Strona w budowie, zapraszamy wkrótce...

Zapraszamy już za:

-738Dni -12Godzin -14Minut -42Sekund

 

 

Strona w budowie, zapraszamy wkrótce...

Udział w przetargu IT dla sektora publicznego? Audyty i certyfikaty to konieczność dla tych którzy chcą realizować zamówienia dla sektora publicznego.

Mariusz Laurisz
Mariusz Laurisz
Z branżą nowych technologii związany od ponad dwóch dekad. Od czterech lat Redaktor Naczelny oraz Wydawca magazynu IT Reseller Polska.

Powiązane

Aktywność cyberprzestępców nie ogranicza się tylko do branży komercyjnej. Zagrożenie obejmuje również sektor publiczny, który jest odpowiedzialny za infrastrukturę krytyczną dla funkcjonowania państwa oraz przetwarzanie danych mieszkańców i obywateli. 

W ubiegłym roku aż 80% organizacji nadzorujących infrastrukturę krytyczną doświadczyło ataku ransomware, a w następstwie aktualnej sytuacji geopolitycznej, w Polsce do 30 listopada br. obowiązuje trzeci stopień alarmowy CRP, sygnalizujący zagrożenia dla państwowej infrastruktury. Nic więc dziwnego, że coraz częściej przetargi w sektorze publicznym wymagają od wykonawców certyfikatów poświadczających posiadanie kompetencji z zakresu przetwarzania danych oraz zapewnienia ich bezpieczeństwa.

 

Infrastruktura pod cybernetycznym ostrzałem

W najnowszym zestawieniu najbezpieczniejszych cyfrowo krajów Polska uplasowała się w pierwszej dwudziestce rankingu – to wyżej niż takie kraje Europy Zachodniej jak Niemcy, Francja czy Hiszpania. W rankingu autorstwa firmy Comparitech uwzględniono również ocenę poziomu zabezpieczeń państwowych.

 

– Te dane pokazują, że jesteśmy na dobrej drodze. Ciągle jednak musimy wzmacniać cyberbezpieczeństwo systemów krytycznych. To szczególnie istotne w obliczu aktualnej sytuacji geopolitycznej i stale zwiększającej się liczby złośliwych ataków na państwową infrastrukturę. O powadze sytuacji świadczy fakt, iż od kilku miesięcy obowiązują w naszym kraju podwyższone stopnie alarmowe sygnalizujące zwiększone zagrożenie dla infrastruktury teleinformatycznej. Rosnąca popularność rozwiązań, dzięki którym obywatele mogą załatwiać sprawy urzędowe przez Internet, oznacza także, że ogólnopolskie aplikacje przetwarzają coraz większą ilość informacji. Systemy te naturalnie stają się celem ataku cyberprzestępców, szczególnie tych działających na zlecenie innych państw. To z kolei oznacza, że w obszarze infrastruktury administracji publicznej musimy nieustannie zachowywać i wzmacniać naszą czujność. – Piotr Staszczak, prezes zarządu, S&T w Polsce

 

Zagrożenie dotyczy nie tylko infrastruktury centralnej, ale również lokalnej. W Polsce już w pierwszych miesiącach pandemii wzrosła liczba ataków hakerskich na serwery jednostek samorządu terytorialnego. Aktualnie globalnie nawet 4 na 10 naruszeń bezpieczeństwa informacji za pośrednictwem ransomware dotyczy władz lokalnych. Mając na uwadze, że nawet 94% ataków tego typu wiąże się z próbą zniszczenia kopii zapasowych, wyzwanie jest realne – w ostatnich latach samorządy straciły średnio od 20 do 60 tys. złotych w wyniku udanych naruszeń bezpieczeństwa. Koszt obejmuje m.in. ukradzione pieniądze, ale również opłaty dla firm przywracających system do działania po incydencie bezpieczeństwa.

 

W przetargach stawia się na bezpieczeństwo

W kontekście powyższych danych instytucje sektora publicznego – zarówno na szczeblu centralnym, jak i lokalnym – przy ogłaszaniu zamówień na elementy infrastruktury informatycznej szczególnie uważnie sprawdzają kompetencje wykonawców związane z przetwarzaniem i zabezpieczaniem danych. Tom II rekomendacji dotyczących zamówień publicznych na systemy informatyczne opublikowany w grudniu 2021 r. przez Urząd Zamówień Publicznych uwzględnia m.in. wymóg określenia przez zamawiającego wymagań w zakresie cyberbezpieczeństwa systemu informatycznego. Rekomendacje wskazują wprost, że można to zrobić na podstawie powszechnie uznawanych norm i certyfikacji z zakresu bezpieczeństwa cybernetycznego, takich jak ISO, Narodowe Standardy Cyberbezpieczeństwa czy standardy określone przez amerykański Narodowy Instytut Standaryzacji i Technologii. Co więcej, wymagania dotyczą nie tylko zabezpieczenia infrastruktury, ale również odpowiedniego zarządzania dostępem i przetwarzaniem danych przez personel wykonujący zadania w ramach projektu.

 

Certyfikat w odpowiedzi na wymagania

W efekcie w zamówieniach publicznych często wprost jest określony wymóg zaprezentowania przez wykonawcę dokumentu potwierdzającego te kompetencje. Przykładem jest ISO 27001 – jeden z najbardziej renomowanych i rozpoznawalnych certyfikatów, który zaświadcza o przestrzeganiu międzynarodowych standardów w zakresie bezpieczeństwa informacji. Szacuje się, że tylko do 2020 roku spełnianiem norm ISO 27001 mogło poszczycić się ok. 45 000 firm na całym świecie, z czego 710 w Polsce. To certyfikat szczególnie pożądany w branży IT – około 25% certyfikowanych globalnie podmiotów działa właśnie w tym sektorze gospodarki.

 

– W S&T realizujemy projekty kluczowe dla administracji publicznej, takie jak e-recepta, e-skierowanie czy portal IKP. Budowa tego typu aplikacji centralnych wymaga nie tylko posiadania odpowiednich kompetencji informatycznych, ale również wiedzy z zakresu przetwarzania informacji i zapewnienia odpowiedniego poziomu bezpieczeństwa. Mając świadomość, że jako wykonawca jesteśmy odpowiedzialni za krytyczne dla kraju wdrożenia, co roku ubiegamy się o potwierdzenie naszych kwalifikacji w formie certyfikatu ISO 27001, spełniającego wymagania stawiane w postępowaniach publicznych. – Tomasz Kupfer, Business Development Manager, S&T w Polsce

 

W tym roku S&T po raz kolejny potwierdziło, że należy do grona przedsiębiorstw spełniających wymagania normy ISO 27001. Zakres certyfikacji obu spółek S&T działających w Polsce objął „sprzedaż, dostarczanie, wdrażanie i serwisowanie urządzeń teleinformatycznych” oraz „projektowanie, wytwarzanie, sprzedaż, dostarczanie, wdrażanie i serwisowanie systemów teleinformatycznych oraz oprogramowania”.

Audyt przeprowadzony przez Centrum Certyfikacji Jakości na zgodność z wymaganiami normy ISO 27001 obejmował m.in.: zarządzanie ryzykiem, zarządzanie aktywami, ochrona przed szkodliwym oprogramowaniem, zarządzanie projektami czy wytwarzanie bezpiecznego oprogramowania na potrzeby klienta. Audytorzy nie zaobserwowali w S&T żadnych niezgodności ani obszarów do doskonalenia, wskazano natomiast mocne strony systemu zarządzania, w szczególności: świadomość w zakresie procedur bezpieczeństwa informacji, kompetencje i zaangażowanie zespołu odpowiedzialnego za utrzymanie systemu, zaangażowanie kierownictwa, stosowanie narzędzi monitorujących systemy IT oraz zarządzanie projektami.

 

– To właśnie dzięki takim audytom klienci mogą mieć pewność, że usługi i produkty dostarczane przez certyfikowaną firmę spełniają konkretne wymagania dotyczące bezpieczeństwa, w szczególności w zakresie przetwarzanych informacji. To ważne w administracji publicznej, gdzie infrastruktura informatyczna musi być doskonale chroniona przed potencjalnymi zagrożeniami. Zatem nic zaskakującego, że certyfikacja z zakresu bezpieczeństwa często jest podstawowym wymogiem w zamówieniach publicznych, szczególnie w przypadku postępowań obejmujących systemy, które mają wspierać miliony obywateli i mieszkańców kraju. Każda osoba, która pomaga w realizacji danego zamówienia, musi być odpowiednio przeszkolona i poinstruowana w temacie przetwarzania danych. – Radosław Kaczorek odpowiedzialny za usługi cyberbezpieczeństwa w firmie Grant Thornton, która wspiera S&T w Polsce w zarządzaniu bezpieczeństwem informacji.

 

Rosnąca świadomość dotycząca zagrożeń w przestrzeni cybernetycznej i wyzwań związanych z utrzymaniem infrastruktury krytycznej przekłada się na coraz wyższe wymagania wobec dostawców systemów. Trend jest szczególnie widoczny w przypadku postępowań dotyczących aplikacji dedykowanych, które należy opracować od podstaw na zamówienie danego podmiotu. W tym kontekście regularne audyty i certyfikacje dawno przestały już być „mile widzianym dodatkiem” – to konieczność, przed którą stają firmy IT, które chcą wygrywać i realizować zamówienia dla sektora publicznego.

 

HP prezentuje nowe korzyści dla partnerów podczas HP Amplify Executive Forum, corocznego spotkania organizowanego dla partnerów.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here

Newsletter

Social media

Najpopularniejsze

Feardemic rozbudowuje portfolio gier, liczy na poszerzenie grona odbiorców.

Feardemic - spółka-córka Bloober Team i wydawca gier z gatunku horror - poszerza swoje portfolio wydawnicze, aby trafić do większej grupy odbiorców, poinformował CEO...

Warszawski Instytut Bankowości/Związek Banków Polskich: 86% Polaków czuje się bezpiecznie, korzystając...

Liderem w obszarze cyberbezpieczeństwa są banki (54%), wyprzedzając tym samym firmy technologiczne (31%) oraz wojsko i policję (30%), wynika z badania "Postawy Polaków wobec...

Rząd planuje powołanie Centralnego Biura Zwalczania Cyberprzestępczości.

Rząd planuje powołanie Centralnego Biura Zwalczania Cyberprzestępczości, które ma zajmować się wyłącznie problemami dotyczącymi cyberbezpieczeństwa, poinformował premier Mateusz Morawiecki. Planowane są zmiany ustawy o...

Biuro Informacji Kredytowej: Wartość pożyczek od firm pożyczkowych wzrosła o 119,9%...

Firmy pożyczkowe udzieliły w czerwcu finansowania na kwotę 661 mln zł (wzrost o 119,9% r/r), wynika z danych Biura Informacji Kredytowej (BIK). Średnia wartość...

Huawei podczas International Automobile Industry Exhibition w Szanghaju ogłosił rozpoczęcie sprzedaży...

Huawei rusza ze sprzedażą na chińskim rynku pierwszego samochodu z technologią Huawei na pokładzie. Od środy 21 kwietnia, elektryczny samochód SERES SF5 będzie dostępny...

Najnowsze

Słabsza niż oczekiwana sprzedaż iPhone’a 14 i 14 Plus. Foxconn zmienia...

Apple wypuściło iPhone'a 14, iPhone'a 14 Plus, iPhone'a 14 Pro i iPhone'a 14 Pro Max na początku tego miesiąca. Standardowe modele nie wprowadziły znaczących...

Google Cloud rozwija infrastrukturę w Europie. Firma zbuduje swój pierwszy region...

Prezes Google Cloud International, Adaire Fox-Martin, jest z wizytą w Grecji, gdzie ogłosił powstanie nowego regionu Google Cloud.  Google utworzy swój pierwszy region chmury w...

Od fabryki do klienta – Czyli jak w 2022 roku wygląda...

W teorii wszystko jest jasne - gdzieś na świecie ktoś produkuje np. laptopy, a ktoś inny, często w miejscu oddalonym o tysiące kilometrów, je...

Pomimo ogromu wyzwań, walczymy i działamy aktywnie dalej! – podkreślił Piotr...

28 września br. GK ACTION S.A. przedstawiła wyniki finansowe za pierwsze półrocze 2022. W  omawianym okresie firma utrzymała wysoką marżę, która ukształtowała się na...

Viewsonic prezentuje największy na świecie składany ekran

Viewsonic zaprezentował swój najnowszy składany na pół ekran o przekątnej 135 cali. Producent kieruje swój produkt do klienta biznesowego, który wykorzysta ten olbrzymi ekran...