W ubiegłym roku aż 80% organizacji nadzorujących infrastrukturę krytyczną doświadczyło ataku ransomware , a w następstwie aktualnej sytuacji geopolitycznej, w Polsce już od stycznia do 30 listopada br. obowiązuje trzeci stopień alarmowy CRP, sygnalizujący zagrożenia dla państwowej infrastruktury. Nic więc dziwnego, że coraz częściej przetargi w sektorze publicznym wymagają od wykonawców certyfikatów poświadczających posiadanie kompetencji z zakresu przetwarzania danych oraz zapewnienia ich bezpieczeństwa.

W tegorocznym zestawieniu najbezpieczniejszych cyfrowo krajów Polska uplasowała się w pierwszej dwudziestce rankingu – to wyżej niż takie kraje Europy Zachodniej jak Niemcy, Francja czy Hiszpania. Comparitech uwzględniła w swoim rankingu również ocenę poziomu zabezpieczeń państwowych.

– „Te dane pokazują, że jesteśmy na dobrej drodze. Ciągle jednak musimy wzmacniać cyberbezpieczeństwo systemów krytycznych. To szczególnie istotne w obliczu aktualnej sytuacji geopolitycznej i stale zwiększającej się liczby złośliwych ataków na państwową infrastrukturę. O powadze sytuacji świadczy fakt, iż od kilku miesięcy obowiązują w naszym kraju podwyższone stopnie alarmowe sygnalizujące zwiększone zagrożenie dla infrastruktury teleinformatycznej. Rosnąca popularność rozwiązań, dzięki którym obywatele mogą załatwiać sprawy urzędowe przez Internet, oznacza także, że ogólnopolskie aplikacje przetwarzają coraz większą ilość informacji. Systemy te naturalnie stają się celem ataku cyberprzestępców, szczególnie tych działających na zlecenie innych państw. To z kolei oznacza, że w obszarze infrastruktury administracji publicznej musimy nieustannie zachowywać i wzmacniać naszą czujność”, mówi Piotr Staszczak, prezes zarządu S&T w Polsce.

Infrastruktura krytyczna pod ostrzałem cyberprzestępców

Zagrożenie dotyczy zarówno infrastruktury centralnej, jak i lokalnej. W Polsce już w pierwszych miesiącach pandemii (a więc w 2020 roku) wzrosła liczba ataków hakerskich na serwery jednostek samorządu terytorialnego. Aktualnie globalnie nawet 4 na 10 naruszeń bezpieczeństwa informacji za pośrednictwem ransomware dotyczy władz lokalnych. Mając na uwadze, że nawet 94% ataków tego typu wiąże się z próbą zniszczenia kopii zapasowych, wyzwanie jest realne – w ostatnich latach samorządy straciły średnio od 20 do 60 tys. złotych w wyniku udanych naruszeń bezpieczeństwa. Koszt obejmuje m.in. ukradzione pieniądze, ale również opłaty dla firm przywracających system do działania po incydencie bezpieczeństwa.

Bezpieczeństwo wyrasta na główne kryterium przetargowe

W kontekście powyższych danych instytucje sektora publicznego – zarówno na szczeblu centralnym, jak i lokalnym – przy ogłaszaniu zamówień na elementy infrastruktury informatycznej szczególnie dokładnie sprawdzane są kompetencje wykonawców związane z przetwarzaniem i zabezpieczaniem danych. Tom II rekomendacji dotyczących zamówień publicznych na systemy informatyczne opublikowany w grudniu 2021 r. przez Urząd Zamówień Publicznych uwzględnia m.in. wymóg określenia przez zamawiającego wymagań w zakresie cyberbezpieczeństwa systemu informatycznego. Rekomendacje wskazują wprost, że można to zrobić na podstawie powszechnie uznawanych norm i certyfikacji z zakresu bezpieczeństwa cybernetycznego, takich jak ISO, Narodowe Standardy Cyberbezpieczeństwa czy standardy określone przez amerykański Narodowy Instytut Standaryzacji i Technologii. Co więcej, wymagania dotyczą nie tylko zabezpieczenia infrastruktury, ale również odpowiedniego zarządzania dostępem i przetwarzaniem danych przez personel wykonujący zadania w ramach projektu.

W efekcie w zamówieniach publicznych często wprost jest określony wymóg zaprezentowania przez wykonawcę dokumentu potwierdzającego te kompetencje. Przykładem jest ISO 27001 – jeden z najbardziej renomowanych i rozpoznawalnych certyfikatów, który zaświadcza o przestrzeganiu międzynarodowych standardów w zakresie bezpieczeństwa informacji. Szacuje się, że tylko do 2020 roku spełnianiem norm ISO 27001 mogło poszczycić się ok. 45 000 firm na całym świecie, z czego 710 w Polsce. To certyfikat szczególnie pożądany w branży IT – około 25% certyfikowanych globalnie podmiotów działa właśnie w tym sektorze gospodarki.

Warto mieć certyfikat potwierdzający spełnienie wymogów

Na przykład w tym roku S&T po raz kolejny potwierdziło, że należy do grona przedsiębiorstw spełniających wymagania normy ISO 27001. Zakres certyfikacji obu spółek S&T działających w Polsce objął „sprzedaż, dostarczanie, wdrażanie i serwisowanie urządzeń teleinformatycznych” oraz „projektowanie, wytwarzanie, sprzedaż, dostarczanie, wdrażanie i serwisowanie systemów teleinformatycznych oraz oprogramowania”. Tomasz Kupfer, Business Development Manager S&T w Polsce tłumaczy podstawy takiego podejścia „W S&T realizujemy projekty kluczowe dla administracji publicznej, takie jak e-recepta, e-skierowanie czy portal IKP. Budowa tego typu aplikacji centralnych wymaga nie tylko posiadania odpowiednich kompetencji informatycznych, ale również wiedzy z zakresu przetwarzania informacji i zapewnienia odpowiedniego poziomu bezpieczeństwa. Mając świadomość, że jako wykonawca jesteśmy odpowiedzialni za krytyczne dla kraju wdrożenia, co roku ubiegamy się o potwierdzenie naszych kwalifikacji w formie certyfikatu ISO 27001, spełniającego wymagania stawiane w postępowaniach publicznych”.

Audyt przeprowadzony przez Centrum Certyfikacji Jakości na zgodność z wymaganiami normy ISO 27001 obejmował m.in.: zarządzanie ryzykiem, zarządzanie aktywami, ochrona przed szkodliwym oprogramowaniem, zarządzanie projektami czy wytwarzanie bezpiecznego oprogramowania na potrzeby klienta. Audytorzy nie zaobserwowali w S&T żadnych niezgodności ani obszarów do doskonalenia, wskazano natomiast mocne strony systemu zarządzania, w szczególności: świadomość w zakresie procedur bezpieczeństwa informacji, kompetencje i zaangażowanie zespołu odpowiedzialnego za utrzymanie systemu, zaangażowanie kierownictwa, stosowanie narzędzi monitorujących systemy IT oraz zarządzanie projektami.

Dzięki audytom bezpieczeństwa klienci mogą mieć pewność, że usługi i produkty dostarczane przez certyfikowaną firmę spełniają konkretne wymagania dotyczące bezpieczeństwa, w szczególności w zakresie przetwarzanych informacji. To szczególnie ważne w administracji publicznej, gdzie infrastruktura informatyczna musi być doskonale chroniona przed potencjalnymi zagrożeniami. Nie dziwi więc, że certyfikacja z zakresu bezpieczeństwa często jest podstawowym wymogiem w zamówieniach publicznych, szczególnie w przypadku postępowań obejmujących systemy, które mają wspierać miliony obywateli i mieszkańców kraju.

Rosnąca świadomość dotycząca zagrożeń w przestrzeni cybernetycznej i wyzwań związanych z utrzymaniem infrastruktury krytycznej przekłada się na coraz wyższe wymagania wobec dostawców systemów. Trend jest szczególnie widoczny w przypadku postępowań dotyczących aplikacji dedykowanych, które należy opracować od podstaw na zamówienie danego podmiotu. W tym kontekście regularne audyty i certyfikacje dawno przestały już być „mile widzianym dodatkiem” – to konieczność, przed którą stają firmy IT, które chcą wygrywać i realizować zamówienia dla sektora publicznego.

Źródło: Materiały prasowe S&T