Home Biznes Udział w przetargu IT dla sektora publicznego? Bez certyfikatu to trudne

Udział w przetargu IT dla sektora publicznego? Bez certyfikatu to trudne

0
0
83

Aktywność cyberprzestępców nie ogranicza się tylko do branży komercyjnej. Zagrożenie obejmuje również sektor publiczny, który jest odpowiedzialny za infrastrukturę krytyczną dla funkcjonowania państwa oraz przetwarzanie danych mieszkańców i obywateli. 

W ubiegłym roku aż 80% organizacji nadzorujących infrastrukturę krytyczną doświadczyło ataku ransomware1, a w następstwie aktualnej sytuacji geopolitycznej, w Polsce do 30 listopada br. obowiązuje trzeci stopień alarmowy CRP, sygnalizujący zagrożenia dla państwowej infrastruktury2. Nic więc dziwnego, że coraz częściej przetargi w sektorze publicznym wymagają od wykonawców certyfikatów poświadczających posiadanie kompetencji z zakresu przetwarzania danych oraz zapewnienia ich bezpieczeństwa.

W najnowszym zestawieniu najbezpieczniejszych cyfrowo krajów Polska uplasowała się w pierwszej dwudziestce rankingu – to wyżej niż takie kraje Europy Zachodniej jak Niemcy, Francja czy Hiszpania3. W rankingu autorstwa firmy Comparitech uwzględniono również ocenę poziomu zabezpieczeń państwowych.

Infrastruktura pod cybernetycznym ostrzałem

– Te dane pokazują, że jesteśmy na dobrej drodze. Ciągle jednak musimy wzmacniać cyberbezpieczeństwo systemów krytycznych. To szczególnie istotne w obliczu aktualnej sytuacji geopolitycznej i stale zwiększającej się liczby złośliwych ataków na państwową infrastrukturę. O powadze sytuacji świadczy fakt, iż od kilku miesięcy obowiązują w naszym kraju podwyższone stopnie alarmowe sygnalizujące zwiększone zagrożenie dla infrastruktury teleinformatycznej. Rosnąca popularność rozwiązań, dzięki którym obywatele mogą załatwiać sprawy urzędowe przez Internet, oznacza także, że ogólnopolskie aplikacje przetwarzają coraz większą ilość informacji. Systemy te naturalnie stają się celem ataku cyberprzestępców, szczególnie tych działających na zlecenie innych państw. To z kolei oznacza, że w obszarze infrastruktury administracji publicznej musimy nieustannie zachowywać i wzmacniać naszą czujność. – Piotr Staszczak, prezes zarządu, S&T w Polsce

Zagrożenie dotyczy nie tylko infrastruktury centralnej, ale również lokalnej. W Polsce już w pierwszych miesiącach pandemii wzrosła liczba ataków hakerskich na serwery jednostek samorządu terytorialnego4. Aktualnie globalnie nawet 4 na 10 naruszeń bezpieczeństwa informacji za pośrednictwem ransomware dotyczy władz lokalnych5. Mając na uwadze, że nawet 94% ataków tego typu wiąże się z próbą zniszczenia kopii zapasowych6, wyzwanie jest realne – w ostatnich latach samorządy straciły średnio od 20 do 60 tys. złotych w wyniku udanych naruszeń bezpieczeństwa7. Koszt obejmuje m.in. ukradzione pieniądze, ale również opłaty dla firm przywracających system do działania po incydencie bezpieczeństwa.

W przetargach stawia się na bezpieczeństwo

W kontekście powyższych danych instytucje sektora publicznego – zarówno na szczeblu centralnym, jak i lokalnym – przy ogłaszaniu zamówień na elementy infrastruktury informatycznej szczególnie uważnie sprawdzają kompetencje wykonawców związane z przetwarzaniem i zabezpieczaniem danych. Tom II rekomendacji dotyczących zamówień publicznych na systemy informatyczne opublikowany w grudniu 2021 r. przez Urząd Zamówień Publicznych8 uwzględnia m.in. wymóg określenia przez zamawiającego wymagań w zakresie cyberbezpieczeństwa systemu informatycznego. Rekomendacje wskazują wprost, że można to zrobić na podstawie powszechnie uznawanych norm i certyfikacji z zakresu bezpieczeństwa cybernetycznego, takich jak ISO, Narodowe Standardy Cyberbezpieczeństwa czy standardy określone przez amerykański Narodowy Instytut Standaryzacji i Technologii. Co więcej, wymagania dotyczą nie tylko zabezpieczenia infrastruktury, ale również odpowiedniego zarządzania dostępem i przetwarzaniem danych przez personel wykonujący zadania w ramach projektu.

W efekcie w zamówieniach publicznych często wprost jest określony wymóg zaprezentowania przez wykonawcę dokumentu potwierdzającego te kompetencje. Przykładem jest ISO 27001 – jeden z najbardziej renomowanych i rozpoznawalnych certyfikatów, który zaświadcza o przestrzeganiu międzynarodowych standardów w zakresie bezpieczeństwa informacji. Szacuje się, że tylko do 2020 roku spełnianiem norm ISO 27001 mogło poszczycić się ok. 45 000 firm na całym świecie, z czego 710 w Polsce9. To certyfikat szczególnie pożądany w branży IT – około 25% certyfikowanych globalnie podmiotów działa właśnie w tym sektorze gospodarki.

Certyfikat w odpowiedzi na wymagania

– W S&T realizujemy projekty kluczowe dla administracji publicznej, takie jak e-recepta, e-skierowanie czy portal IKP. Budowa tego typu aplikacji centralnych wymaga nie tylko posiadania odpowiednich kompetencji informatycznych, ale również wiedzy z zakresu przetwarzania informacji i zapewnienia odpowiedniego poziomu bezpieczeństwa. Mając świadomość, że jako wykonawca jesteśmy odpowiedzialni za krytyczne dla kraju wdrożenia, co roku ubiegamy się o potwierdzenie naszych kwalifikacji w formie certyfikatu ISO 27001, spełniającego wymagania stawiane w postępowaniach publicznych. – Tomasz Kupfer, Business Development Manager, S&T w Polsce

W tym roku S&T po raz kolejny potwierdziło, że należy do grona przedsiębiorstw spełniających wymagania normy ISO 27001. Zakres certyfikacji obu spółek S&T działających w Polsce objął „sprzedaż, dostarczanie, wdrażanie i serwisowanie urządzeń teleinformatycznych” oraz „projektowanie, wytwarzanie, sprzedaż, dostarczanie, wdrażanie i serwisowanie systemów teleinformatycznych oraz oprogramowania”.

Audyt przeprowadzony przez Centrum Certyfikacji Jakości na zgodność z wymaganiami normy ISO 27001 obejmował m.in.: zarządzanie ryzykiem, zarządzanie aktywami, ochrona przed szkodliwym oprogramowaniem, zarządzanie projektami czy wytwarzanie bezpiecznego oprogramowania na potrzeby klienta. Audytorzy nie zaobserwowali w S&T żadnych niezgodności ani obszarów do doskonalenia, wskazano natomiast mocne strony systemu zarządzania, w szczególności: świadomość w zakresie procedur bezpieczeństwa informacji, kompetencje i zaangażowanie zespołu odpowiedzialnego za utrzymanie systemu, zaangażowanie kierownictwa, stosowanie narzędzi monitorujących systemy IT oraz zarządzanie projektami.

– To właśnie dzięki takim audytom klienci mogą mieć pewność, że usługi i produkty dostarczane przez certyfikowaną firmę spełniają konkretne wymagania dotyczące bezpieczeństwa, w szczególności w zakresie przetwarzanych informacji. To ważne w administracji publicznej, gdzie infrastruktura informatyczna musi być doskonale chroniona przed potencjalnymi zagrożeniami. Zatem nic zaskakującego, że certyfikacja z zakresu bezpieczeństwa często jest podstawowym wymogiem w zamówieniach publicznych, szczególnie w przypadku postępowań obejmujących systemy, które mają wspierać miliony obywateli i mieszkańców kraju. Każda osoba, która pomaga w realizacji danego zamówienia, musi być odpowiednio przeszkolona i poinstruowana w temacie przetwarzania danych.  – Radosław Kaczorek odpowiedzialny za usługi cyberbezpieczeństwa w firmie Grant Thornton, która wspiera S&T w Polsce w zarządzaniu bezpieczeństwem informacji.

Rosnąca świadomość dotycząca zagrożeń w przestrzeni cybernetycznej i wyzwań związanych z utrzymaniem infrastruktury krytycznej przekłada się na coraz wyższe wymagania wobec dostawców systemów. Trend jest szczególnie widoczny w przypadku postępowań dotyczących aplikacji dedykowanych, które należy opracować od podstaw na zamówienie danego podmiotu. W tym kontekście regularne audyty i certyfikacje dawno przestały już być „mile widzianym dodatkiem” – to konieczność, przed którą stają firmy IT, które chcą wygrywać i realizować zamówienia dla sektora publicznego.

 


[5] Raport Barracuda Networks, sierpień 2021

[6] Ransomware Trends Report 2022, Veeam, sierpień 2022

[9] ISO Survey 2020, International Organization for Standardization, wrzesień 2021

  • Rozmawiajmy o pieniądzach!

    Dlaczego określając budżet ułatwiasz życie nie tylko dostawcy rozwiązań IT, ale (przede ws…
  • Przetargi w branży IT – podsumowanie 2016 r.

    W 2016 roku dokonano rozstrzygnięć 10 383 przetargów i zleceń na usługi, wykonanie oraz do…

Dodaj komentarz

Przeczytaj również

Urządzenia mobilne w polskich firmach: czas na zieloną rewolucję

Kiedy ostatnio zastanawialiście się, ile prądu zużywają Wasze firmowe laptopy, smartfony, …