W obliczu zagrożeń bezpieczeństwa danych ważna jest edukacja i wypracowanie odpowiednich procedur – mówi Wojciech Wróbel, Data Protection Business Development Manager z Fujitsu Polska.
Jeżeli mówimy o standardach bezpieczeństwa w samorządach i branży komunalnej, wydaje się, że to dość szerokie pojęcie. O co szczególnie należy zadbać, by o takich standardach mówić?

 

Trudno zdefiniować jednolite standardy, które zapewnią pełnię bezpieczeństwa w perspektywie dwóch, trzech lat. Proszę pamiętać, że mamy do czynienia z zagadnieniami, które charakteryzują się bardzo dużą dynamiką zmian, więc nie da się mówić o bezpieczeństwie jako elemencie stałym. To jest nieustająca gra z przeciwnikami. Niełatwo zatem powoływać się na jakiekolwiek normy, bo standardu dla tak szerokiego pojęcia po prostu nie ma. Na pewno liczą się dobre praktyki i reagowanie na każde dziwne wydarzenie, które może być wstępem do celowego ataku, jaki z założenia ma wyrządzić poważne szkody. Zamiast mówić o standardach, lepiej zatem mówić raczej o zaleceniach, rekomendacjach i dobrych praktykach. Ważna jest edukacja, wypracowanie odpowiednich procedur, które pozwolą nam uniknąć paniki. Musimy postępować świadomie i celowo, by minimalizować skutki i odciąć się od zagrożenia. Szkolenia i edukacja to priorytet. Należy przygotować ludzi na takie sytuacje, uświadamiać, że różne kwestie mogą się w trakcie ich pracy wydarzyć.

Mówi Pan o rzeczach wydawałoby się podstawowych, takich jak niekorzystanie z niezabezpieczonych sieci, pendrivów, itp. Tymczasem wielu specjalistów zwraca uwagę na to, że niestety to się zdarza, sami nie zwracamy uwagi na elementarne kwestie. Czy tak jest w istocie?

 

Niestety tzw. czynnik ludzki jest najbardziej zawodny. Być może informacje nie docierają do wszystkich, a być może nie są traktowane do końca poważnie. Zdarza się, że użytkownik sądzi, że chroni swoje stanowisko pracy, ale gdy uruchamia się skaner antywirusowy na komputerze, który daje możliwość odłożenia skanowania w czasie, np. o parę godzin, to korzysta z tej możliwości. To pierwsza niebezpieczna sytuacja. W ten sposób zostawić można otwartą furtkę komuś, kto potencjalnie może zaatakować. Oczywiście należy tak zagospodarować swój czas pracy, by go nie tracić, ale istnieje możliwość ustawienia skanowania np. przed początkiem pracy lub na jej zakończenie.

Ważna w procesie bezpieczeństwa jest edukacja, potrzeba szkolenia pracowników. Rząd uruchomił program „Cyfrowa Gmina”, którego elementem jest właśnie edukacja. Pan widzi w tym programie szansę dla samorządów?

 

Oczywiście, że tak. Kwestia edukacji ma bardzo szeroki wymiar. Nie jest to edukacja na temat samej informatyki, kompetencji cyfrowych, ale również w zakresie pewnych zachowań, prowadzenia inwestycji, by mieć świadomość, że wiedza, którą posiadamy, musi być przekazywana dalej. Sam informatyk, który ma wiedzę o tym, jak robić coś w sposób bezpieczny, nie da nam poczucia bezpieczeństwa, jeśli nie podzieli się tą wiedzą z pracownikami, nie pokaże procedur, nie opracuje systemów dla nich wygodnych i pasujących do ich zajęć. Ten program może być dużą wartością i na pewno nie jest stratą czasu.

Program daje również możliwości takim podmiotom, jak Fujitsu Polska, bo możecie wspierać realizację projektów objętych programem. Jak to robicie?

Przede wszystkim mamy bardzo dużą bazę naszych partnerów biznesowych, którzy dysponują wiedzą o naszych rozwiązaniach i są w stanie wesprzeć jednostki samorządu, czy przedsiębiorstwa, w zakresie opracowania niezbędnych rozwiązań. To siła ekosystemu Fujitsu, który wspiera Partnerów przy bardziej złożonych projektach. Mamy w Polsce ponad 4 tys. pracowników, w tym dużą grupę ekspertów, którzy są gotowi wspierać takie działania. Staramy się przede wszystkim doradzać (co zawsze jest dla klienta bezpłatne) i zachęcić do współpracy nad projektem przemyślanym od początku do końca. Wiemy, jakie problemy dotykają klienta, co chce osiągnąć, sprawdzamy wspólnie czy kryteria, którymi się kieruje, są dla niego najlepsze pod względem np. wydatków, czy końcowego sukcesu. To wiedza, którą się chętnie dzielimy, np. w ramach bezpłatnych warsztatów Co-Creation.

Jakie kryteria powinniśmy brać pod uwagę szukając rozwiązań z zakresu ochrony danych?

 

Kluczowa jest bezpieczna obsługa aplikacji, które z kolei obsługują mieszkańców, czyli dostępność systemów, praca ciągła i oczywiście jak najmniejsze koszty, by udało się to zrealizować. Aby to zapewnić, powinniśmy do tych potrzeb zaprojektować skuteczną politykę zabezpieczania tak krytycznych systemów i danych. Kolejna rzecz to korzystanie z systemów, które pozwalają uruchomić dodatkowe funkcje bezpieczeństwa, posiadane w tzw. standardowym wyposażeniu. Chodzi np. o szyfrowanie danych i komunikacji między elementami systemu informatycznego, a w przypadku aplikacji backupowych o dostęp do funkcji zwiększających odporność na ataki ransomware. To np. kontrola dostępu do zlecania wykonywania zapisów dyskowych wyłącznie dla takiej aplikacji, aby dane nie były modyfikowane przez innych użytkowników. W kontekście rozwiązań backup’owych ważna jest ich modernizacja i aktualizacja, ponieważ wersja aplikacji sprzed np. pięciu lat nie poradzi sobie z bieżącymi zagrożeniami. No i oczywiście ważne jest odpowiednie przeszkolenie ludzi, którzy będą korzystać z aplikacji, systemów itd. Dostawcy zajmują się również takimi szkoleniami i warto z tego skorzystać.

Jakie Pan widzi najbardziej aktualne czynniki wpływające na wzrost znaczenia pojęć wiązanych z cyberbezpieczeństwem i ochroną danych?

 

Na pierwszy plan wysuwa się potrzeba zabezpieczenia danych w warunkach konieczności zapewnienia pracy zdalnej, automatyzacji obsługi mieszkańców z wykorzystaniem różnych środków komunikacji elektronicznej – w tych obszarach rola systemów informatycznych jest wiodąca. Wyciek danych wrażliwych z takich systemów lub komunikacji to potencjalne niebezpieczeństwo dotkliwych strat finansowych i dla podmiotów gospodarczych, ale i dla samych obywateli. Wyobraźmy sobie chociaż dzisiejsze możliwości zaciągania kredytów finansowych przez Internet, bez konieczności osobistego stawienia się w placówce banku lub instytucji finansowej. Dlatego tak często dzisiaj mówimy o ochronie antywirusowej, o szyfrowaniu, również o separowaniu danych, by nie przechowywać ich w jednym miejscu. Choć z drugiej strony mówimy także o centralizowaniu takich zasobów, bo w ten sposób łatwiej jest te dane chronić. Brak możliwości nadzoru na zdalnym pracownikiem i jego zdalnym środowiskiem pracy to kolejne zagrożenia. Dlatego warto rozważyć działania takie jak np. wykorzystanie wirtualnych stanowisk pracy, separowanie dostępu do wybranych zasobów poprzez różne uprawnienia i lepsze mechanizmy identyfikacji oraz separowanie danych biznesowych od prywatnych. Daje to dużo większe możliwości zarządzania obecnymi zagrożeniami. Pewnego typu zasoby muszą być też chronione bardziej od innych, aby można było, w razie jakiejkolwiek awarii, czy też ataku, odtworzyć kompletne środowisko. Ilość danych w systemach IT wciąż rośnie, więc ich klasyfikacja pod kątem przydatności i znaczenia dla firmy to nie tylko łatwiejsze zarządzanie zagrożeniami, ale i niższe koszty samych systemów.

Jakie Pan widzi dobre praktyki, które stosują samorządy i przedsiębiorstwa sektora komunalnego?

 

Przede wszystkim sprawdzone zasady projektowania polityki bezpieczeństwa danych z punktu widzenia środowisk backupowych i archiwizacji danych. Jedna z nich to tworzenie kilku kopii danych i magazynowanie ich na różnych nośnikach. Proszę zauważyć, że przez ostatnich kilka lat zaobserwowaliśmy odchodzenie użytkowników od systemów taśmowych, bo są kłopotliwe, siermiężne itd. Dziś jest to naturalna bariera dla niektórych zagrożeń i ostatnie koło ratunkowe. Kolejna praktyka to separowanie środowiska backupowego od produkcyjnego, szczególnie jeśli jest nim platforma wirtualizacyjna. Niezbędne jest także regularne wykonywania kopi zapasowych najważniejszych danych i testowanie procedur ich odtwarzania – pozwala to uniknąć przykrych niespodzianek podczas sytuacji awaryjnych, gdy np. okazuje się, że czas na przywrócenie poprawnego działania systemów informatycznych jest zbyt długi albo, że zestaw danych zapisany kopiach zapasowych jest niewystarczający. Niezwykle ważne jest też otoczenie dostępowe do aplikacji. Jeśli instytucja obsługuje użytkowników/mieszkańców poprzez jakieś portale, przy pomocy przeglądarek, musi zwracać uwagę na filtrowanie danych i możliwość klasyfikowania treści, by szybko odciąć się od zmasowanego ataku i zablokowania sieci. Jakość rozwiązań należy budować w oparciu o dostawców, którzy wezmą za nie odpowiedzialność i będą w stanie pomóc przy problemach.

Jakie konkretne rozwiązania Fujitsu stosują samorządy i przedsiębiorstwa komunalne?

 

W całej Polsce są gminy, powiaty, z którymi współpracujemy, jeśli chodzi o rozwiązania serwerowe. Są to systemy, z których korzystają np. szpitale i inne ośrodki świadczące usługi medyczne. To branża, w której jesteśmy mocno widoczni. Współpracujemy również intensywnie z sektorem edukacyjnym, szkołami. Oczywiście działamy także na rzecz przedsiębiorstw, które obsługują mieszkańców, więc również przedsiębiorstw komunalnych. Proponujemy rozwiązania dotyczące kompletnych systemów informatycznych, monitoringu, nowoczesnych stanowisk pracy itd. Oferujemy zatem rozwiązania data center, a także stacje robocze i rozwiązania na potrzeby stanowisk pracy dla pracowników. Korzystamy przy tym także z zasobów, jakimi dysponują samorządy i przedsiębiorstwa oraz zapewniamy ich integrację z nowymi platformami. Oczywiście dostarczamy też rozwiązania dotyczące ochrony danych, takie jak biblioteki taśmowe, aplikacje, serwery, oprogramowanie. W przypadku tak szerokiego portfolio produktowego i szerokiej oferty usługowej, trudno znaleźć obszar, w którym nie moglibyśmy być partnerem dla samorządów.

Czym jest ekosystem Fujitsu i co ma do zaoferowania?

 

To sieć naszych globalnych partnerów technologicznych, z którymi współpracujemy i wspólnie opracowujemy rozwiązania, albo których usługi i produkty oferujemy w ramach swoich projektów realizowanych samodzielnie lub wspólnie z lokalnymi partnerami biznesowymi. Wspólnie jesteśmy w stanie dostarczyć i wdrożyć określone rozwiązania, dopasować je do innych systemów, aby poprawić obsługę najważniejszych procesów w organizacji, a potem zapewnić ich całościową obsługę serwisową. W ramach takiego ekosystemu nie musimy być producentem każdego elementu budowanego systemu czy producentem koniecznego oprogramowania. Mamy możliwość dobrania sprawdzonych technologii lub wiedzy od naszego partnera w ramach naszego ekosystemu. Dzięki temu możemy zbudować i zaoferować naszym Klientom kompleksowe rozwiązanie i usługi spełniające indywidualne oczekiwania bez ponoszenia nadmiernych kosztów.