Jak miasto Oborniki radzi sobie z utrzymaniem i rozwojem samorządowej infrastruktury IT w czasach rosnącego zagrożenia cyberprzestępczością?
Sekretarz miasta Oborniki Krzysztof Nowacki: „Nasze systemy informatyczne są odbiciem bardzo zróżnicowanych zadań, które realizuje samorząd. Nic zatem dziwnego, że mamy dużo różnych baz danych, serwerów i urządzeń sieciowych. Czasy wymagają mobilnego dostępu do coraz większej liczby usług, a to nie sprzyja bezpieczeństwu danych i pośrednio całej infrastruktury. Na dodatek cały czas musimy pamiętać o ograniczeniach ustawowych i budżecie. Nie bardzo możemy sobie pozwolić na rozwiązania klasy korporacyjnej, mimo że nasze potrzeby w obszarze bezpieczeństwa nie są wcale mniejsze. Utrzymanie odpowiednich zabezpieczeń to dla naszego skromnego działu IT nie lada wyzwanie, ale radzimy sobie. Nie narzekam”.
W jaki sposób zatem godzicie ze sobą wysokie wymagania w kwestii zabezpieczenia danych z ograniczeniami budżetowymi? Z reguły za jakość trzeba słono płacić.
Krzysztof Nowacki: „No właśnie nie zawsze. Trzeba tylko cierpliwości i wytrwałości w poszukiwaniu odpowiednich rozwiązań. Niedawno udało nam się wdrożyć system LOGmanager, który naprawdę zdjął nam z barków wiele problemów. Jak nietrudno się domyślić, nasze rozliczne system generują dużą liczbę zdarzeń i alertów o statusach operacyjnych, aktywności użytkowników, czy zmianach operacyjnych. Bieżące nadzorowanie logów wymagało dużo czasu, uwagi i nadmiernie angażowało pracowników. A co dopiero mówić o sytuacjach z krytycznymi incydentami bezpieczeństwa, gdzie tak bardzo liczy się czas reakcji. Mieliśmy oczywiście problem z analizą logów, bo ile systemów tyle ich formatów. To nie sprzyjało utrzymaniu odpowiedniego poziomu bezpieczeństwa”.
Jak sobie poradziliście z tym problemem? Rozwiązania klasy SIEM nie należą do najtańszych.
Krzysztof Nowacki: „Cóż, naszym celem było ujednolicenie formatu logów i stworzenie zewnętrznego, a przy tym bezpiecznego repozytorium zdarzeń. Dałoby to nam szansę na sprawną analizę tego, co się dzieje, czy działo w naszych systemach. Na dodatek zauważyliśmy, że systemy klasy SIEM są nie tylko drogie, ale i bardzo rozbudowane funkcjonalnie, z dużą liczną przeróżnych opcji. Życie jednak pokazuje, że użytkownicy i tak korzystają z drobnej części dostępnej funkcjonalności, bazując przede wszystkim na ustawieniach domyślnych. Zaczęliśmy zatem szukać czegoś, co pozwoli osiągnąć założone cele i nie zrujnuje naszego rocznego budżetu. No i udało się. Przy pomocy firmy Advatech poznaliśmy LOGmanagera i przypadł on nam go gustu”.
Co wam się w nim tak spodobało?
Krzysztof Nowacki: „Oprócz rozsądnej ceny także odpowiednia do naszych potrzeb funkcjonalność. To system, który warto mieć – naprawdę bardzo upraszcza zarządzanie logami. LOGmanager to aplikacja pozbawiona skomplikowanych ograniczeń licencyjnych, wdrożenie jest mało kłopotliwe, no prawie „plug’n’play”. Nie ma konieczności uczenia się języków programowania, czy posiadania dostępu do linii komend. Widzieliśmy inne systemy tej klasy, ale ten ujął nas swoją prostotą i intuicyjnym interfejsem. Na dodatek zrozumieliśmy, że ta łatwość obsługi kryje za sobą naprawdę rozbudowane możliwości analityczne pozwalające na rozumienie kontekstu zdarzeń w naszej gminnej infrastrukturze IT. Trudno było podjąć inną decyzję o wyborze, skoro oczami wyobraźni już widzieliśmy dużą oszczędność czasu i poprawę bezpieczeństwa danych. Życie pokazało, że się nie myliliśmy”.
Z jakimi zadaniami LOGmanager radzi sobie najlepiej?
Krzysztof Nowacki: „Żeby to zrozumieć, trzeba sobie zdać sprawę, że LOGmanager to tak naprawdę rozwiązanie sprzętowe służące do centralnego zarządzania logami i danymi maszynowymi zbieranymi z różnych źródeł, z pojemnością pamięci masowej do 100 TB. Rozwiązanie to wykorzystuje rozbudowaną bazę danych o bardzo dużej pojemności, oferującą szybkie przeszukiwanie dużych zbiorów danych oraz błyskawiczną wizualizację wyników zapytania. Zatem na wejściu mamy logi w różnych formatach, coś na kształt padających płatków śniegu, bo każdy jest inny, a na wyjściu jednolitą informację, która pozwala na zobaczenie stanu infrastruktury IT.
Mając LOGmanagera możemy wykonywać zapytania w czasie rzeczywistym, generować analizy statystyczne, raporty i alerty wywoływane w reakcji na zdarzenia. Mamy też możliwość agregowania danych operacyjnych ze wszystkich krytycznych systemów, a jak raportują administratorzy, są oni w stanie w ciągu kilku sekund wyszukać informacje o statusach działania urządzeń i potencjalnych problemach, na co poprzednio poświęcali kilka godzin ręcznej i żmudnej pracy. Teraz, dzięki automatycznym alertom, mogą proaktywnie zapobiegać incydentom bezpieczeństwa. Proszę mi wierzyć, funkcjonalność LOGmanagera jest nie do przecenienia. Wiemy, na przykład kto pobrał nietypowo dużo danych przez VPN, kto i z jakim wynikiem wykonywał operacje w newralgicznych aplikacjach, kto zmieniał konfigurację najważniejszych urządzeń sieciowych albo kto usuwał poufne dane z serwera plików. Przy okazji mamy pełną kontrolę nad dostępem do sieci oraz zabezpieczenie wszystkich logów przed ich usunięciem lub modyfikacją. Jak widać, jednym systemem rozwiązaliśmy kilka istotnych problemów”.
Wspomniał pan, że wdrożenie było bardzo proste. To był wasz całkowicie samodzielny projekt?
Krzysztof Nowacki: „LOGmanager natywnie wspiera ponad 120 źródeł danych ze wszystkich obszarów IT, w tym ze standardowych formatów typu CEF, LEEF czy JSON. W każdej nietypowej sytuacji jest możliwość tworzenia własnych szybkich i prostych parserów. Uznaliśmy, że nie mamy za dużo czasu ani wolnych zasobów, aby robić to samodzielnie. Dostawca systemu, Advatech zrobił to błyskawicznie i nadzwyczaj skutecznie. Byliśmy bardzo zadowoleni ze współpracy, bo rzeczywiście znają się na swojej pracy. Trochę dłubaniny oczywiście było, bo LOGmanager musiał być zgodny z polityką bezpieczeństwa urzędu, a w tym zakresie trochę ograniczeń jednak jest, musiał także spełniać wymagania RODO i norm ISO dotyczących retencji ścieżek audytowych. Na szczęście wszystko poszło gładko i jak to zawsze bywa, także nauczyliśmy się czegoś nowego”.
Jak z perspektywy czasu oceniacie ten system do zarządzania logami? Czy możecie go komuś szczególnie polecić?
Krzysztof Nowacki: „W mojej ocenie praktycznie każda organizacja, od małych i średnich począwszy, potrzebuje takiego systemu do zarządzania logami. Po prostu szkoda czasu i życia na ręczne analizy. LOGmanager lokuje się gdzieś pomiędzy rozwiązaniami korporacyjnymi a open source. Ma najpotrzebniejszą funkcjonalność, a czasem i dużo więcej, a jego cena jest jak najbardziej do zaakceptowania. Dzięki sprzętowej integracji, braku licencyjnych ograniczeń w wydajności i liczbie zbieranych logów ma chyba najlepszy stosunek jakości do ceny. To rozwiązanie sprawdzi się wszędzie tam, gdzie zespoły IT nie są zbyt liczne i gdzie nie ma nadmiaru eksperckiej wiedzy. Te braki świetnie uzupełnia właśnie LOGmanager. Do jego przewag trzeba też zaliczyć sam Advatech, czyli dostawcę systemu – konsultanci z tej firmy znają się na rzeczy, i co najważniejsze – można im zaufać”.
Łukasz Śrama, Key Account Manager, Advatech sp. z o.o.: „Jesteśmy firmą z długim, bo ponad dwudziestoletnim doświadczeniem w integracji systemów IT. Kompetencje, wiedza i doświadczenie naszych inżynierów pozwala nam na realizację najciekawszych projektów w Polsce, także w zakresie bezpieczeństwa IT. Wdrożenie LOGmanagera w gminie Oborniki było dla nas o tyle ciekawym projektem, że mogliśmy się wykazać znajomością specyfiki działania urzędu oraz zaproponować takie rozwiązanie, aby idealnie odpowiadało potrzebom i oczekiwaniom działu IT. Ponieważ każdy nasz klient może liczyć na nasze pełne zaangażowanie, z przyjemnością budowaliśmy coś, co posłuży całej społeczności Urzędu Miasta Oborniki”.
Piotr Wyszumirski, Radca Prawny, SDZLEGAL Schindhelm: „Mając na uwadze uregulowania prawne dotyczące ochrony danych osobowych, kluczowa dla przedsiębiorców i instytucji pozostaje zasada rozliczalności. Kwestia ta dotyczy również zapisów w dziennikach systemowych – logów. Zgodnie bowiem z treścią § 21 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, Rozliczalność w systemach teleinformatycznych podlega wiarygodnemu dokumentowaniu w postaci elektronicznych zapisów w dziennikach systemów (logach). Posiadanie wiedzy na temat procesów zachodzących w systemach poszczególnych instytucji oraz przedsiębiorców pozostaje niezwykle istotne w aspekcie zapewnienia ochrony gromadzonych w nich danych osobowych. Administratorzy Danych Osobowych zostali bowiem zobligowani do wdrażania odpowiednich środków technicznych, które zapewnić mają przetwarzanie danych osobowych zgodnie z RODO oraz realizację zasady rozliczalności”.