Aktywność cyberprzestępców nie ogranicza się tylko do branży komercyjnej. Zagrożenie obejmuje również sektor publiczny, który jest odpowiedzialny za infrastrukturę krytyczną dla funkcjonowania państwa oraz przetwarzanie danych mieszkańców i obywateli.
W ubiegłym roku aż 80% organizacji nadzorujących infrastrukturę krytyczną doświadczyło ataku ransomware, a w następstwie aktualnej sytuacji geopolitycznej, w Polsce do 30 listopada br. obowiązuje trzeci stopień alarmowy CRP, sygnalizujący zagrożenia dla państwowej infrastruktury. Nic więc dziwnego, że coraz częściej przetargi w sektorze publicznym wymagają od wykonawców certyfikatów poświadczających posiadanie kompetencji z zakresu przetwarzania danych oraz zapewnienia ich bezpieczeństwa.
Infrastruktura pod cybernetycznym ostrzałem
W najnowszym zestawieniu najbezpieczniejszych cyfrowo krajów Polska uplasowała się w pierwszej dwudziestce rankingu – to wyżej niż takie kraje Europy Zachodniej jak Niemcy, Francja czy Hiszpania. W rankingu autorstwa firmy Comparitech uwzględniono również ocenę poziomu zabezpieczeń państwowych.
– Te dane pokazują, że jesteśmy na dobrej drodze. Ciągle jednak musimy wzmacniać cyberbezpieczeństwo systemów krytycznych. To szczególnie istotne w obliczu aktualnej sytuacji geopolitycznej i stale zwiększającej się liczby złośliwych ataków na państwową infrastrukturę. O powadze sytuacji świadczy fakt, iż od kilku miesięcy obowiązują w naszym kraju podwyższone stopnie alarmowe sygnalizujące zwiększone zagrożenie dla infrastruktury teleinformatycznej. Rosnąca popularność rozwiązań, dzięki którym obywatele mogą załatwiać sprawy urzędowe przez Internet, oznacza także, że ogólnopolskie aplikacje przetwarzają coraz większą ilość informacji. Systemy te naturalnie stają się celem ataku cyberprzestępców, szczególnie tych działających na zlecenie innych państw. To z kolei oznacza, że w obszarze infrastruktury administracji publicznej musimy nieustannie zachowywać i wzmacniać naszą czujność. – Piotr Staszczak, prezes zarządu, S&T w Polsce
Zagrożenie dotyczy nie tylko infrastruktury centralnej, ale również lokalnej. W Polsce już w pierwszych miesiącach pandemii wzrosła liczba ataków hakerskich na serwery jednostek samorządu terytorialnego. Aktualnie globalnie nawet 4 na 10 naruszeń bezpieczeństwa informacji za pośrednictwem ransomware dotyczy władz lokalnych. Mając na uwadze, że nawet 94% ataków tego typu wiąże się z próbą zniszczenia kopii zapasowych, wyzwanie jest realne – w ostatnich latach samorządy straciły średnio od 20 do 60 tys. złotych w wyniku udanych naruszeń bezpieczeństwa. Koszt obejmuje m.in. ukradzione pieniądze, ale również opłaty dla firm przywracających system do działania po incydencie bezpieczeństwa.
W przetargach stawia się na bezpieczeństwo
W kontekście powyższych danych instytucje sektora publicznego – zarówno na szczeblu centralnym, jak i lokalnym – przy ogłaszaniu zamówień na elementy infrastruktury informatycznej szczególnie uważnie sprawdzają kompetencje wykonawców związane z przetwarzaniem i zabezpieczaniem danych. Tom II rekomendacji dotyczących zamówień publicznych na systemy informatyczne opublikowany w grudniu 2021 r. przez Urząd Zamówień Publicznych uwzględnia m.in. wymóg określenia przez zamawiającego wymagań w zakresie cyberbezpieczeństwa systemu informatycznego. Rekomendacje wskazują wprost, że można to zrobić na podstawie powszechnie uznawanych norm i certyfikacji z zakresu bezpieczeństwa cybernetycznego, takich jak ISO, Narodowe Standardy Cyberbezpieczeństwa czy standardy określone przez amerykański Narodowy Instytut Standaryzacji i Technologii. Co więcej, wymagania dotyczą nie tylko zabezpieczenia infrastruktury, ale również odpowiedniego zarządzania dostępem i przetwarzaniem danych przez personel wykonujący zadania w ramach projektu.
Certyfikat w odpowiedzi na wymagania
W efekcie w zamówieniach publicznych często wprost jest określony wymóg zaprezentowania przez wykonawcę dokumentu potwierdzającego te kompetencje. Przykładem jest ISO 27001 – jeden z najbardziej renomowanych i rozpoznawalnych certyfikatów, który zaświadcza o przestrzeganiu międzynarodowych standardów w zakresie bezpieczeństwa informacji. Szacuje się, że tylko do 2020 roku spełnianiem norm ISO 27001 mogło poszczycić się ok. 45 000 firm na całym świecie, z czego 710 w Polsce. To certyfikat szczególnie pożądany w branży IT – około 25% certyfikowanych globalnie podmiotów działa właśnie w tym sektorze gospodarki.
– W S&T realizujemy projekty kluczowe dla administracji publicznej, takie jak e-recepta, e-skierowanie czy portal IKP. Budowa tego typu aplikacji centralnych wymaga nie tylko posiadania odpowiednich kompetencji informatycznych, ale również wiedzy z zakresu przetwarzania informacji i zapewnienia odpowiedniego poziomu bezpieczeństwa. Mając świadomość, że jako wykonawca jesteśmy odpowiedzialni za krytyczne dla kraju wdrożenia, co roku ubiegamy się o potwierdzenie naszych kwalifikacji w formie certyfikatu ISO 27001, spełniającego wymagania stawiane w postępowaniach publicznych. – Tomasz Kupfer, Business Development Manager, S&T w Polsce
W tym roku S&T po raz kolejny potwierdziło, że należy do grona przedsiębiorstw spełniających wymagania normy ISO 27001. Zakres certyfikacji obu spółek S&T działających w Polsce objął „sprzedaż, dostarczanie, wdrażanie i serwisowanie urządzeń teleinformatycznych” oraz „projektowanie, wytwarzanie, sprzedaż, dostarczanie, wdrażanie i serwisowanie systemów teleinformatycznych oraz oprogramowania”.
Audyt przeprowadzony przez Centrum Certyfikacji Jakości na zgodność z wymaganiami normy ISO 27001 obejmował m.in.: zarządzanie ryzykiem, zarządzanie aktywami, ochrona przed szkodliwym oprogramowaniem, zarządzanie projektami czy wytwarzanie bezpiecznego oprogramowania na potrzeby klienta. Audytorzy nie zaobserwowali w S&T żadnych niezgodności ani obszarów do doskonalenia, wskazano natomiast mocne strony systemu zarządzania, w szczególności: świadomość w zakresie procedur bezpieczeństwa informacji, kompetencje i zaangażowanie zespołu odpowiedzialnego za utrzymanie systemu, zaangażowanie kierownictwa, stosowanie narzędzi monitorujących systemy IT oraz zarządzanie projektami.
– To właśnie dzięki takim audytom klienci mogą mieć pewność, że usługi i produkty dostarczane przez certyfikowaną firmę spełniają konkretne wymagania dotyczące bezpieczeństwa, w szczególności w zakresie przetwarzanych informacji. To ważne w administracji publicznej, gdzie infrastruktura informatyczna musi być doskonale chroniona przed potencjalnymi zagrożeniami. Zatem nic zaskakującego, że certyfikacja z zakresu bezpieczeństwa często jest podstawowym wymogiem w zamówieniach publicznych, szczególnie w przypadku postępowań obejmujących systemy, które mają wspierać miliony obywateli i mieszkańców kraju. Każda osoba, która pomaga w realizacji danego zamówienia, musi być odpowiednio przeszkolona i poinstruowana w temacie przetwarzania danych. – Radosław Kaczorek odpowiedzialny za usługi cyberbezpieczeństwa w firmie Grant Thornton, która wspiera S&T w Polsce w zarządzaniu bezpieczeństwem informacji.
Rosnąca świadomość dotycząca zagrożeń w przestrzeni cybernetycznej i wyzwań związanych z utrzymaniem infrastruktury krytycznej przekłada się na coraz wyższe wymagania wobec dostawców systemów. Trend jest szczególnie widoczny w przypadku postępowań dotyczących aplikacji dedykowanych, które należy opracować od podstaw na zamówienie danego podmiotu. W tym kontekście regularne audyty i certyfikacje dawno przestały już być „mile widzianym dodatkiem” – to konieczność, przed którą stają firmy IT, które chcą wygrywać i realizować zamówienia dla sektora publicznego.