NIK wzywa do stworzenia skutecznej obrony cyberprzestrzeni

Na konferencji Security Case Study 2014, dyrektor jednego z departamentów Najwyższej Izby Kontroli - Marek Bieńkowski - przedstawił raport na temat cyberbezpieczeństwa państwa. Niestety, nie przyniósł on dobrych podsumowań.

Kontrola NIK objęła okres od 2008 r. do bieżącego kwartału i wykazała, że obecnie podmioty państwowe nie prowadzą spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP. Odnotowano jedynie pojedyncze pozytywne akcje w tej dziedzinie, np. powoływanie i utrzymywanie na bardzo wysokim poziomie merytorycznym zespołów reagowania na incydenty komputerowe (tzw. CERT-ów) w ABW, MON oraz Naukowej i Akademickiej Sieci Komputerowej (NASK). Jak podkreślił Bieńkowski, główni decydenci polityczni i kierownictwo administracji rządowej nie mają świadomości nowych zagrożeń. Dodał także brak zainteresowania kwestiami bezpieczeństwa technologii informacyjnych ze strony najważniejszych osób w państwie - choć tu wyjątkiem jest szykowana przez Biuro Bezpieczeństwa Narodowego doktryna cyberbezpieczeństwa. "To jest dokument kierunkowy, ale nie zastąpi ustawy" - zastrzegł Bieńkowski.

NIK wzywa do stworzenia skutecznej obrony cyberprzestrzeni

Według NIK należy podjąć na najwyższym szczeblu wiążące decyzje odnośnie strategii i modelu obrony cyberprzestrzeni w Polsce. Bieńkowski zwrócił uwagę, że nie ma dotyczących jej, kompleksowych regulacji prawnych w zakresie bezpieczeństwa, zaś akty prawne są rozproszone, niekompletne i nie tworzą spójnej całości. Skrytykował też mocno przyjętą w czerwcu 2013 r. Politykę Ochrony Cyberprzestrzeni RP: "Ma poważne braki merytoryczne, jest na bardzo dużym poziomie ogólności, co ciekawe - napisana jest w trybie przypuszczającym, a jej użyteczność pozostawia wiele do życzenia" - powiedział. Kontrolerzy byli m.in. w MSW, MON, ABW, Urzędzie Komunikacji Elektronicznej, Rządowym Centrum Bezpieczeństwa, policji, Straży Granicznej, Naukowej i Akademickiej Sieci Komputerowej, a na początku grudnia ma się zakończyć kontrola w MAC. W przypadku MSW podsumowano kontrolę boleśnie szczerymi słowami: "nie stwierdzono żadnych aspektów, pozwalających na sformułowanie oceny pozytywnej". Dodano również, że w MSW nie widać było świadomości jakichkolwiek obowiązków związanych z bezpieczeństwem państwa w cyberprzestrzeni.

NIK wzywa do stworzenia skutecznej obrony cyberprzestrzeni

Bieńkowski dodał, że zadania realizowane przed podziałem MSWiA na dwa ministerstwa nie były kontynuowane, co skończyło się tym, że "praktycznie cztery lata wrzucono do kosza" i prace rozpoczęto od nowa. NIK szczególnie zaskoczyło to, że MSW nie realizowało - w sposób ustalony w ustawie o informatyzacji - obowiązku kontroli i oceny podległych sobie podmiotów - m.in. policji, SG i rejestru CEPIK. MSW nie miało też pełnej wiedzy, ile ma systemów informatycznych i jakiego rodzaju. Z kolei w MAC (Ministerstwo Administracji i Cyfryzacji), które według wspomnianej Polityki Bezpieczeństwa Cyberprzestrzeni RP ma koordynować działania innych organów, kontrolerzy NIK stwierdzili brak "świadomości istnienia obowiązku związanego z ochroną cyberprzestrzeni". Nie zdefiniowano kompleksowo, jak ministerstwo ma realizować zadania w zakresie ochrony. "Zmroziło nas to, że w raporcie o zagrożeniach bezpieczeństwa narodowego przekazanym w 2012 r. przez MAC do RCB wykazano, że zagrożenia związane z cyberprzestrzenią mają bardzo ograniczony zakres, nie rodzą skutków ekonomicznych dla państwa, a MAC nie realizuje w tym obszarze żadnych zadań koordynacyjnych" - powiedział Bieńkowski.

NIK wzywa do stworzenia skutecznej obrony cyberprzestrzeni

Pochwałę kontrolerów zyskało MON - za takie rzeczy jak aktywny udział w budowie systemu ochrony cyberprzestrzeni, wymianę informacji w kraju i za granicą oraz aktywność i rozwój Narodowego Centrum Kryptologii. Również ABW i policję oceniono jako instytucje bardzo aktywne, jednak w tym drugim przypadku wykazano brak kompleksowego systemu reagowania na incydenty komputerowe. Rejestr incydentów informatycznych w KGP nie zawierał żadnego zapisu, mimo że w latach 2012-14 działający w ABW zespół CERT.GOV.PL zgłosił policji ok. 2 tys. informacji o zagrożeniach i incydentach w policyjnych systemach teleinformacyjnych.

Co ciekawe, o raporcie NIK napisało wiele serwisów na całym świecie (np. tutaj).

Źródło: PAP