Zarządzanie incydentami w administracji publicznej – wymóg prawa, codzienna rzeczywistość czy marzenie

Zarządzanie incydentami w chwili obecnej jest bardzo modnym pojęciem. W administracji publicznej obowiązuje kilka aktów prawnych, które zwracają uwagę na taki wymóg. Począwszy od ustawy o informatyzacji podmiotów świadczących zadania publiczne, poprzez rozporządzenie do Ustawy o Krajowych Ramach Interoperacyjności (KRI) i przywoływaną w tym rozporządzeniu normę ISO 27001 (27001), jak i Zalecenia Ministerstwa Administracji i Cyfryzacji w sprawie bezpieczeństwa portali administracji rządowej (Zalecenia), które zwracają uwagę na zarządzanie incydentami, kontaktowanie się z CERT, czy wreszcie Polityka Ochrony Cyberprzestrzeni RP 2011-2016 (POC).

Zacznijmy od definicji incydentu w rozumieniu POC:

„Incydent – związany z bezpieczeństwem informacji, rozumiany jako pojedyncze zdarzenie lub seria niepożądanych zdarzeń związanych z bezpieczeństwem, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji – (wg norm PN-ISO/IEC 27000). Incydent rozumiany jest także, jako niekorzystne zdarzenie związane z systemem informatycznym, które według wewnętrznych reguł lub zaleceń dotyczących bezpieczeństwa, jest awarią i/lub powoduje domniemanie lub faktyczne naruszenie ochrony informacji, albo powoduje naruszenie własności”.

Przykladowy_cykl_zarzadzania_incydentem_bezpieczenstwa_it
Jak widać pierwsza część definicji odnosi się do naszej ulubionej normy ISO 27001, ale druga zwraca uwagę na rozumienie jak najbardziej powszechnie. Bo czymże innym jest praca administratora jak nie reagowaniem na niekorzystne zdarzenia związane z pracą powierzonej maszyny, maszyn czy sieci komputerowej. Ograniczenia zasobów sprzętowych od strony logicznej czy sprzętowej, problemy z okablowaniem, rozwiązywanie oczekiwań użytkowników to wszystko mogło powodować określone skutki, kiedyś nie nazywane jeszcze incydentami.

Czyżbym namawiał Czytelników do zatrzymania postępu i powrotu do dawnych, pięknych czasów? Nie, chciałbym tylko zwrócić uwagę na to, że bardzo często u źródeł wszelkich problemów w administracji, gdzie mamy do czynienia z dowolnie rozumianym IT, a wymogami przepisów prawa leżą kwestie terminologiczne, brak umiejętności zrozumienia wzajemnych różnic, czy innego podejścia do niby oczywistych spraw. Każdy, kto przedstawiał projekt umowy związanej z informatyzacją do zatwierdzenia radcy prawnemu, doskonale rozumie, o co mi chodzi, a ciągle zdarzają się prawnicy, którzy mylą ustawę o ochronie informacji niejawnych z ustawą o ochronie danych osobowych.

Wracając do kwestii incydentów problemem, który uważam za bardzo istotny w każdej organizacji zajmującej się zarządzaniem tymi incydentami jest właśnie kwestia wypracowania właściwego wspólnego słownika, czyli dopracowania rzeczywistego rozumienia używanych terminów nie tylko na styku prawnicy-IT, ale także wśród pracowników działu IT.

Miałem okazję widzieć, że nawet wśród informatyków podejście do bardzo prostych spraw związanych z zarządzaniem ryzykiem, prowadziło do różnych nieporozumień, czy innego wartościowania pewnych zdarzeń. Niestety, ale nawet podpisanie dokumentu wcale nie świadczy o tym, że osoba go podpisująca rozumie go tak, jak nam się wydaje. Stosowanie się do jego zapisów to już całkiem inna sprawa.

W związku z tym, jako dwa główne problemy związane z zarządzaniem incydentami chciałbym wskazać:

  1. Właściwe zdefiniowanie słownika, mapy wspólnych pojęć, upewnienie się, że incydent w rozumieniu nas – zajmujących się bezpieczeństwem – interesującym to ten sam incydent dla działu IT. Bez tego nie uda się zbudować ani bazy zdarzeń, ani potem właściwie reagować.
  2. Brak właściwej reakcji na zdarzenia – dla kogoś błahe, a wynikające właśnie z błędnego zrozumienia naszych intencji, spowoduje przegapienie kilku, kilkunastu faktów, które spowodują, że w dalszej analizie ilościowej zupełnie inaczej podejdziemy do danego zjawiska.
  3. Brak ciągłych szkoleń. Szkolenia mają wyćwiczyć umiejętność właściwego reagowania na zdarzenia, umiejętność właściwego ich przyporządkowywania, klasyfikowania i uruchamiania odpowiednich procedur. Nikt nie chce i nie ma czasu na prowadzenie ćwiczeń, bo to odciąga od właściwych obowiązków, dezorganizuje pracę Urzędu i jest dodatkowym utrudnieniem. Niestety bez ciągłych ćwiczeń i szkoleń nie odniesie się sukcesu.

Niejednokrotnie w trakcie prowadzonych warsztatów np. z analizy ryzyka widziałem, że w sytuacji symulowanej w grupie osób składającej się z różnych specjalistów najtrudniej było „wyciągnąć” oczekiwane efekty od specjalistów w omawianej właśnie dziedzinie. Niestety rutyna i pewność siebie, że wiem wszystko w danym zakresie wiedzy  jest bardzo złudna. Jeśli doda się jeszcze trochę stresu wynikającego z sytuacji nowej, trudnej to problem się pogłębia. Rzeczywiste sytuacje krytyczne mogą być kompletnie nieprzewidywalne i można się tylko odwołać do starego powiedzenia: „im więcej potu na ćwiczeniach, tym mniej krwi w boju”.

incident_response_manager_reklama

Kolejny problem to sposób sformułowania aktów prawnych

Dla mnie osobiście KRI jest znaczącym krokiem, jeśli chodzi o prawo komputerowe, ale znam głosy krytyczne, które mówią, że jest zbyt ogólne. Dla pracowników IT czytanie aktów prawnych jest drogą przez mękę. Jak taki „biedny techniczny” ma potem stworzyć oparte o te normy procedury czy plany, jeśli nie rozumie istoty normy prawnej? Kto napisze plany utrzymania działalności? Prawnik? Niemożliwe. Zostaje oczywiście dział bezpieczeństwa i wracamy ponownie do szkoleń w zakresie tworzenia właściwych procedur. Mowa o szkoleniach w sektorze publicznym jest też w POC, ale nic więcej praktycznego z tego nie wynika, czyli np. plan szkoleń organizowany przez Ministerstwo Administracji i Cyfryzacji

Inny równie istotny problem to brak ludzi do obsługi incydentów. Kim obsadzić te różne role wynikające z podanych na początku aktów prawnych, jeśli zadań codziennych jest dużo, a należałoby jeszcze prowadzić testy, ćwiczenia, próby itp. Zwłaszcza w administracji samorządowej, rządowej terenowej zespolonej i niezespolonej brak jest specjalistów, a jeśli są z poszczególnych dziedzin to nie bardzo są przygotowani do interdyscyplinarnego łączenia spraw z zakresu prawa, IT, bezpieczeństwa informacji, audytu itp.

Ostatni problem to problem najbardziej techniczny, który znowu można ująć w sposób historyczny. Od zawsze prowadząc szkolenia z IT security zwracało się uwagę na główne źródło wiedzy dla administratorów, czyli logi. Zbieranie logów i analizowanie. Z czasem logów było tak dużo, że bez narzędzi do ich analizy nie można się było obejść. A teraz mamy bardzo wiele różnych narzędzi, aż do różnorakich SIEM, że nie wspomnę o SOA, a wydaje mi się, że jakby kompletnie nie korzystano z tych narzędzi, albo wykorzystywano je w stopniu bardzo ograniczonym. Zdarza mi się prowadzić kontrole w różnych jednostkach sektora publicznego i zastanawia mnie, jak mało administratorzy wiedzą o swoich systemach.

Jak w takim razie mówić o zarządzaniu incydentami, skoro administrator nawet nie chce wiedzieć, co się dzieje w jego systemie? Powiem krótko, nie wiem.

Co można zrobić, żeby było lepiej. Prosta sprawa. Po pierwsze egzekwowanie obowiązujących aktów prawnych. Kiedyś była mowa o egzaminach dla kontrolerów systemów informatycznych, co wynikało z wejścia w życie Ustawy. Potem mogli się legitymować powszechnie uznanymi certyfikatami audytorów np. CISA. Pytanie, który urząd stać na takich specjalistów? Wyłącznie urzędy centralne. NIK kontroluje rzadko, służby specjalne incydentalnie.

Jak widać temat kontroli mamy z głowy. Drugi możliwy sposób to organizowanie szkolenia przez dedykowane instytucje, np. MAC, ABW, CERT NASK. O szkoleniach jest mowa też w POC. I co? Dalej nic, bo ich skala jest bardzo mała.

Trzeci sposób poprawy istniejącego stanu rzeczy to próba zbudowania refleksji naukowej nad rozwojem polskiej e-administracji, sprawnością wykorzystywania technik IT w sektorze publicznym, zapewnieniem bezpieczeństwa informacji itd., itp. Nie znam takich systematycznych badań. Kilka prac powstało na UMCS w Lublinie i dotyczyło e-administracji. A gdzie badania nad rzeczywistym bezpieczeństwem informacji? Powtórzę jeszcze raz, skoro w jednostkach sektora publicznego bardzo często mało się wie na temat skali różnego rodzaju zdarzeń, które można ewentualnie klasyfikować jako incydenty, to jak można mówić o zarządzaniu.

W drugim członie tytułu  użyłem następującej frazy: wymóg prawa, codzienna rzeczywistość czy marzenie. O ile można się zgodzić, że rzeczywiście obowiązujące akty prawne mówią o zarządzaniu incydentami w sektorze publicznym, to w przypadku codziennej rzeczywistości raczej bym się skłaniał, że jest to jednak realizacja drugiej części cytowanej definicji, czy utrzymywanie systemów w ruchu, zwracanie uwagi na ich pracę, bezpieczeństwo. Dalekie jest to w moim rozumieniu od właściwego rozumienia zapisów ISO 27001. Innymi słowem zarządzanie incydentami w sektorze publicznym to marzenie, marzenie pasjonatów IT security, którzy dostali kilka zabawek w rodzaju Ustawy, KRI, POC, i jeśli trafią w swojej instytucji na „sprzyjający klimat” to mogą zrobić coś pożytecznego. W dalszym ciągu brak jest jednak mechanizmów systemowych.

2018-07-17T13:17:44+00:002014/10/26|
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • Skontaktuj się z nami
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • Skontaktuj się z nami
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • Skontaktuj się z nami
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • Skontaktuj się z nami