Fundacja Bezpieczna Cyberprzestrzeń została zapytana, czy istnieje możliwość stworzenia automatycznego sporządzania diagnozy cyberbezpieczeństwa dla gmin, które uczestniczą w programie „Cyfrowa Gmina”. A ponieważ lubimy wyzwania oraz projekt wydał nam się interesujący – podjęliśmy rękawicę.

Jak wyszło i co można dzięki naszemu algorytmowi opartemu o ankietę osiągnąć? Postaram się to opisać w niniejszym tekście.

Czym jest program „Cyfrowa Gmina”?

Właściwe zrozumienie działania naszego „produktu” wymaga krótkiego wyjaśnienia, czym jest program „Cyfrowa Gmina”. To rządowy program mający na celu wsparcie rozwoju cyfrowego instytucji samorządowych oraz zwiększenie poziomu cyberbezpieczeństwa.

Dofinansowanie można otrzymać na zadania związane z:

1. Cyfryzacją urzędów jednostek samorządu terytorialnego i jednostek im podległych oraz nadzorowanych poprzez nabycie sprzętu IT i oprogramowania, licencji niezbędnych do realizacji e-usług, pracy i edukacji zdalnej.
2. Edukację cyfrową dla jednostek samorządu terytorialnego w zakresie obsługi nabytego sprzętu oraz oprogramowania i licencji.
3. Analizą stanu cyberbezpieczeństwa jednostek samorządy terytorialnego, a także zapewnieniem cyberbezpieczeństwa samorządowym systemom informatycznym.

Do udziału w programie dopuszczone były wszystkie gminy, które mogły uzyskać dotację celową w wysokości od 100 tysięcy do 2 milionów złotych. Program „Cyfrowa Gmina” daje pełną swobodę w wykorzystaniu środków na cyfryzację urzędów, samorządów i gmin.

Jednym z formalnych obowiązków gminy jest przeprowadzenie diagnozy cyberbezpieczeństwa, nazywanej również audytem cyberbezpieczeństwa, która ma zostać wykonana przez uprawnionego audytora w oparciu o zgodność z przepisami ustawy o krajowym systemie cyberbezpieczeństwa oraz krajowych ram interoperacyjności. Sam wynik ankiety bardziej przypomina stopień dojrzałości cyberbezpieczeństwa niż stopień zgodności z konkretnymi przepisami.

Rozpoczęcie prac nad automatyzacją wykonywania diagnozy

Członkowie Fundacji mają certyfikaty wymagane do sporządzania diagnozy cyberbezpieczeństwa, jak również wielokrotnie uczestniczyli w wielu audytach mających ocenić dojrzałość, jak i zgodność z różnymi aktami prawnymi i obowiązującymi standardami.

Propozycja była więc wodą na nasz młyn i ochoczo rozpoczęliśmy pracę. Uznaliśmy, że najłatwiej będzie wykorzystać różnego rodzaju ankiety audytorskie wykorzystywane podczas prac audytowych i połączyć je w jeden dokument, którego wypełnienie pozwoli na rzetelną i obiektywną ocenę stopnia dojrzałości gminy w zakresie cyberbezpieczeństwa.

Zebraliśmy nasze doświadczenia w jedną ankietę, która powstała w oparciu o ankiety z obszarów dotyczących ochrony danych osobowych, ustawy o krajowym systemie cyberbezpieczeństwa, zasad krajowych ram interoperacyjności, norm ISO 27001 i ISO 22301, oraz kilku innych standardów i własnych rozwiązań służących do pomiaru dojrzałości cyberbezpieczeństwa. Efektem prac jest składająca się z 17 rozdziałów ankieta, z których najistotniejsze to:

• Dokumentacja i certyfikacja
• Urządzenia przenośne i praca zdalna
• Zarządzanie kadrami, role i odpowiedzialności
• Dostęp do systemów i danych
• Dostęp fizyczny
• Bezpieczeństwo operacji
• Utrzymanie i rozwój systemów
• Relacje z dostawcami
• Zarządzanie incydentem
• Ciągłość działania

Kolejnym krokiem było przygotowanie przez naszych deweloperów algorytmu, potrafiący czerpać dane z wypełnionej ankiety i we właściwy sposób korelować je z wymaganym formalnie w ramach programu „Cyfrowa Gmina” załącznikiem numer 8, stanowiącym niezbędny i oficjalny dokument, który po podpisaniu przez uprawnionego audytora musi zostać przesłany jako oficjalna dokumentacja projektowa.

W trakcie prac postanowiliśmy również poszerzyć zakres zapotrzebowania i zaoferować konsorcjum, w którego skład weszliśmy, sporządzenie raportu bezpieczeństwa w najistotniejszych, dla jednostki samorządu terytorialnego, obszarach. Zdecydowaliśmy się zbadać urzędy gminy za pomocą silnika naszej gry „Cyber Twierdza”, który pozwolił określić, na ile gmina jest zabezpieczona przed następującymi zagrożeniami: phishing, e-mail malware, atak z wykorzystaniem fizycznego dostępu, atak hakerski na usługi publiczne, DDoS, pożar i jako ostatnie zagrożenie: przerwa w zasilaniu. W tym przypadku również wykorzystaliśmy algorytm, który skorelował odpowiedzi na kilkaset ankietowych pytań z silnikiem gry, tworząc raport bezpieczeństwa z rekomendacjami w danym obszarze zagrożeń.

Testy

Nie mogliśmy jednak polegać tylko na tym, co obliczył nasz algorytm. Konieczne było przeprowadzenie testów, czy wyniki otrzymane w naszym automatycznym procesie dadzą takie same wyniki, jak praca audytora. Porównanie wyników było możliwe w związku z faktem, że członkowie Fundacji przeprowadzali już diagnozy w ramach projektu „Cyfrowa Gmina” w tradycyjny sposób, więc zgromadziliśmy materiał porównawczy, który został wykorzystany i…

…Nadeszła wiekopomna chwila! Okazało się, że wyniki są w zasadzie identyczne, zauważyliśmy jedynie większe odstępstwo w ocenie dojrzałości w jednym obszarze załącznika numer 8. Nie był to jednak problem, gdy okazało się, że źle zaznaczyliśmy odpowiedź w ankiecie – błąd ludzki. Dodatkowo testy wykazały tylko w jeszcze jednym przypadku różnicę w ocenie i po analizie tej anomalii doszliśmy do wniosku, że różnica wynika ze zbyt łaskawego potraktowania obszaru przez audytora. Uwierzył wyjaśnieniom, a nie twardym dowodom, które wynikały ze zgromadzonej dokumentacji. Jak się okazuje, naszego algorytmu nie wzruszą żadne historie, o tym, że w rzeczywistości karty ID nie leżą na stole w poczekalni i to, co widzi audytor zdarzyło się tylko raz.

Jak wygląda proces sporządzenia diagnozy

Gmina wypełnia elektronicznie (czas wypełnienia do 2 godzin) ankietę ze wsparciem lub bez naszych konsultantów. Następnie wypełniona ankieta zostaje przekształcona w plik json, z którego informacje pobiera nasz algorytm i przekształca uzyskane informacje na formalny załącznik numer 8 oraz, w tym samym czasie, na wspomniany wyżej raport bezpieczeństwa z rekomendacjami. Kolejnym etapem jest weryfikacja, dokonana za pomocą zespołu audytorskiego, efektów pracy algorytmu z dokumentacją przedstawioną przez gminę, a cały proces może zakończyć się podpisem audytora, przez co załącznik numer 8 staje się gotowym do przesłania dokumentem formalnym.

Co jest ostatecznym produktem?

Jako końcowy produkt otrzymujemy dwa dokumenty. Pierwszym z nich jest formalny załącznik numer 8, a drugim raport bezpieczeństwa. Są to oba uzupełniające się dokumenty, które wykraczają zdecydowanie poza obszar wymagań programu „Cyfrowa gmina” i niezbędnej w celu otrzymania finansowania diagnozy cyberbezpieczeństwa. Dzięki naszej pracy i stworzeniu automatyzacji przy tworzeniu diagnozy, oszczędziliśmy czas i pieniądze zarówno gmin, jak i audytorów, którzy muszą jedynie zweryfikować uzyskany materiał audytowy. Dzięki automatyzacji audyt stał się najtańszym, a także rzetelnym, znanym nam rozwiązaniem spośród dostępnych na rynku.

Najsłabszym elementem jest to, że gmina wypełnia ankietę samodzielnie, lub przy pomocy konsultantów, którzy są przeszkoleni z merytorycznego, jak i formalnego zakresu ankiety. Nie gwarantuje to, że zaznaczone zostaną odpowiedzi zgodne z prawdą. Dlatego wprowadziliśmy wentyl bezpieczeństwa, którym jest załączanie przez gminę materiału dowodowego w postaci dokumentacji, lub zdjęć, które mają być dowodem na spełnienie danego obszaru z ankiety. Materiał ten jest później weryfikowany przez zespół audytowy, co nie zajmuje tak wiele czasu jak zbieranie dowodów audytowych na miejscu. Takie rozwiązanie wydaje się wystarczającym zabezpieczeniem w tym konkretnym przypadku.

Fragment wygenerowanego przez nasze rozwiązanie Załącznika nr 8

Fragment wygenerowanego przez nasze rozwiązanie raportu bezpieczeństwa

Co dalej z algorytmem, jak można go jeszcze wykorzystać? We had a dream!

W czasie pracy nad naszym algorytmem zrozumieliśmy, jak bardzo perspektywiczny produkt udaje się nam tworzyć. Zarówno ankieta, jak i samo oprogramowanie służące generowaniu diagnoz i raportów może być modyfikowane w dowolnie wybranym kierunku. Przykłady – jeśli potrzebujemy zbadać środowisko chmurowe możemy pozbyć się dowolnych obszarów np. tych dotyczących KRI, a dołożyć wymagania STAR lub inne. Możliwe jest również nieusuwanie żadnych elementów, a dodawanie kolejnych.

Jest to idealna oferta dla grup kapitałowych, które będą w stanie zbadać wszystkie podmioty ze swojego portfolio. Badanie jest dokładnie takie samo dla każdego podmiotu i dokonane przez audytora, który zbiera jedynie faktyczne dowody.

W ten sposób można zbadać każdy sektor gospodarki, biorąc pod uwagę specyficzne dla niego wymogi i standardy. Możliwe jest sprawdzenie każdego operatora usługi kluczowej i każdego dostawcy usługi cyfrowej. Można również przebadać sektor służby zdrowia, edukacji i to zarówno na płaszczyźnie rządowej jak i samorządowej.

Wyobrażamy sobie zaangażowanie państwa w projekt. Uważamy, że wykorzystując nasze rozwiązanie, można przebadać każdą gminę w Polsce, dzięki czemu uzyskamy obraz cyberbezpieczeństwa na terenie każdej krainy geograficznej, województwa i powiatu. Może to prowadzić do uzyskania bardzo ciekawych wyników i, co najważniejsze, za pomocą takiego samego dla wszystkich narzędzia.

Wyobrażaliśmy sobie, że nasze rozwiązanie może chcieć wykorzystać Unia Europejska i ENISA i że….

Kto wykorzystuje obecnie nasz algorytm jak skorzystać z usługi diagnozy cyberbezpieczeństwa?

Nasz algorytm jest wykorzystywany w usłudze, którą oferuje Puerta Logic, a wszystkich zainteresowanych wykonaniem diagnozy cyberbezpieczeństwa zgodnej z programem „Cyfrowa gmina”, zapraszamy do kontaktu pod adresem mailowym:

[email protected]

Wszystkich, którzy zainteresowani są wykorzystaniem naszego algorytmu i ankiety zapraszamy do kontaktu z nami pod adresem mailowym:

[email protected]