Druzgocący raport NIK: Polska cyberprzestrzeń nie jest właściwie chroniona

Maciej D.Skomentuj
Druzgocący raport NIK: Polska cyberprzestrzeń nie jest właściwie chroniona
To już kolejny raport NIK, który wykazuje konkretne braki i zaniedbania w ważnym dla naszego państwa obszarze. Jako że tematyka bezpieczeństwa w cyberprzestrzeni jest nam bliska, chcielibyśmy wam przybliżyć najważniejsze wnioski i ustalenia płynące z przeprowadzonej kontroli. Niestety ale wiele podmiotów państwowych wchodzących w skład systemu bezpieczeństwa nie wywiązuje się z powierzonych im zadań.

Kontrolerzy szczególną uwagę zwrócili na brak jednego ośrodka decyzyjnego, który stworzyłby szeroką systemową wizję bezpieczeństwa w cyberprzestrzeni i koordynował działania mające za zadanie zażegnanie konkretnego zagrożenia. Nasze państwo dotychczas reagowało jedynie doraźnie, na co dzień pogrążając się w błogiej bierności. Znamienne wydaje się tutaj stwierdzenie NIK, iż urzędnicy zamiast zaproponować rozwiązania zwiększające nasze bezpieczeństwo czekali jedynie na dyrektywy płynące z Unii Europejskiej. A to najważniejsze ustalenia:

1. Czynnikiem wpływającym negatywnie na realizację zadań było niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów. Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne.

2. Minister Administracji i Cyfryzacji, któremu bezpośrednio przypisano obowiązki związane z ochroną cyberprzestrzeni, nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów. Co warto podkreślić, minister nie miał nawet uprawnień do oddziaływania na inne instytucje, które odmawiały współpracy lub nierzetelnie i nieterminowo wywiązywały się z przypisanych im obowiązków.

3. Minister Spraw Wewnętrznych nie realizował żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni. Działania ministra w obszarze bezpieczeństwa IT ograniczały się do własnych sieci oraz systemów resortowych – jednak nawet w tym zakresie były prowadzone w sposób nierzetelny.

4. Przepisy prawa telekomunikacyjnego są wadliwie sformułowane i nie mogą być w praktyce wykorzystywane do realizacji zadań związanych z bezpieczeństwem IT. Było to przyczyną zaniechania wykonywania obowiązków przez Prezesa Urzędu Komunikacji Elektronicznej, dotyczących m.in. informowania obywateli o zagrożeniach związanych z korzystaniem z internetu.

5. Koordynowany przez Rządowe Centrum Bezpieczeństwa system zarządzania kryzysowego nie jest komplementarny i spójny z działaniami w zakresie bezpieczeństwa teleinformatycznego oraz w niewystarczającym stopniu uwzględnia nowe zagrożenia dla infrastruktury krytycznej państwa.

6. Jednostki policji podejmowały działania związane ze zwalczaniem przestępczości komputerowej oraz aktywnie uczestniczyły w kampaniach edukacyjno-informacyjnych. Komendant Główny Policji nie podjął jednak rzetelnych działań w celu wdrożenia realnego i kompleksowego systemu reagowania na incydenty w cyberprzestrzeni.

7. Minister Obrony Narodowej aktywnie realizował zadania w zakresie budowy resortowego systemu reagowania na incydenty komputerowe oraz uczestniczył w budowie krajowego systemu ochrony cyberprzestrzeni.

8. Kierownictwo Naukowej i Akademickiej Sieci Komputerowej podejmowało liczne działania, które NIK oceniła jako dobre praktyki w zakresie ochrony cyberprzestrzeni. Dotyczyły one w szczególności powołania i utrzymywania zespołu CERT Polska.

9. Kierownictwo Agencji Bezpieczeństwa Wewnętrznego realizowało zadania związane z zapobieganiem i reagowaniem na incydenty komputerowe w systemach podmiotów administracji państwowej. Aktywność ABW podlegała jednak istotnym ograniczeniom wynikającym w głównej mierze z niewystarczających zasobów.

10. W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej” – dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. Wedle NIK większość z postawionych w nim zadań i celów nie zostało zrealizowanych.

11. Wciąż nie zostały opracowane zasady finansowania działań związanych z ochroną polskiej cyberprzestrzeni. Nie przydzielono żadnych dodatkowych środków na ich realizację, co w ocenie NIK, praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego.

12. Nie prowadzono żadnych prac legislacyjnych, które miałyby na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym państwa.

13. Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni, a ustanowiony w prawie telekomunikacyjnym system zbierania i rejestrowania takich informacji okazał się być całkowicie nieskuteczny.

14. Tworzone w Polsce plany kryzysowe odnosiły się wyłącznie do zdarzeń konwencjonalnych, takich jak np. katastrofy naturalne i nie uwzględniały zmiany charakteru zagrożeń, wynikających z postępu technologicznego.

15. NIK dostrzega wysiłki podejmowane przez ABW (we współpracy z NASK) w celu realizacji projektu dotyczącego wytworzenia, utrzymywania systemu wczesnego ostrzegania – ARAKIS.GOV. Brak jednak środków finansowych na skuteczne rozbudowanie tego systemu.

Niestety, ale w przytoczonych najważniejszych punktach raportu rzadko można dostrzec jakiś pozytyw. Ogólny obraz pozostaje bardzo mocno negatywny. Wyraźnie widać, iż sytuacja jest zła i musi w jak najszybszym czasie ulec radykalnej poprawie. Jest to również zalecenie przedstawione przez samych kontrolerów: ”w ocenie NIK, ustalenia wskazują na konieczność bezzwłocznego podjęcia skoordynowanych, systemowych działań, prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni RP”. Mamy nadzieję, że właśnie tak się stanie.

Źródło: NIK / Zdjęcie: Govexec

Udostępnij

Maciej D.