NIK krytycznie o ochronie cyberprzestrzeni w Polsce
Bezpieczeństwo w cyberprzestrzeni nie jest w Polsce właściwie chronione. Działania podmiotów państwowych związane z cyberbezpieczeństwem były prowadzone w sposób rozproszony i bez spójnej wizji systemowej - oceniła Najwyższa Izba Kontroli.
30.06.2015 07:20
Aktywność państwa w tym zakresie w latach 2008-14 paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych - podkreśla NIK w raporcie przekazanym PAP.
W ocenie Izby istotnym czynnikiem wpływającym negatywnie na realizację zadań w obszarze cyberbezpieczeństwa było "niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa".
Według NIK konieczne jest bezzwłoczne podjęcie skoordynowanych, systemowych działań, prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni RP oraz bezpośrednie zaangażowanie w realizację tych zadań najwyższego kierownictwa administracji rządowej - rządu i premiera.
"Kolejnymi warunkami efektywnej ochrony cyberprzestrzeni jest wdrożenie mechanizmów współpracy podmiotów prywatnych i państwowych oraz zapewnienie odpowiedniego finansowania działań związanych z bezpieczeństwem IT" - oceniła Izba.
Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne; nie określono struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań - wyliczyła NIK w raporcie.
A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią - podkreśliła Izba.
NIK zauważyła, że od 2008 r. prowadzone były prace nad narodową strategią ochrony cyberprzestrzeni, ale kolejne wersje tego dokumentu nie były jednak zatwierdzane "ze względu na ich nierzetelne przygotowanie i sprzeczne interesy różnych instytucji, zaangażowanych w przygotowywanie strategii". W 2013 r. Rada Ministrów przyjęła zaś "Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej" - dokument - w ocenie Izby - będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. "Nieliczne zadania wynikające bezpośrednio z +Polityki+ nie były realizowane przez większość skontrolowanych przez NIK podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne" - czytamy w raporcie.
Jak oceniła NIK, wciąż nie zostały opracowane także założenia systemu finansowania działań związanych z ochroną cyberprzestrzeni RP, nie przydzielono żadnych dodatkowych środków na ich realizację, co praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego.
NIK zauważa, że poszczególne kontrolowane podmioty - Rządowe Centrum Bezpieczeństwa, Ministerstwo Administracji i Cyfryzacji, Ministerstwo Obrony Narodowej, Ministerstwo Spraw Wewnętrznych, Policja, Agencja Bezpieczeństwa Wewnętrznego, Urząd Komunikacji Elektronicznej, Naukowa i Akademicka Sieć Komputerowa - posiadały własne, odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Ale suma tych systemów nie tworzyła całości, jednego spójnego systemu - zaznaczyła Izba.
Według kontroli nie prowadzono żadnych prac legislacyjnych, które miałyby na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym państwa, nie przeprowadzono inwentaryzacji rozproszonych w różnych aktach prawnych przepisów związanych z cyberbezpieczeństwem, ani nie zdefiniowano pożądanych kierunków zmian legislacyjnych. "Nie przygotowano nawet założeń aktu normatywnego, określającego strukturę krajowego systemu ochrony cyberprzestrzeni i jego uczestników" - oceniła NIK.
W Polsce wciąż nie funkcjonuje spójny krajowy system reagowania na incydenty komputerowe - podkreśliła Izba, dodając, że parają się tym "funkcjonujące niezależnie od siebie państwowe i prywatne zespoły CERT, zajmujące się swoimi własnymi obszarami oddziaływania". "Kierownictwo administracji państwowej nie podejmowało działań w celu wypracowania założeń pożądanej struktury zespołów reagowania, ustanowienia kanałów wymiany informacji oraz powołania CERTu narodowego, koordynującego działania wielu podmiotów i odpowiadającego za współpracę międzynarodową" - podkreśla NIK. (PAP)
(Planujemy kontynuację tematu)