ENTRAST na BeSecure2025 w Gdańsku!

ENTRAST na BeSecure2025 w Gdańsku!

Z przyjemnością informujemy, że Michał Pabich, współwłaściciel firmy ENTRAST Sp. z o.o., Biegły Sądowy z zakresu informatyki i telekomunikacji, wystąpi jako prelegent podczas konferencji BeSecure 2025 organizowanej przez CodeMe w Gdańsku.

Wydarzenie odbędzie się w kwietniu 2025 roku i poświęcone będzie najnowszym trendom, praktykom i wyzwaniom w obszarze cyberbezpieczeństwa, inżynierii oprogramowania i zarządzania IT.

BeSecure 2025: Jak chronić cyfrową Polskę? Gdańsk stanie się centrum rozmów o cyberbezpieczeństwie [patronat ngo.pl] - Artykuł - ngo.pl

Temat wystąpienia:

„Dobre praktyki w zakresie dostarczania oprogramowania i rozwiązań w ujęciu bezpieczeństwa IT”

Podczas prelekcji Michał Pabich podzieli się praktycznym doświadczeniem z realizacji projektów w administracji publicznej oraz sektorze komercyjnym.
Wystąpienie skoncentruje się na realnych aspektach bezpiecznego cyklu życia oprogramowania (Secure SDLC) i na tym, jak skutecznie wdrażać bezpieczeństwo „od planowania po utrzymanie”.

Wśród omawianych zagadnień znajdą się m.in.:

  • Bezpieczne projektowanie i architektura aplikacji – minimalizacja błędów już na etapie planowania,
  • Dobre praktyki w procesie dostarczania oprogramowania (DevSecOps),
  • Zarządzanie zależnościami, repozytoriami i podpisami cyfrowymi,
  • Kontrola jakości kodu i testy bezpieczeństwa,
  • Reagowanie na incydenty i aktualizacje w środowisku produkcyjnym,
  • Przykłady wdrożeń z projektów publicznych i edukacyjnych,
  • Najczęstsze błędy wykonawców w projektach IT finansowanych ze środków UE.

 Cytat prelegenta:

„Bezpieczne oprogramowanie zaczyna się od świadomego projektowania.
Każdy etap — od analizy, przez testy, po utrzymanie — musi uwzględniać bezpieczeństwo, jeśli chcemy mówić o prawdziwie odpornych systemach.”
Michał Pabich, ENTRAST Sp. z o.o.

O konferencji BeSecure 2025

BeSecure to jedno z najważniejszych wydarzeń w północnej Polsce, skupiające ekspertów, praktyków i entuzjastów cyberbezpieczeństwa.
W ramach konferencji odbędą się prelekcje, panele dyskusyjne, warsztaty oraz networking z przedstawicielami branży IT, edukacji i administracji publicznej.

Więcej informacji o programie i rejestracji:
https://codeme.pl/besecure/

Sprawdź, czy Twoja poczta e-mail jest bezpieczna – porady wg ENTRAST

Sprawdź, czy Twoja poczta e-mail jest bezpieczna – porady wg ENTRAST

Bezpieczeństwo poczty elektronicznej to podstawa ochrony danych w każdej organizacji. W ostatnich latach coraz częściej dochodzi do przejęć kont, podszywania się pod urzędników lub kontrahentów, a także do masowych kampanii phishingowych wymierzonych w samorządy, szkoły i przedsiębiorców.

Na szczęście istnieją darmowe i zaufane narzędzia, które pozwalają samodzielnie sprawdzić, czy nasza poczta jest odpowiednio zabezpieczona.

Secure Email - 24 Months - Crypto Special - Shelter Blue - Technology & Security Solutions

Narzędzie CERT Polska – Bezpieczna Poczta

Zespół CERT Polska (Computer Emergency Response Team NASK) udostępnia serwis https://bezpiecznapoczta.cert.pl/

To proste narzędzie pozwala zweryfikować domenę e-mail pod kątem:

  • poprawnej konfiguracji rekordów SPF, DKIM i DMARC,
  • zabezpieczeń przed podszywaniem się (spoofingiem),
  • obsługi szyfrowania TLS w komunikacji z serwerem poczty,
  • poprawności certyfikatów oraz reputacji domeny.

Po wprowadzeniu adresu domeny (np. urzadmiasta.gov.pl), system wygeneruje raport w formie graficznej, z oceną i zaleceniami do poprawy.

Dlaczego to ważne?

Brak właściwych zabezpieczeń (SPF, DKIM, DMARC) oznacza, że każdy może wysłać e-mail wyglądający jak pochodzący z Twojego adresu.
Dla odbiorcy (np. mieszkańca, kontrahenta lub szkoły) taki e-mail wygląda wiarygodnie, a skutki mogą być poważne:

  • wyłudzenie danych lub pieniędzy,
  • infekcja złośliwym oprogramowaniem,
  • utrata reputacji instytucji,
  • naruszenie przepisów o ochronie danych osobowych (RODO).

Co zrobić w przypadku wykrycia błędów?

  1. Zapisz raport z bezpiecznapoczta.cert.pl i przeanalizuj rekomendacje.
  2. Skontaktuj się z administratorem domeny lub dostawcą poczty.
  3. Skonfiguruj brakujące rekordy SPF/DKIM/DMARC w DNS.
  4. Włącz wymuszone szyfrowanie TLS i sprawdź certyfikat SSL.
  5. Po wprowadzeniu zmian — ponownie wykonaj test w serwisie CERT.

 Dodatkowe darmowe narzędzia, które warto znać

Podsumowanie

Bezpieczna poczta to nie tylko kwestia techniczna — to także zaufanie użytkowników, wiarygodność urzędu lub firmy oraz ochrona danych osobowych.
Regularna weryfikacja domen pocztowych przy pomocy narzędzi takich jak Bezpieczna Poczta CERT Polska powinna stać się dobrą praktyką każdego administratora IT.

Weryfikacja aplikacji internetowych za pomocą darmowych narzędzi

Weryfikacja aplikacji internetowych za pomocą darmowych narzędzi

W dobie rosnącej liczby usług online coraz większe znaczenie ma bezpieczeństwo, wydajność i dostępność aplikacji internetowych. Dobrze zaprojektowana strona to nie tylko estetyka, ale również stabilność, szybkość ładowania i zgodność z normami.
Co ważne – wiele testów można wykonać bez ponoszenia kosztów, korzystając z ogólnodostępnych, darmowych narzędzi.

What Is A Website Audit and Why Are They SO Important? | All Things Web

Dlaczego warto weryfikować aplikacje webowe?

Regularne testowanie aplikacji pozwala:

  • wykryć błędy obniżające wydajność (np. opóźnienia, błędne skrypty),
  • zapewnić zgodność z wymogami WCAG 2.1 i przepisami o dostępności cyfrowej,
  • poprawić pozycjonowanie SEO dzięki lepszym wskaźnikom Core Web Vitals,
  • zwiększyć bezpieczeństwo użytkowników (np. wykrycie brakujących nagłówków CSP, HSTS, X-Frame-Options),
  • ograniczyć ryzyko incydentów w środowiskach produkcyjnych.

Darmowe narzędzia do audytu i testów

Poniżej lista najbardziej użytecznych i wiarygodnych narzędzi, które warto włączyć do codziennej praktyki:

Google Lighthouse

  • Dostępne jako rozszerzenie Chrome lub zintegrowane w DevTools.
  • Audytuje: wydajność, dostępność, SEO, PWA, najlepsze praktyki.
  • Wynik (0–100) ułatwia szybkie określenie obszarów do poprawy.
    developer.chrome.com/docs/lighthouse

WebPageTest.org

  • Pozwala testować stronę z różnych lokalizacji i prędkości łącza.
  • Raportuje czasy ładowania, rozkład zasobów, film z ładowania strony.
    www.webpagetest.org

GTmetrix

  • Analiza front-endu i rekomendacje optymalizacji.
  • Integracja z PageSpeed i YSlow.
    gtmetrix.com

Mozilla Observatory

  • Sprawdza nagłówki bezpieczeństwa HTTP (CSP, HSTS, X-Frame-Options, Referrer-Policy itd.).
  • Ocena w skali A–F.
    observatory.mozilla.org

Wave – Web Accessibility Evaluation Tool

  • Analiza dostępności cyfrowej (kontrast, etykiety, aria-roles).
    wave.webaim.org

 Jak to wdrożyć w praktyce?

  1. Uruchom Lighthouse dla każdej kluczowej podstrony aplikacji.
  2. Wyniki zapisz jako raport PDF lub JSON – będą podstawą do planu optymalizacji.
  3. Sprawdź poprawność nagłówków bezpieczeństwa w Mozilla Observatory.
  4. Skorzystaj z WebPageTest lub GTmetrix, by ocenić czasy ładowania i wpływ skryptów.
  5. Zbierz wyniki w tabeli (np. w Excelu lub arkuszu Google) i nadaj im priorytety:

    • 🔴 Krytyczne (np. brak HTTPS, CSP, długi LCP)

    • 🟠 Średnie (np. zbyt duże obrazy, opóźnienia JS)

    • 🟢 Niskie (np. kolejność ładowania czcionek)

 Dobra praktyka: automatyzacja

Dla bardziej zaawansowanych zespołów rekomendowane jest wdrożenie automatycznych testów Lighthouse w procesie CI/CD (np. GitLab, GitHub Actions, Jenkins).
Pozwala to wychwytywać spadki wydajności lub regresje jakości już na etapie wdrożeń testowych, zanim trafią do środowiska produkcyjnego.

Podsumowanie

Darmowe narzędzia audytowe nie zastąpią pełnego testu penetracyjnego czy audytu bezpieczeństwa, ale stanowią doskonały pierwszy etap weryfikacji jakości kodu, szybkości ładowania i zgodności z dobrymi praktykami.
Ich regularne wykorzystanie może znacząco obniżyć koszty utrzymania aplikacji oraz poprawić doświadczenie użytkowników.

Dlaczego każda organizacja potrzebuje SOP – Standardowej Procedury Operacyjnej

Dlaczego każda organizacja potrzebuje SOP – Standardowej Procedury Operacyjnej

Dlaczego SOP (Standard Operating Procedure) jest kluczowy dla Twojej organizacji

W świecie systemów IT każda minuta przestoju to ryzyko utraty danych, reputacji lub finansowania projektu.
Nie wystarczy mieć dobry system — trzeba jeszcze wiedzieć kto, kiedy i jak ma reagować, gdy coś przestaje działać.
Tym właśnie jest SOP – Standard Operating Procedure (Standardowa Procedura Operacyjna).

What Are the Different Types of SOP and Their Benefits? Great Lakes Advisory, a Key Performance Integrators Company

Czym jest SOP?

SOP to praktyczna instrukcja działania, która precyzyjnie opisuje:

  • Role i odpowiedzialności – kto odpowiada za aplikację, platformę, dane i bezpieczeństwo,
  • Diagnozę i eskalację – jak postępować przy błędach i incydentach,
  • Ścieżki komunikacji – narzędzia, kanały i formaty zgłoszeń,
  • Czasy reakcji i odtworzenia – RTO/RPO i kryteria przywracania,
  • Dokumentowanie – raporty z incydentów i działań naprawczych.

To nie teoria — to gotowy scenariusz działania zespołów IT i biznesowych w realnych sytuacjach:
od błędu aplikacji po awarię platformy czy utratę integralności danych.

Dlaczego ENTRAST wdraża SOP u swoich Klientów

W ENTRAST nie kończymy projektu na instalacji i konfiguracji.
Naszym celem jest ciągłość działania i odporność operacyjna organizacji.
Dzięki SOP:

  • każdy incydent ma jasną ścieżkę reakcji,
  • nie ma wątpliwości, kto jest odpowiedzialny (właściciel systemu, wykonawca, operator),
  • raportowanie do kierownictwa i audytów (np. ISO 27001, NIS2, KSC) jest proste i oparte na dowodach,
  • utrzymanie systemów jest zgodne z ITIL i ISO/IEC 20000.

SOP w praktyce – przykład z projektów ENTRAST

W projektach dotyczących implementację oprogramowania, SOP staje się podstawą skutecznego utrzymania:

  1. Szybka identyfikacja przyczyny – aplikacja, baza danych, certyfikat, infrastruktura,
  2. Kompletne zgłoszenie – z logami i metrykami (np. Grafana, Kibana),
  3. Właściwe przypisanie – od razu do właściwego zespołu (aplikacja vs. platforma),
  4. Kontrolowane przywracanie – zgodnie z RTO/RPO i z pełną dokumentacją.

Efekt dla Klienta

  • Krótszy MTTR (szybsze usuwanie awarii),
  • Transparentność między IT, dostawcami i kierownictwem,
  • Zgodność z normami i wymaganiami grantowymi,
  •  Przewidywalne utrzymanie i mniejsze ryzyko operacyjne.

Podsumowanie

SOP to nie „papier dla IT” — to narzędzie zarządcze, które łączy ludzi, procesy i technologię
w jeden spójny model działania.

W ENTRAST pomagamy Klientom nie tylko tworzyć systemy, ale także
zapewniać ich bezpieczne i stabilne funkcjonowanie – właśnie dzięki wdrożeniu
Standardowych Procedur Operacyjnych.

Zaprojektujmy SOP dla Twojej organizacji

Chcesz wdrożyć SOP dla systemów IT, e-usług publicznych lub środowisk chmurowych (np. RChO, Azure, VMware)?

  • Audyt dojrzałości i luk w procesach operacyjnych,
  • Projekt ról, odpowiedzialności i ścieżek eskalacji,
  • Szablony procedur, runbooki i checklisty dla zespołów,
  • Integracja z monitoringiem (Grafana, Kibana, Alertmanager).
„Stan formalny vs stan faktyczny” cyberbezpieczeństwa w Polsce

„Stan formalny vs stan faktyczny” cyberbezpieczeństwa w Polsce

Po przeprocesowaniu wielu audytów i wdrożeń dokonaliśmy podziału na 7 kluczowych obszarów:

Resolving Blue Screen errors in Windows - Microsoft Support

Obszar Stan formalny (na papierze) Stan faktyczny (w praktyce)
1. Ramy prawne i obowiązki Obowiązuje ustawa o KSC, wymagająca m.in. wyznaczenia IOD/PSI, prowadzenia analiz ryzyka, zgłaszania incydentów. Dochodzi NIS2, ISO/IEC 27001 i przepisy sektorowe (NFZ, KNF). Ustawa znana głównie osobom z działów IT lub prawnym. W JST lub szpitalach – często nikt nie wie, że podlegają pod KSC. Dokumenty tworzone tylko do projektów lub kontroli.
2. Polityki i procedury SZBI Powinny być wdrożone: polityka bezpieczeństwa, plan ciągłości działania, procedury incydentowe, rejestry zasobów, rejestry ryzyk, plan szkoleń. Najczęściej: istnieją pliki Word, utworzone przez firmy zewnętrzne. Często nikt ich nie czyta. Brakuje aktualizacji, szkoleń z dokumentów, brak realnych testów.
3. Organizacja cyberbezpieczeństwa Wyznaczony Inspektor Bezpieczeństwa (lub Pełnomocnik ds. SZBI), planowane przeglądy, audyty wewnętrzne, działania naprawcze. Najczęściej nie ma dedykowanej osoby. Rolę pełni informatyk lub zewnętrzna firma „od wszystkiego” (serwery, oprogramowanie, SZBI). Brak realnych audytów.
4. Zasoby techniczne i ochrona systemów Wymagana ochrona: antywirus, firewall, backupy, segmentacja sieci, kontrola dostępu, szyfrowanie, aktualizacje. Zakupy dokonywane wg kryterium ceny. Sprzęt często niekonfigurowany poprawnie. Backupy ręczne. Brak kontroli kont uprzywilejowanych, brak EDR/SIEM.
5. Reakcja na incydenty Każdy incydent powinien być klasyfikowany, rejestrowany, analizowany.
W przypadku incydentu poważnego – zgłoszenie do CSIRT.		 Często incydenty są ignorowane lub „załatwiane na miejscu” bez analizy. Zgłoszenia do CSIRT zdarzają się bardzo rzadko. Brak procedur reagowania i ćwiczeń.
6. Szkolenia i świadomość pracowników Obowiązkowe szkolenia z cyberbezpieczeństwa dla personelu – coroczne lub okresowe. Szkolenia realizowane rzadko, często online „na zaliczenie”. Brak testów socjotechnicznych. Świadomość phishingu niska, linki otwierane bez weryfikacji.
7. Monitorowanie i audyt Stałe monitorowanie infrastruktury (np. SIEM, Zabbix, Wazuh), przeglądy bezpieczeństwa, testy penetracyjne, aktualizacje polityk. Brak stałego monitorowania. Brak logowania działań użytkowników. Testy penetracyjne to rzadkość. Dokumentacja nie aktualizowana przez lata.

Wnioski:

  • Formalnie: Polska posiada dobre ramy prawne i wytyczne (KSC, NIS2, ISO 27001).
  • Faktycznie: Większość instytucji (zwłaszcza samorządy, SPZOZ, mniejsze podmioty) nie spełnia realnie wymagań.
  • Często cyberbezpieczeństwo kończy się na „kopii zapasowej” i antywirusie.

Często nasi Klienci oczekuje MAPA RYZYK CYBERBEZPIECZEŃSTWA. Poniżej przedstawiamy Naszą wersję ogólną (do adaptacji)

Nr
Ryzyko
Opis zagrożenia
Skutek dla organizacji
Poziom ryzyka
Rekomendowane działanie
R1
Atak phishingowy na pracowników
Kliknięcie w fałszywy link lub podanie loginu/hasła
Utrata danych, przejęcie konta, wyciek danych osobowych
Krytyczne
Szkolenie, MFA, filtracja poczty, testy socjotechniczne
R2
Brak aktualizacji systemów i oprogramowania
Stare wersje Windows, systemów ERP, CMS
Luka bezpieczeństwa, ransomware
Krytyczne
Automatyczne aktualizacje, harmonogram patchowania, nadzór IT
R3
Utrata danych wskutek braku backupu
Awarie sprzętowe, błąd ludzki
Brak dostępu do danych, przestoje w pracy
Wysokie
Backup codzienny, testy odtwarzania, polityka backupu
R4
Brak segmentacji sieci i kontroli dostępu
Każdy ma dostęp do wszystkiego
Ryzyko sabotażu lub błędu ludzkiego
Wysokie
Zasada najmniejszych uprawnień, VLAN, kontrola dostępów
R5
Brak nadzoru nad kontami uprzywilejowanymi
Brak logowania działań adminów, konta bez haseł
Nieautoryzowane zmiany lub nadużycia
Wysokie
Rejestr działań, polityka kont, monitoring SIEM/EDR
R6
Brak planu reagowania na incydenty
Nie wiadomo co robić w razie ataku
Chaos, wydłużona reakcja, wyciek danych
Wysokie
Opracować i przetestować plan IRP, ćwiczenia
R7
Brak szkoleń z cyberbezpieczeństwa
Pracownicy nieświadomi zagrożeń
Błędy ludzkie, otwieranie złośliwych plików
Wysokie
Szkolenia co rok, e-learning + testy
R8
Nieaktualna polityka bezpieczeństwa informacji
Brak formalnych zasad
Ryzyko braku zgodności z RODO, KSC, ISO
Średnie
Aktualizacja polityki raz w roku, SZBI
R9
Dostęp z urządzeń prywatnych (BYOD)
Pracownicy łączą się spoza urzędu / SPZOZ
Ryzyko zainfekowania sieci
Średnie
Zakaz lub VPN, MDM, polityka urządzeń
R10
Nieautoryzowane oprogramowanie
Pracownicy instalują nielegalne lub niezatwierdzone programy
Ryzyko złośliwego oprogramowania
Średnie
Whitelist, polityka oprogramowania, kontrola IT

 Legendy:

  • Prawdopodobieństwo: Niskie / Średnie / Wysokie
  • Wpływ: Niski / Średni / Wysoki
  • Poziom ryzyka: Automatycznie wynika z dwóch powyższych (np. Wysokie + Wysokie = Krytyczne)

Co naprawdę chroni organizację?

Aby mapa ryzyk realnie chroniła, musi być elementem całego cyklu zarządzania bezpieczeństwem, czyli:

Etap Co trzeba zrobić
1. Identyfikacja ryzyk Mapa ryzyk – ✔️ (to już masz)
2. Ocena ryzyk Nadanie poziomu wpływu i prawdopodobieństwa
3. Planowanie reakcji Wskazanie, co zrobisz z każdym ryzykiem: akceptacja, minimalizacja, eliminacja
4. Wdrożenie środków ochrony Szkolenia, backupy, segmentacja sieci, EDR, SIEM, itp.
5. Monitorowanie i aktualizacja Czy coś się zmieniło? Czy nadal działa?

 Co daje mapa ryzyk w praktyce?

Korzyść Opis
Podstawa do planu działań Dzięki niej wiadomo, co trzeba zabezpieczyć w pierwszej kolejności
Dowód „należytej staranności” W razie kontroli (UODO, NIK, audyt ISO) możesz udowodnić, że świadomie zarządzasz ryzykiem
Fundament SZBI i ISO 27001 Obowiązkowy element zgodności z normami (a od 2024 – również z ustawą NIS2)
Narzędzie dla zarządu / kierownictwa Pomaga w podejmowaniu decyzji strategicznych i budżetowych

Co się dzieje, gdy mapa ryzyk jest „na półce”?

  • Nie wiadomo, co jest priorytetem.
  • Działania są reaktywne, nie planowane.
  • Przy incydencie – chaos.
  • Audytorzy i inspektorzy mówią: „dokumentacja nie wdrożona, tylko papierowa”.

Podsumowując:

Mapa ryzyk nie chroni, jeśli nie prowadzi do działania.
Ale dobrze wykonana i aktualizowana jest jednym z najważniejszych narzędzi ochrony, szczególnie w instytucjach publicznych i medycznych.

Aby rzetelnie i skutecznie stworzyć mapę ryzyk cyberbezpieczeństwa oraz cały system zarządzania ryzykiem, potrzebny jest zespół interdyscyplinarny, a nie jedna osoba.
Dlaczego? Bo prawnik, informatyk i administrator patrzą na zagrożenia z zupełnie różnych perspektyw.

Kto i za co odpowiada? – Rola każdego z kluczowych członków:

Rola Zakres odpowiedzialności
1. Informatyk / administrator systemów IT Identyfikacja zagrożeń technicznych (np. brak backupu, dostępów, podatności). Wskazuje co może się zepsuć w sprzęcie, sieci, systemach.
2. Prawnik oraz Inspektor Ochrony Danych (IOD) Identyfikacja zagrożeń prawnych (RODO, KSC, wycieki danych, naruszenia obowiązków). Wskazuje co grozi prawnie i jak to dokumentować.
3. Kierownik jednostki / osoba zarządzająca (np. sekretarz, dyrektor, kierownik IT) Oszacowanie wpływu danego ryzyka na działanie urzędu/szkoły/SPZOZ (czyli co będzie, jak coś się stanie). Decyduje, czy coś akceptujemy, eliminujemy czy zabezpieczamy.
4. Pełnomocnik ds. SZBI (jeśli jest) Koordynuje wszystko, zbiera dane, aktualizuje dokumenty, pilnuje wdrożeń.

Czy informatyk z doświadczeniem administracyjnym może zrobić to sam?

Może zacząć, zebrać dane techniczne i stworzyć projekt.
Ale IOD nie rozpozna ryzyk.
Bez zarządu/kierownictwa nie podejmie decyzji, które ryzyka akceptować, a które eliminować.

Jak to robić dobrze?

Forma warsztatowa – spotkanie z prawnikiem, informatykiem, kierownikiem, IOD.
Każdy dostarcza swoje ryzyka, ocenia wpływ i prawdopodobieństwo.
Całość scala osoba odpowiedzialna za SZBI lub pełnomocnik ds. bezpieczeństwa informacji.

Podsumowanie:

Mapa ryzyk powinna być efektem współpracy informatyka,  IOD i zarządu/kierownictwa.
Nie da się tego zrobić dobrze w pojedynkę.

ENTRAST wyselekcjonowała najważniejsze informacje o grancie „Cyberbezpieczne Wodociągi”

ENTRAST wyselekcjonowała najważniejsze informacje o grancie „Cyberbezpieczne Wodociągi”

Dla kogo jest ten grant?

Grant przeznaczony jest dla podmiotów prowadzących działalność w zakresie zbiorowego zaopatrzenia w wodę, które spełniają jeden z warunków:

  1. Przedsiębiorstwo wodociągowo-kanalizacyjne będące operatorem usług kluczowych (zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa).
  2. Spółka prawa handlowego wykonująca zadania użyteczności publicznej (np. spółki komunalne).
  3. Jednostka sektora finansów publicznych, m.in. jednostki samorządu terytorialnego (JST), samorządowe zakłady budżetowe.

Kiedy rusza nabór?

  • Ogłoszenie konkursu: sierpień 2025 (I połowa miesiąca)
  • Nabór wniosków: min. 30 dni
  • Nabór prowadzony będzie przez Centrum Projektów Polska Cyfrowa
    https://www.gov.pl/web/cppc/cppc-nabory

Jakie dofinansowanie można otrzymać?

  • Do 300 000 EUR (w ramach pomocy de minimis) na jednego przedsiębiorcę.
  • Dofinansowanie 100% kosztów kwalifikowanych (brak wkładu własnego).
  • Finansowanie w kwotach nettoVAT niekwalifikowalny.

Na co można przeznaczyć środki?

Projekt musi obejmować przynajmniej jeden z trzech obszarów:

  1. Obszar organizacyjny:

  • Audyty SZBI, KRI, uoKSC
  • Wdrożenie polityk bezpieczeństwa, SZBI, SZCD

  1. Obszar techniczny:

  • IT: serwery, SIEM, EDR, backup, firewall, VPN, NAC, MFA, itp.
  • OT: systemy ICS/SCADA, zabezpieczenia sieci przemysłowej, redundancja, zasilanie awaryjne

  1. Obszar kompetencyjny:

  • Szkolenia podstawowe i specjalistyczne z zakresu cyberbezpieczeństwa
  • Testy socjotechniczne (phishing, vishing, itp.)

Jak długo może trwać projekt?

  • Koszty kwalifikowane od 1 stycznia 2025 r. do 30 czerwca 2026 r.
  • Czas na rozliczenie projektu: do 30 czerwca 2026 r.
  • Wdrożone rozwiązania muszą być utrzymane przez min. 3 lata (trwałość rezultatów).
Identyfikacja cyberbezpieczeństwa dla WODOCIĄGÓW wg ENTRAST

Identyfikacja cyberbezpieczeństwa dla WODOCIĄGÓW wg ENTRAST

Cyberbezpieczny Wodociąg – szansa na nowoczesną i bezpieczną infrastrukturę wod-kan

Reasumując Identyfikacja cyberbezpieczeństwa w tym zakresie  

Wodociągi i kanalizacja to nie tylko rury i pompy. To dziś złożone systemy IT i OT, które – jeśli nie są odpowiednio chronione – stają się łatwym celem dla cyberataków.

Ministerstwo Cyfryzacji uruchamia program „Cyberbezpieczny Wodociąg”, finansowany z Krajowego Planu Odbudowy (KPO). 🔐 Cyberbezpieczeństwo, 💧 sektor wod-kan, 💰 dotacja z KPO do 300 tys. euro – to konkretne działania, a nie tylko dobre hasła.

Do kogo skierowany jest program?

Z dofinansowania mogą skorzystać:

  • Przedsiębiorstwa wodociągowo-kanalizacyjne,
  • Jednostki samorządu terytorialnego (JST),
  • Spółki komunalne realizujące zadania publiczne,
  • Operatorzy usług kluczowych zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa.

Wymóg? Wykorzystywanie technologii OT – np. SCADA, sterowników PLC, systemów monitoringu czy automatyki przemysłowej.

Na co można przeznaczyć środki?

Program wspiera działania w trzech głównych obszarach:

1. Organizacja i procedury:

  • audyty bezpieczeństwa,
  • aktualizacja polityk i procedur IT,
  • plany reagowania na incydenty.

2. Nowoczesne technologie:

  • zakup firewalli, switchy zarządzalnych, backupów, systemów segmentacji sieci,
  • wdrożenie narzędzi klasy SIEM lub EDR,
  • zabezpieczenie sieci OT.

3. Kompetencje ludzi:

  • szkolenia dla informatyków, kierownictwa i pracowników operacyjnych,
  • ćwiczenia z incydentami, testy socjotechniczne, warsztaty praktyczne.

Maksymalne wsparcie to aż 300 000 euro w ramach pomocy de minimis.

Harmonogram

  • Start naboru: czerwiec/lipiec 2025 r.
  • Czas trwania: 30 dni od ogłoszenia
  • Forma składania: elektronicznie, przez platformę CPPC

Jak możemy pomóc?

ENTRAST od lat wspierająca sektor publiczny i wod-kan, wspieramy też w pisaniu wniosków dotacyjnych oraz aktywnie pomagamy w realizacji działań, które można objąć finansowaniem:

Wniosek + dokumentacja oraz pozostałe aspekty:

Audyt IT/OT – sprawdzamy, co działa dobrze, a co wymaga poprawy.
Wdrożenia techniczne – segmentacja sieci, backup, firewalle, zabezpieczenia SCADA.
Szkolenia z cyberbezpieczeństwa – praktyczne, dopasowane do poziomu zespołu.
Monitoring i reagowanie – pomoc w doborze i wdrożeniu systemów SIEM/EDR.
Zabezpieczenia dla automatyki – SCADA, BMS, sterowniki PLC – zgodnie z NIS2.

Nie sprzedajemy gotowych paczek.

Proponujemy rozwiązania szyte na miarę – dopasowane do rzeczywistości technicznej i organizacyjnej Klienta.

więcej: https://www.gov.pl/web/baza-wiedzy/cyberbezpieczny-wodociag-zalozenia-nowego-konkursu-grantowego-ze-srodkow-kpo

 

Zespół ENTRAST opracował procedury odzyskiwania dostępu do kont: Facebook i Gmail

Zespół ENTRAST opracował procedury odzyskiwania dostępu do kont: Facebook i Gmail

W ramach działań z zakresu bezpieczeństwa cyfrowego oraz ochrony tożsamości online, zespół ENTRAST Sp. z o.o. przygotował dwa dedykowane dokumenty:
🔹 Procedura odzyskiwania dostępu do konta Facebook
🔹 Procedura odzyskiwania dostępu do konta Gmail

Tutorial] How To Integrate Facebook Into Gmail - The Tech Journal

Cel opracowania

Celem opracowania tych procedur jest zapewnienie użytkownikom i administratorom prostych, uporządkowanych i skutecznych kroków umożliwiających odzyskanie kontroli nad kontem w sytuacji jego utraty, przejęcia przez osoby trzecie lub naruszenia bezpieczeństwa.

Dlaczego to ważne?

W dobie powszechnej cyfryzacji konta takie jak Facebook czy Gmail pełnią funkcję nie tylko komunikacyjną, ale również:

  • autoryzacyjną (logowanie do innych usług przez „Zaloguj przez Google” / „Zaloguj przez Facebooka”),
  • informacyjną (prywatna i służbowa korespondencja, przechowywanie danych),
  • marketingową (zarządzanie stronami, reklamami, kontakt z klientami),
  • a w niektórych przypadkach – finansową (dostęp do kont reklamowych, faktur, historii zakupów, metod płatności).

Utrata dostępu do tych usług może prowadzić do:

  • wycieku danych osobowych lub wrażliwych informacji,
  • nadużyć tożsamości lub reputacji (np. spam, oszustwa z konta ofiary),
  • paraliżu komunikacyjnego w firmie lub w kontaktach z klientami,
  • strat finansowych w przypadku kont reklamowych lub połączonych z płatnościami.

Zakres procedur

Każda procedura zawiera:

  • krótki wstęp i cel dokumentu,
  • listę kroków odzyskiwania dostępu (z linkami i przykładami formularzy),
  • działania zabezpieczające konto po odzyskaniu,
  • wskazówki dotyczące ochrony na przyszłość (2FA, monitorowanie logowań),
  • podsumowanie z najważniejszymi wnioskami.

Udostępnienie dokumentów

Procedury dostępne są w wersji elektronicznej oraz – ZA DARMO – w wersji dostosowanej do polityki bezpieczeństwa konkretnej organizacji (np. SZBI, ISO 27001, NIS2).

W razie potrzeby integracji procedur z istniejącym regulaminem organizacji, instrukcjami SZBI lub szkoleniami z zakresu cyberbezpieczeństwa – zapraszamy do kontaktu z zespołem ENTRAST.

Poniżej procedury:

Procedura odzyskania konta na FACEBOOK

Procedura odzyskania konta na GMAIL

Wodociągi wchodzą w skład infrastruktury krytycznej – zarówno w świetle przepisów prawa krajowego, jak i UE

Wodociągi wchodzą w skład infrastruktury krytycznej – zarówno w świetle przepisów prawa krajowego, jak i UE

Wg ENTRAST przedstawiam uzasadnienie prawne i merytoryczne.

Strategiczne fundamenty bezpieczeństwa morskiego [ANALIZA]

Podstawa prawna: Ustawa o zarządzaniu kryzysowym (Dz.U. 2023 poz. 1252)

Zgodnie z art. 3 pkt 2 tej ustawy:

Infrastruktura krytyczna – są to systemy oraz wchodzące w ich skład funkcjonalnie powiązane obiekty, urządzenia, instalacje, które są kluczowe dla bezpieczeństwa państwa i jego obywateli oraz dla sprawnego funkcjonowania administracji publicznej, instytucji i przedsiębiorstw.

W załączniku do rozporządzenia RM z 2010 r. wskazano sektory infrastruktury krytycznej, m.in.:

  • Zaopatrzenie w wodę, w tym w wodę do spożycia
  • Gospodarka ściekowa

Uzasadnienie merytoryczne

  1. Znaczenie dla zdrowia publicznego:
    Dostęp do czystej wody pitnej jest warunkiem przetrwania i podstawą ochrony zdrowia publicznego.

  2. Skala oddziaływania w przypadku incydentu:
    Zakłócenie pracy przedsiębiorstwa wodociągowego może spowodować masowe zagrożenia sanitarno-epidemiologiczne, awarie przemysłu, pożary (brak wody do gaszenia), paraliż placówek ochrony zdrowia itp.

  3. Zależność innych sektorów:
    Infrastruktura wodociągowa jest kluczowa dla funkcjonowania:

  • szpitali,
  • energetyki (np. chłodzenie turbin),
  • rolnictwa i przemysłu spożywczego,
  • straży pożarnej i obrony cywilnej.

Dyrektywa NIS2 i unijne ramy ochrony infrastruktury krytycznej

Zgodnie z dyrektywą NIS2, która obowiązuje od 2023 r., wodociągi należą do podmiotów kluczowych (essential entities) w sektorze „zaopatrzenie w wodę pitną i jej dystrybucja” (Annex I, punkt 9). Państwa członkowskie mają obowiązek zapewnić im wsparcie, obowiązki sprawozdawcze i wymogi w zakresie cyberbezpieczeństwa.

Wodociągi stanowią część infrastruktury krytycznej, ponieważ:

  • są kluczowe dla życia i zdrowia obywateli,
  • ich zakłócenie ma wpływ na wiele innych sektorów,
  • są wymienione w przepisach krajowych i unijnych jako sektor priorytetowy,
  • podlegają szczególnym wymaganiom z zakresu ochrony fizycznej i cyberbezpieczeństwa.
Propozycja prelekcji z ENTRAST na KSC Forum 2025

Propozycja prelekcji z ENTRAST na KSC Forum 2025

Propozycja prelekcji na KSC Forum 2025.

Członek ENTRAST oraz jednocześnie ISSA Polska proponuje wystąpienie pt.:
„Incydenty cyberbezpieczeństwa w praktyce: od wykrycia do pełnego raportu – doświadczenia członków ISSA Polska”

Część I – Prelekcja (45 min)

1. Wprowadzenie (5 min)

  • Kim są członkowie ISSA Polska?
  • Rola EKSPERT IT  (Biegły) w postępowaniach dotyczących incydentów cyberbezpieczeństwa
  • Dlaczego realne incydenty różnią się od scenariuszy szkoleniowych?

2. Typowe incydenty analizowane przez EKSPERTA IT (10 min)

  • Naruszenia danych osobowych (RODO)
  • Włamania do systemów teleinformatycznych
  • Phishing, ransomware, zagrożenia wewnętrzne
  • Błędy konfiguracyjne i ich konsekwencje prawne

3. Przebieg analizy incydentu z punktu widzenia biegłego (15 min)

  • Co  EKSPERT IT  (Biegły) widzi, czego nie widzi administrator?
  • Jak wygląda zabezpieczenie śladów cyfrowych (logging, backup, obrazowanie dysków)?
  • Przykłady błędów po stronie podmiotów – brak SIEM, niepełne logi, nadpisywanie danych
  • Znaczenie zachowania łańcucha dowodowego

4. Studium przypadku (15 min)

Przykład incydentu analizowanego przez biegłego (anonimizowany)

Analiza błędów, które uniemożliwiły jednoznaczne określenie źródła ataku

Co można było zrobić lepiej? Wnioski dla administratorów, ABI (IOD), CISO

Część II – Warsztaty (60–90 min)

1. Symulacja incydentu – ćwiczenia praktyczne (45–60 min)

(uczestnicy w grupach, idealnie: 4–5 osób)
Uczestnicy dostają scenariusz:

„W nocy z piątku na sobotę doszło do nietypowego ruchu w sieci. W poniedziałek pracownik zauważa brak dostępu do kilku plików. Logi zniknęły. Pojawia się podejrzenie ransomware lub działania wewnętrznego.”

Zadania dla uczestników:

  • Ocenić sytuację (reakcja pierwszego kontaktu)
  • Zidentyfikować potencjalne źródła informacji (logi, backupy, monitoring, SIEM)
  • Ustalić, co można z tym zrobić w momencie zgłoszenia
  • Opracować notatkę incydentową (kto, kiedy, co, jak)
  • Zaproponować plan współpracy z biegłym

2. Omówienie grupowe i feedback (15–30 min)

  • Omówienie podejścia każdej grupy
  • Błędy, które najczęściej się powtarzają
  • Dobre praktyki do wdrożenia w organizacjach uczestników
  • Jak przygotować organizację na przyszłą współpracę z biegłym sądowym

Materiały dla uczestników

  • Szablon formularza incydentu
  • Lista kontrolna: co przygotować dla EKSPERT IT  (Biegły)
  • Checklista zabezpieczeń na poziomie organizacyjnym i technicznym
Przejdź do treści