Infrastruktura IT w sektorze publicznym. Jakie rozwiązania wdrożyć przy ograniczonym budżecie i zasobach? 

Współczesne instytucje publiczne opierają swoje funkcjonowanie na skomplikowanej infrastrukturze IT. Szpitale, urzędy, jednostki samorządowe – wszystkie te organizacje realizują usługi publiczne i przechowują ogromne ilości danych. Dlatego wdrożenie nowej infrastruktury IT w sektorze publicznym muszi zapewniać najwyższy poziom cyberbezpieczeństwa i ciągłość działania. Tymczasem cyberataki na sektor publiczny w Polsce są coraz częstsze i bardziej zaawansowane, a ich skutki mogą być katastrofalne – od zaszyfrowania krytycznych systemów po wyciek danych obywateli. 

Aby zwiększyć odporność instytucji na zagrożenia, Unia Europejska wdrożyła dyrektywę NIS2, a Polska przygotowuje nowelizację Krajowego Systemu Cyberbezpieczeństwa (KSC). Jakie działania muszą podjąć organizacje, aby ich nowa infrastruktura IT, w tym systemy IT były dostosowana do nowych przepisów i skutecznie chroniła instytucje przed incydentami bezpieczeństwa? 

Jak wygląda infrastruktura IT w instytucjach publicznych? 

Choć użytkownicy końcowi nie zdają sobie z tego sprawy, każde połączenie z internetem w organizacji publicznej przechodzi przez skomplikowaną sieć urządzeń i systemów. Wyzwania IT w sektorze publicznym są więc bezpośrednio związane z zabezpieczaniem styku z Internetem. Sama modernizacja infrastruktury IT powinna uwzględniać nie tylko ten obszar, ale również rozwiązania zapewniające bezpieczeństwo systemów informatycznych, bezpieczeństwo danych osobowych i integrację systemów informatycznych.

Na szczególną uwagę zasługuje wdrożenie infrastruktury IT oparte o poniższe rozwiązania:

• Routery, UTM-y i firewalle dla instytucji publicznych – pierwsza linia obrony przed cyberatakami z Internetu i sieci lokalnej.
• Sieć core i przełączniki dystrybucyjne – fundament infrastruktury, który zapewnia komunikację między urządzeniami. 
• System zarządzania danymi, serwery Dell i systemy przechowywania danych (NAS, SAN, macierze) – kluczowe zasoby, których utrata, zaszyfrowanie lub wyciek może sparaliżować organizację. 
• Urządzenia końcowe (endpointy) – komputery pracowników, telefony, tablety, które często są najsłabszym ogniwem. 
• Systemy chmurowe i aplikacje publikowane w internecie – dostęp do nich musi być odpowiednio zabezpieczony.

Każdy z tych elementów może stać się celem ataku lub punktem awarii. 

Jak chronić infrastrukturę IT w administracji publicznej? 

Zgodność z KSC oznacza holistyczne podejście do cyberbezpieczeństwa, w którym kluczowe elementy infrastruktury IT są chronione w sposób spójny, ciągły i zautomatyzowany.  

Instytucje publiczne muszą wdrożyć mechanizmy zabezpieczeń na każdym poziomie – od styku z internetem, przez wewnętrzną sieć i serwery, aż po urządzenia końcowe i usługi w chmurze. 

Poniżej przedstawiamy najważniejsze filary ochrony infrastruktury IT, wskazując konkretne rozwiązania technologiczne, które wpisują się w założenia dyrektywy. I nawet jeśli nie są wprost wymienione w ustawie, stanowią filar bezpieczenstwa każdej organizacji, również w sektorze publicznym. 

1️⃣ Firewall Next-Generation – pierwsza linia obrony na styku z internetem 

Firewalle klasy Next-Generation Firewall (NGFW) to zaawansowane urządzenia zabezpieczające, które analizują i filtrują ruch sieciowy, zapewniając widoczność, ochronę i kontrolę nad połączeniami. Przestarzała infrastruktura IT, w tym tradycyjne firewalle nie wystarczają, ponieważ działają tylko na poziomie adresów IP i portów. NGFW to inteligentne systemy analizujące treść pakietów oraz zachowania użytkowników. 

Najważniejsze mechanizmy ochrony: 

✔ IPS/IDS (Intrusion Prevention/Detection System) – wykrywa i blokuje znane ataki hakerskie na podstawie sygnatur. 
✔ DNS Protection – zapobiega złośliwym przekierowaniom i blokuje dostęp do stron phishingowych. 
✔ Application Control – pozwala na blokowanie niepożądanych aplikacji, np. torrentów, YouTube w godzinach pracy, narzędzi do ukrywania ruchu. 
✔ Web Application Firewall (WAF) – chroni aplikacje webowe wystawione do internetu przed atakami SQL Injection, XSS i innymi wektorami zagrożeń. 
✔ Deep Packet Inspection (DPI) – analiza zawartości pakietów pod kątem anomalii i ruchu zaszyfrowanego (TLS/SSL Inspection). 
✔ Threat Intelligence – NGFW pobiera informacje o zagrożeniach w czasie rzeczywistym i natychmiast blokuje podejrzane adresy IP, domeny i sygnatury ataków. 
✔ Integracja z systemami SIEM, NAC i XDR – umożliwia automatyczne reakcje na wykryte zagrożenia. 

🔥 Wdrożenie niwej infrastruktury opartej o firewalle: 
🔹 Organizacje publiczne powinny zastąpić stare, tradycyjne firewalle nowoczesnymi NGFW o wysokiej wydajności. 
🔹 Wdrożenie IPS/IDS na styku sieci Internet i lokalnej zapewni ochronę przed atakami hakerskimi. 
🔹 Firewalle muszą być konfigurowane i monitorowane w trybie ciągłym, aby wykrywać nowe zagrożenia. 

2️⃣ Sieć Core i dystrybucyjna – stabilność i bezpieczeństwo wewnętrznej infrastruktury 

Wdrożenie sieci w każdej organizacji opiera się o przełączniki sieciowe, które zapewniają komunikację między urządzeniami, serwerami i systemami. Wydajne i bezpieczne przełączniki klasy korporacyjnej to fundament stabilnej infrastruktury IT. 

Kluczowe aspekty ochrony sieci wewnętrznej: 

✔ Przełączniki core klasy enterprise – zapewniają wydajność i bezpieczeństwo, eliminując pojedyncze punkty awarii. 
✔ Stackowanie i klastrowanie – zapobiega przerwom w działaniu poprzez redundancję połączeń. 
✔ ISSU (In-Service Software Upgrade) – aktualizacje oprogramowania mogą być przeprowadzane bez przerywania działania sieci. 
✔ Integracja z NAC i SIEM – monitorowanie ruchu w sieci wewnętrznej w czasie rzeczywistym. 
✔ TACACS+ i AAA – zaawansowane mechanizmy kontroli dostępu administratorów, eliminujące zagrożenia wynikające z niewłaściwego zarządzania uprawnieniami. 

🔥 Wdrożenie: 
🔹 Organizacje powinny zastąpić stare przełączniki i routery nowoczesnymi urządzeniami klasy enterprise. 
🔹 Monitorowanie logów i analiza anomalii pozwolą na szybkie wykrywanie nietypowej aktywności w sieci. 
🔹 Segmentacja VLAN i mikrosegmentacja to podstawa separacji ruchu wrażliwego. 

3️⃣ Kontrola dostępu do sieci (NAC) w jednostkach sektora publicznego

Systemy NAC (Network Access Control) odpowiadają za identyfikację i autoryzację użytkowników oraz urządzeń podłączanych do sieci. To kluczowy element ochrony infrastruktury IT, który zapobiega nieautoryzowanemu dostępowi i atakom wewnętrznym. 

Jak działa system NAC? 

✔ Identyfikuje urządzenia i użytkowników przed przyznaniem dostępu do sieci. 
✔ Przydziela dynamiczne VLAN-y w zależności od roli użytkownika. 
✔ Blokuje podejrzane połączenia i nieznane urządzenia. 
✔ Integruje się z firewallami i SIEM, zapewniając pełną widoczność aktywności w sieci. 
✔ Automatyczna reakcja na zagrożenia – np. odcięcie zainfekowanego urządzenia od sieci. 

🔥 Wdrożenie nowej infrastruktury kontroli dostępu: 
🔹 Instytucje publiczne powinny wdrożyć system NAC w celu eliminacji nieautoryzowanych urządzeń. 
🔹 NAC powinien być zintegrowany z bazą tożsamości i urządzen (np.  Active Directory, LDAP itp.) oraz firewallem. 
🔹 Wymagane jest wdrożenie uwierzytelniania 802.1X dla użytkowników przewodowych i bezprzewodowych. 

4️⃣ Ochrona urządzeń końcowych (endpointów) – XDR/EDR i MDM 

Najczęstszym wektorem ataków są urządzenia końcowe (laptopy, komputery, telefony) oraz ich użytkownicy. Systemy EDR/XDR oraz MDM zapewniają ochronę przed ransomware, phishingiem i malwarem. 

Najważniejsze mechanizmy ochrony: 

✔ XDR/EDR – wykrywanie zaawansowanych ataków i ochrona przed zero-day threats. 
✔ Automatyczna izolacja zainfekowanych urządzeń. 
✔ MDM (Mobile Device Management) – zarządzanie i zabezpieczanie sprzętem mobilnym (telefonami i tabletami służbowymi oraz laptopami). 
✔ Szyfrowanie danych na urządzeniach – ochrona przed kradzieżą i nieautoryzowanym dostępem. 

🔥 Wdrożenie systemu EDR/XDR: 
🔹 Organizacje powinny wdrożyć XDR/EDR do ochrony komputerów i laptopów. 
🔹 Systemy MDM powinny zarządzać bezpieczeństwem urządzeń mobilnych. 
🔹 Wszystkie urządzenia powinny mieć wymuszone uwierzytelnianie MFA/2FA, na przykład w oparciu o klucze sprzętowe YubiKey. 

5️⃣ Redundancja i kopie zapasowe – ostatnia linia obrony 

Redundancja sprzętowa jest kluczowym elementem zapewniającym ciągłość działania infrastruktury IT, szczególnie w organizacjach, które muszą spełniać wymogi NIS2. W praktyce oznacza to eliminację pojedynczych punktów awarii (Single Point of Failure) poprzez dublowanie krytycznych komponentów, takich jak firewalle, przełączniki core, serwery czy macierze.  

Urządzenia klasy Enterprise umożliwiają tworzenie klastrów – w przypadku awarii jednego elementu jego rolę natychmiast przejmuje drugi, co pozwala utrzymać dostępność usług bez przestojów. Dodatkowo warto stosować funkcje takie jak In-Service Software Upgrade, które pozwalają na aktualizacje w trybie online, oraz mechanizmy Hot Swap umożliwiające wymianę dysków czy komponentów bez wyłączania systemu. 

Pełna strategia redundancji obejmuje także odpowiednio zaprojektowaną architekturę sieciową z wieloma ścieżkami komunikacji między segmentami oraz kopie zapasowe zgodne z zasadą 3-2-1 (trzy kopie na dwóch różnych nośnikach, jedna w innej lokalizacji). Dzięki temu, nawet w przypadku awarii sprzętu, ataku ransomware czy katastrofy naturalnej, organizacja jest w stanie szybko przywrócić działanie krytycznych usług. Takie podejście nie tylko minimalizuje ryzyko kosztownych przestojów, ale również stanowi fundament bezpieczeństwa i zgodności z regulacjami. 

Dla przypomnienia:

• Zasada 3-2-1 – 3 kopie danych, na 2 różnych nośnikach, 1 geograficznie oddzielony. 
• Szyfrowane backupy odporne na ransomware. 
• Zintegrowany system zarządzania danymi
• Mechanizmy automatycznego odzyskiwania danych (Disaster Recovery), w tym usługa odtworzenia danych (DRaaS).

Jak podejść do wdrożenia bezpiecznej infrastruktury IT w urzędach? 

Wdrożenie środków technicznych i organizacyjnych to tylko jeden z elementów realizacji obowiązków wynikających z dyrektywy NIS2. Kluczowe jest, aby wybór konkretnych zabezpieczeń – takich jak firewalle, systemy EDR/XDR, narzędzia do szyfrowania czy rozwiązania do segmentacji sieci – nie był przypadkowy ani oparty wyłącznie na popularności danego rozwiązania. Powinien wynikać z realnych potrzeb danej instytucji, charakterystyki obsługiwanych usług, priorytetów w zakresie ciągłości działania oraz wcześniej opracowanych procedur zarządzania ryzykiem i reagowania na incydenty. 

W tym powinien pomóc audyt infrastruktury, czyli przegląd dotychczas wykorzystywanych rozwiązan, wskazanie luk w zabezpieczeniach i rekomendacja działan naprawczych. Wykonujemy takie audyty, ze szczególnym uwględnieniem wymogów NIS2. 

Od czego zacząć ochronę instytucji publicznych zgodnie z NIS2?

W swojej praktyce widziałem niejednokrotnie, że filary i dobre praktyki były zaniedbywane kosztem pojedynczych rozwiązan uznawanych za nowoczesne. Nie tędy droga. Szczególnie przy ograniczonych zasobach i budżetach, stawiajmy na solidną ochronę w najważniejszych obszarach. Zróbmy obowiązkowo audyt IT, wymieniajmy urządzenia, które straciły support, aktualizujmy przestarzałe oprogramowanie. Dbałość o podstawy zaowocuje stabilniejszą organizacją, do której znaczenie trudniej będzie się dostać z zewnątrz. 

Nowoczesna ochrona IT według NIS2 to nie pojedyncze rozwiązania, lecz zintegrowany ekosystem zabezpieczeń obejmujący firewalle, NAC, SIEM, EDR/XDR, kopie zapasowe i redundancję. Skuteczne zabezpieczenia techniczne mają sens tylko wtedy, gdy są zintegrowane z polityką bezpieczeństwa, planami awaryjnymi i systematycznie testowanymi procedurami – a nie wdrażane jako punktowe działania „na papierze”.  

Jeśli chcesz sprawdzić, czy wdrożenie infrastruktury IT realizowane w ramach programu „Cyberbezpieczny Samorząd” spełnia obowiązki podmiotów publicznych wynikające z dyrektywy NIS 2, nasi eksperci przeprowadzą audyt zgodności z NIS2 dla Twojej instytucji.