Kiedy w gminie lub urzędzie dochodzi do cyberincydentu, pierwsza reakcja bywa intuicyjna. Szuka się problemu w technologii. W systemach. W zabezpieczeniach, które „nie zadziałały”. Właśnie dlatego cyberbezpieczeństwo w gminach i urzędach należy analizować nie od strony technologii, lecz od zapisów OPZ i SWZ.
Tymczasem bardzo szybko okazuje się, że kluczowe pytania padają gdzie indziej. Nie w serwerowni. Nie przy konsoli administratora.
Padają przy dokumentach. W praktyce to właśnie zapisy OPZ i SWZ przesądzają o tym, czy Zamawiający ma realne narzędzia ochrony po incydencie cyberbezpieczeństwa, czy zostaje z problemem, którego nie da się już naprawić.
Skala zagrożeń cyberbezpieczeństwa w administracji publicznej jest regularnie opisywana w oficjalnych komunikatach instytucji państwowych, m.in. przez CERT Polska.
Cyberbezpieczeństwo w gminach i urzędach jako moment prawdy dla OPZ i SWZ
Po incydencie nikt nie zaczyna od analizy kodu ani konfiguracji systemów. Zaczyna się od OPZ, SWZ i umowy. Od tego, co Zamawiający faktycznie opisał, czego zażądał i co da się dziś zweryfikować. Po incydencie cyberbezpieczeństwa w JST analiza niemal zawsze obejmuje zapisy OPZ i SWZ w kontekście odpowiedzialności Zamawiającego w zamówieniach publicznych.
To wtedy pojawia się zasadnicze pytanie: czy w dokumentacji jasno określono, co w tym konkretnym zamówieniu oznacza „bezpieczny system” i kto ponosi odpowiedzialność, gdy bezpieczeństwo zawiedzie.
Jeżeli odpowiedź jest niejednoznaczna, cała rozmowa o technologii przestaje mieć znaczenie.
Gdzie JST przegrywają najczęściej w OPZ i SWZ
Problem rzadko polega na braku intencji. W dokumentach niemal zawsze pojawiają się zapisy dotyczące cyberbezpieczeństwa. Problem polega na tym, jak są one sformułowane.
Ogólne deklaracje zgodności z normami, odwołania do „najlepszych praktyk” czy zapewnienia „odpowiedniego poziomu bezpieczeństwa” brzmią poprawnie na etapie postępowania. Po incydencie okazują się jednak bezużyteczne. Nie pozwalają jednoznacznie ocenić, czy wymaganie zostało spełnione, ani wyciągnąć konsekwencji.
Bez mierzalnych zapisów, bez jasnych kryteriów odbioru i bez powiązania z odpowiedzialnością wykonawcy, cyberbezpieczeństwo pozostaje hasłem. A hasła nie chronią Zamawiającego.
Dlaczego nawet dobra technologia nie ratuje sytuacji
Wiele jednostek inwestuje w nowoczesne rozwiązania IT i systemy bezpieczeństwa. Problem w tym, że nawet najlepsza technologia nie naprawi słabej dokumentacji. Jeżeli OPZ nie definiuje wymagań w sposób precyzyjny, a SWZ nie przekłada ich na realne mechanizmy weryfikacji i egzekucji, Zamawiający zostaje z ryzykiem po swojej stronie.
Po incydencie nie da się wrócić do etapu przygotowania postępowania i dopisać zapisów, których zabrakło. Dokumentacja albo działa, albo nie. I to właśnie w tym momencie ujawnia się jej prawdziwa jakość.
Pułapka gotowych wzorów i checklist w cyberbezpieczeństwie JST
Naturalną reakcją na rosnące zagrożenia jest sięganie po gotowe wzory OPZ, checklisty bezpieczeństwa czy fragmenty dokumentów z innych postępowań. Dają one poczucie porządku i działania, ale rzadko realną ochronę.
Cyberbezpieczeństwo nie jest obszarem uniwersalnym. Każde zamówienie, każdy system i każdy model utrzymania generuje inne ryzyka. Dokumentacja, która nie jest dopasowana do konkretnego przedmiotu zamówienia, działa tylko na papierze. W praktyce nie daje Zamawiającemu narzędzi do reagowania, gdy pojawia się problem.
Cyberbezpieczeństwo w gminach i urzędach, rola OPZ i SWZ
Wbrew obiegowym opiniom cyberbezpieczeństwo w JST nie zaczyna się od wyboru technologii. Zaczyna się od decyzji, jak wymagania zostaną opisane w OPZ, a następnie przełożone na SWZ i umowę.
OPZ w obszarze cyberbezpieczeństwa definiuje nie tylko zakres zamówienia, ale także sposób późniejszej weryfikacji, odbioru i egzekucji odpowiedzialności. SWZ i umowa są konsekwencją jakości tych zapisów. Jeśli fundament jest słaby, cała konstrukcja się chwieje, niezależnie od tego, jak dobre rozwiązania techniczne zostaną wdrożone.
Więcej o przygotowaniu OPZ i SWZ w obszarze cyberbezpieczeństwa
Wniosek, którego nie da się pominąć
Cyberbezpieczeństwo w gminach i urzędach nie zaczyna się w serwerowni. Zaczyna się na etapie OPZ i SWZ.
Jeżeli dokumentacja nie opisuje wymagań w sposób precyzyjny, mierzalny i egzekwowalny, ryzyko zawsze pozostaje po stronie Zamawiającego, niezależnie od zastosowanej technologii.
Dlatego rozmowa o cyberbezpieczeństwie w JST powinna zaczynać się od dokumentów, a nie od systemów.
Cyberbezpieczeństwo w gminach i urzędach
To w tym kontekście zapisy OPZ i SWZ decydują o zakresie odpowiedzialności Zamawiającego.
Kontakt
Jeżeli planują Państwo postępowanie obejmujące systemy IT lub cyberbezpieczeństwo, warto spojrzeć na OPZ i SWZ nie jak na formalność, lecz jak na decyzję, która wróci w momencie incydentu. Od jakości tych dokumentów zależy znacznie więcej, niż zwykle się zakłada.
