Komunikat w sprawie zabezpieczenia infrastruktury teleinformatycznej administracji samorządowej na terenach zagrożonych powodzią
16.09.2024
Komunikat Pełnomocnika Rządu ds. Cyberbezpieczeństwa w sprawie zabezpieczenia infrastruktury teleinformatycznej administracji samorządowej na terenach zagrożonych powodzią.
Na terenach zagrożonych powodzią konieczne jest zapewnienia bezpieczeństwa infrastruktury teleinformatycznej, w szczególności administracji samorządowej, aby zapewnić ciągłość działania instytucji, możliwości odtworzeniowe, a także bezpieczeństwo danych obywateli.
Odpowiednie przedsięwzięcia w tym zakresie powinny określać plany zarządzania kryzysowego sporządzane przez jednostki samorządu terytorialnego (JST). W uzupełnieniu, mając świadomość różnego poziomu szczegółowości i wykonalności w obecnych warunkach ujętych tam zadań, zalecam podjęcie następujących działań:
- Dokonać przeglądu odpowiednich planów, tak wynikających z ustawy o zarządzaniu kryzysowym, jak i sporządzonych w innym trybie dla systemów ICT. Istotna jest także weryfikacja sporządzanych kopii zapasowych.
- W przypadku zagrożenia zalania infrastruktury ICT wdrożenie planu awaryjnego w zakresie ewakuacji tej infrastruktury (w szczególności serwerowni) i rozpoczęcie ewakuacji danych do zapasowych lokalizacji (optymalnie do zasobów chmurowych[1]).
- Zapewnienie alternatywnych źródeł zasilania. Moc zasilania powinna być wystarczająca do zasilania wszystkich urządzeń wymagających rezerwowania, przy uwzględnieniu charakteru obciążenia ze strony tych urządzeń. W przypadku nieuniknionego zalania infrastruktury ICT dokonanie jej bezpiecznego odłączenia od zasilania.
- Przeniesienie ruchomych elementów (np. komputerów) na wyższe piętra budynku, których ryzyko zalania jest mniejsze. Jeżeli nie ma możliwości przeniesienia sprzętu na wyższe piętra, należy umieścić go na podwyższeniach, jeśli pozwoli to uniknąć zalania. Zadbać o odpowiednie uszczelnienie i pochłanianie wilgoci.
- Realizując powyższe działania należy zwrócić szczególną uwagę na zapewnienie bezpieczeństwa fizycznego nośników danych, jednak w pierwszej kolejności należy dbać o życie i zdrowie ludzkie.
Należy ponadto podkreślić, że pod koniec sierpnia przedłużony został na kolejny okres stopień BRAVO-CRP na terenie całego kraju[2]. Oznacza to, że cała administracja publiczna jest zobowiązana do prowadzenia wzmożonego monitoringu stanu bezpieczeństwa systemów teleinformatycznych.
Jednocześnie zwracam się z apelem do przedsiębiorstw z branży ICT o udzielenie wsparcia działań reagowania kryzysowego JST, które korzystają z ich usług i produktów, np. w formie udostępnienia przestrzeni na kopie zapasowe, wsparcia technicznego, dostarczenia i transportu sprzętu ICT.
[1] Opis działań związanych z Planem ewakuacji do chmury obliczeniowej przedstawiony został w zał. 1 do Narodowego Programu Ochrony Infrastruktury Krytycznej - Standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej - dobre praktyki i rekomendacje: https://www.gov.pl/web/rcb/narodowy-program-ochrony-infrastruktury-krytycznej (str. 150). Choć działania te odnoszą się do infrastruktury krytycznej, mogą być zastosowane także do innego rodzaju podmiotów.