Polska

NIK alarmuje: Polska jest bezbronna w cyberprzestrzeni! Liczba zaniedbań jest przerażająca [aktualizacja]

Tomasz Popielarczyk
22

Najwyższa Izba Kontroli opublikowała raport, w którym przeanalizowano poziom ochrony Polski w cyberprzestrzeni. Wnioski nie są optymistyczne. Okazuje się, że w razie ataków tego typu, jesteśmy właściwie bezbronni i bezradni. Raport NIK dotyczący bezpieczeństwa Polski w cyberprzestrzeni nie pozost...

Najwyższa Izba Kontroli opublikowała raport, w którym przeanalizowano poziom ochrony Polski w cyberprzestrzeni. Wnioski nie są optymistyczne. Okazuje się, że w razie ataków tego typu, jesteśmy właściwie bezbronni i bezradni.

Raport NIK dotyczący bezpieczeństwa Polski w cyberprzestrzeni nie pozostawia właściwie suchej nitki na naszym kraju. Podstawowym problemem ma być brak jednego ośrodka, który koordynowałby tego typu działania, a także jakiejkolwiek spójnej wizji. Rozproszona odpowiedzialność prowadząca w rezultacie do bierności to tylko jedna z kwestii. Uwagę zwrócono również na to, że nikt dotąd nie zidentyfikował podstawowych zagrożeń, którym należałoby przeciwdziałać w przyszłości. Tak naprawdę nie jesteśmy zatem przygotowani na okoliczność ataku. Słowem, jako kraj pozostajemy na tym polu bezbronni.

Każdy sobie...

Polska nie opracowała dotąd spójnych i jednolitych procedur reagowania w sytuacjach kryzysowych związanych z cyberprzestrzenią. Władze naszego kraju zwyczajnie nie angażują się w tę kwestię i tym samym nie poświęcają jej należytej uwagi, czego skutki są opłakane. Trzeba jednak zaznaczyć, że NIK zwrócił uwagę na kilka pozytywnych aspektów. Są to:

  • powołanie i utrzymywanie na wysokim poziomie zespołów CERT (zespołów ds. bezpieczeństwa informatycznego) przez takie instytucje jak NASK, ABW oraz MON;
  • utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz wyspecjalizowanej jednostki - Narodowego Centrum Kryptologii;
  • upowszechnianie przez Rządowe Centrum Bezpieczeństwa wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej;
  • prowadzenie przez NASK i Policję aktywnych działań edukacyjnych dotyczących m.in. przestępczości komputerowej i bezpieczeństwa w cyberprzestrzeni.

Ministerstwa nie realizują swoich obowiązków

Poszczególne kontrolowane przez Najwyższą Izbę Kontroli podmioty co prawda posiadają pewne procedury związane z przeciwdziałaniem zagrożeniom cybernetycznym. Nie są one jednak w żaden sposób odgórnie kontrolowane i nadzorowane. Tutaj do tablicy wywoływany jest Minister Administracji i Cyfryzacji, który nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów w dziedzinie bezpieczeństwa teleinformatycznego państwa. Nie musi to jednak oznaczać jego opieszałości. NIK podaje, że MAiC nie dysponowało zasobami, a także nie posiadało uprawnień do oddziaływania na poszczególne podmioty państwowe. W rezultacie te albo odmawiały współpracy, albo działały nierzetelnie i nieterminowo.

Zwróciłem się z pytaniem do MAiC w tej sprawie. W odpowiedzi otrzymałem wyczerpujące sprawozdanie z realizowanych przez ministerstwo działań. Ze względu na jego długość, pozwalam sobie zamieścić pełną treść jako plik PDF do pobrania. Poniżej przytaczam natomiast najważniejsze fragmenty:

Kluczowym wyzwaniem z punktu widzenia rozwoju systemu ochrony cyberprzestrzeni RP jest zwiększenie roli podmiotów prowadzących działalność operacyjną w zakresie bezpieczeństwa cyberprzestrzeni. Podjęliśmy już prace analityczne w tym zakresie i m.in. zleciliśmy opracowanie ekspertyzy dotyczącej organizacji systemu cyberbezpieczeństwa w Polsce, której elementem jest wariant utworzenia podobnego centrum kompetencyjnego w Polsce. Po przeprowadzeniu niezbędnych prac analitycznych stosowna informacja nt. uwarunkowań rozbudowy krajowego systemu cyberbezpieczeństwa zostanie przekazana do Prezesa Rady Ministrów. (...)

W ramach funkcji koordynacyjnej Ministerstwo Administracji i Cyfryzacji rozwija i upowszechnia przewidzianą „Polityką” sieć pełnomocników ds. bezpieczeństwa teleinformatycznego obejmującą w chwili obecnej 127 pełnomocników w urzędach administracji rządowej. (...) Organizowaliśmy także konkursy dla organizacji działalności pożytku publicznego, których efektem są liczne materiały edukacyjne, m.in. w zakresie bezpiecznego korzystania z usług elektronicznych.

Rzecznik prasowy MAiC, Artur Koziołek dodaje też, że szansą na poprawę obecnej sytuacji jest Program Operacyjny Polska Cyfrowa na lata 2014-2020, który:

umożliwi budowę/rozbudowę narzędzi technicznych monitorujących w czasie rzeczywistym zagrożenia cyberprzestrzeni w administracji publicznej tzw. usług zdalnego centrum bezpieczeństwa (Security Operations Center), umożliwiających operacyjne zarządzanie incydentem cybernetycznym.

MAiC tłumaczy, że współpracuje z polskim członkiem zarządu w Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji, a uzyskane materiały i wytyczne agencji są dystrybuowane wśród pełnomocników ds. bezpieczeństwa cyberprzestrzeni. Ponadto:

Powołany został także Zespół zadaniowy ds. bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej, który przygotował „Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP” (przyjęty 13 kwietnia br. przez Komitet Rady Ministrów ds. Cyfryzacji) oraz Grupa Ekspercka, która opracowała już rekomendacje dla pełnomocników ds. bezpieczeństwa cyberprzestrzeni w zakresie Powoływania pełnomocnika ds. bezpieczeństwa cyberprzestrzeni w urzędach administracji rządowej oraz Obsługi incydentów.

Wracając do raportu NIK, zwrócono w nim uwagę, że Minister Spraw Wewnętrznych nie zajmował się budową krajowego systemu ochrony cyberprzestrzeni, ograniczając się jedynie do własnego resortu. Zresztą i tutaj działania te miały być prowadzone nierzetelnie. Zresztą same ministerstwo i jego praca zostały bardzo negatywnie ocenione przez NIK. Na odpowiedź z MSW ciągle czekamy.

Uwagę zwrócono również na obowiązujące przepisy, które uniemożliwiają skuteczne prowadzenie działań związanych z bezpieczeństwem. Winny za to ma być Prezes Urzędu Komunikacji Elektronicznej, który nie realizował obowiązków w zakresie pozyskiwania informacji o incydentach występujących w cyberprzestrzeni oraz informowania obywateli o zagrożeniach związanych z korzystaniem z Internetu.

Źle swoje obowiązki w tej kwestii realizowało również Rządowe Centrum Bezpieczeństwa. Jak tłumaczy NIK, system przez nich koordynowany:

system zarządzania kryzysowego nie jest komplementarny i spójny z działaniami w zakresie bezpieczeństwa teleinformatycznego oraz w niewystarczającym stopniu uwzględnia nowe zagrożenia dla infrastruktury krytycznej państwa, jakimi są zagrożenia występujące w cyberprzestrzeni.

Jednocześnie zwrócono uwagę na pozytywne zaangażowanie Policji w walkę z przestępczością komputerową oraz aktywne uczestnictwo w kampaniach edukacyjno-informacyjnych. Dobrze oceniony został również Minister Obrony Narodowej oraz Agencji Bezpieczeństwa Wewnętrznego. NIK docenił również zaangażowanie Naukowej i Akademickiej Sieci Komputerowej.

Problem istnieje już od 2008 roku

Prace nad narodową strategią ochrony cyberprzestrzeni prowadzone są od roku 2008. Jak podaje NIK:

W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej” - dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi.

Polska nie prowadziła jednak żadnych działań legislacyjnych związanych z unormowaniem tych działań. Co więcej, do tej pory nie opracowano systemu finansowania działań związanych z bezpieczeństwem Polski w sieci. Bardzo wymowne jest tutaj to zdanie z raportu NIK:

Nie przydzielono żadnych dodatkowych środków na ich realizację, co w ocenie NIK, praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego.

Powody takiego stanu rzeczy są dość proste. Administracji brakuje po prostu wiedzy na ten temat, na co również zwrócono uwagę. Ministerstwa, a także inne (teoretycznie ściśle związane z internetem) organy nie zdają sobie sprawy ze skali i rodzaju incydentów występujących w cyberprzestrzeni.

Wnioski NIK nie napawają optymizmem. Wręcz przeciwnie, można poczuć przerażenie, zapoznając się z wynikami kontroli. Okazuje się, że w sieci Polska jest niemalże bezbronna niczym dziecko. Można tylko spekulować, jakie konsekwencje w takich okolicznościach przyniosłaby skoordynowana akcja wrogiego wywiadu lub organizacji terrorystyczne. Nie zdziwiłbym się nawet, gdyby tego typu działania były już prowadzone, a nikt w Polsce nie zdawał sobie z nich sprawy. Jako podsumowanie wystarczy chyba przytoczyć słowa kontrolerów NIK:

W ocenie NIK, ustalenia kontroli wskazują na konieczność bezzwłocznego podjęcia skoordynowanych, systemowych działań, prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni RP. W celu wyeliminowania najpoważniejszej przeszkody, która sparaliżowała aktywność państwa w tym zakresie w latach 2008-2014

Pełną treść raportu można znaleźć na stronie internetowej NIK. Czekamy jeszcze na zajęcie stanowiska przez MSW. Po uzyskaniu odpowiedzi z ministerstwa, zaktualizuję artykuł. O komentarz poprosiłem również specjalistów ds. bezpieczeństwa z firmy Niebezpiecznik.pl.

Aktualizacja

Otrzymaliśmy odpowiedź od MSW. Rzecznik prasowy ministerstwa tłumaczy:

Zalecenia NIK w sprawie cyberbezpieczeństwa są przez MSW sukcesywnie realizowane, część z nich po ostatniej kontroli jaka miała miejsce na przełomie maja i czerwca br. została wdrożona. Kolejne zalecenia formułowane przez kontrolerów są realizowane. W lutym 2015 r. w MSW został powołany Pełnomocnik ds. ochrony cyberprzestrzeni. Tacy pełnomocnicy działają również m.in. w służbach podległych Ministerstwu (SG, PSP, Policja BOR). Ponadto w 2014 r. w całej Policji powołano specjalistyczne wydziały do walki z cyberprzestępczością.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy:

PolskaBezpieczeństwoNIK