Wstęp
Dzisiejszym gościem wywiadu będzie Bartosz Chumowicz. Bartosz dopiero raczkuje w świecie bezpieczeństwa czy medialnego „Cyberbezpieczeństwa”. Aktualnie wiąże koniec z końcem w administracji samorządowej a dokładniej w dwuosobowym Zespole ds. Bezpieczeństwa Systemów Informatycznych w Centrum Informatycznych Usług Wspólnych Olsztyna (CIUWO), które powstało w 2019 roku.
CIUWO zajmuje się obsługą informatyczną jednostek organizacyjnych Gminy Olsztyn. Poza świadczeniem usług eksperckich i operatorskich, CIUWO zarządza także szerokopasmową siecią telekomunikacyjną MAN Olsztyn oraz lokalnymi sieciami obsługiwanych jednostek.
Bartosz nie prowadzi żadnego własnego bloga czy szkoleń, jak sam o tym mówi: jest wielu lepszych ode mnie, którzy o tym piszą. Jedynie co robi w kwestii pisania, to materiały szkoleniowe, artykuły, komunikaty dla pracowników jednostek, które obsługuje CIUWO, czyli dla około 7000 tys. osób.
Jest zwolennikiem podejścia: zero zbędnej treści w materiałach edukacyjnych. Jeden z takich materiałów o tym, jak zabezpieczyć WordPressa przekaże dla Was jako prezent do wykorzystania – szczegóły na końcu wywiadu. Z czym się mierzy Bartosz, jak i samo CIUWO, możecie przeczytać poniżej.
Jeżeli ktoś chce porozmawiać z Bartoszem czy wymienić wspólne doświadczenia, to niech pisze na adres bsi@olsztyn.eu
Wywiad
Pytanie: Cześć Bartosz! Opowiedz coś o sobie jak wyglądała twoja droga? Skąd się wzięła Twoja pasja do informatyki?
ODP. Bartosz Ch.: Jak u większości, na początku była pasja do gier na Amigę, Atari, Commodore 64, potem na PC. Odkąd pojawił się komputer w moim życiu, to już tak zostało. Przez wiele lat szukałem swojej drogi w IT. Były próby z programowaniem (nieudane), z grafiką (nieudane), sieciami komputerowymi (średnio udane), sprzętem (średnio udane), a gdy udało mi się zebrać to w całość, to powstało bezpieczeństwo w IT.
Pytanie: Powiedz nam, co robiłeś przed pracą „bezpiecznika” w CIUWO?
ODP. Bartosz Ch.: „Karierę” zacząłem od stażu w administracji, potem zajmowałem się trochę elektroniką (kontrola jakości), grafiką (gazeta), byłem sprzedawcą (RTV AGD), instalatorem (teletechnika) i w końcu informatykiem (takim prawdziwym, od wszystkiego), do CIWUO dostałem się jako wsparcie w IT i w końcu stałem się raczkującym „bezpiecznikem”, a raczej kimś od bezpieczeństwa informacji z nastawieniem na systemy teleinformatyczne.
Pytanie: Z jakimi problemami mierzą się bezpiecznicy z administracji publicznej?
ODP. Bartosz Ch.: Trudno mi powiedzieć czy w każdej administracji samorządowej, czy publicznej są te same problemy. W samorządowej, w której pracuję, moim zdaniem główne problemy to brak pracowników, brak finansowania (w zasoby sprzętowe, oprogramowanie, pracowników), bardzo dużo obowiązków (oprócz standardowych IT, bezpieczeństwa, polityk i regulaminów, dochodzą zadania związane z pracą w administracji), brak zrozumienia wyższego kierownictwa (nie chodzi o mojego szefa, który wywodzi się z bezpieczeństwa informacji i ze zrozumieniem tematu nie ma żadnych problemów, tylko o wyższe szczeble kierownicze, w szczególności dla kwestii bezpieczeństwa), czasami złożone procedury (np. zamówienie książki czy kursu wiąże się z załatwianiem kilku spraw, zdobycia kilku podpisów co czasami zniechęca do samego zakupu), problemy z dotarciem do użytkowników i zachęceniu ich do dostosowania się do pewnych reguł i zapisów, które są dokumentacji bezpieczeństwa.
Pytanie: Wiesz czym może różnić się praca bezpiecznika w korporacji, firmie prywatnej i administracji?
ODP. Bartosz Ch.: Mogę się tylko domyślać na podstawie własnych spostrzeżeń lub rozmów z innymi osobami np. rozmowy kontrolowane prowadzone przez Adamów na z3s mogą pokazać, jak wygląda praca osób od bezpieczeństwa w różnych branżach.
Myślę, że wiele zależy jednak od najwyższego kierownictwa, którzy powinni zaufać specjalistom i dać im trochę więcej swobody.
Pytanie: Czy możesz podzielić się poradami dla innych bezpieczników, czy „informatyków”, którzy pracują w administracji?
ODP. Bartosz Ch.: Pamiętajcie, że dopiero raczkuje w temacie bezpieczeństwa. Z mojego aktualnego doświadczenia, tym czym mógłbym się podzielić z innymi jest to, że w administracji warto zorganizować sobie pracę, zadania i skupiać się na dobrym ukończeniu jednego, a nie brać się za wiele zadań jednocześnie. I tak zostaniesz rozliczony za jakość wykonania zadania, a nie ilość. Warto poszukać, zakupić jakieś materiały, które pomogą nam zaoszczędzić trochę czasu na przeszukiwaniu zasobów internetu np.
- Kupić i czytać normy z rodziny ISO/IEC 27000 (do kupienia np. w Polskim Komitecie Normalizacyjnym na stronie sklep.pkn.pl), w szczególności:
- ISO/IEC 27001
- ISO/IEC 27002
- ISO/IEC 27005
- ISO/IEC 270017
- ISO/IEC 270018
- ISO/IEC 27701
- PN-EN ISO 22301
- PN-ISO 3100
- skatalogować akty prawne, na których będziemy się często opierać, czyli np.
- RODO
- Kodeks karny np. Art. 267 – Art. 269c, Art.278, Art.287, 293
- Ustawa o ochronie informacji niejawnych
- Ustawa o prawie autorskim i prawach pokrewnych
- Ustawa o usługach zaufania oraz identyfikacji elektronicznej (Polityka Węzła Krajowego)
- Ustawa o krajowym systemie cyberbezpieczeństwa (np. osoba odpowiedzialna za utrzymywanie kontaktów z właściwym CSIRT, zgłaszanie incydentów)
- Prawo telekomunikacyjne np. art. 56, art. 60, art.139, art.161, art.162, art.164,
- Ustawa o świadczeniu usług drogą elektroniczną np. art. 8 – regulamin dla użytkownika usługi
- Ustawa o Informatyzacji Działalności Podmiotów Realizujących Zadania Publiczne,
- KRI np. § 20
- poszukać dobrych praktyk, metod postępowania, raportów, dopisać się na newslettery, kanały RSS np.
- serwis Cyfryzacja KPRM – www.gov.pl/web/cyfryzacja
- serwis UODO – uodo.gov.pl
- CSIRT NASK – cert.pl
- CSIRT MON – csirt-mon.wp.mil.pl/pl
- CSIRT KNF – knf.gov.pl/dla_rynku/CSIRT_KNF
- CIS Benchmark – cisecurity.org/cis-benchmarks
- ENISA – enisa.europa.eu/about-enisa/about/pl
- ISACA – isaca.org
- raport NIK – www.nik.gov.pl/aktualnosci/bezpieczenstwo/bezpieczenstwo-pracy-zdalnej-w-urzedach.html
- Narodowe Standardy Cyberbezpieczeństwa – www.gov.pl/web/baza-wiedzy/narodowe-standardy-cyber
- NIST – nist.gov/cybersecurity
- przeglądać blogi:
- sekurak.pl
- niebezpiecznik.pl
- zaufanatrzeciastrona.pl
- kapitanhack.pl
- cert.orange.pl
- avlab.pl
- legalniewsieci.pl
- cybsecurity.org/pl
- szukać informacji o podatnościach:
- cert.pse-online.pl
- alerts.vulmon.com
- www.cisa.gov/uscert/ncas/alerts
- secalerts.co/signup (wersja 30 dniowa)
- www.qualys.com/free-trial/ (wersja 30 dniowa)
- global.abb/group/en/technology/cyber-security/alerts-and-notifications
- www.zerodayinitiative.com/rss/
Pytanie: Uważasz, że bezpieczeństwo w administracji rozwija się, doskonali, zmienia?
ODP. Bartosz Ch.: Uważam, że małym krokami zmienia się podejście do bezpieczeństwa w administracji. Duży wpływ miały wydarzenia związane z pracą zdalną oraz incydenty, o których się słyszy w lokalnej prasie. Jednak jest jeszcze co robić ????
Pytanie: Jak oceniasz bezpieczeństwo informacji w instytucjach publicznych w Polsce?
ODP. Bartosz Ch.: Myślę, że w każdej jednostce jest inaczej i ciężko ocenić całość. Mimo że RODO, KRI, UoKSC jest prawie taka sama dla wszystkich, to każdy z zarządzających jednostką ma inne podejście. Standaryzacja w administracji, w szczególności samorządowej dopiero się tworzy.
Pytanie: Czy jest coś do zmiany, do poprawy, jeżeli chodzi o bezpieczeństwo w instytucjach publicznych? Czy ewentualnym problemem są finanse, czy też podejście rządzących do tematu bezpieczeństwa?
ODP. Bartosz Ch.: Tak, jest sporo do poprawy. Jak pisałem wcześniej moim zdaniem to problemem jest finansowanie oraz podejście kierownictwa wyższego szczebla do tematu bezpieczeństwa. Szkoda, że często budżet jest wspólny, granty czy konkursy krajowe w dużej mierze zależne są od sytuacji politycznej, dużo jest przeszkód formalnych dla takich jednostek jak CIUWO, aby działała bardziej samodzielnie. Odnośnie kierownictwa to do każdego inaczej trzeba podejść a jest czasami jest tak, że jest ich kilku a bezpieczeństwo jest dla nich jednym
z wielu zadań.
Pytanie: Jak byś zachęcił nowego młodego bezpiecznika do pracy w budżetówce, gdy ma opcje wyboru budżetówka vs rynek publiczny?
ODP. Bartosz Ch.: Myślę, że praca w budżetówce jest bardzo dobra na początek kariery. Więcej jest pracy z aktami prawnymi, regulaminami, procedurami, zawsze jest dużo, zróżnicowanych i ciekawych zadań. Praca w administracji kojarzy się ze stabilnością finansową i tak właśnie jest. Mamy także trochę szkoleń, konferencji i spotkań. Nie można się nudzić.
Podsumowanie:
W wywiadzie dowiesz się wielu cennych rzeczy skąd czerpać wiedze, dowiesz się dlaczego Bartosz uważa, że dobrze jest zacząć karierę w budżetówce. Co warto by zmienić w budżetówce i z jakimi problemami mierzą się bezpiecznicy w budżetówce. Nie trzymam cię dalej w napięciu już teraz zacznij czytać ten bardzo wartościowy wywiad ;). A jeśli chcesz się dowiedzieć jak to się stało, że Bartosz zechciał wystąpić w wywiadzie to zapraszam Cię do newslettera tam takie smaczki i wiecej historia jest naprawdę świetna :).
Prezent od Bartosza:
Przygotowany przez Bartosza, krótki i bardzo praktyczny poradnik: Jak zabezpieczyć WordPress-a. Zawiera tylko potrzebne wskazówki oraz linki – zero zbędnej treści.