Oprogramowanie

Jak pisaliśmy w materiale dotyczącym Urządzeń teleinformatycznych, już w połowie 2019 roku został przeprowadzony w Urzędzie wstępny audyt bezpieczeństwa teleinformatycznego, zgodności urządzeń teleinformatycznych oraz sieci informatycznych z obowiązującymi ustawami (KRICyberustawaustawa o ochronie danych osobowych).

W ramach audytu dokonano przeglądu stanowisk Urzędniczych pod względem aktualności stosowanego w Urzędzie oprogramowania. Dodatkowo weryfikowano rodzaj licencji oprogramowania.

Aby zapobiec potencjalnym stratom, które mogłyby powstać w wyniku przypadkowego lub umyślnego działania użytkowników lub osób trzecich w pierwszej kolejności zostały wprowadzone wewnętrzne polityki bezpieczeństwa.

Na kontach pracowników została wprowadzona konieczność stosowania złożonych haseł logowania, które okresowo trzeba zmieniać. Konta pracowników utraciły uprawnienia administratora – dzięki temu użytkownicy nie mogą instalować samodzielnie oprogramowania, które często nie powinno znajdować się w urzędzie, a mogłoby ułatwić dostęp do sieci urzędu przestępcom.

Został wprowadzony system nadzorujący ruch przychodzący i wychodzący z sieci teleinformatycznych, a w routerze brzegowym został uruchomiony system raportów. Dzięki temu dział IT na bieżąco widzi czy ktoś nieuprawniony próbował wejść na urządzenie brzegowe, czy były próby przeprowadzenia ataku DDoS na adres IP urzędu.

Zmieniono również oprogramowanie zabezpieczające komputery (program antywirusowy). Nowe oprogramowanie jest zarządzane z chmury, posiada rozbudowany firewall, systemy IDS, IPS, zarzadzanie ryzykiem, a zespół IT ma pełną kontrolę nad politykami bezpieczeństwa, blokowaniem stron oraz szybkiego reagowania na incydenty teleinformatyczne, które należy zgłaszać do CERT NASK. Zgodnie z cyberustawą została wyznaczona i zgłoszona osoba do kontaktu z CERT NASK. Osoba ta w przypadku stwierdzenia wystąpienia incydentu teleinformatycznego, ma obowiązek niezwłocznie zgłosić ten fakt do CERT NASK.

Główne serwery Urzędu zostały zmodernizowane, oczyszczone i zaktualizowane:

  • serwer obiegu dokumentów, który nie był aktualizowany blisko 9 lat posiadał aż 95 aktualizacji. Dotychczas funkcjonował na starym systemie operacyjnym Linux Debian, a mała pojemność dysku uniemożliwiała tworzenie kopii bezpieczeństwa – serwer został wymieniony na nowy oraz odpowiednio zabezpieczony; zainstalowano najnowszy system operacyjny i oprogramowanie, które jest na bieżąco aktualizowane,
  • serwer finansowy posiadał przestarzały system operacyjny Windows Server 2008, dysk główny był uszkodzony, nie były robione ciągłe kopie bezpieczeństwa, a przestarzałe protokoły Windows Server 2008 powodowały bardzo spore zagrożenie wycieku danych osobowych. Oprogramowanie finansowe, składające się z wielu pakietów, w wielu przypadkach nie posiadało aktualizacji od 2014 – serwer został wymieniony, jest odpowiednio zabezpieczony, a programy finansowe są na bieżąco aktualizowane, kopie bezpieczeństwa są prowadzone na dysku lokalnym oraz na dysku zewnętrznym, kopie zostały zautomatyzowane i są robione przyrostowo codziennie,
  • serwer USC, na którym znajdują się dane osobowe został odpowiednio zabezpieczony i wyczyszczony – obecnie podjęto działania mające na celu jego wymianę.

Po weryfikacji dotychczas stosowanego w Urzędzie oprogramowania podjęto decyzję o zwiększeniu stosowania oprogramowania na licencji GNU General Public License. Ponadto serwery oraz niektóre stanowiska użytkowe są instalowane na systemach z rodziny Linux, a płatne i dość drogie oprogramowanie Microsoft Office wymieniane jest na darmowe LibreOffice.

W odpowiedzi na wyniki audytu podjęto również decyzję o wymianie firmy hostującej pocztę e-mail Urzędu oraz stronę Urzędu. Na etapie archiwizowania starej strony okazało się, że w 2017 została ona zahakowana przez grupę hakerów z Pakistanu. Grupa w kodzie strony zostawiła informację o swoim ataku, a fakt ten został potwierdzony po odnalezieniu grupy w sieci Dark web przy użyciu technik OSINT. Grupa ta na swojej stronie miała wpis o tym jak i kiedy włamała się na stronę Urzędową.

W 2020 roku podjęto również liczne działania w zakresie utworzenia stron tematycznych Gminy.

Strona główna lesna.pl uzyskała nową szatę graficzną, pojawiły się strony tematyczne:

  • eko.lesna.pl – strona z informacjami np. o odpadach i działaniach ekologicznych gminy
  • klimatyczne.lesna.pl – strona dotycząca opłaty klimatycznej
  • koronawirus.lesna.pl – strona z informacjami na temat koronawirusa
  • panorama.lesna.pl – nowa strona Panoramy Leśnej, zawierająca pełne repozytorium plików PDF wszystkich wydań leśniańskiej gazety
  • raport.lesna.pl – witryna zawierająca bieżące informacje o stanie gminy wraz z wieloma załącznikami do rocznych raportów o stanie gminy.

Wszystkie strony są odpowiednio zabezpieczane, aby uniemożliwić ich przejęcie przez osoby nieuprawnione.

Strony WWW tworzone są przez pracowników Urzędu, dzięki czemu możemy szybko i praktycznie bez kosztów tworzyć strony dostarczające konkretnych informacji mieszkańcom i turystom.

Wewnątrz sieci urzędowej testowana jest obecnie chmura wymiany danych (intranet), która ułatwi wysyłanie plików miedzy urzędnikami, bez wykorzystania zasobów zewnętrznych. Dzięki temu minimalizujemy możliwość wypływu danych wrażliwych.

Ponadto rozpoczęto wdrażanie systemu zarządzania wiedzą w gminie. Pracownicy prowadzą w systemie różnego typu rejestry, np. rejestr umów, rejestr dowozu wody, rejestr sprzedaży nieruchomości, rejestr odpadów przyjmowanych na PSZOK. Dzięki temu dane są niemal natychmiast dostępne co ułatwia i przyspiesza podejmowanie decyzji zarządczych. Jest to istotny element planu Burmistrza Gminy budowania Urzędu Miejskiego w Leśnej jako organizacji uczącej się i zarządzania opartego na wiedzy.

„Stanowisko dowodzenia” Gminą Leśna, czyli biurko burmistrza

Wybrane Informacje z Bazy Wiedzy widoczne są m.in na stronie raportu i stanowią istotny element społecznej kontroli i transparentności działania Urzędu Miejskiego np: rejestr wniosków o dofinansowanie, czy rejestr zawieranych umów. Istotne źródło wiedzy dostępne cały czas dla mieszkańców stanowi także strona Raportu o Stanie Gminy (zobacz np. kategorię „dokumenty źródłowe„)

Wprowadzono również system zgłaszania usterek informatycznych w urzędzie. System ten udostępniony został również Policji, która dzięki niemu może błyskawicznie zgłaszać potrzebę zabezpieczenia monitoringu z danego dnia.