NIK wzywa do stworzenia skutecznej obrony cyberprzestrzeni

Na konferencji Security Case Study 2014, dyrektor jednego z departamentów Najwyższej Izby Kontroli - Marek Bieńkowski - przedstawił raport na temat cyberbezpieczeństwa państwa. Niestety, nie przyniósł on dobrych podsumowań.

Kontrola NIK objęła okres od 2008 r. do bieżącego kwartału i wykazała, że obecnie podmioty państwowe nie prowadzą spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP. Odnotowano jedynie pojedyncze pozytywne akcje w tej dziedzinie, np. powoływanie i utrzymywanie na bardzo wysokim poziomie merytorycznym zespołów reagowania na incydenty komputerowe (tzw. CERT-ów) w ABW, MON oraz Naukowej i Akademickiej Sieci Komputerowej (NASK). Jak podkreślił Bieńkowski, główni decydenci polityczni i kierownictwo administracji rządowej nie mają świadomości nowych zagrożeń. Dodał także brak zainteresowania kwestiami bezpieczeństwa technologii informacyjnych ze strony najważniejszych osób w państwie - choć tu wyjątkiem jest szykowana przez Biuro Bezpieczeństwa Narodowego doktryna cyberbezpieczeństwa. "To jest dokument kierunkowy, ale nie zastąpi ustawy" - zastrzegł Bieńkowski.

Według NIK należy podjąć na najwyższym szczeblu wiążące decyzje odnośnie strategii i modelu obrony cyberprzestrzeni w Polsce. Bieńkowski zwrócił uwagę, że nie ma dotyczących jej, kompleksowych regulacji prawnych w zakresie bezpieczeństwa, zaś akty prawne są rozproszone, niekompletne i nie tworzą spójnej całości. Skrytykował też mocno przyjętą w czerwcu 2013 r. Politykę Ochrony Cyberprzestrzeni RP: "Ma poważne braki merytoryczne, jest na bardzo dużym poziomie ogólności, co ciekawe - napisana jest w trybie przypuszczającym, a jej użyteczność pozostawia wiele do życzenia" - powiedział. Kontrolerzy byli m.in. w MSW, MON, ABW, Urzędzie Komunikacji Elektronicznej, Rządowym Centrum Bezpieczeństwa, policji, Straży Granicznej, Naukowej i Akademickiej Sieci Komputerowej, a na początku grudnia ma się zakończyć kontrola w MAC. W przypadku MSW podsumowano kontrolę boleśnie szczerymi słowami: "nie stwierdzono żadnych aspektów, pozwalających na sformułowanie oceny pozytywnej". Dodano również, że w MSW nie widać było świadomości jakichkolwiek obowiązków związanych z bezpieczeństwem państwa w cyberprzestrzeni.

Bieńkowski dodał, że zadania realizowane przed podziałem MSWiA na dwa ministerstwa nie były kontynuowane, co skończyło się tym, że "praktycznie cztery lata wrzucono do kosza" i prace rozpoczęto od nowa. NIK szczególnie zaskoczyło to, że MSW nie realizowało - w sposób ustalony w ustawie o informatyzacji - obowiązku kontroli i oceny podległych sobie podmiotów - m.in. policji, SG i rejestru CEPIK. MSW nie miało też pełnej wiedzy, ile ma systemów informatycznych i jakiego rodzaju. Z kolei w MAC (Ministerstwo Administracji i Cyfryzacji), które według wspomnianej Polityki Bezpieczeństwa Cyberprzestrzeni RP ma koordynować działania innych organów, kontrolerzy NIK stwierdzili brak "świadomości istnienia obowiązku związanego z ochroną cyberprzestrzeni". Nie zdefiniowano kompleksowo, jak ministerstwo ma realizować zadania w zakresie ochrony. "Zmroziło nas to, że w raporcie o zagrożeniach bezpieczeństwa narodowego przekazanym w 2012 r. przez MAC do RCB wykazano, że zagrożenia związane z cyberprzestrzenią mają bardzo ograniczony zakres, nie rodzą skutków ekonomicznych dla państwa, a MAC nie realizuje w tym obszarze żadnych zadań koordynacyjnych" - powiedział Bieńkowski.

Pochwałę kontrolerów zyskało MON - za takie rzeczy jak aktywny udział w budowie systemu ochrony cyberprzestrzeni, wymianę informacji w kraju i za granicą oraz aktywność i rozwój Narodowego Centrum Kryptologii. Również ABW i policję oceniono jako instytucje bardzo aktywne, jednak w tym drugim przypadku wykazano brak kompleksowego systemu reagowania na incydenty komputerowe. Rejestr incydentów informatycznych w KGP nie zawierał żadnego zapisu, mimo że w latach 2012-14 działający w ABW zespół CERT.GOV.PL zgłosił policji ok. 2 tys. informacji o zagrożeniach i incydentach w policyjnych systemach teleinformacyjnych.

Co ciekawe, o raporcie NIK napisało wiele serwisów na całym świecie (np. tutaj).

Źródło: PAP


Zobacz również