Eitem Rhaglen

Adroddiad Blynyddol Diogelwch Seiber 2019

Cyflwyno adroddiad y Pennaeth Proffesiwn (AD) a Thrawsnewid

Cofnodion:

Cyflwynwyd Adroddiad Blynyddol Seiberddiogelwch 2019 i’w ystyried gan y Pwyllgor. Roedd yr adroddiad yn crynhoi'r bygythiadau seiber y mae’r Cyngor yn eu hwynebu ac yn rhoi trosolwg o rai o'r camau lliniaru sydd gan y Cyngor ar waith i wrthsefyll y bygythiadau hyn.

 

Dywedodd y Rheolwr Gwasanaeth a Rheoli Perfformiad TG fod seiberddiogelwch yn risg sylweddol i'r Cyngor, fel sy’n wir hefyd am sefydliadau eraill sy'n dal llawer iawn o wybodaeth, gan gynnwys gwybodaeth sensitif, bersonol ac ariannol. Mae llawer iawn o sôn am ymosodiadau seiber yn y newyddion y dyddiau hyn ac mae ymosodiadau proffil uchel yn digwydd bob wythnos a hyd yn oed yn bob dydd. Mae ymosodiadau seiber yn amrywio o ran eu dull a'u cymhlethdod ond maent yn gyson yn eu bwriad i darfu, difrodi neu ddwyn. Mae'r Cyngor yn cydnabod y risg o ymosodiadau seiber ac mae’r risg honno wedi ei chofnodi felly yn y Gofrestr Risg Gorfforaethol sy'n cael ei monitro gan yr Uwch Dîm Arweinyddiaeth.

 

Cyfeiriodd y Swyddog at y gwahanol fathau o ymosodwyr seiber a'u cymhellion, ynghyd â’r amrywiaeth o ymosodiadau seiber sy’n digwydd. Amlinellodd yn gyffredinol y camau lliniaru sydd gan y Cyngor ar waith i leihau a rheoli’r risg gan gynnwys yr isod -

 

           Maleiswedd – rhaglenni neu godau maleisus sy'n ceisio difrodi neu anablu cyfrifiaduron, gweinyddwyr, rhwydweithiau a dyfeisiau cyfrifiadurol eraill. Mae holl gyfrifiaduron a gweinyddwyr y Cyngor yn gweithredu meddalwedd gwrth-faleiswedd sy'n sganio am nodweddion codau maleisus ac sy’n rhwystro mynediad i gyfrifiaduron y Cyngor os darganfyddir rhai.

           Gwendidau mewn meddalwedd - diffygion neu fylchau mewn côd meddalwedd yw’r rhain ac os yw ymosodwr yn manteisio i’r eithaf ar y fath wendidau gallant beri i'r feddalwedd ymddwyn mewn modd annymunol ac annisgwyl. Os yw’r feddalwedd yn gyfredol ac yn dal i gael ei chefnogi gan y cyflenwr, mae pecynnau côd sydd wedi'u cywiro, sef “diweddariadau” neu “drwsiadau” ar gael i fynd i'r afael â’r gwendidau hyn ac i gau'r bwlch diogelwch posib. Roedd y Cyngor wedi mabwysiadu Windows 10 yn gynnar ac ar ôl hynny symudodd i ffwrdd o’r drefn o osod meddalwedd cymwysiadau ar bob cyfrifiadur (a oedd yn faich sylweddol o ran rheoli diweddariadau diogelwch) i drefn o rithioli cymwysiadau, gan olygu bod prif gopi ar gyfer pob cymhwysiad yn rhedeg ar weinydd canolog y mae gan bob cyfrifiadur neu liniadur fynediad iddo - felly dim ond un copi y mae’n rhaid ei gadw'n gyfredol a'i reoli. Mae'r Cyngor yn trefnu ymhellach i hacwyr moesegol trydydd parti gynnal asesiadau ar ba mor fregus yw rhwydweithiau'r Cyngor

           Bygythiadau mewnol – sef gweithredoedd damweiniol gan staff, gweithredoedd

maleisus gan staff neu weithredoedd gan gontractwyr. Mae'r Cyngor wedi chwarae rhan flaenllaw yn y broses o gaffael pecyn E-Ddysgu dwyieithog Cymru gyfan ar ymwybyddiaeth seiber; mae'n gweithredu proses Safonau Diogelwch Safonol ar gyfer Staff (BPSS) sy'n ei gwneud yn ofynnol i'r holl staff a chanddynt fynediad at ddata sensitif swyddogol o swyddfa'r cabinet gyflwyno prawf adnabod, prawf cenedligrwydd a chael eu gwirio gan y Gwasanaeth Datgelu a Gwahardd. Mae'n rhaid i bob contractwr sydd naill ai'n cynnal systemau TG neu sydd â mynediad o bell i systemau TG y Cyngor lofnodi Cytundeb Prosesu Data; mae gan y Cyngor hefyd bolisïau amrywiol ar waith ar gyfer defnyddio TG yn ddiogel ac mae’n rhaid i'r holl staff sy’n defnyddio offer TG adolygu a derbyn y polisïau hyn.

           Gwe-rwydo - gweithred o anfon e-bost yn honni ei fod o ffynhonnell neu sefydliad dilys, a hynny mewn ymgais i gael gwybodaeth ariannol neu wybodaeth gyfrinachol arall. Mae gan y Cyngor dechnoleg hidlo soffistigedig ar waith i rwystro e-byst o'r fath ac mae'n rhaid i’w holl staff sy'n defnyddio offer TG fynd ar hyfforddiant Ymwybyddiaeth o Seiberddiogelwch.

           Gwiriadau eraill - Rhwydwaith cyflym y Llywodraeth yw Rhwydwaith y Sector Cyhoeddus (PSN) ac mae’n cael ei ddefnyddio gan y sector cyhoeddus i gyfnewid data mewn modd diogel. Gan fod y rhwydwaith i bob pwrpas yn caniatáu cysylltiad â systemau Swyddogion Cabinet a’r Adran Gwaith a Phensiynau, rhaid i'r Cyngor gael ei asesu’n annibynnol ac yn drwyadl bob blwyddyn. Mae'r Cyngor wedi llwyddo i basio’r asesiad PSN blynyddol bob blwyddyn ers i’r gofynion hyn ddod i rym. Trwy raglen a ariennir gan Lywodraeth Cymru ac a reolir gan Gymdeithas Llywodraeth Leol Cymru mae awdurdodau lleol wedi bod yn cynnal prawf ar eu trefniadau seiberddiogelwch a llywodraethu gwybodaeth yn erbyn yr arferion gorau. Ar ôl proses archwilio drwyadl, mae'r Cyngor yn un o ddim ond saith awdurdod yng Nghymru sydd wedi cael achrediad  Cyber Essentials Plus ac achrediad IASME llawn. Yn ogystal, mae Gwasanaeth Archwilio Mewnol y Cyngor wedi adolygu rheolaethau seiberddiogelwch y Cyngor ac wedi dod i'r casgliad eu bod yn effeithiol o ran rheoli'r risg ac ar gyfer atal a lleihau effaith ymosodiadau o'r fath ar wasanaethau, systemau a gwybodaeth.

 

Croesawodd y Pwyllgor yr adroddiad fel un addysgiadol ac wrth drafod y wybodaeth ynddo, gofynnodd am sicrwydd pellach mewn perthynas â'r materion canlynol -

 

           Oherwydd bod mwy o waith partneriaeth a chydweithio â chynghorau a sefydliadau eraill erbyn hyn, a yw rheolaethau mewnol y Cyngor yn cynnwys lliniaru'r risgiau seiberddiogelwch a allai ddeillio o’r fath bartneriaethau? Dywedodd y Rheolwr Gwasanaeth a Rheoli Perfformiad TG fod yn rhaid i bob awdurdod lleol ennill   Achrediad PSN Swyddfa'r Cabinet - mae methu â chyrraedd y safon Seiberddiogelwch ofynnol yn arwain at ddatgysylltu ac i bob pwrpas yn nadu’r Cyngor rhag gweithio ar y cyd. Mae ennill achrediad yn dangos bod sefydliad yn ddibynadwy ac yn gweithio i'r un safonau a pholisïau.

           A oes gan y Cyngor raglen gynefino yn y maes TG ar gyfer gweithwyr newydd a pha mor hir y mae'n ei gymryd i weithiwr newydd gyrraedd lefel foddhaol o ymwybyddiaeth o faterion sy’n ymwneud â diogelwch TG? Cadarnhaodd y Rheolwr Gwasanaeth a Rheoli Perfformiad TG ei bod yn ofynnol i reolwyr, trwy’r Broses Gynefino ar gyfer Rheolwyr, sicrhau bod gweithwyr newydd yn ymwybodol o'r holl bolisïau sydd yn y Porth Polisi, sef system rheoli polisïau’r Cyngor, gan gynnwys y Polisi Defnydd Derbyniol a’r Polisi Diogelwch TG ac mae’r rheolwyr yn cadarnhau wedyn bod hynny wedi'i wneud. Yn ogystal â’r drefn ar gyfer derbyn ac adolygu polisïau, mae yna raglen e-ddysgu orfodol ar ymwybyddiaeth seiber. Fodd bynnag, mae risg bob amser y gall gweithwyr sy'n newydd i'r sefydliad gael eu twyllo gan sgam ar eu diwrnod cyntaf yn y gwaith ond mae’r risg benodol honno’n cael ei lliniaru trwy ddarparu cefnogaeth barhaus a thrwy gynnal gwiriadau ar ffurf camau dilyn-i-fyny er mwyn sicrhau bod gweithwyr wedi darllen a deall y polisïau diogelwch TGCh. Anfonir nodiadau atgoffa rheolaidd hefyd.

           I ba raddau y mae'r Cyngor mewn perygl o ladrad ariannol ac a oes rheolaethau ar waith i sicrhau nad yw arian cyhoeddus yn cael ei golli trwy weithgareddau twyllodrus neu sgamiau? Dywedwyd wrth y Pwyllgor fod rheolaethau ar waith ym mhob gwasanaeth ar gyfer gwahanu dyletswyddau h.y. neilltuo cyfrifoldebau   awdurdodi trafodion i wahanol bobl ac ati. Mae'r Cyngor hefyd yn ymwybodol o nifer o sgamiau sy'n ceisio rhoi mynediad i ddrwgweithredwyr i systemau ariannol y Cyngor i gael arian trwy dwyll e.e. sgamiwr yn cymryd arno ei fod yn gontractwr i’r Cyngor ac yn ceisio newid manylion cyfrif banc. Mae’r Gwasanaeth Archwilio Mewnol yn rhannu gwybodaeth fel mater o drefn am gynlluniau twyllodrus cyfredol a rhai posib ac mae hynny’n gwella ymwybyddiaeth staff ac yn golygu y gall gwasanaethau adolygu a chryfhau eu rheolaethau yn unol â hynny.

 

Ar ôl ystyried y wybodaeth a gyflwynwyd ynghyd â'r eglurhad ychwanegol a ddarparwyd gan y Swyddogion, penderfynodd y Pwyllgor dderbyn a nodi'r sicrwydd a ddarparwyd gan Adroddiad Blynyddol Seiberddiogelwch 2019.

 

NI CHYNIGIWYD UNRHYW GAMAU YCHWANEGOL

Dogfennau ategol: