W październiku 2024 r. w życie wchodzi unijna dyrektywa NIS2, która będzie miała szczególne znaczenie dla firm z branży finansowej czy energetycznej, a także dla podmiotów publicznych. Regulacje nakładają nowe obowiązki w zakresie zapewnienia bezpieczeństwa systemów teleinformatycznych oraz zabezpieczenia przechowywanych danych. Niestosowanie się do wskazanych przepisów może skutkować nałożeniem wielomilionowych kar finansowych. Czy polski sektor publiczny jest gotowy na NIS2?
Instytucje z sektora publicznego przechowują ogromne ilości informacji, w tym danych zwykłych i szczególnych kategorii, co czyni je atrakcyjnym celem dla cyberprzestępców. Od kilku lat podejmowane są działania w kierunku wzmacniania ich ochrony, m.in. w formie wsparcia finansowego. W 2023 r. wniosek o dofinansowanie w ramach programu „Cyberbezpieczny Samorząd” na kwotę 1,5 mld zł złożyło 90% uprawnionych instytucji. Wciąż jednak jest to kropla w morzu potrzeb, zwłaszcza w obszarze zabezpieczenia przechowywania danych.
Podmioty publiczne wciąż do tyłu z wdrażaniem przepisów dot. cyberbezpieczeństwa
Mimo programów i dofinansowań poziom bezpieczeństwa cyfrowego sektora publicznego jest niski, zwłaszcza w samorządach. Kontrole Najwyższej Izby Kontroli w 2023 roku wykazały, że wiele jednostek administracji publicznej korzysta z nieaktualnego oprogramowania, nie monitoruje go, a nawet używa nieautoryzowanych programów. Jak wskazują eksperci, problemy pojawiają się również m.in. w związku z przetwarzaniem danych osobowych, przestarzałym sprzętem i oprogramowaniem, efektywnym wzmacnianiem świadomości pracowników na temat istniejących zagrożeń czy znalezieniem odpowiednich specjalistów IT.
– Znaczna część jednostek publicznych nie wdrożyła jeszcze w pełni wszystkich istniejących przepisów dot. ochrony danych osobowych i cyberbezpieczeństwa, takich jak ustawa o Krajowym Systemie Bezpieczeństwa z 2018 r. czy rozporządzenie regulujące Krajowe Ramy Interoperacyjności. Do tego dochodzą kolejne regulacje – NIS2 i związane z nim obowiązki. Co istotne, nie wystarczy jedynie stworzenie instrukcji i wytycznych, które będą zgodne z nowymi przepisami. Bez odpowiednich środków technicznych i organizacyjnych nawet najlepiej opracowane procedury nie będą wystarczające. Niestety spora część jednostek samorządowych nadal korzysta z przestarzałych, niewspieranych już systemów operacyjnych jak Windows 7, nie posiada należytego oprogramowania wspierającego czy odpowiednich szyfrowanych dysków do zabezpieczenia danych – zauważa Tomasz Surdyk, inspektor ochrony danych, koordynator ds. bezpieczeństwa IT i ekspert ds. cyberbezpieczeństwa w Kingston Technology.
Aby spełnić podstawowe zasady bezpieczeństwa, należy nie tylko wdrożyć nową dyrektywę. Konieczne będzie też znalezienie środków na inwestycje w technologie i zakup nowoczesnego sprzętu oraz oprogramowania, które zapewni odpowiednią ochronę przechowywanych danych. Kluczem do sukcesu jest także inwestowanie w rozwój specjalistów IT, zwłaszcza w samorządach i państwowych placówkach oświatowych takich jak przedszkola czy szkoły podstawowe.
Potrzebna weryfikacja zabezpieczeń i szyfrowanie danych
NIS2 nakłada pod groźbą kar finansowych nowe obowiązki na sektor publiczny. Dotyczą one ujawniania luk w zabezpieczeniach, testowania poziomu cyberbezpieczeństwa, zapewnienia bezpiecznego przechowywania wrażliwych danych czy ich szybkiego odzyskiwania w razie awarii. Jednostki administracji powinny rozważyć m.in. zakup rozwiązań szyfrujących dane, również te przechowywane i przenoszone na dyskach oraz zewnętrznych nośnikach m.in. pendrive’ach.
– Szyfrowanie programowe jest łatwiej dostępne – nie wymaga zakupu specjalistycznego sprzętu – jednak jest też podatne na ataki z użyciem algorytmu siłowego. Znacznie większy poziom ochrony zapewnia szyfrowanie sprzętowe, dzięki któremu niepowołanym osobom dużo trudniej jest przechwycić dane. Aby uniknąć kar i zmniejszyć ryzyko wycieków instytucje publiczne powinny inwestować w szyfrowanie sprzętowe – Robert Sepeta, Business Development Manager w firmie Kingston Technology.
Jednym z podstawowych elementów zarządzania danymi jest tworzenie bezpiecznych kopii zapasowych. Zarówno firmy, jak i samorządy obowiązuje tu ta sama zasada „3-2-1”: należy posiadać trzy kopie zasobów, na dwóch różnych nośnikach, w różnych lokalizacjach, z których jedna powinna być odizolowana oraz przechowywana poza siedzibą organizacji. Pozwoli to ochronić dane przed cyberincydentami i nieuprawnionym dostępem, a w razie ataku szybko je przywrócić.