Seibergadernid – blwyddyn ymlaen

Roedd rhyddhau rhaglen ddogfen 'Get Back' ar The Beatles yn ddiweddar yn wych i unrhyw un sydd â diddordeb yn y band (pawb bron â bod) am ei bod yn ailedrych ar y gwaith da a gynhyrchwyd ganddynt dros y blynyddoedd.

Rydym wedi cymryd arweiniad y band, ac i unrhyw un sydd â diddordeb mewn seibergadernid (dylai gynnwys pawb heb os) rydym wedi bod yn ailedrych ar ein gwaith ar y pwnc o'r llynedd.  Nid ydym yn honni ein bod yn ddim byd tebyg i The Beatles, ond roeddem am fyfyrio ar yr effaith a gafodd ein gwaith, ac ailbwysleisio ein prif negeseuon i'r rhai sydd â diddordeb.

Galw i'r frwydr oedd y gwaith a wnaethom. Gwnaethom dargedu y rhai sy’n gwneud penderfyniadau ar lefel uwch yng nghyrff cyhoeddus, i godi ymwybyddiaeth o bwysigrwydd hanfodol seibergadernid a'u hannog i fyfyrio ar eu cyfrifoldebau personol, a'u trefniadau sefydliadol.

Rydym yn teimlo ein bod wedi cyflawni hyn – rydym wedi cael adborth y gwnaethom gynorthwyo i ddod â'r pwnc i ymwybyddiaeth Byrddau a thimau arwain. Rydym hefyd yn gobeithio y darparwyd gennym drosolwg lefel uchel o seibergadernid o fewn cyrff cyhoeddus Cymru nad oedd yno o'r blaen.

Ers i ni ddechrau ar ein gwaith, mae bygythiadau seiber wedi parhau i dyfu. Mae'r Ganolfan Seiberddiogelwch Genedlaethol (NCSC) yn nodi bod gwendidau seiber wedi cynyddu mewn perthynas â COVID-19 [agorir mewn ffenest newydd], drwy hacwyr sy'n ceisio dwyn ymchwil feddygol am frechlynnau, ac oherwydd twf yn nifer y bobl sy'n gweithio cartref [agor mewn ffenestr newydd] a defnyddio dyfeisiau personol. Yn ystod pedwar mis cyntaf 2021, ymdriniodd yr NCSC â'r un nifer o ddigwyddiadau ynglŷn â meddalwedd wystlo ag ar gyfer blwyddyn 2020 yn ei chyfanrwydd. Ac mae cyrff cyhoeddus yng Nghymru wedi bod ymhlith y rhai a gafodd eu taro gan ymosodiadau seiber diweddar, sy'n dangos bod y bygythiadau hyn yn real ac yn reit agos. Mae'r Swyddfa Archwilio Genedlaethol yn trafod y bygythiadau seiber presennol sy'n wynebu cyrff cyhoeddus yn fwy helaeth yn eu blog [agorir mewn ffenest newydd].

Mae llawer o waith i'w wneud o hyd ond mae wedi bod yn braf gweld y camau y mae rhai cyrff cyhoeddus yng Nghymru wedi bod yn eu cymryd ers inni adrodd. Mae'r rhain wedi cynnwys:

• Defnyddio ein hadroddiad i gynnal dadansoddiad o’r bylchau o ran eu trefniadau seiber a'u helpu i benderfynu ar gamau gwella penodol.
• Pwyllgorau archwilio sy'n defnyddio ein hadroddiad i graffu ar y trefniadau seiber yn eu sefydliadau.
• Derbyn cyflwyniadau gan gynrychiolwyr NCSC, gan gynnwys sesiynau briffio ar becyn cymorth bwrdd NCSC a amlygwyd gennym fel arfer da yn ein gwaith.
• Cymryd camau i sicrhau bod seibergadernid yn flaenoriaeth, drwy ddatblygu strategaethau seibergadernid, a thrwy ofyn am fwy o waith archwilio lleol ar seibergadernid.
• Cynnal ymosodiadau seiber ffug i nodi gwendidau a chymryd rhan mewn ymarferion seibergadernid ym mhob un o'r Fforymau Cydnerthedd Lleol (LRF).

Mae Llywodraeth Cymru wedi bod yn gweithredu hefyd, gan gynnwys:

• Defnyddio ein hadroddiad mewn gweithdai i dynnu sylw at effeithiau gwirioneddol ymosodiadau seiber.
• Cydweithio â chydweithwyr yn y tîm Hwb i asesu trefniadau seibergadernid yn y sector addysg [agorir mewn ffenest newydd].
• Darparu cyllid ar gyfer hyfforddiant seibergadernid i gynghorwyr awdurdodau lleol.
• Cynnal dau seminar Seibergadernid i Arweinwyr Strategol ar gyfer dros 90 o Brif Swyddogion Gweithredol ac uwch arweinwyr ar draws y sector cyhoeddus yng Nghymru.
• Defnyddio Cyllid Seiberddiogelwch Cenedlaethol i fenthyg aelod o staff seiberddiogelwch i'r NCSC, i hyrwyddo a chynyddu'r defnydd o ganllawiau ac offer yr NCSC.
• Adolygu trefniadau seibergadernid cyrff GIG Cymru ar gyfer eu cydymffurfiaeth yn erbyn cyfarwyddeb y Rhwydwaith Diogelwch Gwybodaeth (NIS) [agorir mewn ffenest newydd].
• Gweithio gyda'r NCSC i helpu i gynllunio'r digwyddiad blaenllaw 'Cyber UK 2022' a gynhelir yng Nghymru ym mis Mai 2022.

Mae hefyd wedi bod yn braf cael diddordeb yn ein gwaith o'r tu allan i Gymru, gyda sefydliadau archwilio cyhoeddus eraill yn cysylltu â ni i rannu gwybodaeth ac arfer da.

Gwyddom ei fod yn waith sydd yn mynd rhagddo i gyrff cyhoeddus Cymru, ac mae llawer mwy i'w wneud o hyd.  Mae'r meysydd pryder a amlygwyd i ni'n ddiweddar gan ein cysylltiadau yn Llywodraeth Cymru a'r NCSC yn cynnwys:

• Bygythiadau i'r gadwyn gyflenwi: Dylai sefydliadau wybod pa fynediad sydd gan gyflenwyr ac is-gontractwyr trydydd parti i'w gwybodaeth a'u systemau, yr holl ffordd i lawr y gadwyn gyflenwi.
• Cynlluniau digwyddiadau ac ymateb ac adfer: A yw cyrff yn meddu arnynt? A ydyn nhw'n eu profi? Pa mor dda y maent yn gweithio os yw'r rhan fwyaf o'r gweithlu'n gweithio cartref?
• Pwysigrwydd cael copïau wrth gefn all-lein ac oddi ar y safle i helpu i wella pe bai systemau ar-lein corff a gwneud copïau wrth gefn ar-lein yn cael eu peryglu gan ymosodiad seiber.

Felly, gadewch i ni fynd yn ôl at bwynt allweddol y blog hwn. Rydym am gadw'r ymwybyddiaeth o seibergadernid da yn uchel, ond rydym hefyd am i gyrff cyhoeddus barhau i siarad â ni, a chyda’i gilydd. Gall fod stigma ynghlwm dioddef ymosodiad seibr llwyddiannus, ond heb ddod at ei gilydd i rannu gwersi, mae perygl y bydd hanes yn ailadrodd ei hun, ac yn methu â dysgu o brofiadau.

Y Diwedd.

[Canfuwch fwy am ein gwaith ar seibergadernid drwy ddarllen ein blog neu drwy wylio ein gweminar.]

Ynglŷn â'r awdur:

Mae Gareth Lewis yn Uwch Archwilydd yn y tîm archwilio Rheoli Gwybodaeth a Thechnoleg (IM&T) ac mae'n gweithio ar brosiectau ar draws y sectorau ariannol a pherfformiad, sy'n cwmpasu pob sector. Mae ef yn rhan o Archwilio Cymru a'i sefydliadau blaenorol ers 2004.