Mater - penderfyniadau

Craffu Cyn Penderfynu

07/06/2024 - Craffu Cyn Penderfynu

Diweddariad Strategaeth Seiberddiogelwch Castell-nedd Port Talbot 2024

 

Cyflwynodd y Prif Swyddog Digidol Chris Owen adroddiad Diweddariad Strategaeth Seiberddiogelwch Castell-nedd Port Talbot 2024.

 

Croesawodd yr aelodau y cynnydd yn erbyn y camau gweithredu yn y strategaeth.

 

Nododd yr aelodau fod mesurau amrywiol wedi cael eu rhoi ar waith i amddiffyn y sefydliad dros y blynyddoedd o ran seiberddiogelwch, ond mae hynny wedi creu system fwy gymhleth hefyd. Gofynnodd yr aelodau os yw'r risgiau cynyddol o wallau defnyddwyr a chynnal a chadw'r system gymhleth a chydgysylltiedig hon wedi cael eu hystyried?

 

Amlinellodd swyddogion sut y mae llwyfannau digidol yn tanseilio darparu'r rhan fwyaf o wasanaethau'r Cyngor. Rhoddwyd gwybod i'r Aelodau fod gwaith helaeth wedi cael ei wneud i nodi'r rhyngddibyniaethau rhwng y systemau, sut y maent yn gweithredu a sut y mae'r meysydd gwasanaeth yn defnyddio'r gwasanaethau hynny.

 

Trwy eu cynlluniau Adfer yn dilyn Trychineb a Pharhad Busnes, mae Gwasanaethau Digidol wedi nodi 'llyfrau camau gweithredu' sy'n amlinelli sut i adfer gwasanaethau os bydd toriad trydan, sy'n cynnwys amserlenni i adfer y gwasanaeth.

 

Dywedwyd wrth yr aelodau bod angen i feysydd gwasanaeth ddeall yr amserlenni hyn a'u cynnwys yn eu cynlluniau parhad busnes, felly byddant yn gwybod pa mor hir fydd angen iddynt fod heb y gwasanaeth hwnnw. Mae angen i feysydd gwasanaeth ddeall goblygiadau diffyg unrhyw wasanaethau digidol ar eu gwasanaeth a sut y byddai angen iddynt weithredu yn y sefyllfa honno. Mae swyddogion wedi dechrau gweithio gyda'r tîm Cynllunio rhag Argyfyngau i ymgysylltu â'r meysydd gwasanaeth.

 

Gofynnodd aelodau sut y byddai swyddogion yn lliniaru i ba raddau y mae'r systemau allan o wasanaeth, er enghraifft os yw'r system e-bost allan o wasanaeth i'r sefydliad cyfan.

 

Dywedodd y swyddogion bod llawer o waith wedi cael ei wneud i adolygu'r systemau hanfodol a chafwyd eu categoreiddio o ran prif wasanaethau ac mae ganddynt 'lyfrau camau gweithredu' ar waith ar gyfer pob un. Os bydd un o'r gwasanaethau hyn allan o wasanaeth, mae gan y gwasanaethau digidol y llyfr camau gweithredu er mwyn gweld y bobl sydd angen bod ar gael, y cynllun gweithredu a'r cyfathrebiadau angenrheidiol fel eu bod yn barod os bydd gwasanaeth allan o wasanaeth.

 

Dywedodd swyddogion eu bod wedi adeiladu'r gwasanaethau i fodloni safonau gwasanaethau digidol Castell-nedd Port Talbot. Mae'r safonau hyn yn sicrhau nad oes pwyntiau methiant unigol ac mae system stori data mewn sawl lleoliad ar waith. Dywedodd swyddogion eu bod yn defnyddio ymagwedd newydd 'cwmwl yn gyntaf' (lle bo hynny'n bosib) yn hytrach na chanolfan ddata ar y safle sydd â phwynt methiant unigol yn ei hanfod. Mae hyn i sicrhau bod y cynllun storio data mewn sawl lleoliad hwn yn rhan o'r dyluniad.

 

Nododd swyddogion fod problem yn ddiweddar a achoswyd gan sefydliad trydydd parti. Dywedodd swyddogion fod cyfathrebu mewnol yn dda yn syth ar ôl y digwyddiad lle anfonwyd hysbysiadau ac roeddent wedi defnyddio staff ar draws yr holl ganolfannau dinesig i geisio gweithio drwy'r ôl-groniad o waith cyn gynted â phosib.

 

Nododd swyddogion er na fyddant am i'r sefyllfa godi eto, mae ganddynt brosesau a chamau gweithredu ychwanegol ar waith gyda'r trydydd partïon i liniaru ailddigwyddiad. Mae swyddogion yn ymwybodol nad ydynt yn gallu ymddiried yn eu cyflenwyr trydydd parti oherwydd mae camgymeriadau'n gallu digwydd fel a welwyd yn ystod y digwyddiad yn ddiweddar, fodd bynnag mae Swyddogion wedi dysgu ac esblygu o'r problemau hyn a lliniaru wrth iddynt symud ymlaen.

 

Cyfeiriodd aelodau at y cynlluniau parhad busnes a gofynnwyd pwy sy'n goruchwylio'r cynlluniau hyn i sicrhau eu bod yn gyson wrth wneud a diweddaru'r cynlluniau hyn.

 

Dywedodd swyddogion eu bod wedi cysylltu â'r Tîm Cynllunio rhag Argyfyngau i gael arolygiaeth oherwydd mae ganddynt gyfrifoldeb ar gyfer y cynllun wrth gefn ac maent yn gweithio trwy hynny gyda'r meysydd gwasanaeth.

 

Dywedodd y Cadeirydd fod yr ymateb i'r digwyddiad TG yn wych a chanmolwyd y swyddogion am yr adroddiad.

 

Gofynnodd yr aelodau am y trefniadau staffio ar gyfer monitro'r system.

 

Dywedodd y swyddogion fod tîm seiberddiogelwch sy'n monitro'r system ac maent yn edrych ar yr holl lwyfannau a'r gwasanaethau sy'n amddiffyn y rhwydwaith. Edrychodd y swyddogion hyn drwy'r ffeiliau log am unrhyw arwyddion o weithgarwch amheus a sut i ymdrin â digwyddiadau o'r math pan fyddant yn codi, megis, ymosodiadau gwe-rwydo lle mae pobl wedi clicio ar ddolenni ar ddamwain a sicrhau nad oes unrhyw feddalwedd wystlo ar eu peiriant.

 

O fewn y tîm hwnnw mae 6 pherson, ac maent yn canolbwyntio ar seiberddiogelwch a hefyd yn cynnal nifer o weithrediadau eraill. Nhw yw'r porthorion ar gyfer polisïau a rheoli pats.

 

Gofynnodd yr aelodau am roi gwybodaeth i swyddogion am deithio tramor gyda chyfarpar y Cyngor a gofynnwyd a oedd modd cael Pwynt Cyswllt Unigol i ddweud wrth swyddogion am hyn.

 

Dywedodd swyddogion nad yw'r system canfod lleoliad wedi bod yn gweithio'n iawn a byddant yn rhoi polisi newydd ar waith. Bydd proses gyfatebol i'w dilyn pan fydd defnyddwyr yn teithio tramor, fel y gall aelodau roi gwybod i'r ddesg gwasanaeth a byddant yn prosesu'r cais fel y gallant ymlacio'r cyfyngiadau yn ystod y cyfnod y mae'r aelodau allan o'r wlad ac yna'n eu cyfyngu unwaith eto pan fyddant yn dychwelyd.

 

Gofynnodd aelodau a oedd rhaglen hyfforddiant ar gyfer gloywi gwybodaeth yn rheolaidd.

 

Dywedodd swyddogion fod staff yn derbyn hyfforddiant gwybodaeth am GDPR a diogelwch gorfodol bob 2 flynedd. Ar gyfer aelodau, mae swyddogion yn ymgysylltu â Llywodraeth Cymru ar hyfforddiant megis hyfforddiant 'Cyber ninjas' a fydd yn rhaglen dreigl.

 

Nododd aelodau fod Cyngor Sir Caerlŷr wedi dioddef ymosodiad TG yn ddiweddar, a gofynnwyd a ydynt wedi dysgu unrhyw beth o hynny. Dywedodd swyddogion pan fod ymosodiad ar unrhyw gorff cyhoeddus mae'r Ganolfan Seiberddiogelwch Genedlaethol yn arwain a byddant yn gwneud hynny ar y cyd â Chyngor Bwrdeistref Sirol Caerlŷr. Dywedwyd wrth aelodau wrth i'r Ganolfan Seiberddiogelwch Genedlaethol ddysgu am yr hyn sydd wedi digwydd, a dod o hyd i unrhyw wendidau, caiff yr wybodaeth hon ei hanfon allan at yr holl awdurdodau lleol fel y gallant wirio eu systemau eu hunain. Mae'r rhwydwaith llywodraeth leol yn rhannu popeth fel y gallant amddiffyn eu hunain.

 

Gofynnodd aelodau am e-byst gwe-rwydo ac a oes unrhyw waith wedi cael ei wneud ynghylch hyn. Dywedodd wrth aelodau fod yr aelodau wedi cysylltu â sefydliad o'r enw 'Bobs Phishing Emails' sy'n anfon e-bost gwe-rwydo ffug i ddetholiad o bobl ac yna maent yn monitro'r bobl sy'n clicio ar y ddolen ac yn cofnodi'r bobl y mae angen hyfforddiant neu gefnogaeth arnynt ynghylch hyn. Gyda hyfforddiant ac ymwybyddiaeth addysgol mae swyddogion yn ceisio lliniaru problemau gwe-rwydo.

 

Yn dilyn craffu, cefnogwyd yr argymhelliad gan y Cabinet.