NIK krytycznie o ochronie cyberprzestrzeni w Polsce (aktl.)

30.06. Warszawa (PAP/PAP Legislacja) - Bezpieczeństwo w cyberprzestrzeni nie jest w Polsce właściwie chronione. Działania podmiotów państwowych związane z cyberbezpieczeństwem były prowadzone w sposób rozproszony i bez spójnej wizji systemowej - oceniła Najwyższa Izba Kontroli.

Aktywność państwa w tym zakresie w latach 2008-14 paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych - podkreśla NIK w raporcie przekazanym PAP.

W ocenie Izby istotnym czynnikiem wpływającym negatywnie na realizację zadań w obszarze cyberbezpieczeństwa było "niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa".

Według NIK konieczne jest bezzwłoczne podjęcie skoordynowanych, systemowych działań, prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni RP oraz bezpośrednie zaangażowanie w realizację tych zadań najwyższego kierownictwa administracji rządowej - rządu i premiera.

"Kolejnymi warunkami efektywnej ochrony cyberprzestrzeni jest wdrożenie mechanizmów współpracy podmiotów prywatnych i państwowych oraz zapewnienie odpowiedniego finansowania działań związanych z bezpieczeństwem IT" - oceniła Izba.

Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne; nie określono struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań - wyliczyła NIK w raporcie.

A co najważniejsze, nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią - podkreśliła Izba.

NIK zauważyła, że od 2008 r. prowadzone były prace nad narodową strategią ochrony cyberprzestrzeni, ale kolejne wersje tego dokumentu nie były jednak zatwierdzane "ze względu na ich nierzetelne przygotowanie i sprzeczne interesy różnych instytucji, zaangażowanych w przygotowywanie strategii". W 2013 r. Rada Ministrów przyjęła zaś "Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej" - dokument, w ocenie Izby, będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. "Nieliczne zadania wynikające bezpośrednio z +Polityki+ nie były realizowane przez większość skontrolowanych przez NIK podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne" - czytamy w raporcie.

Jak oceniła NIK, wciąż nie zostały opracowane także założenia systemu finansowania działań związanych z ochroną cyberprzestrzeni RP, nie przydzielono żadnych dodatkowych środków na ich realizację, co praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego.

NIK zauważa, że poszczególne kontrolowane podmioty - Rządowe Centrum Bezpieczeństwa, Ministerstwo Administracji i Cyfryzacji, Ministerstwo Obrony Narodowej, Ministerstwo Spraw Wewnętrznych, policja, Agencja Bezpieczeństwa Wewnętrznego, Urząd Komunikacji Elektronicznej, Naukowa i Akademicka Sieć Komputerowa - posiadały własne, odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Ale suma tych systemów nie tworzyła całości, jednego spójnego systemu - zaznaczyła Izba.

Według kontroli nie prowadzono żadnych prac legislacyjnych, które miałyby na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym państwa, nie przeprowadzono inwentaryzacji rozproszonych w różnych aktach prawnych przepisów związanych z cyberbezpieczeństwem ani nie zdefiniowano pożądanych kierunków zmian legislacyjnych. "Nie przygotowano nawet założeń aktu normatywnego, określającego strukturę krajowego systemu ochrony cyberprzestrzeni i jego uczestników" - oceniła NIK.

W Polsce wciąż nie funkcjonuje spójny krajowy system reagowania na incydenty komputerowe - podkreśliła Izba dodając, że parają się tym "funkcjonujące niezależnie od siebie państwowe i prywatne zespoły CERT, zajmujące się swoimi własnymi obszarami oddziaływania". "Kierownictwo administracji państwowej nie podejmowało działań w celu wypracowania założeń pożądanej struktury zespołów reagowania, ustanowienia kanałów wymiany informacji oraz powołania CERTu narodowego, koordynującego działania wielu podmiotów i odpowiadającego za współpracę międzynarodową" - podkreśliła NIK.

Jak poinformowało PAP Ministerstwo Administracji i Cyfryzacji, aktualnie w resorcie trwa szereg prac mających na celu podniesienie poziomu bezpieczeństwa cybernetycznego w administracji publicznej, ponieważ resort jest odpowiedzialny właśnie za zabezpieczenie tej części cyberprzestrzeni.

"Podjęliśmy już prace analityczne w dziedzinie roli podmiotów prowadzących działalność operacyjną w zakresie bezpieczeństwa cyberprzestrzeni. MAC rozwija i upowszechnia też sieć pełnomocników ds. bezpieczeństwa teleinformatycznego, obejmującą w chwili obecnej 127 pełnomocników w urzędach administracji rządowej" - powiedział we wtorek rzecznik MAC Artur Koziołek. Jak wcześniej informował szef resortu administracji i cyfryzacji Andrzej Halicki, docelowo każda jednostka administracji centralnej ma mieć takiego pełnomocnika.

Zdaniem Koziołka, dodatkową szansą zmiany obecnego stanu rzeczy może być również Program Operacyjny Polska Cyfrowa, finansowany w ramach nowej unijnej perspektywy na lata 2014-2020. Jego zdaniem, umożliwi on rozbudowę narzędzi technicznych monitorujących zagrożenia cyberprzestrzeni w administracji, umożliwiających operacyjne zarządzanie incydentami cybernetycznymi. Rzecznik wymienił też "Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP", przygotowany przez Zespół zadaniowy ds. bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej, działający w strukturach Rady Ministrów.

Z kolei Rządowe Centrum Bezpieczeństwa poinformowało PAP o toczących się pracach w dziedzinie bezpieczeństwa infrastruktury krytycznej państwa. Jako najważniejsze przedsięwzięcie RCB wymieniło aktualizację Narodowego Programu Ochrony Infrastruktury Krytycznej (NPOIK), który zakłada ochronę teleinformatyczną przed cyberatakami, cyberprzestępstwami i cyberterroryzmem.

"Obecnie trwają prace nad aktualizacją NPOIK (aktualnie projekt jest w uzgodnieniach międzyresortowych). Zostały tam zamieszczone poszerzone zalecenia dla operatorów infrastruktury krytycznej dot. bezpieczeństwa teleinformatycznego, wynikające z dotychczasowych doświadczeń. Zgodnie z zaleceniami, operatorzy ci muszą uwzględniać cyberzagrożenia w planach ochrony infrastruktury krytycznej" - podało PAP RCB.