Nazwa projektu: Cyberbezpieczny Samorząd
Program Fundusze Europejskie na Rozwój Cyfrowy (FERC). Priorytet II Zaawansowane usługi cyfrowe. W ramach działania 2.2. Wzmocnienie krajowego systemu cyberbezpieczeństwa.
Cel: Głównym celem projektu jest kontynuowanie rozwoju w zakresie bezpieczeństwa cyfrowego rozpoczętego w ramach grantu Cyfrowa Gmina
Zadania i rezultaty projektu
Termin realizacji: do czerwca 2026 r.
Kwota grantu: 510 900,00 zł
Wysokość wkładu z Funduszy Europejskich: 413 829 zł co stanowi 81% grantu.
Wysokość wkładu z Budżetu Państwa: 97 071 zł co stanowi 19% grantu.
W ramach grantu „Cyberbezpieczny Samorząd" gmina będzie realizowała działania rozpoczęte w projekcie "Cyfrowa Gmina" mające na celu podniesienie niezawodności i bezpieczeństwa posiadanych systemów i infrastruktury.
Konieczność realizacji projektu w Gminie Skalbmierz wynika ze stale rosnących zagrożeń cybernetycznych. Realizacja projektu będzie skoncentrowana na Urzędzie Gminy Skalbmierz z uwagi na centralny charakter, największą ilość przechowywanych wrażliwych danych oraz z powodu posiadanych systemów, które wymagają największego poziomu bezpieczeństwa spośród wszystkich jednostek w Skalbmierzu. W związku z tym planuje się realizację następujących założeń:
- W obszarze organizacyjnym planujemy audyt SZBI zgodności z KRI, po czym wdrożenie wszelkich wymaganych zmian i aktualizacji tego obszaru. Naszym celem jest wdrożenie i weryfikacja polityk bezpieczeństwa informacji na szeroką skalę.
- W obszarze kompetencyjnym przewidujemy przeprowadzenie szkoleń dla wszystkich pracowników Urzędu, w tym kadry zarządzającej, mających na celu zwiększenie ich świadomości zagrożeń w dziedzinie bezpieczeństwa cyfrowego i ochrony informacji. Dodatkowo, przewidziane są dedykowane szkolenia specjalistyczne dla kadry informatycznej.
- Ostatni obszar to obszar techniczny, w którym planujemy przeznaczyć środki na systemy teleinformatyczne. W Urzędzie Gminy planowana jest wszechstronna modernizacja, obejmująca segmentację sieci, redundancję, nowe rozwiązania monitorujące, ochronę przed atakami i aktualizację obecnie posiadanego oprogramowania.
Zadanie I: Obszar organizacyjny: Wykonanie audytu bezpieczeństwa informacji w Urzędzie Gminy z wdrożeniem SZBI:
Urząd posiada wdrożony system zarządzania bezpieczeństwem informacji dlatego w ramach grantu planuje się przeprowadzić audyt SZBI, w zgodności z rozporządzeniem KRI, służący zwiększeniu ochrony danych oraz minimalizacji ryzyka cyberzagrożeń poprzez ocenę i wzmocnienie procedur bezpieczeństwa informacji.
Wyniki audytów SZBI skutkują rekomendacjami i wskazaniem luk w obecnym systemie i dokumentacji SZBI. W związku z tym Urząd planuje wykonać aktualizację i wdrożenie koniecznych zmian tegoż obszaru w oparciu o wyniki audytu.
Końcowy audyt bezpieczeństwa zostanie zakupiony wraz z testem penetracyjnym, ponieważ urząd nie miał okazji przeprowadzenia takich testów, co uniemożliwia pełną weryfikację realnych luk w sieci. Efektem testów będzie nie tylko kontrola posiadanego systemu, ale także wyznaczenie kierunku, w którym powinien iść dalszy rozwój infrastruktury IT w urzędzie.
Zadanie II: Obszar techniczny: Dostawa urządzeń i oprogramowania zwiększających odporność na cyberataki i wycieki danych wraz z wdrożeniem.
Planowany jest zakup serwera, który umożliwi dalszy rozwój infrastruktury o rozwiązania z obszaru bezpieczeństwa informacji w wydajnym i bezpiecznym środowisku oraz stanowić będzie konieczną redundancje dla obecnie posiadanego serwera (praca w klastrze). Będzie także elementem przeprowadzanej segmentacji sieci.
Planujemy znacząco rozszerzyć zdolności związane z tworzeniem kopii zapasowych danych w naszym urzędzie. Chcemy wzmocnić nasz istniejący system, poszerzając przestrzeń dyskową i zasoby sprzętowe oraz dodać zabezpieczenia przed zagrożeniami takimi jak ransomware.
Ponadto, planujemy utworzenie nowego systemu kopii zapasowych w niezależnej lokalizacji, co zapewni redundancję i ochronę danych w przypadku awarii głównego systemu. Jako pierwszy etap rozwoju systemu backup w okresie kwalifikowalności zostało wdrożone oprogramowanie służące robieniu bezpiecznej kopii zapasowej, a zatem planuje się także odzyskanie kosztów poniesionych w tym projekcie.
Z powodu braku narzędzi do monitorowania i analizy ruchu sieciowego, planujemy zakup rozwiązania do retencji i analizy logów. To pozwoli na śledzenie i analizę danych bezpieczeństwa oraz efektywne zarządzanie incydentami w czasie rzeczywistym. Archiwizacja danych pozwoli na pełną historię zdarzeń, przydatną zarówno w audytach, jak i analizie trendów bezpieczeństwa. Zakupione zostanie rozwiązanie z rozwiniętymi modułami bezpieczeństwa, które całościowo tworzyć będę zintegrowaną platformę bezpieczeństwa klasy nie pełnego SIEM.
Planujemy zakup rozwiązania DLP do ochrony naszych danych przed wyciekiem i naruszeniem poufności. To narzędzie pozwoli na monitorowanie i kontrolowanie ruchu danych, wykrywanie zagrożeń i natychmiastową reakcję na podejrzaną aktywność. Dzięki temu zminimalizujemy ryzyko naruszenia przepisóśw o ochronie danych osobowych. Obecnie urząd nie posiada takiego rozwiązania, co znacząco wpływa na ryzyko wycieku danych.
Aby minimalizować ryzyko utraty danych w przypadku awarii, planujemy zakup urządzeń UPS z uwagi na zbyt małe zasoby zasilania awaryjnego w stosunku do planowanej rozbudowy zasobów serwerowych. Działanie to ma na celu zabezpieczenie danych przed utratą w przypadku nagłej przerwy w dostawie energii elektrycznej
Obecnie urząd nie posiada rozwiązania kontrolującego dostęp do sieci, identyfikującego użytkowników i urządzeń, monitorującego aktywność oraz reagującego na zagrożenia w czasie rzeczywistym.
Planujemy zakup rozwiązania typu NAC do zabezpieczenia sieci przed atakami i nieuprawnionym dostępem, zwiększenia zgodności z przepisami oraz szybkiej reakcji na ewentualne zagrożenia. W ramach grantu planuje się przeszkolenie administratorów w zakresie obsługi dostarczonej technologii.
Planujemy zakup kompleksowej usługi segmentacji sieci z zastosowaniem nowoczesnych routerów zarządzalnych dla Urzędu Gminy w celu usprawnienia i zabezpieczenia sieci. Obecna sieć potrzebuje bardziej zaawansowanej i elastycznej segmentacji, zarządzania ruchem i monitorowania go co w pełni umożliwi profesjonalna segmentacja wraz z doborem odpowiednich rozwiązań przez inżynierów. Dzięki temu będziemy mogli efektywnie przetwarzać ruch, tworzyć i zarządzać trasami, a także zapewnić bezpieczeństwo sieci poprzez zaawansowane funkcje firewall, monitorowanie i izolacja czy filtrowanie ruchu.
Zadanie III: Obszar kompetencyjny: Przeprowadzenie szkoleń z zakresu bezpieczeństwa informacji w Urzędzie Gminy. W07; Obecnie brakuje regularnych szkoleń z zakresu cyberbezpieczeństwa dla pracowników.
Planowane jest ogólne szkolenie, aby poinformować wszystkich o nowych zagrożeniach i przepisach dotyczących bezpieczeństwa informacji. Tematyka obejmie nowe technologie, prawne aspekty oraz zgodność z rozporządzeniem KRI. Pokrewne szkolenie zostanie przeprowadzone także dla kadry zarządzającej, lecz z dodatkowymi modułami szkoleniowymi, które uwzględniać będą podejmowanie kluczowych decyzji oraz działanie w sytuacjach kryzysowych.
W miarę rozwoju naszej infrastruktury informatycznej oraz obecności rosnących zagrożeń cybernetycznych, nieustanne szkolenie naszych administratorów staje się kluczowe. Dlatego planuje się w ramach realizacji grantu zapewnić naszym pracownikom dostęp do szkoleń specjalistycznych w dziedzinie technologii i cyberbezpieczeństwa.
Szkolenia nie są wystarczające w utrzymaniu świadomości i gotowości na ataki. Dlatego po odbytych szkoleniach planuje się wprowadzenie regularnych testów phishingowych w Urzędzie Gminy Te cykliczne testy oceniają gotowość pracowników do obrony przed częstą metodą ataku wykorzystywaną przez cyberprzestępców. Kontrolowane ataki są przeprowadzane w celu wykrycia ewentualnych słabości, które mogłyby prowadzić do nieuprawnionego dostępu do systemów urzędu.
Celami i w konsekwencji późniejszym efektem realizacji projektu, w odniesieniu do FERC na lata 2021-2027, działanie 2.2. oraz do celów programu Cyberbezpieczny Samorząd będą: -opracowana i wdrożona polityka bezpieczeństwa informacji (SZBI), co znacząco przyczyni się do budowy i rozwoju systemu cyberbezpieczeństwa poprzez wprowadzenie procesów i produktów pozwalających na skrupulatne przestrzeganie założeń rozporządzenia KRI. SZBI będzie miał także swoje odzwierciedlenie we wdrażaniu narzędzi służących do monitorowania bezpieczeństwa oraz wymiany informacji o zagrożeniach. Do powyższych obszarów znacząco przyczyni się także podniesienie poziomu wiedzy i kompetencji personelu urzędu w ramach wdrożonego SZBI, poprzez przeprowadzony cykl szkoleń.
-wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz mechanizmów i środków zwiększających odporność na ataki z cyberprzestrzeni, poprzez implementacje zaawansowanych systemów cyberbezpieczeństwa oraz rozwiązania podtrzymujące ciągłość ich działania. W ten sposób Gmina Skalbmierz przyczyni się do stymulowania rozwoju innowacyjnych rozwiązań w obszarze cyberbezpieczeństwa w zakresie nowych technologii oraz wdroży narzędzia służące do monitorowania bezpieczeństwa, zbierania, analizy i wymiany informacji o zagrożeniach, podatnościach i incydentach.
Jako integralny element powyższej koncepcji przedstawiamy następujące oświadczenie:
Gmina Skalbmierz szczyci się otwartością i dbałością o godność każdego człowieka, co wyraża na co dzień w realizowanych zadaniach, tym samym rozwiązania planowane do wdrożenia w projekcie są zaprojektowane z myślą o pełnej dostępności dla osób z niepełnosprawnościami.
Szkolenia w ramach projektu będą organizowane dla wszystkich pracowników wykonujących zadania urzędowe niezależnie od płci i stopnia niepełnosprawności, w miejscu i terminie dogodnym dla wszystkich. Wdrażane oprogramowanie będzie miało dostępne funkcje jak np. powiększenie tekstu dla osób słabowidzących i niewidomych, czy przekształcenie mowy na tekst dla osób niesłyszących. Wszelkie działania będą oparte na zasadach równego traktowania uczestników i dostępne w równym stopniu dla kobiet i mężczyzn, promowane będzie aktywne uczestnictwo obu płci, a planowane szkolenia będą przestrzenią dla obu płci do dzielenia się wiedzą i doświadczeniami. Udoskonalona zostanie polityka równości szans w ramach projektu, która jasno określi zasady niedyskryminacji i równego traktowania uczestników projektu.
Wdrożona zostanie też procedura skarg i zgłoszeń dotyczących przypadków niedyskryminacji i równego traktowania, aby zapewnić uczestników i uczestniczki o poważnym traktowaniu i podejmowaniu działań by rozwiązać ewentualne problemy.
