Cyfrowa Gmina to Bezpieczna Gmina

„Pandemia COVID-19 pokazała, że sprawne wykorzystywanie technologii cyfrowych przez samorządy ma kluczowe znaczenie dla zaspokojenia potrzeb mieszkańców. Wiele urzędów szybko i sprawnie przeniosło swoje działanie do sieci. Przygotowanie gmin do realizacji tego typu działań nie zawsze jest jednak możliwe i nie zawsze odpowiada oczekiwaniom mieszkańców. Problemy są różne – czasem to braki sprzętowe, czasem niewystarczające kompetencje cyfrowe urzędników. Dzięki programowi "Cyfrowa Gmina" chcemy odpowiedzieć na ten problem.”

Minął ponad miesiąc od startu projektu i wiele gmin złożyło wniosek o dofinansowanie, obecnie trwa drugi nabór. „Cyfrowa Gmina” to projekt, który został skierowany do wszystkich gmin w Polsce i jest finansowany z Funduszy Europejskich. Kwota przeznaczona na wsparcie to ponad 178 milionów złotych (minimalna wartość grantu to 100 000,00 zł a maksymalna to 2 000 000 zł). Wielkość wsparcia zależy od wielkości i zamożności gminy. Myślę, że najważniejsze dla każdej gminy jest fakt, że może uzyskać 100% finansowania, bez wkładu własnego, a także możliwość refinansowania wydatków poniesionych od lutego 2020 r.

Nie będziemy tutaj pisać w jaki sposób złożyć wniosek czy cytować regulamin. Wszystkie informacje możecie Państwo znaleźć bezpośrednio na stronie: https://www.gov.pl/web/cppc/cyfrowa-gmina.

W dzisiejszym artykule chcemy jednak zwrócić uwagę na pewne elementy bezpieczeństwa, które powinny zostać wdrożone w każdej gminie i podmiotom jej podległym. Należy pamiętać, aby projekt obejmował tylko niezbędne aspekty bezpieczeństwa, które są gminie niezbędne, a nie rozwiązania IT nieadekwatne do środowiska.

Po pierwsze warto sprawdzić jak wygląda sieć w gminie – czy jest ona prawidłowo posegmentowana. Segmentacja to najprościej ujmując podział sieci na podsieci – tak jakbyśmy 1 duży pokój podzielili na mniejsze pokoje. Wielka otwarta przestrzeń została podzielona na mniejsze części, które można łatwiej kontrolować, a każdy pokój to osobna podsieć. Dzięki takiemu ułożeniu doskonale widzimy kto znajduje się w danej sieci (czyt. pokoju) i czy powinien się tam znaleźć. To jest punkt wyjściowy bezpieczeństwa IT. Więcej o samej segmentacji i bezpieczeństwie sieci można przeczytać w innych naszych artykułach: Segmentacja sieci firmowej - czy to ma sens? oraz Sieć jako element bezpieczeństwa IT.

Kolejnym aspektem jest wirtualizacja – wspominaliśmy o tym kilka miesięcy temu - Wirtualizacja - niepotrzebne udziwnienie czy konieczność. Wirtualizacja jest korzystna zarówno ze względów bezpieczeństwa jak i kwestii finansowych, ponieważ budowa infrastruktury opartej o serwery fizyczne będzie bardziej kosztowna niż opartej o wirtualizację. Oczywiście przy wirtualizacji nie można się kierować tylko kwestią ceny, ale tak naprawdę funkcjonalności, na których nam zależy.

Kolejnym aspektem jest dobrze skonfigurowany firewall, co niestety nie u wszystkich jest standardem. Często podczas audytu spotykamy się z sytuacją, że firewall został wdrożony na „standardowych ustawieniach”, tzw. domyślnych, więc nie jest odpowiednio skonfigurowany pod potrzeby organizacji. Spośród najczęściej spotykanych nieprawidłowości najczęściej w oczy rzucają się: nieoptymalnie dobrane zestawy sygnatur sondy IPS (które najczęściej są przyczyną znacznego zużywania mocy procesora urządzenia), brak stosowania blokad geograficznych, niedbale dobrane zestawy filtrów WEB oraz aplikacji, zła organizacja reguł zarówno w dostępie sieci lokalnych do Internetu, jak i pomiędzy segmentami sieci lokalnej. Częstym zaniedbaniem jest także zaniechanie skanowania ruchu szyfrowanego, co doskonale podkreśla fakt albo braku znajomości zagadnienia przez osobę wdrażającą, albo znacznych oszczędności poczynionych na etapie tworzenia oferty na wdrożenie systemu. Więcej można przeczytać: Firewall drogi a satysfakcji za grosz – rzecz o skalowaniu i konfiguracji.  

Jednym z ostatnich aspektów bezpieczeństwa, na które należy zwrócić uwagę to… pracownicy. Powtarzamy to od zawsze i nigdy nie przestaniemy: pracownik jest kluczowym elementem bezpieczeństwa! Niezależnie jakie mamy zabezpieczenia, czy to są rozwiązania najpopularniejszych producentów czy mniej znanych, to mogą być niewystarczające przy nieświadomym pracowniku. Zachęcamy zatem do wnioskowania o cykliczne lub jednorazowe szkolenie pracowników, z uwzględnieniem warsztatów, aby w praktyce pokazać możliwe ataki hakerskie.

Powyżej przedstawiono kilka podstawowych elementów bezpieczeństwa, zachęcamy do kontaktu w przypadku pytań.