Za nami jubileuszowa 5 edycja konferencji European Cybersecurity Forum Cybersec

W dniach 29-30 października 2019 r. w Międzynarodowym Centrum Kongresowym w Katowicach odbyła się 5 edycja konferencji “European Cybersecurity Forum Cybersec”.

Jak co roku, głównym wydarzeniem były prezentacje i panele dyskusyjne na CYBERSEC Forum, które odbywały się w ramach czterech równoległych ścieżek tematycznych: Państwo, Obrona, Przyszłość i Biznes. Jubileuszowa edycja Cybersec to również nowe formaty i imprezy towarzyszące, takie chociażby jak największe w regionie CEE targi produktów i usług cyberbezpieczeństwa – CYBERSEC EXPO. Nasza uwaga była oczywiście skoncentrowana na równoległym wydarzeniu “CYBERSEC Regions & Cities” poświęconym budowaniu cyberbezpieczeństwa w samorządach lokalnych i regionalnych.

Pierwszy dzień upłynął pod znakiem sesji plenarnej, którą to swoim wystąpieniem zatytułowanym “Smart City Urban Development” otworzył Pan Robert Muggah, współzałożyciel Igarapé Institute w Brazilii. W programie tego dnia znalazły się również prelekcje: “Securing Regions & Cities Using Blockchain Technology” aut. Mateusza Jarosiewicza ze Smart Cities Polska, “Innovatiive Aprproach to Cybereducation” aut. Mika Karjalainen z Finlandii, “Partnership in Building Cybersecurrity Ecosystem” aut. Silja-Madli Ossip z Estonii oraz “Cybersecurity in Intelligent Public Transport” aut. Krzysztofa Rudzińskiego z InnoBaltica Sp. z o.o. Zakończeniem pierwszego dnia był natomiast panel dyskusyjny zatytułowany “Cybersecurity in Smart and Connected Regions & Cities”.

Drugi dzień to równolegle przebiegające: warsztaty Public Admin Day oraz sesja paneli dyskusyjnych: 5G – Sieć Bliżej Ludzi; Polski Samorząd w Bezpiecznej Chmurze; Potencjał Śląska w Zakresie Rozwoju Hubu Cyberbezpieczeństwa. My zdecydowaliśmy się wziąć udział w warsztatach i tego wyboru nie żałujemy.

Wystąpienie otwierające pt. “Poziom cyberbezpieczeństwa w polskich samorządach” wygłosił Pan Leszek Maśniak, dzisiaj przedsiębiorca a w niedalekiej przeszłości manager Ministerstwa Cyfryzacji. W iście “storytellingowym” stylu, przytaczając przypowieść o pasterzach, ich owcach i tych wilkach, co chciałyby te owce dorwać, zwrócił uwagę, że przy tak dużej liczbie rozproszonych centrów przetwarzania danych (około 600 centrów w administracji rządowej i szacunkowo 12 000 centrów w administracji samorządowej) nie jesteśmy dzisiaj w stanie skutecznie tych danych chronić. Jego zdaniem taki świat trzeba „zaorać”. Jeżeli nie zbudujemy nowego skonsolidowanego świata danych, nie poprawimy znacząco obecnego stanu, nigdy bowiem nie wytworzymy wysokich kompetencji kilkunastu-tysiącach rozproszonych centrów danych.

Drugą prezentację pt. „Znaczenie cyberbezpieczeństwa w rozwoju społeczeństwa informacyjnego. Projekty edukacyjne dla samorządów” przygotował Pan Robert Kośla – Dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Jak się dowiedzieliśmy, aktualnie zinwentaryzowano 150 operatorów usług kluczowych w rozumieniu przepisów o krajowym systemie cyberbezpieczeństwa, a więc dostawców usług mających kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, a więc w energetyce, transporcie, bankowości i infrastrukturze rynków finansowych, ochronie zdrowia, zaopatrzeniu w wodę oraz infrastrukturze cyfrowej. Nie jest tajemnicą, że istotną część tych podmiotów stanowią jednostki organizacyjne i spółki samorządowe. Dlatego też Ministerstwo przygotowuje cały pakiet narzędzi edukacyjny w zakresie cyberbezpieczeństwa dedykowany jednostkom samorządu terytorialnego. Jedną z inicjatyw Ministerstwa są dedykowane szkolenia w formie warsztatowej, a pierwszych 5 edycji zaplanowano jeszcze na ten rok kalendarzowy:

  • Województwo Podlaskie – 5 listopada
  • Województwo Świętokrzyskie – 14 listopada
  • Województwo Warmińsko-Mazurskie 26 listopada
  • Województwo Łódzkie – 4 grudnia
  • Województwo Pomorskie – 10 grudnia

W trakcie przygotowania jest również platforma e-learningowa z pakietem szkoleń poświęconych szeroko rozumianej „cyberhigienie”. Zespół ministerialny pracuje jednocześnie nad standardami bezpieczeństwa, standardami konfiguracyjnymi systemów i aplikacji informatycznych. Jednostki samorządu terytorialnego powinny zainteresować również inne projekty Ministerstwa Cyfryzacji , tj. System Zapewniania Usług Chmurowych oferujący katalog usług wspólnotowej chmury obliczeniowej i publicznych chmur obliczeniowych (www.chmura.gov.pl) oraz realizowany wspólnie z Państwowym Instytutem Badawczym NASK Program Partnerstwo dla Cyberbezpieczeństwa, czyli platformy dobrowolnej współpracy podmiotów prywatnych oraz instytucji publicznych na rzecz podnoszenia bezpieczeństwa w cyberprzestrzeni.

Następna prezentacje to już prawdziwy „rollercoaster” w wykonaniu Michała Mizgalskiego – audytora bezpieczeństwa z ABI-ITSBL. Jego wystąpienie zatytułowane „Wymogi prawne oraz regulacje dotyczące IT w sektorze publicznym (KRI, RODO, Krajowy system cyberbezpieczeństwa” poprowadziło nas przez szereg wymagań prawnych „rozsianych” po tak licznych aktach prawnych, że chwilami wydawało się, że ten katalog nie będzie mieć końca. A może faktycznie nie ma? 🙂 Wystarczy wspomnieć, że Prawo oświatowe zobowiązuje dyrektorów szkół i placówek oświatowych, które zapewniają uczniom dostęp do Internetu, by jednocześnie zabezpieczały uczniów przed dostępem do treści, które mogą stanowić zagrożenie dla ich prawidłowego rozwoju. Jednocześnie zobowiązani jesteśmy do uniemożliwienia wchodzenia na strony, które na mocy ustawy o grach hazardowych, znalazły się na tzw. liście stron zakazanych. Jeszcze bardziej komplikuje się sprawa, jeżeli utworzymy publiczny punkt dostępu do internetu i tym samym zostaniemy uznani za operatorów telekomunikacyjnych w rozumieniu przepisów ustawy Prawo telekomunikacyjne. Jest już tych wymogów naprawdę dużo, a tak naprawdę nie dotarliśmy jeszcze do tytułowych Krajowych Ram Interoperacyjności, Rozporządzenia o ochronie danych osobowych czy przepisów ustanawiających Krajowy system cyberbezpieczeństwa.

W trakcie warsztatów swoje prezentacje mieli również Piotr Wojtasik z firmy Axence pt. „Rozwiązania informatyczne wobec wymogów ustawowych oraz regulacyjnych”, Grzegorz Sowa z banku PNB Paribas pt. „Najpopularniejsze ataki na infrastrukturę sieciową”, Mariusz Smółka z firmy QuestLab pt. „Audyt od A do Z. Jak przeprowadzany jest audyt KRI, przykłady kontroli, najpopularniejsze błędy” oraz Mirosław Gumularz z kancelarii GKK Legal pt. „RODO. Dobre praktyki i punkty zapalne – wyniki audytów i kontroli”.