Artykuł pochodzi z wydania: Wrzesień 2024
Gdy w instytucji wystąpi awaria, kierownictwo oczekuje błyskawicznej reakcji ze strony służb IT. Aby zapewnić bezpieczeństwo, informatycy zmagają się z szeregiem czasochłonnych zadań. Z pomocą w takich przypadkach przychodzi plan ciągłości działania.
Co w zakresie utrzymania ciągłości działania urzędu robią informatycy? Wdrażają złożone plany kopii zapasowych lokalnych i wyniesionych. Zapobiegają nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu informacji zapisanych na nośnikach. Monitorują pracę systemu druku, macierzy dyskowych SAN i NAS. Projektują i wdrażają polityki zarządzania energią, zabezpieczają środowisko przed utratą danych w sytuacji braku zasilania w energię elektryczną. Reagują na incydenty bezpieczeństwa, opracowują czynności naprawcze i korygujące. Konfigurują zabezpieczenia styku sieci lokalnej z internetem, aby bronić zasobów jednostek samorządu terytorialnego (dalej: jst). Realizują politykę tożsamości, zapewniając dostęp do usług osobom uprawnionym, administrują wirtualnymi serwerami i sieciami, instalują oraz konfigurują usługi świadczone w systemach teleinformatycznych. Ponadto instalują, konserwują i obsługują systemy monitoringu wizyjnego. Współpracują z policją oraz z jednostkami organizacyjnymi w celu poprawy bezpieczeństwa cybernetycznego. Utrzymują kontakty z zewnętrznymi podmiotami celem pozyskiwania informacji o nowych technologiach informatycznych. Dodatkowo na bieżąco studiują nowe przepisy prawa polskiego oraz unijnego. Świadczą wsparcie dla użytkowników końcowych oraz obsługują obrady rad i komisji. Wdrażają mechanizmy bezpieczeństwa zgodnie z zapisami Systemu Zarządzania Bezpieczeństwem Informacji, z których wynika, że poza wyżej wymienionymi zadaniami, na które z trudem wystarcza czasu, należy jeszcze opracować szczegółowe plany ciągłości działania i regularnie je testować.
Szczegóły procedury
Plan ciągłości działania (Business Continuity Planning; dalej także: plan) to zbiór procedur i informacji, które należy opracować na wypadek sytuacji kryzysowej lub zdarzenia losowego, np.: incydentu cyberbezpieczeństwa, awarii, pożaru czy zalania lub powodzi. Plan definiuje procedury mające na celu przywrócenie funkcjonowania systemów, aplikacji i infrastruktury, wskazuje obowiązki poszczególnych osób oraz zespołów, odpowiedzialnych za sprawne przywracanie systemów do działania po awarii. Pamiętajmy, że plan to tylko dokument, który jest elementem holistycznego procesu zarządzania ciągłością działania. Według normy ISO 22301 zarządzanie ciągłością działania identyfikuje potencjalne zagrożenia i wpływ, jakie te zagrożenia, jeśli wystąpią, mogą wywrzeć na działalność biznesową organizacji. Ponadto zapewnia ramy do budowania odporności organizacyjnej z możliwością skutecznej reakcji, która zabezpiecza interesy kluczowych interesariuszy, reputację, markę i działania tworzące wartość. Z badań przedstawionych przez Mercer (itwa.pl/yl) wynika, że aż 51% firm nie ma planów na wypadek zdarzenia losowego, w konsekwencji czego grozi im utrata ciągłości działania. W badaniu firmy Infinite Blue (itwa.pl/yk) dotyczącym przydatności planów ciągłości działania „How Prepared Were You – A Business Continuity Retrospective of the Covid-19 Pandemic” wzięło udział ponad 300 organizacji. Respondentów pytano o wykorzystanie planów ciągłości działania oraz planów odtwarzania po awarii. W wynikach czytamy: 45% specjalistów IT przyznało, że plany dotyczące reakcji na pandemię w momencie wybuchu COVID-19 nie były w rzeczywistości pomocne lub nie działały zgodnie z ich przeznaczeniem, zaś 81% badanych stwierdziło, że ich plany wymagały poprawy, ponieważ wcześniej przeoczono mnóstwo zależności. Patrząc przez pryzmat wyników zza oceanu, można przypuszczać, że w jst występuje podobna sytuacja.
Uwzględniając procedowanie zmiany przepisów prawa w zakresie ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (tekst jedn. DzU z 2020 r., poz. 164 ze zm.), które wprowadzają od stycznia 2026 r. obowiązek elektronicznego zarządzania dokumentacją, można stwierdzić, że obecna kadencja samorządowa jest przełomowa i przed włodarzami miast i gmin stoi wielkie wyzwanie przeprowadzenia transformacji z tradycyjnych papierowych obiegów dokumentów do elektronicznych systemów zarządzania dokumentacją klasy EZD. W obecnej sytuacji po utracie danych zapisanych w systemach elektronicznych można je odtworzyć z oryginałów papierowych. Po zmianie większość dokumentów będzie miała tylko postać elektroniczną. Z powyższego wynika wniosek, że w dobie tak wielkich zmian należy zwrócić szczególną uwagę na bezpieczeństwo informacji – jst muszą przejść z biernego planowania do aktywnego zarządzania procesami związanymi z mitygacją ryzyka oraz ciągłością działania systemów krytycznych.
Wdrożenie skutecznego planu
Pierwszym krokiem w tworzeniu planu ciągłości działania jest powołanie interdyscyplinarnego zespołu złożonego z przedstawicieli każdego działu firmy. Zespół ten powinien mieć lidera odpowiedzialnego za koordynację działań oraz jego zastępcę, który przejmie obowiązki w razie nieobecności lidera. Warto zadbać o to, aby w zespole znalazła się też osoba ze ścisłego kierownictwa. Każdy dział organizacji powinien być reprezentowany przez co najmniej jednego pracownika, aby zapewnić, że żaden istotny obszar nie zostanie pominięty i będzie mógł działać w przypadku awarii. Członkowie zespołu będą pełnić funkcję ambasadorów projektu w swoich działach, zajmując się szkoleniem reszty zespołu, identyfikacją procesów i ustalaniem standardów planu.
Pierwszym zadaniem dla zespołu powinna być analiza ryzyka (Risk Analysis; dalej: RA). To zadanie obejmuje kompleksową identyfikację zagrożeń, ocenę ich skali oraz prawdopodobieństwa wystąpienia. Analiza ryzyka pozwala zidentyfikować działania, które mogą mieć najgorsze skutki dla organizacji, i umożliwia przygotowanie się na nie. Ważnym, choć czasem pomijanym, elementem analizy ryzyka jest ocena i sprawdzenie podatności firmy na ataki hakerskie i ransomware.
Kolejne zadanie to analiza wpływu na biznes (Business Impact Analysis; dalej: BIA), która ocenia finansowe, operacyjne i fizyczne skutki przerwania procesów lub usług. Pomaga to zrozumieć rodzaje ryzyk i zagrożeń związanych z działalnością operacyjną, reputacją jst, zaufaniem obywateli do organów samorządu, pracownikami oraz łańcuchami dostaw. Analiza ta może skupiać się na zależnościach w łańcuchu dostaw, minimalnym czasie potrzebnym do przywrócenia działalności operacyjnej oraz minimalnej liczbie personelu potrzebnego do utrzymania ciągłości działania w firmie. Dzięki dokładnej analizie BIA jst może zidentyfikować kluczowe obszary konieczne do utrzymania ciągłości funkcjonowania systemów IT. Analizowane są nie tylko procesy, ale również lokalizacje, pracownicy i usługi. W analizie stosuje się dwa kluczowe wskaźniki: RTO (Recovery Time Objective), określający czas potrzebny na odtworzenie procesów po awarii, oraz RPO (Recovery Point Objective), który odnosi się do akceptowalnego poziomu utraty danych sprzed awarii. Po przeprowadzeniu analizy RA i BIA firma będzie w stanie określić najważniejsze obszary dla zapewnienia ciągłości biznesowej, na których należy skoncentrować się podczas opracowywania planu.
[…]
Witold Bzdęga
Autor od blisko 20 lat jest informatykiem w administracji samorządowej, a dodatkowo wspiera jednostki oświaty, kultury i opieki społecznej. Od wielu lat szkoli pracowników różnych podmiotów w zakresie cyberbezpieczeństwa. Interesuje się problematyką ochrony informacji, mitygacji ryzyka, rolą samorządów w budowie społeczeństwa informacyjnego i informatycznymi rozwiązaniami usprawniającymi pracę urzędów.
