Kilka wniosków z panelu dyskusyjnego w Katowicach

Kilka wniosków z panelu dyskusyjnego w Katowicach

W ubiegłym tygodniu miałem okazję moderować panel dyskusyjny podczas XIV Samorządowego Forum Kapitału i Finansów. Moimi rozmówcami byli:

• Artur Cieślik - redaktor naczelny IT professional oraz audytor i doradca w zakresie SZBI
• generał Marek Bieńkowski - Dyrektor Departamentu Porządku i Bezpieczeństwa w NIK, były komendant Straży Granicznej
• Kamil Pszczółkowski - prezes StillSec, ekspert w zakresie SZBI 

W trakcie dyskusji poruszaliśmy się wokół takich tematów jak:

• Jak tak naprawdę wygląda rzeczywistość w zakresie cyberbezpieczeństwa urzędów?
• Kto może mieć interes by zaszkodzić bezpieczeństwu informacji w urzędach? Jakie są najbardziej oczywiste a także najgroźniejsze scenariusze?
• Jakie rodzaje informacji przede wszystkim należy chronić? Jakie są potencjalne skutki wycieku tych informacji?
• Czy ryzyko w samorządach jest analogiczne do ryzyka w firmach komercyjnych?
• Czego oczekują samorządy by lepiej zarządzać bezpieczeństwem informacji?
• Jakie są kluczowe czynności by wdrożyć i utrzymywać skutecznie działający system zarządzania bezpieczeństwem informacji?
• Czego oczekiwać od osób odpowiedzialnych za wdrożenie SZBI w urzędzie? Kto to powinien wykonywać?
• Co jest największą przeszkodą dla ochrony informacji? 

Udało się zainteresować licznie przybyłą widownię, mieliśmy sporo głosów z sali. Kilka spostrzeżeń, które udało mi się zanotować dotoczyły takich kwestii jak:

• konieczności szerokiej komunikacji z najwyższą kadrą zarządzającą w zakresie zapewniania bezpieczeństwa informacji z podkreśleniem, że częste zmiany kadrowe powodują odpływanie wiedzy. Dostrzeżono tu rolę NIK jako niejakiego straszaka, który mobilizuje najwyższe kierownictwo do działania;
• potrzeby opracowania jednolitych ram zarządczych w zakresie ochrony administracji samorządowej w całym kraju. Poznaliśmy plany MC, do których zobowiązano się po opublikowaniu poprzedniego raportu NIK w zakresie cyberbezpieczeństwa i zastanawialiśmy się jak wprowadzenie w życie tych kwestii wpłynie na zarządzanie bezpieczeństwem informacji
• potrzeby przyjrzenia się przez NIK kwestii wynagrodzenia informatyków w urzędach (cytat - "ciut powyżej poziomu sprzątaczek"), co ma wpływ na to, na ile doświadczone są osoby pełniące kluczowe role dla powszechnego bezpieczeństwa
• potrzeby opracowania jednolitych szablonów - wytycznych dotyczących tego jak przeprowadzać analizę ryzyka w powtarzalnych jednostkach typu urząd miasta, gminy… a następnie wdrażać te wytyczne w jedne, tym razem skutecznie działający system zarządzania
• no i oczywiście pieniędzy,  konkretnie ich braku, który uniemożliwia skuteczną ochronę

Reasumując… mimo kilkukrotnego prowokowania nikt nie poparł (na szczęście) mojej prowokacyjnej tezy, że zagadnienie wdrażanie SZBI i inwestowania w zabezpieczenia w administracji samorządowej nie jest ważne. Oprócz świadomości po stronie najwyższego kierownictwa głównym problemem są pieniądze. Albo ich nie ma, albo też, co Kamil przedstawił w raporcie z badań, są one wydawane na mało skuteczne, by nie powiedzieć, że pozorowane działania.

Sporo pracy czeka jeszcze administrację publiczną by zapewnić należyty poziom ochrony. Mam nadzieję, że stanie się to jednak w rozsądnej atmosferze, z własnej inicjatywy, a nie w reakcji na potężny cyber-incydent.

Warto też dodać, że w trakcie każdego z bloku paneli dyskusyjnych, poruszających jakby nie patrzeć różnorakie kwestie, udało mi się wybrać coś, co dotykało, niekiedy bardzo mocno, kwestii bezpieczeństwa informacji. Temat widać trafił mocno do powszechnej świadomości, teraz czas na czyny.