Państwowe systemy IT są na celowniku cyberprzestępców. W ubiegłym roku aż 80% podmiotów nadzorujących infrastrukturę krytyczną doświadczyło ataku ransomware. W efekcie rośnie znaczenie kompetencji związanych z przetwarzaniem i zabezpieczaniem informacji.
W zestawieniu najbezpieczniejszych cyfrowo krajów Polska uplasowała się w pierwszej 20-tce rankingu – to wyżej niż takie kraje zachodnie jak Niemcy, Francja czy Hiszpania. W rankingu autorstwa firmy Comparitech uwzględniono również ocenę poziomu zabezpieczeń państwowych. A cyberbezpieczeństwo systemów krytycznych stało się szczególnie istotne w obliczu aktualnej sytuacji geopolitycznej i stale zwiększającej się liczby złośliwych ataków na państwową infrastrukturę. O powadze sytuacji świadczy fakt, iż od kilku miesięcy obowiązują w naszym kraju podwyższone stopnie alarmowe sygnalizujące zwiększone zagrożenie dla infrastruktury teleinformatycznej. Co więcej, im bardziej cyfryzująca się administracja, tym większa ilość danych przetwarzana przez aplikacje i platformy służące obywatelom do załatwiania spraw urzędowych. Takie systemy są naturalnym celem ataku cyberprzestępców, szczególnie tych wynajmowanych przez inne państwa.
Zagrożenie dotyczy nie tylko infrastruktury centralnej, ale również lokalnej. Obecnie na całym świecie nawet 4 na 10 naruszeń bezpieczeństwa informacji za pośrednictwem ransomware dotyczy jednostek samorządu terytorialnego, a według raportu Veeam, nawet 94% ataków wiąże się z próbą zniszczenia kopii zapasowych. W efekcie naruszeń bezpieczeństwa, w ostatnich latach samorządy straciły średnio od 20 do 60 tys. złotych. Koszt obejmuje m.in. ukradzione pieniądze, ale również opłaty dla firm pomagających w naprawie systemu po ataku. To pokazuje dotkliwość problemu i podkreśla istotność odpowiedniego przygotowania infrastruktury. Nic więc dziwnego, że myśli się o tym już na etapie zamówień publicznych.
W przetargach stawia się na bezpieczeństwo
Wiele instytucji państwowych szczebla lokalnego i centralnego przy ogłaszaniu przetargów szczególnie podkreśla konieczność posiadania przez wykonawców kompetencji związanych z przetwarzaniem i zabezpieczaniem danych, a także odpowiedniego zarządzania dostępem do nich przez personel, który realizuje działania w ramach projektu. Tom II rekomendacji dotyczących zamówień publicznych na systemy informatyczne opublikowany w grudniu 2021 r. przez Urząd Zamówień Publicznych wprost wspomina o konieczności stawiania wymagań, które przełożą się na zwiększone bezpieczeństwo infrastruktury informatycznej. Rekomendacje wskazują również, że wykonawcy mogą udowodnić swoją ekspertyzę, legitymując się powszechnie uznawanymi certyfikatami takimi jak: ISO, Narodowe Standardy Cyberbezpieczeństwa czy standardy amerykańskiego Narodowego Instytutu Standaryzacji i Technologii.
Przykładem takiego dokumentu jest ISO 27001 – certyfikat, który potwierdza znajomość i przestrzeganie międzynarodowych standardów z zakresu zapewnienia bezpieczeństwa informacji. Szacuje się, że tylko do 2020 roku spełnianiem tych norm mogło poszczycić się ok. 45 000 firm na całym świecie, z czego 710 w Polsce. Od tego lata należą do nich również spółki S&T, które dzięki temu wzmocniły swoją pozycję w przetargach publicznych.