Druzgocący raport NIK. Polska nie jest państwem bezpiecznym
Bezpieczeństwo w cyberprzestrzeni nie jest w Polsce właściwie chronione. Nie podjęto dotąd spójnych i systemowych działań w zakresie monitorowania i przeciwdziałania zagrożeniom występującym w cyberprzestrzeni. Aktywność państwa paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych oraz bierne oczekiwanie na rozwiązania, które w tym obszarze ma zaproponować Unia Europejska. NIK stwierdziła, że działania podmiotów państwowych związane z ochroną cyberprzestrzeni były prowadzone w sposób rozproszony i bez spójnej wizji systemowej. Sprowadzały się one do doraźnego, ograniczonego reagowania na bieżące wydarzenia oraz biernego oczekiwania na regulacje unijne.
Brak decyzji
Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie był brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych. Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne. Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią.
W ocenie NIK, istotnym czynnikiem wpływającym negatywnie na realizację zadań w obszarze bezpieczeństwa w cyberprzestrzeni było niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa.
Jako działania pozytywne w obszarze ochrony cyberprzestrzeni można wskazać w szczególności:
- powołanie i utrzymywanie na wysokim poziomie zespołów CERT (zespołów ds. bezpieczeństwa informatycznego) przez takie instytucje jak NASK, ABW oraz MON;
- utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz wyspecjalizowanej jednostki - Narodowego Centrum Kryptologii;
- upowszechnianie przez Rządowe Centrum Bezpieczeństwa wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej;
- prowadzenie przez NASK i Policję aktywnych działań edukacyjnych dotyczących m.in. przestępczości komputerowej i bezpieczeństwa w cyberprzestrzeni.
Brak spójnej całości
NIK zauważa, że poszczególne kontrolowane podmioty posiadały własne, odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Ale suma tych systemów nie tworzyła spójnej całości - jednego spójnego systemu.
Kontrola wykazała, że Minister Administracji i Cyfryzacji, któremu bezpośrednio przypisano obowiązki związane z ochroną cyberprzestrzeni, nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów w dziedzinie bezpieczeństwa teleinformatycznego państwa. Minister Administracji i Cyfryzacji nie dysponował zasobami pozwalającymi na realną realizację zadań dotyczących zarządzania krajowym system ochrony cyberprzestrzeni oraz nie miał uprawnień do oddziaływania na inne instytucje, które odmawiały współpracy lub nierzetelnie i nieterminowo wywiązywały się z przypisanych im obowiązków.
Minister Spraw Wewnętrznych nie realizował żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni. Działania Ministra w obszarze bezpieczeństwa IT ograniczały się do własnych sieci oraz systemów resortowych - jednak nawet w tym zakresie były prowadzone w sposób nierzetelny.
NIK zauważyła, że obowiązujące obecnie przepisy Prawa telekomunikacyjnego są wadliwie sformułowane i nie mogą być w praktyce wykorzystywane do realizacji zadań związanych z bezpieczeństwem IT. Było to przyczyną zaniechania wykonywania obowiązków przez Prezesa Urzędu Komunikacji Elektronicznej, dotyczących w szczególności pozyskiwania informacji o incydentach występujących w cyberprzestrzeni oraz informowania obywateli o zagrożeniach związanych z korzystaniem z Internetu.
Koordynowany przez Rządowe Centrum Bezpieczeństwa system zarządzania kryzysowego nie jest komplementarny i spójny z działaniami w zakresie bezpieczeństwa teleinformatycznego oraz w niewystarczającym stopniu uwzględnia nowe zagrożenia dla infrastruktury krytycznej państwa, jakimi są zagrożenia występujące w cyberprzestrzeni.
Jednostki organizacyjne Policji podejmowały działania związane ze zwalczaniem przestępczości komputerowej oraz aktywnie uczestniczyły w kampaniach edukacyjno-informacyjnych, dotyczących bezpiecznego korzystania z Internetu. Komendant Główny Policji nie podjął natomiast rzetelnych działań w celu wdrożenia w Policji realnego i kompleksowego systemu reagowania na zagrożenia i incydenty w cyberprzestrzeni.
Minister Obrony Narodowej aktywnie realizował zadania w zakresie budowy resortowego systemu reagowania na incydenty komputerowe oraz uczestniczył w budowie krajowego systemu ochrony cyberprzestrzeni.
Kierownictwo Agencji Bezpieczeństwa Wewnętrznego realizowało zadania związane z zapobieganiem i reagowaniem na incydenty komputerowe w systemach podmiotów administracji państwowej, polegające m.in. na stworzeniu i utrzymywaniu systemu wczesnego ostrzegania ARAKIS.GOV oraz Zespołu CERT.GOV.PL. Aktywność ABW podlegała jednak istotnym ograniczeniom, wynikającym w szczególności z niewystarczających zasobów i braku formalnego umocowania Zespołu CERT.GOV.PL.
Kierownictwo Naukowej i Akademickiej Sieci Komputerowej podejmowało liczne działania, które NIK oceniła jako dobre praktyki w zakresie ochrony cyberprzestrzeni. Dotyczyły one w szczególności powołania i utrzymywania zespołu CERT Polska.
Nierzetelne przygotowanie i sprzeczne interesy
NIK odnotowała, że od 2008 roku prowadzone były prace nad narodową strategią ochrony cyberprzestrzeni. Kolejne wersje tego dokumentu nie były jednak zatwierdzane ze względu na ich nierzetelne przygotowanie i sprzeczne interesy różnych instytucji, zaangażowanych w przygotowywanie strategii. W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej” - dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. Nieliczne zadania wynikające bezpośrednio z „Polityki” nie były realizowane przez większość skontrolowanych przez NIK podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne.
Wciąż nie zostały opracowane także założenia systemu finansowania działań związanych z ochroną cyberprzestrzeni RP. Nie przydzielono żadnych dodatkowych środków na ich realizację, co w ocenie NIK, praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego. Zasoby poszczególnych jednostek objętych kontrolą były bowiem nieadekwatne w stosunku do przypisanych im obowiązków.
Nie prowadzono żadnych prac legislacyjnych, które miałyby na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym państwa. Nie przeprowadzono inwentaryzacji rozproszonych w różnych aktach prawnych przepisów związanych z cyberbezpieczeństwem, ani nie zdefiniowano pożądanych kierunków zmian legislacyjnych. Nie przygotowano nawet założeń aktu normatywnego, określającego strukturę krajowego systemu ochrony cyberprzestrzeni i jego uczestników.
W Polsce wciąż nie funkcjonuje spójny krajowy system reagowania na incydenty komputerowe. Czynności z zakresu reagowania na incydenty są realizowane przez funkcjonujące niezależnie od siebie państwowe i prywatne zespoły CERT, zajmujące się swoimi własnymi obszarami oddziaływania. Kierownictwo administracji państwowej nie podejmowało działań w celu wypracowania założeń pożądanej struktury zespołów reagowania, ustanowienia kanałów wymiany informacji oraz powołania CERTu narodowego, koordynującego działania wielu podmiotów i odpowiadającego za współpracę międzynarodową.
Minister Administracji i Cyfryzacji, który zgodnie z zapisami strategii odpowiada za koordynację krajowego systemu reagowania na incydenty komputerowe, nie realizował żadnych zadań w tym zakresie.
Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni, a ustanowiony w Prawie telekomunikacyjnym system zbierania i rejestrowania takich informacji okazał się być całkowicie nieskuteczny.
Tworzone w Polsce plany kryzysowe, w tym w szczególności Krajowy Plan Zarządzania Kryzysowego, odnosiły się wyłącznie do zdarzeń konwencjonalnych, takich jak np. katastrofy naturalne i nie uwzględniały zmiany charakteru zagrożeń, wynikającej m.in. z postępu technologicznego. Obowiązujące przepisy dotyczące zarządzania kryzysowego oraz Prawa telekomunikacyjnego nie były wykorzystywane w celu opracowania procedur obowiązujących w sytuacjach kryzysowych związanych z cyberprzestrzenią, a kierownictwo odpowiedzialnych podmiotów państwowych nie dostrzegało potrzeby podjęcia działań w tym zakresie.
NIK dostrzega wysiłki podejmowane przez ABW (we współpracy z NASK) w celu realizacji projektu dotyczącego wytworzenia, utrzymywania i rozbudowy systemu wczesnego ostrzegania - ARAKIS.GOV. W ramach tego przedsięwzięcia w kilkudziesięciu instytucjach publicznych zainstalowano sondy systemu, dzięki którym uzyskiwano informacje o zagrożeniach w sieci Internet. Jednak ze względu na braki finansowe, dobrowolność udziału w projekcie oraz instalowanie sond wyłącznie w podmiotach publicznych, zasięg oddziaływania systemu ARAKIS.GOV oraz pozyskiwanych za jego pomocą danych miały ograniczony zakres.
Administracja publiczna nie wypracowała dotąd zintegrowanego i systemowego wspierania przez państwo badań w obszarze ochrony cyberprzestrzeni oraz możliwości praktycznego zastosowania ich wyników w celu poprawy bezpieczeństwa teleinformatycznego.
Wnioski
W ocenie NIK, ustalenia kontroli wskazują na konieczność bezzwłocznego podjęcia skoordynowanych, systemowych działań, prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni RP. W celu wyeliminowania najpoważniejszej przeszkody, która sparaliżowała aktywność państwa w tym zakresie w latach 2008-2014, tj. sprzecznych interesów poszczególnych instytucji publicznych, konieczne jest bezpośrednie zaangażowanie w realizację tych zadań najwyższego kierownictwa administracji rządowej - Rady Ministrów i Prezesa Rady Ministrów. Kolejnymi warunkami efektywnej ochrony cyberprzestrzeni, jest wdrożenie mechanizmów współpracy podmiotów prywatnych i państwowych oraz zapewnienie odpowiedniego finansowania działań związanych z bezpieczeństwem IT.
Źródło: nik.gov.pl
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?