteśmy w stanie ostrzegać podmioty administracji samorządowej i informować je, jak ustrzec się przed zagrożeniami.
Agnieszka Aleksiejczuk ocenia, że do tej pory poziom świadomości dotyczącej cyberzagrożeń na szczeblu administracji był bardzo zróżnicowany. Duże jednostki, jak np. duże miasta czy urzędy marszałkowskie, radziły sobie znacznie lepiej niż małe gminy, w których informatyk odpowiedzialny za ten obszar często jest zatrudniony na część etatu albo umowę-zlecenie. Dlatego z perspektywy małych jednostek przeciwdziałanie i radzenie sobie z zagrożeniami było bardzo trudne.
– Nowością jest to, że zgłaszanie incydentów stało się obowiązkiem. Myślę, że niedługo będziemy już mieć dane pokazujące, jak faktycznie jest z tym bezpieczeństwem. Ustawa daje nam też możliwość kontaktu z tymi urzędami i szerzenia wiedzy na temat standardów bezpieczeństwa i dobrych praktyk –dodaje Krzysztof Silicki.
Dyrektor NASK podkreśla, że urzędy są zinformatyzowane w coraz większym stopniu, a obywatele coraz częściej kontaktują się z nimi i załatwiają sprawy urzędowe przez internet i aplikacje. To wymusza większą dbałość o cyberbezpieczeństwo. Do tej pory nie było rzetelnych danych, które pokazywałyby, na ile urzędy faktycznie są bezpieczne i jak często stykają się z zagrożeniami. Dzięki nowej ustawie eksperci NASK zyskają takie informacje, co pozwoli skuteczniej tworzyć system cyberbezpieczeństwa na różnych poziomach.
– Zachęcamy do zgłaszania podejrzanych listów elektronicznych z załącznikami, które mogą się okazać złośliwe. Pozwoli nam to stwierdzić, czy jest to przypadkowa kampania, czy może atak ukierunkowany na zapoznanie się z kontraktami, które podpisują samorządy, zainstalowanie złośliwego oprogramowania na konkretnych komputerach. Zachęcamy też do zgłaszania ataków typu DoS, zakłócających dostępność, np. systemów rejestracji kierowców, podmiany strony www czy ataków na profile społecznościowe. Słowem – wszystkich sytuacji, które wzbudzają podejrzenia. Nawet jeżeli nie odniosły skutku, to pomogą nam dowiedzieć się więcej, a być może ostrzec innych, którzy nie poradziliby sobie sami z takim atakiem – podkreśla Przemysław Jaroszewski.
Od początku tego roku do końca września, CERT Polska – działający w NASK zespół reagowania na incydenty cyberbezpieczeństwa – odnotował w polskich sieciach 2 690 incydentów związanych z naruszeniem bezpieczeństwa w internecie. Ponad połowę z nich (51,64 proc.) stanowiły oszustwa komputerowe, wśród których najczęściej odnotowywany był phishing, czyli fałszywa korespondencja e-mail lub strony internetowe mające na celu wyłudzenie pieniędzy lub poufnych informacji.
Czytaj także
- 2025-02-10: Dwie trzecie polskich przedsiębiorców znalazło się na celowniku cyberoszustów. Niewielki odsetek zgłasza to do odpowiednich służb
- 2025-02-11: Rzecznik Małych i Średnich Przedsiębiorców chciałby zyskać nowe kompetencje. Wśród nich mediacje między przedsiębiorcami
- 2025-01-21: Przyszłość relacji transatlantyckich wśród głównych tematów posiedzenia PE. Europa jest gotowa do współpracy
- 2025-01-22: Ślepe pozwy pomogą walczyć z hejtem w internecie. Spodziewana lawina wniosków może sparaliżować sądy
- 2025-01-15: Pracodawcy apelują o usprawnienie wydawania zezwoleń na pracę cudzoziemcom. Nowe regulacje tylko w części w tym pomogą
- 2025-01-02: Ustawa o ochronie ludności i obronie cywilnej wchodzi w życie. Najważniejszym zadaniem przygotowanie społeczeństwa na zagrożenia
- 2025-01-07: W ciągu 10 lat w Polsce może brakować 2,1 mln pracowników. Ratunkiem dla rynku pracy wzrost zatrudnienia cudzoziemców
- 2025-01-08: W Krakowie powstało centrum operacyjne cyberbezpieczeństwa. Sektor małych i średnich firm zyska dostęp do specjalistycznych usług [DEPESZA]
- 2024-12-18: Inżynierowie z Warszawy pracują nad innowacjami dla całej Grupy Orange. Ich specjalności to AI i cyberbezpieczeństwo
- 2024-12-05: Saszetki nikotynowe dodane na finiszu prac do ustawy tytoniowej. Pracodawcy RP: to kontrowersyjna wrzutka legislacyjna
Kalendarium
Więcej ważnych informacji
Jedynka Newserii

Przemysł

Konkurencyjność przemysłu priorytetem dla Europy. Konieczne jest zwiększenie poziomu inwestycji firm w innowacje
Dobrze prosperująca i konkurencyjna Europa – to jedno z haseł przewodnich obecnego tzw. tria prezydencji w Radzie UE, czyli Polski, Danii i Cypru. To oznacza, że przez kolejne 1,5 roku wysiłki państw członkowskich i instytucji unijnych będą się koncentrować oprócz szeroko rozumianego bezpieczeństwa m.in. na wzmacnianiu konkurencyjności europejskiego przemysłu. W tym kontekście na znaczeniu zyskują inwestycje firm w cyfryzację i automatyzację.
Bankowość
Ponad 1,2 tys. projektów związanych z zieloną transformacją miast. BGK podpisał już umowy na 6,4 mld zł

Już ponad 1,2 tys. wniosków wpłynęło do BGK na pożyczkę wspierającą zieloną transformację miast. Ich łączna wartość przekracza 6,4 mld zł. W ramach całego programu polskie samorządy i spółki komunalne mogą zyskać 40 mld zł w ramach preferencyjnych pożyczek. W marcu BGK podpisało osiem umów na zielone transformacje z czterema samorządami. W Szczytnie środki umożliwią rekultywację ścisłego centrum miasta z uwzględnieniem zabytkowej wieży ciśnień.
Edukacja
Jerzy Owsiak: Polskie firmy potrzebują, aby państwo im nie przeszkadzało w prowadzeniu biznesu. Ważne jest też zaufanie i ograniczenie biurokracji

– To jest najbardziej dzielny kraj na świecie – mówi o polskim podejściu do przedsiębiorczości Jerzy Owsiak, założyciel i prezes Fundacji Wielkiej Orkiestry Świątecznej Pomocy. Przy okazji gali wręczenia statuetek Lidera Polskiego Biznesu nawiązał do lat 90., które pokazały siłę pomysłowości i kreatywności polskich przedsiębiorców. Jerzy Owsiak został jednym z tegorocznych laureatów Nagrody Specjalnej Business Centre Club.
Partner serwisu
Szkolenia

Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.