· Dethol eitemau priodol o agenda Is-bwyllgor (Polisi ac Adnoddau) y Cabinet ar gyfer craffu cyn penderfynu (adroddiadau Is-bwyllgor y Cabinet yn amgaeedig ar gyfer Aelodau Craffu).
Cofnodion:
Diweddariad Strategaeth
Seiberddiogelwch Castell-nedd
Port Talbot 2024
Cyflwynodd y Prif Swyddog Digidol Chris Owen adroddiad Diweddariad Strategaeth Seiberddiogelwch Castell-nedd
Port Talbot 2024.
Croesawodd yr aelodau y cynnydd yn erbyn
y camau gweithredu yn y strategaeth.
Nododd yr aelodau fod mesurau amrywiol
wedi cael eu rhoi ar
waith i amddiffyn y sefydliad dros y blynyddoedd o ran seiberddiogelwch,
ond mae hynny
wedi creu system fwy gymhleth hefyd.
Gofynnodd yr aelodau os yw'r
risgiau cynyddol o wallau defnyddwyr a chynnal a chadw'r system gymhleth a chydgysylltiedig hon wedi cael eu
hystyried?
Amlinellodd swyddogion sut y mae llwyfannau digidol yn tanseilio
darparu'r rhan fwyaf o wasanaethau'r Cyngor. Rhoddwyd gwybod i'r Aelodau
fod gwaith helaeth wedi cael
ei wneud i nodi'r rhyngddibyniaethau rhwng y systemau, sut y maent yn
gweithredu a sut y mae'r meysydd gwasanaeth
yn defnyddio'r gwasanaethau hynny.
Trwy eu cynlluniau Adfer yn dilyn
Trychineb a Pharhad Busnes, mae Gwasanaethau
Digidol wedi nodi 'llyfrau camau gweithredu'
sy'n amlinelli sut i adfer gwasanaethau
os bydd toriad
trydan, sy'n cynnwys amserlenni i adfer y gwasanaeth.
Dywedwyd wrth yr aelodau bod angen i feysydd gwasanaeth ddeall yr amserlenni
hyn a'u cynnwys
yn eu cynlluniau
parhad busnes, felly byddant yn gwybod
pa mor hir fydd angen iddynt fod heb
y gwasanaeth hwnnw. Mae angen i feysydd gwasanaeth ddeall goblygiadau diffyg unrhyw wasanaethau digidol ar eu
gwasanaeth a sut y byddai angen iddynt
weithredu yn y sefyllfa honno. Mae swyddogion wedi dechrau gweithio gyda'r tîm Cynllunio
rhag Argyfyngau i ymgysylltu â'r meysydd gwasanaeth.
Gofynnodd aelodau sut y byddai swyddogion yn lliniaru i ba
raddau y mae'r systemau allan o wasanaeth, er enghraifft os yw'r system e-bost allan o wasanaeth
i'r sefydliad cyfan.
Dywedodd y swyddogion bod llawer
o waith wedi cael ei wneud
i adolygu'r systemau hanfodol a chafwyd eu categoreiddio o ran prif wasanaethau ac mae ganddynt 'lyfrau
camau gweithredu' ar waith ar
gyfer pob un. Os bydd un o'r
gwasanaethau hyn allan o wasanaeth, mae gan y gwasanaethau
digidol y llyfr camau gweithredu er mwyn gweld y bobl
sydd angen bod ar gael, y cynllun
gweithredu a'r cyfathrebiadau angenrheidiol fel eu bod yn
barod os bydd gwasanaeth allan o wasanaeth.
Dywedodd swyddogion eu bod wedi adeiladu'r gwasanaethau i fodloni safonau gwasanaethau digidol Castell-nedd Port Talbot.
Mae'r safonau hyn yn sicrhau
nad oes pwyntiau
methiant unigol ac mae system stori data mewn sawl lleoliad
ar waith. Dywedodd swyddogion eu bod yn defnyddio
ymagwedd newydd 'cwmwl yn gyntaf'
(lle bo hynny'n
bosib) yn hytrach na chanolfan
ddata ar y safle sydd â phwynt
methiant unigol yn ei hanfod.
Mae hyn i sicrhau bod y cynllun storio data mewn sawl lleoliad
hwn yn rhan
o'r dyluniad.
Nododd swyddogion fod
problem yn ddiweddar a achoswyd gan
sefydliad trydydd parti. Dywedodd swyddogion fod cyfathrebu mewnol yn dda
yn syth ar
ôl y digwyddiad lle anfonwyd hysbysiadau
ac roeddent wedi defnyddio staff ar draws yr holl ganolfannau
dinesig i geisio gweithio drwy'r ôl-groniad o waith cyn gynted â phosib.
Nododd swyddogion er na fyddant am i'r sefyllfa godi eto,
mae ganddynt brosesau a chamau gweithredu ychwanegol ar waith gyda'r
trydydd partïon i liniaru ailddigwyddiad. Mae swyddogion yn ymwybodol
nad ydynt yn gallu ymddiried
yn eu cyflenwyr
trydydd parti oherwydd mae camgymeriadau'n gallu digwydd fel
a welwyd yn ystod y digwyddiad yn ddiweddar, fodd
bynnag mae Swyddogion wedi dysgu ac esblygu o'r problemau hyn
a lliniaru wrth iddynt symud ymlaen.
Cyfeiriodd aelodau at y cynlluniau
parhad busnes a gofynnwyd pwy sy'n
goruchwylio'r cynlluniau hyn i sicrhau eu
bod yn gyson wrth wneud a diweddaru'r
cynlluniau hyn.
Dywedodd swyddogion eu bod wedi cysylltu â'r
Tîm Cynllunio rhag Argyfyngau i gael arolygiaeth oherwydd mae ganddynt
gyfrifoldeb ar gyfer y cynllun wrth gefn ac maent
yn gweithio trwy hynny gyda'r
meysydd gwasanaeth.
Dywedodd y Cadeirydd fod yr ymateb i'r
digwyddiad TG yn wych a chanmolwyd y swyddogion am yr adroddiad.
Gofynnodd yr aelodau am y trefniadau staffio ar gyfer monitro'r
system.
Dywedodd y swyddogion fod tîm seiberddiogelwch sy'n monitro'r system ac maent yn edrych
ar yr holl
lwyfannau a'r gwasanaethau sy'n amddiffyn y rhwydwaith. Edrychodd y swyddogion hyn drwy'r ffeiliau
log am unrhyw arwyddion o weithgarwch amheus a sut i ymdrin â digwyddiadau o'r math pan fyddant yn codi,
megis, ymosodiadau gwe-rwydo lle mae
pobl wedi clicio ar ddolenni
ar ddamwain a sicrhau nad oes
unrhyw feddalwedd wystlo ar eu
peiriant.
O fewn y tîm hwnnw
mae 6 pherson, ac maent yn canolbwyntio
ar seiberddiogelwch a hefyd yn cynnal
nifer o weithrediadau eraill. Nhw yw'r
porthorion ar gyfer polisïau a rheoli pats.
Gofynnodd yr aelodau am roi gwybodaeth i swyddogion am deithio tramor gyda chyfarpar
y Cyngor a gofynnwyd a oedd modd
cael Pwynt Cyswllt Unigol i ddweud wrth swyddogion
am hyn.
Dywedodd swyddogion nad yw'r system canfod lleoliad wedi bod yn gweithio'n iawn
a byddant yn rhoi polisi newydd
ar waith. Bydd proses gyfatebol i'w dilyn pan fydd
defnyddwyr yn teithio tramor, fel y gall aelodau roi gwybod i'r
ddesg gwasanaeth a byddant yn prosesu'r
cais fel y gallant ymlacio'r cyfyngiadau yn ystod y cyfnod
y mae'r aelodau allan o'r wlad
ac yna'n eu cyfyngu unwaith eto pan fyddant yn dychwelyd.
Gofynnodd aelodau a oedd rhaglen hyfforddiant
ar gyfer gloywi gwybodaeth yn rheolaidd.
Dywedodd swyddogion fod
staff yn derbyn hyfforddiant gwybodaeth am GDPR a
diogelwch gorfodol bob 2 flynedd. Ar gyfer
aelodau, mae swyddogion yn ymgysylltu
â Llywodraeth Cymru ar hyfforddiant megis hyfforddiant 'Cyber ninjas' a fydd
yn rhaglen dreigl.
Nododd aelodau fod Cyngor Sir Caerlŷr wedi dioddef ymosodiad
TG yn ddiweddar, a gofynnwyd a ydynt
wedi dysgu unrhyw beth o hynny.
Dywedodd swyddogion pan fod ymosodiad ar
unrhyw gorff cyhoeddus mae'r Ganolfan Seiberddiogelwch Genedlaethol yn arwain a byddant yn gwneud hynny
ar y cyd â Chyngor Bwrdeistref Sirol Caerlŷr. Dywedwyd wrth aelodau
wrth i'r Ganolfan Seiberddiogelwch Genedlaethol ddysgu am yr hyn sydd
wedi digwydd, a dod o hyd i unrhyw
wendidau, caiff yr wybodaeth hon ei hanfon allan
at yr holl awdurdodau lleol fel y gallant wirio eu systemau eu
hunain. Mae'r rhwydwaith llywodraeth leol yn rhannu
popeth fel y gallant amddiffyn eu hunain.
Gofynnodd aelodau am e-byst gwe-rwydo ac a oes
unrhyw waith wedi cael ei
wneud ynghylch hyn. Dywedodd wrth
aelodau fod yr aelodau wedi
cysylltu â sefydliad o'r enw 'Bobs Phishing Emails' sy'n anfon e-bost
gwe-rwydo ffug i ddetholiad o bobl ac yna maent yn
monitro'r bobl sy'n clicio ar
y ddolen ac yn cofnodi'r bobl y mae angen hyfforddiant
neu gefnogaeth arnynt ynghylch hyn. Gyda hyfforddiant ac ymwybyddiaeth addysgol mae swyddogion
yn ceisio lliniaru problemau gwe-rwydo.
Yn
dilyn craffu, cefnogwyd yr argymhelliad
gan y Cabinet.