Geopolityka
NIK: Bezpieczeństwo cyberprzestrzeni "nie jest w Polsce właściwie chronione"
W Polsce nie funkcjonuje właściwa ochrona bezpieczeństwa w cyberprzestrzeni. Do chwili obecnej nie wdrożono spójnych i systemowych środków w celu monitorowania i przeciwdziałania zagrożeniom, jakie pojawiają się w przestrzeni informatycznej. Aktywność państwa paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych oraz bierne oczekiwanie na rozwiązania, które w tym obszarze ma zaproponować Unia Europejska - podaje Najwyższa Izba Kontroli.
NIK stwierdziła, że działania podmiotów państwowych związane z ochroną cyberprzestrzeni były prowadzone w sposób rozproszony i bez spójnej wizji systemowej. Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie był brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych. Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne - podaje Najwyższa Izba Kontroli.
Według Najwyższej Izby Kontroli nie przygotowano również procedur reagowania w wypadku zagrożeń pochodzących z cyberprzestrzeni. Nie została określona struktura ani ramy prawne krajowego systemu, który miałby służyć do ochrony przestrzeni informatycznej. Nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań.
W ocenie Izby zaangażowanie kierownictwa administracji rządowej w rozstrzyganie sporów pomiędzy podmiotami sektora publicznego oraz organizowanie współdziałania poszczególnych instytucji zapewniających bezpieczeństwo teleinformatyczne było "niewystarczające". Pozytywnie oceniono natomiast m.in: powołanie i utrzymywanie na wysokim poziomie zespołów CERT (zespołów ds. bezpieczeństwa informatycznego) przez takie instytucje jak NASK, ABW oraz MON, utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz wyspecjalizowanej jednostki (Narodowego Centrum Kryptologii), upowszechnianie przez Rządowe Centrum Bezpieczeństwa wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej, prowadzenie przez NASK i Policję aktywnych działań edukacyjnych dotyczących m.in. przestępczości komputerowej i bezpieczeństwa w cyberprzestrzeni.
NIK zwraca jednak uwagę, że o ile kontrolowane podmioty posiadały własne procedury dotyczące zapobiegania zagrożeniom w cyberprzestrzeni, o tyle nie tworzyły one w połączeniu jednego, spójnego systemu.
Minister Obrony Narodowej aktywnie realizował zadania w zakresie budowy resortowego systemu reagowania na incydenty komputerowe oraz uczestniczył w budowie krajowego systemu ochrony cyberprzestrzeni. Kierownictwo Agencji Bezpieczeństwa Wewnętrznego realizowało zadania związane z zapobieganiem i reagowaniem na incydenty komputerowe w systemach podmiotów administracji państwowej, polegające m.in. na stworzeniu i utrzymywaniu systemu wczesnego ostrzegania ARAKIS.GOV oraz Zespołu CERT.GOV.PL. Aktywność ABW podlegała jednak istotnym ograniczeniom, wynikającym w szczególności z niewystarczających zasobów i braku formalnego umocowania Zespołu CERT.GOV.PL - podaje Najwyższa Izba Kontroli.
Kontrola wykazała, że Minister Administracji i Cyfryzacji, któremu bezpośrednio przypisano obowiązki związane z ochroną cyberprzestrzeni, nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów w dziedzinie bezpieczeństwa teleinformatycznego państwa. Minister Administracji i Cyfryzacji nie dysponował zasobami pozwalającymi na realną realizację zadań dotyczących zarządzania krajowym system ochrony cyberprzestrzeni oraz nie miał uprawnień do oddziaływania na inne instytucje, które odmawiały współpracy lub nierzetelnie i nieterminowo wywiązywały się z przypisanych im obowiązków. Z kolei Minister Spraw Wewnętrznych nie realizował żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni. Działania Ministra w obszarze bezpieczeństwa IT ograniczały się do własnych sieci oraz systemów resortowych - jednak nawet w tym zakresie były prowadzone w sposób nierzetelny.
Jednostki organizacyjne Policji podejmowały działania związane ze zwalczaniem przestępczości komputerowej oraz aktywnie uczestniczyły w kampaniach edukacyjno-informacyjnych, dotyczących bezpiecznego korzystania z Internetu. Komendant Główny Policji nie podjął natomiast rzetelnych działań w celu wdrożenia w Policji realnego i kompleksowego systemu reagowania na zagrożenia i incydenty w cyberprzestrzeni. Koordynowany przez Rządowe Centrum Bezpieczeństwa system zarządzania kryzysowego nie jest komplementarny i spójny z działaniami w zakresie bezpieczeństwa teleinformatycznego oraz w niewystarczającym stopniu uwzględnia nowe zagrożenia dla infrastruktury krytycznej państwa, jakimi są zagrożenia występujące w cyberprzestrzeni - podaje Najwyższa Izba Kontroli.
Wciąż nie zostały opracowane także założenia systemu finansowania działań związanych z ochroną cyberprzestrzeni RP. Nie przydzielono żadnych dodatkowych środków na ich realizację, co w ocenie NIK, praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego. Zasoby poszczególnych jednostek objętych kontrolą były bowiem nieadekwatne w stosunku do przypisanych im obowiązków.
Tworzone w Polsce plany kryzysowe, w tym w szczególności Krajowy Plan Zarządzania Kryzysowego, odnosiły się wyłącznie do zdarzeń konwencjonalnych, takich jak np. katastrofy naturalne, i nie uwzględniały zmiany charakteru zagrożeń, wynikającej m.in. z postępu technologicznego. Obowiązujące przepisy dotyczące zarządzania kryzysowego oraz Prawa telekomunikacyjnego nie były wykorzystywane w celu opracowania procedur obowiązujących w sytuacjach kryzysowych związanych z cyberprzestrzenią, a kierownictwo odpowiedzialnych podmiotów państwowych nie dostrzegało potrzeby podjęcia działań w tym zakresie.
W ocenie NIK, ustalenia kontroli wskazują na konieczność bezzwłocznego podjęcia skoordynowanych, systemowych działań, prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni RP. W celu wyeliminowania najpoważniejszej przeszkody, która sparaliżowała aktywność państwa w tym zakresie w latach 2008-2014, tj. sprzecznych interesów poszczególnych instytucji publicznych, konieczne jest bezpośrednie zaangażowanie w realizację tych zadań najwyższego kierownictwa administracji rządowej - Rady Ministrów i Prezesa Rady Ministrów. Kolejnymi warunkami efektywnej ochrony cyberprzestrzeni, jest wdrożenie mechanizmów współpracy podmiotów prywatnych i państwowych oraz zapewnienie odpowiedniego finansowania działań związanych z bezpieczeństwem IT - podkreśla Najwyższa Izba Kontroli.
seci
Za każdym razem jak NIK popelnia jakiś raport, zastanawia mnie skąd w tej instytucji taka głęboka wiedza i zdolność do wyrazistych i jednoznacznych ocen - w dowolnej dziedzinie.