Odbyło się I Posiedzenie Zespołu Zadaniowego KRMC ds. ochrony cyberprzestrzeni RP
Spotkaniu przewodniczył Rafał Trzaskowski, minister administracji i cyfryzacji oraz Roman Dmowski, podsekretarz stanu w MAiC. Uczestniczyli w nim także przedstawiciele członków Zespołu Zadaniowego KRMC ds. ochrony cyberprzestrzeni RP. Przedstawiamy notatkę z tego spotkania.
Minister Trzaskowski rozpoczął spotkanie od przedstawienia kontekstu i celu spotkania: Jest to pierwsze spotkanie Zespołu przewidzianego w „Polityce ochrony cyberprzestrzeni RP” (pkt. 3.4.1). Zespół został powołany przez Ministra MAiC – Przewodniczącego Komitetu Rady Ministrów do spraw Cyfryzacji. Spotkanie ma na celu ustalenie kwestii organizacji dalszych prac, w szczególności nad „planem działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP”, którego sporządzenie w ciągu 3 miesięcy nakazuje Decyzja.
Polityka ochrony cyberprzestrzeni RP
Minister przedstawił formalne kwestie związane z Zespołem: Zespół powołany Decyzją 1/2014 Ministra MAiC jako Zespół zadaniowy KRMC na podstawie par. 19 ust. 1 nowego zarządzenia PRM o KRMC. Skład i podział na 2 grupy wynika z formy prawnej – jedynie członkowie KRMC mogą mieć głos. Współprzewodniczącym zespołu jest Minister Spraw Wewnętrznych. Pierwszym i najważniejszym zadaniem Zespołu jest opracowanie planu działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP zgodnie z zapisami „Polityki ochrony cyberprzestrzeni RP” – termin 3 miesiące od podjęcia decyzji. Kolejnymi zadaniami Zespołu będą:
• opracowanie propozycji działań dla jednostek administracji rządowej, mających na celu ochronę systemów teleinformatycznych i usług funkcjonujących w ramach tych systemów przed cyberatakami,
• opracowanie propozycji standardów bezpieczeństwa dla systemów teleinformatycznych, jednostek administracji rządowej i usług funkcjonujących w ramach tych systemów,
• stworzenie forum wymiany informacji i doświadczeń między administracją publiczną a sektorem przedsiębiorstw w zakresie zagrożeń, środków zaradczych, technologii sieciowych i organizacji systemów teleinformatycznych,
• koordynowanie działań instytucji realizujących zadania, wynikające z „Polityki ochrony cyberprzestrzeni RP”,
• koordynowanie działań związanych z przygotowaniem organów administracji rządowej do realizacji zadań, wynikających ze „Strategii Bezpieczeństwa cybernetycznego UE”.
Minister Trzaskowski wskazał, że konieczne jest ustalenie trybu oraz harmonogramu Planu i przedstawił do dyskusji następująca propozycję w tym zakresie:
• zbieranie informacji – wszystkie instytucje powinny przekazać do MAiC opisy dotyczące stanu bezpieczeństwa cybernetycznego i zidentyfikowanych zagrożeń/problemów oraz proponowanych działań w zakresie swoich kompetencji – ok. 1 miesiąc,
• opracowaniu wstępnej wersji Planu – MAiC sporządzi na podstawie wkładów propozycję planu,
• uzgodnienie w ramach Zespołu i przyjęcie Planu – wstępny projekt zostanie przedstawiony do konsultacji w ramach Zespołu i jeżeli tak zdecydują Członkowie, także poza nim.
„Polityka ochrony cyberprzestrzeni RP” i decyzja nie wskazują okresu obowiązywania planu. Wydaje się, że powinien to być plan średniookresowy np. na 2-3 lata, ew. na dłuższy okres z okresowymi przeglądami. Kwestia ta powinna zostać optymalnie rozstrzygnięta już na posiedzeniu Zespołu, bo od okresu planowania zależeć będą działania zgłaszane przez poszczególne instytucje do Planu.
Szczególnie ważną rolę widzimy dla ABW, która realizuje zadania w zakresie jawnych i niejawnych systemów teleinformatycznych i będzie wsparciem w planowaniu działań różnych instytucji, oraz RCB, które ma już doświadczenie w sporządzaniu planów, koordynacji ich wykonania i w kwestii ochrony newralgicznych zasobów Państwa.
Pierwszym i najważniejszym zadaniem Zespołu Zadaniowego KRMC ds. ochrony cyberprzestrzeni RP jest opracowanie planu działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP zgodnie z zapisami „Polityki ochrony cyberprzestrzeni RP”. Ma to być co najmniej program 2-3 letni.
Ważną rolę powinny ogrywać także inne resorty – w zależności od swoich kompetencji. Przykładowo widzimy ważne zadania dla MEN w zakresie przewidzianej kampanii edukacyjno-prewencyjnej, skierowanej do dzieci, rodziców i nauczycieli, a MNiSW w zakresie wprowadzenia tematyki cyberbezpieczeństwa do programów kształcenia na uczelniach wyższych. Każdy resort ma swoje zadania, a rolą MAiC jest zapewnienie spójności ich realizacji.
Po przyjęciu Planu, Zespół powinien przejść do kolejnych zadań wymienionych w Decyzji – działania koordynacyjne z pkt. 5 i 6 to działania stałe. Każda instytucja powinna zgłosić osoby do kontaktów bieżących na poziomie roboczym – przyśpieszy to i znacznie usprawni prace.
Minister Trzaskowski zwrócił uwagę na fakt, iż należy zastanowić się, jak zorganizować te posiedzenia na poziomie technicznym. Zaznaczył, że to powinno być forum, gdzie Członkowie będą koordynować, wymieniać się informacjami a także pracować nad konkretnymi dokumentami. Problem cyberbezpieczeństwa dotyka nas wszystkich. Nie jest on problemem technicznym, czy problemem tajnej infrastruktury, jest problemem politycznym, mającym różne formy.
Audyt bezpieczeństwa w administracji publicznej
Uczestnicy spotkania nie zgłosili żadnych uwag do propozycji zgłoszonych przez Ministra Trzaskowskiego. Następnie Podsekretarz Stanu Roman Dmowski omówił wyniki audytu zleconego przez Ministerstwo Finansów.
Audyt wewnętrzny zlecony w obszarze bezpieczeństwa teleinformatycznego w jednostkach administracji rządowej zrealizowany został przez MF na podstawie ustawy o finansach publicznych przy współpracy Ministerstwa Administracji i Cyfryzacji w terminie od 16 września do 22 października 2013 r. Audytem objęto ponad 300 jednostek sektora finansów publicznych, w tym szereg jednostek, które do audytu przystąpiły dobrowolnie. Audyt przeprowadzony został na polecenie Prezesa Rady Ministrów. W badaniu wzięły udział ministerstwa, urzędy centralne, urzędy wojewódzkie oraz jednostki podległe i nadzorowane, zarządzające istotnymi dla Państwa systemami teleinformatycznymi.
Tematem audytu było zarządzanie bezpieczeństwem systemów teleinformatycznych w wybranych urzędach administracji rządowej. Celem audytu było zebranie informacji nt. działań jednostek administracji rządowej w zakresie zapewnienia bezpieczeństwa wybranych systemów teleinformatycznych, zidentyfikowanie zagrożeń i słabych punktów w zarządzaniu bezpieczeństwem tych systemów. Objęte audytem były jawne systemy teleinformatyczne jednostek.
Ministerstwo Finansów przeprowadziło audyt bezpieczeństwa wśród 300 jednostek sektora finansów publicznych. Wynika z niego, że: politykę bezpieczeństwa informatycznego posiadała jedynie 50% jednostek, procedurę rejestracji i nadawania uprawnień posiadała zaledwie 33% jednostek, nieco mniej prowadzi regularne przeglądy nadawanych uprawnień, zdecydowana większość jednostek nie prowadzi regularnych szkoleń z zakresu bezpieczeństwa informatycznego.
Audyt wewnętrzny zlecony, przeprowadzony został w formie czynności doradczych, które miały polegać na zgromadzeniu przez audytorów wewnętrznych informacji w ww. obszarach poprzez zebranie odpowiedzi na pytania zawarte w trzech rodzajach ankiet. Ankieta nr 1 dotyczyła ogólnych zagadnień, związanych z polityką bezpieczeństwa informacji. Ankieta nr 2 dotyczyła systemów teleinformatycznych funkcjonujących w jednostce. Ankieta nr 3 dotyczyła szczegółowych informacji nt. wybranych systemów teleinformatycznych funkcjonujących w jednostce.
Minister Roman Dmowski przykładowo wskazał wybrane wyniki audytu:
• politykę bezpieczeństwa informatycznego posiadała jedynie 50% jednostek,
• procedurę rejestracji i nadawania uprawnień posiadała zaledwie 33% jednostek, nieco mniej prowadzi regularne przeglądy nadawanych uprawnień,
• zdecydowana większość jednostek nie prowadzi regularnych szkoleń z zakresu bezpieczeństwa informatycznego.
Zdaniem Ministra Dmowskiego, wiele jednostek nie jest odpowiednio zabezpieczonych, istnieją poważne luki w procedurach i umiejętnościach, które należy wypełniać. Służyć temu powinien także wyżej omówiony Plan działań i instytucje przekazujące swoje wkłady do Planu, powinny uwzględnić wyniki audytu. Wyniki audytu powinny być dla Zespołu materiałem pomocniczym – dostarczają informacji dotyczących istniejących braków.
NIK bada zagrożenia cyberbezpieczeństwa w MAiC
Pan Roman Dmowski omówił trwającą obecnie kontrolę Najwyższej Izby Kontroli w zakresie cyberbezpieczeństwa w Ministerstwie Administracji i Cyfryzacji. Kontrola NIK w resorcie kontynuowana będzie zapewne do listopada. Wstępnie możemy założyć, że jej wyniki nie będą dla administracji pozytywne – głównym wnioskiem kontrolerów będzie brak odpowiedniej koordynacji pomiędzy działaniami poszczególnych podmiotów oraz brak realizacji spójnej polityki Państwa w tym zakresie. Wydaje się istotne, aby jeszcze przed zakończeniem kontroli zacząć realizować te wnioski i wzmocnić koordynację – należy nadać impet realizacji Polityki, w związku z tym bardzo liczymy na współpracę wszystkich zgromadzonych instytucji.
Minister Rafał Trzaskowski zobligował instytucje o przesłanie wkładów w wyznaczonym terminie i wobec braku wniosków o zabranie głosów, podziękował zebranym i zakończył posiedzenie Zespołu.
http://itwiz.pl/odbylo-sie-posiedzenie-zespolu-zadanio...